华为防火墙L2TP over IPSecVPN-命令行配置实验教程

一、实验准备

1. 安装eNSP

2. 使用eNSP

3. 完成华为防火墙L2TP over IPSecVPN-命令行配置

4. 实验环境：

Win10专业工作站版系统
VirtualBox、WinPcap_4_1_3、Wireshark-win64-1.12.4三款配套软件
eNSP安装包

三、实验内容

实验环境：

配置网卡的计算机
华为eNSP模拟软件
交换机与路由器

熟悉华为eNSP模拟器的基本使用，使用模拟器自带的抓包软件捕获网络中的报文，以便更好地理解IP网络的工作原理。

1. 安装eNSP配套软件

先安装eNSP的三个配套软件（如下图所示），安装时三款软件的安装程序均以管理员身份打开，同时都安装在C盘下。

[图片]

2. 安装eNSP

配套软件安装完毕后，开始安装ensp。右击以管理员身份运行安装包。

在安装winpcap时遇到'A newer version of WinPcap (internal version 5.1.71.1819) is already installed on this machine. The installation will be aborted.'的报错问题。提示本地安装有更高版本的WinPcap时，按如下操作即可解决。

找到相应文件，扩展名修改成如下：

C:\Windows\SysWOW64 的wpcap.dll改成 wpcap.dll.old。

C:\Windows\SysWOW64的packet.dll改成 packet.dll.old。

此处会自动检测是否已经安装好三个配套软件，若没安装请先安装好三个配套软件，再点击下一步。

[图片]

3. 运行eNSP

运行前先右击属性，把兼容性和以管理员身份运行设置好。

4. 注册设备

打开ensp之后，先注册设备，按如下图所示操作。全部勾选，再点击“注册”。

[图片]

5. 导入设备包

点击右上角的“新建拓扑”按钮。接下来就需要导入设备包了，如图所示，把需要导入设备包的路由器NE40E,NE5000E,NE9000,CX；交换机CE6800；防火墙USG5500,USG6000V拖到右边空白处。

[图片]

6. 启动设备

点击NE1,右击选择“启动”。（这里以NE1为例，其他设备同样操作）

[图片]

出现如下图所示界面时，即表示导入成功。至此安装完成。

四、实验步骤

1. 完成华为防火墙L2TP over IPSecVPN-命令行配置

L2TP（Layer 2 Tunneling Protocol）是一种用于承载PPP报文的隧道技术，该技术主要应用在远程办公场景中为出差员工远程访问企业内网资源提供接入服务，出差员工跨越Internet远程访问企业内网资源时需要使用PPP协议向企业总部申请内网IP地址，并供总部对出差员工进行身份认证，但PPP报文受其协议自身的限制无法在Internet上直接传输，于是，PPP报文的传输问题成为了制约出差员工远程办公的技术瓶颈，L2TP VPN技术出现以后，使用L2TP隧道“承载”PPP报文在Internet上传输成为了解决上述问题的一种途径，无论出差员工是通过传统拨号方式接入Internet，还是通过以太网方式接入Internet，L2TP都可以向其提供远程接入服务。

L2TP是虚拟私有拨号网VPDN（Virtual Private Dial-up Network）隧道协议的一种，扩展了点到点协议PPP（Point-to-Point Protocol）的应用，是远程拨号用户接入企业总部网络的一种重要技术。

L2TP over IPSec适用于分支网络、出差员工通过LAC拨号接入VPN并进行安全访问的场景。

适用于V800R021C10及以后版本的ME60系列、NE40E系列及NE8000系列路由器。

1.1 L2TP over IPSec Server配置

1.1.1 配置L2TP

（1）开启L2TP功能： ① l2tp enable。

（2）配置远程用户接入地址池： ① Ip pool l2tp-pool 。 ② section 0 192.168.30.100 192.168.30.200。

（3）配置L2TP服务方案，在服务方案中调用地址池： ① Aaa。 ② service-scheme l2tp-scheme。 ③ ip-pool l2tp-pool。

（4）配置L2TP的服务模板： ① interface Virtual-Template0。 ② ppp authentication-mode chap pap。 ③ remote service-scheme l2tp-scheme。 ④ ip address 192.168.30.1 24。

（5）将VT拨号模板加入dmz区域： ① [FW1-zone-dmz]add interface Virtual-Template 0。

（6）配置L2TP的拨号组： ① l2tp-group l2tp-group1。 ② tunnel password cipher Welcome@123。 ③ tunnel name LNS。 ④ allow l2tp virtual-template 0 remote client domain default。

1.1.2 配置接入用户账号 ① [FW1]user-manage user user1 ② [FW1-localuser-user1]password Welcome@123 ③ [FW1-localuser-user1]q

1.1.3 配置L2TP的安全策略 ① security-policy ② rule name untrust-to-local ③ source-zone untrust ④ destination-zone local ⑤ destination-address 11.1.1.1 32 ⑥ service l2tp ⑦ action permit

实验思路如下： ① 区域，接口，ip； ② 配置公网路由； ③ 配置L2TP VPN； ④ 配置安全策略； ⑤ 配置IPSec VPN； ⑥ 配置L2TP over IPSec VPN的客户端。

2. Seco Client配置

3. L2TP over IPSEC建立过程

4. 配置成功后访问内网

5. 实验配置命令

5.1 配置IPSEC流量

确定IPSEC的流量，这一点可以根据源端口号或者目标端口号来进行配置，相关配置命令如下：

acl number 3000。 rule 5 permit udp source-port eq 1701。

5.2 配置IKE

要配置IPSCE，首先需要配置IKE相关的加密算法、认证算法、分组算法，相关配置如下：

ike proposal 1 encryption-algorithm aes-128 dh group2。 authentication-algorithm sha1。

5.3 配置IPSEC策略

在完成上述配制后，还需要配置IPSEC相关策略，也是包括加密算法和认证算法，相关配置如下：

ipsec proposal 1。 esp authentication-algorithm sha1。 esp encryption-algorithm aes-128。

5.4 配置IKE Peer

在本场景中，由于对端是L2TP来链接的本端，因此对端IP地址并不确定，在配置IKE Peer的时候，相关配置命令如下：

ike peer 1。 undo version 2。 pre-shared-key huawei@123。 ike-proposal 1。

5.5 配置IPSEC模板

在完成上述配置后，在IPSEC模板相关配置中把上述配置整合起来，相关配置如下：

ipsec policy-template map 10。 security acl 3000。 ike-peer 1。 proposal 1。 ipsec policy map1 10 isakmp template map。

5.6 配置防火墙安全策略

考虑到防火墙的特点，要完成L2TP OVER IPSEC的相关配置，就必须防火墙安全策略中放行相关的数据流量，相关配置如下：

security-policy rule name IPSEC service protocol 50 service protocol udp destination-port 500 action permit

5.7 继续配置Seco Client

5.8 验证配置

配置完毕后，可以ping通：

六、实验结果及分析

本次实验成功完成了华为防火墙L2TP over IPSecVPN的命令行配置，并通过Seco Client访问了内网。在配置过程中，需要注意各个命令的含义和顺序，以及相关参数的设置。同时还需要在防火墙安全策略中放行相关的数据流量，否则无法正常访问内网。通过本次实验，加深了对L2TP over IPSecVPN的理解和应用。

七、相关配置命令解释

'ppp authentication-mode chap'表示使用CHAP（Challenge-Handshake Authentication Protocol）身份验证方式，该方式要求客户端和服务器之间进行挑战-握手过程，以验证身份。

'ppp authentication-mode chap pap'表示同时使用CHAP和PAP（Password Authentication Protocol）身份验证方式，PAP是一种简单的明文密码验证方式，不如CHAP安全，但是在某些情况下仍然可以使用。

'allow l2tp virtual-template 0 remote client domain default;'：表示L2TP虚拟模板0启用远程认证，认证域为默认域。

'disp;'：表示显示当前配置信息。

八、注意事项

在配置过程中，请仔细阅读命令的帮助信息，并根据实际情况进行调整。
配置完成后，请务必进行测试，确保配置正确无误。
本教程仅供参考，实际配置过程中可能需要根据具体情况进行调整。