• 日期: 2025-08-05
  • 标签: 常规

使用eNSP模拟器完成华为防火墙L2TP over IPSecVPN-命令行配置

一、实验环境

  1. 安装eNSP。
  2. 使用eNSP。
  3. 完成华为防火墙L2TP over IPSecVPN-命令行配置。
  4. 实验环境:Win10专业工作站版系统;VirtualBox、WinPcap_4_1_3、Wireshark-win64-1.12.4三款配套软件;eNSP安装包。

三、实验内容

实验环境:

  1. 配置网卡的计算机。
  2. 华为eNSP模拟软件。
  3. 交换机与路由器。

实验目的: 熟悉华为eNSP模拟器的基本使用,使用模拟器自带的抓包软件捕获网络中的报文,以便更好地理解IP网络的工作原理。

1. 安装eNSP

  • 先安装eNSP的三个配套软件(如下图所示),安装时三款软件的安装程序均以管理员身份打开,同时都安装在C盘下。

[图片:三个配套软件安装界面]

  • 配套软件安装完毕后,开始安装eNSP。右击以管理员身份运行安装包。

  • 在安装WinPcap时遇到'A newer version of WinPcap (internal version 5.1.71.1819) is already installed on this machine. The installation will be aborted.'的报错问题。提示本地安装有更高版本的WinPcap时,按如下操作即可解决。

    • 找到相应文件,扩展名修改成如下:

      • C:\Windows\SysWOW64 的wpcap.dll改成 wpcap.dll.old。
      • C:\Windows\SysWOW64的packet.dll改成 packet.dll.old。

  • 此处会自动检测是否已经安装好三个配套软件,若没安装请先安装好三个配套软件,再点击下一步。

[图片:eNSP安装界面]

  • 运行前先右击属性,把兼容性和以管理员身份运行设置好。

  • 打开eNSP之后,先注册设备,按如下图所示操作。全部勾选,再点击“注册”。

[图片:注册设备界面]

  • 导入设备包。点击右上角的“新建拓扑”按钮。接下来就需要导入设备包了,如图所示,把需要导入设备包的路由器NE40E,NE5000E,NE9000,CX;交换机CE6800;防火墙USG5500,USG6000V拖到右边空白处。

[图片:导入设备包界面]

  • 点击NE1, 右击选择“启动”。(这里以NE1为例,其他设备同样操作)

[图片:启动设备界面]

  • 出现如下图所示界面时,即表示导入成功。至此安装完成。

[图片:设备启动成功界面]

2. 完成华为防火墙L2TP over IPSecVPN-命令行配置

  • L2TP(Layer 2 Tunneling Protocol)是一种用于承载PPP报文的隧道技术,该技术主要应用在远程办公场景中为出差员工远程访问企业内网资源提供接入服务,出差员工跨越Internet远程访问企业内网资源时需要使用PPP协议向企业总部申请内网IP地址,并供总部对出差员工进行身份认证,但PPP报文受其协议自身的限制无法在Internet上直接传输,于是,PPP报文的传输问题成为了制约出差员工远程办公的技术瓶颈,L2TP VPN技术出现以后,使用L2TP隧道“承载”PPP报文在Internet上传输成为了解决上述问题的一种途径,无论出差员工是通过传统拨号方式接入Internet,还是通过以太网方式接入Internet,L2TP都可以向其提供远程接入服务。

  • L2TP是虚拟私有拨号网VPDN(Virtual Private Dial-up Network)隧道协议的一种,扩展了点到点协议PPP(Point-to-Point Protocol)的应用,是远程拨号用户接入企业总部网络的一种重要技术。

  • L2TP over IPSec适用于分支网络、出差员工通过LAC拨号接入VPN并进行安全访问的场景。

  • 适用于V800R021C10及以后版本的ME60系列、NE40E系列及NE8000系列路由器。

2.1 L2TP over IPSec Server配置

2.1.1 配置L2TP

(1)开启L2TP功能: ① l2tp enable。

(2)配置远程用户接入地址池: ① Ip pool l2tp-pool 。 ② section 0 192.168.30.100 192.168.30.200。

(3)配置L2TP服务方案,在服务方案中调用地址池: ① Aaa。 ② service-scheme l2tp-scheme。 ③ ip-pool l2tp-pool。

(4)配置L2TP的服务模板: ① interface Virtual-Template0。 ② ppp authentication-mode chap pap。 ③ remote service-scheme l2tp-scheme。 ④ ip address 192.168.30.1 24。

(5)将VT拨号模板加入dmz区域: ① [FW1-zone-dmz]add interface Virtual-Template 0。

(6)配置L2TP的拨号组: ① l2tp-group l2tp-group1。 ② tunnel password cipher Welcome@123。 ③ tunnel name LNS。 ④ allow l2tp virtual-template 0 remote client domain default。

2.1.2 配置接入用户账号 ① [FW1]user-manage user user1 ② [FW1-localuser-user1]password Welcome@123 ③ [FW1-localuser-user1]q

2.1.3 配置L2TP的安全策略 ① security-policy ② rule name untrust-to-local ③ source-zone untrust ④ destination-zone local ⑤ destination-address 11.1.1.1 32 ⑥ service l2tp ⑦ action permit

实验思路如下: ① 区域,接口,ip; ② 配置公网路由; ③ 配置L2TP VPN; ④ 配置安全策略; ⑤ 配置IPSec VPN; ⑥ 配置L2TP over IPSec VPN的客户端。

命令解释:

  • “ppp authentication-mode chap”表示使用CHAP(Challenge-Handshake Authentication Protocol)身份验证方式,该方式要求客户端和服务器之间进行挑战-握手过程,以验证身份。

  • “ppp authentication-mode chap pap”表示同时使用CHAP和PAP(Password Authentication Protocol)身份验证方式,PAP是一种简单的明文密码验证方式,不如CHAP安全,但是在某些情况下仍然可以使用。

  • “allow l2tp virtual-template 0 remote client do;”:表示L2TP虚拟模板0启用远程认证,认证方式为Digest。

  • “allow l2tp virtual-template 0 remote client domain default;”:表示L2TP虚拟模板0启用远程认证,认证域为默认域。

  • “disp;”:表示显示当前配置信息。

2.2 Seco Client配置

[图片:Seco Client配置界面]

2.3 L2TP over IPSEC建立过程

[图片:L2TP over IPSEC建立过程示意图]

2.4 配置成功后访问内网

[图片:访问内网成功界面]

2.5 实验配置命令

  • 确定IPSEC的流量,这一点可以根据源端口号或者目标端口号来进行配置,相关配置命令如下:

acl number 3000。 rule 5 permit udp source-port eq 1701。

  • 要配置IPSCE,首先需要配置IKE相关的加密算法、认证算法、分组算法,相关配置如下:

ike proposal 1 encryption-algorithm aes-128 dh group2。 authentication-algorithm sha1。

  • 在完成上述配制后,还需要配置IPSEC相关策略,也是包括加密算法和认证算法,相关配置如下:

ipsec proposal 1。 esp authentication-algorithm sha1。 esp encryption-algorithm aes-128。

  • 在本场景中,由于对端是L2TP来链接的本端,因此对端IP地址并不确定,在配置IKE Peer的时候,相关配置命令如下:

ike peer 1。 undo version 2。 pre-shared-key huawei@123。 ike-proposal 1。

  • 在完成上述配置后,在IPSEC模板相关配置中把上述配置整合起来,相关配置如下:

ipsec policy-template map 10。 security acl 3000。 ike-peer 1。 proposal 1。

ipsec policy map1 10 isakmp template map。

  • 考虑到防火墙的特点,要完成L2TP OVER IPSEC的相关配置,就必须防火墙安全策略中放行相关的数据流量,相关配置如下:

security-policy rule name IPSEC service protocol 50 service protocol udp destination-port 500 action permit

  • 继续配置Seco Client:

[图片:Seco Client配置命令界面]

配置完毕后,可以ping通:

[图片:ping通内网设备界面]

三、实验结果及分析

本次实验通过华为eNSP模拟器完成了华为防火墙L2TP over IPSecVPN-命令行配置。首先安装了eNSP和配套软件,并导入所需设备。然后按照步骤配置L2TP over IPSec Server,包括开启L2TP功能、配置远程用户接入地址池、配置L2TP服务方案、配置L2TP的服务模板、将VT拨号模板加入dmz区域、配置L2TP的拨号组、配置接入用户账号、配置L2TP的安全策略等。接着配置了Seco Client,并进行了L2TP over IPSEC建立过程。最后成功访问了内网。实验结果表明,L2TP over IPSecVPN-命令行配置能够有效实现远程办公场景中出差员工远程访问企业内网资源提供接入服务,为企业的远程办公提供了技术支持。

四、实验总结

通过本次实验,我们学习了如何使用eNSP模拟器完成华为防火墙L2TP over IPSecVPN-命令行配置,并了解了L2TP over IPSecVPN的工作原理和应用场景。在实际应用中,还需要根据不同的网络环境和安全需求进行相应的调整和优化。


原文地址: http://www.cveoy.top/t/topic/ox9j 著作权归作者所有。请勿转载和采集!

免费AI点我,无需注册和登录