一、组网需求:
某大型客户总部部署了一台SR6602-X路由器(V5平台)作为出口网关。客户在这台SR6602-X路由器上配置了L2TPoIPSec功能(其中IKE使用了预共享密钥方法,并配置为野蛮模式协商,保证IPSec可以穿越NAT),达到分支/移动办公人员能够使用PC通过拨号方式,访问总部内网服务器的目的。
随着移动终端趋于多样化,越来越多的移动办公人员开始使用除PC以外的移动终端(如平板电脑、智能手机)参与办公。当前,这些移动终端大多数使用两种主流系统(Android和iOS),而这两种系统自带的VPN软件只支持IPSec传输模式,且只支持IKE主模式协商,因而导致其无法通过L2TPoIPSec接入总部。
运行了V7平台的SR6602-X路由器可以完美的解决这个问题。通过将客户V5平台的SR6602-X路由器升级至V7平台,可以满足客户的以下需求:
1、 移动办公人员无论身在何地,只要PC可以上网,即可L2TPoIPSec接入总部,并且使用Windows自带客户端即可,无需使用专门的定制客户端。
2、 移动办公人员无论身在何地,只要移动终端(平板电脑、智能手机)可以上网,即可L2TPoIPSec接入总部,并且使用设备自带客户端即可,无需使用专门的定制客户端。
设备及版本:V7平台SR6602-X路由器1台(版本为T7103)、V5平台SR6602-X路由器1台(版本为V5.2 R3303)、普通二层SW 1台、AP一台(型号为H3C WA2620i-AGN)、移动PC一台(装有Windows7专业版)、Android系统手机一台、iOS系统手机一台。
二、组网拓扑:
在实验室中,我们使用以下组网拓扑做测试。说明如下:
1、 V7平台的SR6602-X路由器作为总部出口路由器。
2、 V5平台的SR6602-X路由器作为运营商设备,配置NAT。
3、 二层SW透传相关报文,并通过POE供电方式给AP供电。
4、 AP上配置DHCP,供移动PC、Android、iOS终端接入。
三、配置步骤:
总部V7平台SR6602-X 配置 |
# version 7.1.051, T7103 # sysname SR66-1 # ip pool 1 100.0.0.2 100.0.0.222 //分给终端的IP地址池 # interface Virtual-Template1 ppp authentication-mode chap remote address pool 1 ip address 100.0.0.1
255.255.255.0 //终端获取IP地址后的网关 # interface
LoopBack0 //模拟内网业务地址 ip address 192.168.0.100 255.255.255.255 # interface GigabitEthernet0/0/0 port link-mode route combo enable copper ip address 200.0.0.1 255.255.255.0 nat outbound
2000 //总部对外的NAT ipsec apply policy
l2tp //接口应用IPSec策略L2TP # # interface M-GigabitEthernet0/0/0 # line vty 0 4 authentication-mode none user-role level-15 user-role network-operator # acl number 2000 //需做NAT转换的总部内网地址 rule 0 permit # domain system authorization-attribute ip-pool 1 authentication ppp
local //PPP本地认证 authorization ppp
local //PPP本地授权 # domain default enable system # local-user 1 class network //拨号用户名/密码 password cipher simple 1 service-type ppp authorization-attribute user-role level-15 authorization-attribute user-role
network-operator # ipsec transform-set l2tp //Android4.X和iOS系统使用 encapsulation-mode transport //传输模式 esp encryption-algorithm aes-cbc-256 esp authentication-algorithm sha1 # ipsec transform-set l2tp1 //Android2.X以及PC自带客户端使用 encapsulation-mode
transport //传输模式 esp encryption-algorithm 3des-cbc esp authentication-algorithm sha1 # ipsec policy-template temp 1 transform-set l2tp l2tp1 //需引用l2tp和l2tp1两个transform-set ike-profile l2tp # ipsec policy l2tp 1 isakmp template temp # l2tp-group 1 mode lns allow l2tp virtual-template 1 undo tunnel authentication tunnel name LNS # l2tp enable # ike profile l2tp keychain 1 exchange-mode aggressive match remote identity address 0.0.0.0
0.0.0.0 //表示所有的ip都是匹配的 proposal 1 2 # ike proposal 1 encryption-algorithm aes-cbc-128 dh group2 # ike proposal 2 encryption-algorithm 3des-cbc dh group2 # ike keychain 1 pre-shared-key address 0.0.0.0 0.0.0.0 key
simple h3c # return # |
运营商V5平台SR6602-X配置 |
# version 5.20, Release 3303 # sysname SR66-2 # domain default enable system # acl number 3000 rule 5 permit ip source 192.168.10.0 0.0.0.255 # interface GigabitEthernet0/0/0 nat outbound 3000 ip address 200.0.0.2 255.255.255.0 # ip route-static 192.168.10.0 255.255.255.0
10.0.0.2 # |
AP配置 |
|
# version 5.20, Release 1308P04 # sysname WA2620i-AGN # domain default enable system # vlan 1 # vlan 10 # dhcp server ip-pool client //给终端分配地址的地址池 network 192.168.10.0 mask 255.255.255.0 gateway-list 192.168.10.254 dns-list 9.9.9.9 # wlan rrm dot11a mandatory-rate 6 12 24 dot11a supported-rate 9 18 36 48 54 dot11b mandatory-rate 1 2 dot11b supported-rate 5.5 11 dot11g mandatory-rate 1 2 5.5 11 dot11g supported-rate 6 9 12 18 24 36 48 54 # wlan service-template 10 clear ssid H3C service-template enable # interface Vlan-interface1 ip address 10.0.0.2 255.255.255.0 # interface Vlan-interface10 ip address 192.168.10.254 255.255.255.0 # interface WLAN-BSS10 port access vlan 10 # interface WLAN-BSS32 port link-type hybrid port hybrid vlan 1 untagged # interface WLAN-BSS33 port link-type hybrid port hybrid vlan 1 untagged # interface WLAN-Radio1/0/1 # interface WLAN-Radio1/0/2 service-template 10 interface wlan-bss 10 # ip route-static 0.0.0.0 0.0.0.0 10.0.0.1 # dhcp enable # arp-snooping enable # |
四、配置关键点:
1、 对于不同版本终端之间设备的可兼容性配置:
对于Android 4.X 和 Android 2.X手机,在 IPSec sa 阶段所使用的加密算法不同,所以需要引用两种算法,具体配置如下:
Android 4.X 和 IOS 在ipsec sa阶段算法是aes-cbc-256 + sha1,配置如下:
ipsec transform-set l2tp
encapsulation-mode transport
esp encryption-algorithm aes-cbc-256
esp authentication-algorithm sha1
Android 2.X 在IPSec sa 阶段算法为3des-cbc + sha1,配置如下:
ipsec transform-set l2tp1
encapsulation-mode transport
esp encryption-algorithm 3des-cbc
esp authentication-algorithm sha1
在IPSec模板引用时将两种算法都引入 ,如此配置可解决问题:
ipsec policy-template template 1
transform-set l2tp l2tp1
ike-profile l2tp
同样设备也可在 ike profile 引入多个 ike proposal,可根据现场环境灵活调整。
2、 IPSEC对于移动终端的匹配配置:
由于运营商分配的私网IP和NAT之后的公网IP我们无从知晓,所以在key-chain和IKE profile匹配对端地址是需配置0.0.0.0 0.0.0.0,表示所有的IP都是匹配的,具体配置如下:
对于ike profile:
ike profile l2tp
keychain 1
exchange-mode aggressive
match remote identity address 0.0.0.0 0.0.0.0
proposal 1
对于ike keychain:
ike keychain 1
pre-shared-key address 0.0.0.0 0.0.0.0 key simple h3c
3、由于iOS系统无法手工配置DNS,如实际应用中需用到DNS解析功能,需在L2TP中添加配置,通过L2TP将DNS分配给终端,具体配置如下:
interface Virtual-Template1
ppp authentication-mode chap
ppp ipcp dns 8.8.8.8
remote address pool 1
ip address 100.1.1.1 255.255.255.0
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作