• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

M9000配合iNode配置L2TP over IPSec典型配置

  • 0关注
  • 1收藏 2385浏览
粉丝:0人 关注:0人

用户在分支网络中,需要通过电脑安装iNode作为LAC直接L2TP拨号到M9000访问总部网络,数据传输过程需要通过IPsec进行加密保护。


说明:

M9000版本:H3C Comware Software, Version 7.1.054, Ess 9114P04

iNode版本:iNode PC 7.0

PC操作系统:Microsoft Windows 7


1.  M9000配置

1)   配置接口的IP地址。

# 配置接口GigabitEthernet1/0/0/19IP

system-view

[M9000] interface GigabitEthernet1/0/0/19

[M9000-GigabitEthernet2/0/0/19] ip address 169.10.1.1 255.255.255.0

# 配置接口LoopBack0IP

[M9000]interface LoopBack0

[M9000-LoopBack0] ip address 100.100.100.100 255.255.255.255

2)   配置ike keychain

[M9000] ike keychain keychain_lns_9

[M9000-ike-keychain-keychain_lns_9] pre-shared-key address 169.10.1.100 255.255.255.0 key simple aabbcc                                                                   

3)   配置IKE提议。

[M9000]ike proposal 1

[M9000-ike-proposal-1] encryption-algorithm 3des-cbc

[M9000-ike-proposal-1] dh group2

[M9000-ike-proposal-1] authentication-algorithm md5

4)   配置IKE profile

[M9000]ike profile ike_profile_lns_9

[M9000-ike-profile-ike_profile_lns_9] keychain keychain_lns_9

[M9000-ike-profile-ike_profile_lns_9] exchange-mode aggressive

[M9000-ike-profile-ike_profile_lns_9] local-identity fqdn LNS

[M9000-ike-profile-ike_profile_lns_9] match remote identity fqdn LAC

5)   配置IPsec安全提议和策略模板。

# 配置安全提议transform_for_pc

[M9000]ipsec transform-set transform_for_pc

[M9000-ipsec-transform-set-transform_for_pc] esp encryption-algorithm 3des-cbc

[M9000-ipsec-transform-set-transform_for_pc] esp authentication-algorithm md5

# 配置安全策略模板ipsec_lns_9

[M9000]ipsec policy-template 1 1

[M9000-ipsec-policy-template-1-1] transform-set transform_for_pc

[M9000-ipsec-policy-template-1-1] local-address 100.100.100.100

[M9000-ipsec-policy-template-1-1] ike-profile ike_profile_lns_9

6)   在接口GigabitEthernet1/0/0/19上启用IPsec策略。

[M9000] interface GigabitEthernet1/0/0/19                                                                                                                                                                                                                                                                                                                                                                  

[M9000-GigabitEthernet1/0/0/19] ipsec apply policy ipsec_lns_9                                                                       

7)   创建用户并配置ISP域验证类型。

# 创建本地PPP用户h3care,设置密码为Hello

[M9000]local-user h3care class network

[M9000-luser-network-ppp009] password simple Hello

[M9000-luser-network-ppp009] service-type ppp

# 配置ISPsystemPPP用户采用本地验证。

[M9000]domain system

[M9000-isp-system] authentication ppp local

8)   使能L2tp功能并创建L2TP组。

[M9000] l2tp enable

[M9000]l2tp-group 1 mode lns

[M9000-l2tp1] allow l2tp virtual-template 1

[M9000-l2tp1] undo tunnel authentication

[M9000-l2tp1] tunnel name LNS

9)   配置L2TP地址池。

[M9000] ip pool 1 172.23.1.2 172.23.1.250

10) 配置Virtual-Template接口

[M9000]interface Virtual-Template1

[M9000-Virtual-Template1] ppp authentication-mode chap domain system

[M9000-Virtual-Template1] remote address pool 1

[M9000-Virtual-Template1] ip address 172.23.1.1 255.255.255.0

11)  将接口GigabitEthernet1/0/0/19Virtual-Template1LoopBack0加入安全域Trust

[M9000]security-zone name trust                                                                                                                                                                              

[M9000-security-zone-Trust] import interface GigabitEthernet 1/0/0/19 

[M9000-security-zone-Trust] import interface Virtual-Template 1

[M9000-security-zone-Trust] import interface LoopBack0

12)  配置域间策略。

# 配置ACL 2000,此ACL应用在Local域的域间策略。

[M9000] acl number 2000

[M9000-acl-adv-2000] rule 0 permit source 169.10.1.0 0.0.0.255

[M9000-acl-adv-2000] rule 1 permit source 172.23.1.0 0.0.0.255

[M9000-acl-adv-2000] rule 2 permit source 100.100.100.100 0.0.0.0

# 配置TrustLocal的域间策略。

[M9000] zone-pair security source trust destination local                                                                                                                                                                

[M9000-zone-pair-security-Trust-Local] packet-filter 2000                                                               

# 配置LocalTrust的域间策略。

[M9000] zone-pair security source local destination trust                                                                                                                                                                 

[M9000-zone-pair-security-UntrustLocal-TTrust] packet-filter 2000

2.  iNode配置

1)   新建L2TP over IPsec连接。

2)   配置L2TP基本配置并启用IPsec安全协议。

3)   点击“高级”进入高级配置,根据M9000L2TP配置调整相关参数。

4)   根据M9000IPsec参数配置调整客户端IPsec参数。

5)   根据M9000IKE参数配置调整客户端IKE参数。

 


1.  由于iNodewindow 7操作系统上的使用限制,配置L2TP over IPsec连接时必须勾选“使用NAT穿越选项”,同时如果PCM9000的互联网络中不存在NAT环境,需要如上典型配置中在M9000接口上下发内部服务器映射(NAT SERVER)进行对接;

2.  使能NAT穿越后,iNode会强制要求IKE协商模式为野蛮模式(Aggressive;

3.  M9000 IPsec安全策略须使用策略模板方式;

4.  如果启用了多组l2tp-groupl2tp-group 1,无须配置对端的名称,其它l2tp-group必须明确配置对端名称;

5.  M9000上其它区域到Local区域的域间策略规则默认为Deny,需要配置相应区域到Local区域的域间策略放通VPN的流量。


该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2019-06-12对此案例进行了修订
1 个评论
粉丝:23人 关注:4人

0
 Advanced issue found
 

1. ike profile里漏掉了proposal 1

2. 接口里应用ipsec policy 的名字写错了

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作