H3C ER2100中的VPN如何设置
- 0关注
- 1收藏,1483浏览
问题描述:
H3C ER2100中的VPN设置,尝试了很多种方法,都未连接成功。VPN这方面我是小白,在此请求帮助,提供一套完整正确的设置方法。
组网及组网描述:
H3C ER2100中的VPN设置,尝试了很多种方法,都未连接成功。VPN这方面我是小白,在此请求帮助,提供一套完整正确的设置方法。
- 2020-06-13提问
- 举报
-
(0)
最佳答案
与SHA-1相比:计算速度快,但安全强度略低 | |
SHA-1 | SHA-1通过输入长度小于2的64次方bit的消息,产生160bit的消息摘要 与MD5相比:计算速度慢,但安全强度更高 |
【加密算法】:
加密算法实现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。
IPSec支持以下三种加密算法:
表10-2 加密算法
加密算法 | 描述 |
DES | 使用64bit的密钥对一个64bit的明文块进行加密 |
3DES | 使用三个64bit的DES密钥(共192bit密钥)对明文进行加密 |
AES | 使用128bit、192bit或256bit密钥长度的AES算法对明文进行加密 |
这三个加密算法的安全性由高到低依次是:AES、3DES、DES,安全性高的加密算法实现机制复杂,但运算速度慢。对于普通的安全要求,DES算法就可以满足需要。
(3) 协商方式
有如下两种协商方式建立SA:
· 手工方式配置比较复杂,创建SA所需的全部信息都必须手工配置,而且不支持一些高级特性(例如定时更新密钥),但优点是可以不依赖IKE而单独实现IPSec功能。
· IKE自动协商方式相对比较简单,只需要配置好IKE协商安全策略的信息,由IKE自动协商来创建和维护SA。
当与之进行通信的对等体设备数量较少时,或是在小型静态环境中,手工配置SA是可行的。对于中、大型的动态网络环境中,推荐使用IKE协商建立SA。
(4) 安全隧道
安全隧道是建立在本端和对端之间可以互通的一个通道,它由一对或多对SA组成。
10.1.2 IPSec VPN常见的组网模式
· 中心/分支模式应用在一对多网络中,如图10-1所示。中心/分支模式的网络采用野蛮模式进行IKE协商,可以使用安全网关名称或IP地址作为本端ID。在中心/分支模式的网络中,中心节点不会发起IPSec SA的协商,需要由分支节点首先向中心节点发起IPSec SA的协商。路由器通常作为分支节点的VPN接入设备使用。
图10-1 中心/分支模式组网
· 对等模式应用在一对一网络中,如图10-2所示。在对等模式的网络中,两端的设备互为对等节点,都可以向对端发起IPSec SA的协商。
10.2 设置虚接口
IPSec是同虚接口进行绑定的,数据流首先通过静态路由或者策略路由引入到虚接口,然后才会匹配规则进行IPSec加密处理。
虚接口需要映射到物理接口,只有需要进行IPSec处理的报文才会通过虚接口发送,其他报文仍然从实接口转发,另外路由加虚接口的配置模式使得VPN的配置更加灵活。
页面向导:VPN→IPSEC VPN→虚接口
本页面为您提供如下主要功能:
显示和修改已创建的虚接口(主页面) |
|
创建虚接口(单击主页面上的<新增>按钮,在弹出的对话框中选择一个虚接口通道以及映射的实际物理接口,单击<增加>完成操作) |
|
10.3 设置IKE
在实施IPSec的过程中,可以使用IKE协议来建立SA。该协议建立在由Internet SA和密钥管理协议ISAKMP定义的框架上。IKE为IPSec提供了自动协商交换密钥、建立SA的服务,能够简化IPSec的使用和管理。
IKE不是在网络上直接传输密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥,并且即使第三者截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
1. IKE简介
(1) IKE的安全机制
IKE具有一套自保护机制,可以在不安全的网络上安全地认证身份、分发密钥、建立IPSec SA。
【数据认证】:
数据认证有如下两方面的概念:
· 身份认证:身份认证确认通信双方的身份,支持预共享密钥认证。
· 身份保护:身份数据在密钥产生之后加密传送,实现了对身份数据的保护。
【DH】:
DH算法是一种公共密钥算法。通信双方在不传输密钥的情况下通过交换一些数据,计算出共享的密钥。即使第三者(如黑客)截获了双方用于计算密钥的所有交换数据,由于其复杂度很高,不足以计算出真正的密钥。所以,DH交换技术可以保证双方能够安全地获得公有信息。
【PFS】:
PFS特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。对于IPSec,是通过在IKE阶段2协商中增加一次密钥交换来实现的。PFS特性是由DH算法保障的。
(2) IKE的交换过程
IKE使用了两个阶段为IPSec进行密钥协商并建立SA:
· 第一阶段,通信各方彼此间建立了一个已通过身份认证和安全保护的通道,即建立一个ISAKMP SA。第一阶段有主模式和野蛮模式两种IKE交换方法。
· 第二阶段,用在第一阶段建立的安全隧道为IPSec协商安全服务,即为IPSec协商具体的SA,建立用于最终的IP数据安全传输的IPSec SA。
如图10-3所示,第一阶段主模式的IKE协商过程中包含三对消息:
· 第一对叫SA交换,是协商确认有关安全策略的过程;
· 第二对消息叫密钥交换,交换Diffie-Hellman公共值和辅助数据(如:随机数),密钥材料在这个阶段产生;
· 最后一对消息是ID信息和认证数据交换,进行身份认证和对整个SA交换进行认证。
野蛮模式交换与主模式交换的主要差别在于,野蛮模式不提供身份保护,只交换3条消息。在对身份保护要求不高的场合,使用交换报文较少的野蛮模式可以提高协商的速度;在对身份保护要求较高的场合,则应该使用主模式。
(3) IKE在IPSec中的作用
· 因为有了IKE,IPSec很多参数(如:密钥)都可以自动建立,降低了手工配置的复杂度。
· IKE协议中的DH交换过程,每次的计算和产生的结果都是不相关的。每次SA的建立都运行DH交换过程,保证了每个SA所使用的密钥互不相关。
· IPSec使用AH或ESP报文头中的序列号实现防重放。此序列号是一个32比特的值,此数溢出后,为实现防重放,SA需要重新建立,这个过程需要IKE协议的配合。
· 对安全通信的各方身份的认证和管理,将影响到IPSec的部署。IPSec的大规模使用,必须有认证机构或其他集中管理身份数据的机构的参与。
· IKE提供端与端之间动态认证。
(4) IPSec与IKE的关系
图10-4 IPSec与IKE的关系图
从图10-4中我们可以看出IKE和IPSec的关系:
· IKE是UDP之上的一个应用层协议,是IPSec的信令协议;
· IKE为IPSec协商建立SA,并把建立的参数及生成的密钥交给IPSec;
· IPSec使用IKE建立的SA对IP报文加密或认证处理。
2. 设置安全提议
安全提议定义了一套属性数据来描述IKE协商怎样进行安全通信。配置IKE安全提议包括选择加密算法、选择验证算法、选择Diffie-Hellman组标识。
页面向导:VPN→IPSEC VPN→IKE安全提议
本页面为您提供如下主要功能:
显示和修改已添加的IKE安全提议(主页面) |
|
添加一条新的IKE安全提议(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作) |
|
页面中关键项的含义如下表所示。
表10-3 页面关键项描述
页面关键项 | 描述 |
安全提议名称 | 输入安全提议的名称 |
IKE验证算法 | 选择IKE所使用的验证算法 缺省情况下,使用MD5 |
IKE加密算法 | 选择IKE所使用的加密算法 缺省情况下,使用3DES |
IKE DH组 | 选择IKE所使用的DH算法 · DH1:768位DH组 · DH2:1024位DH组 · DH5:1536位DH组 · DH14:2048位DH组 缺省情况下,使用DH2 |
3. 设置对等体
对等体定义了协商的双方,包括本端发起协商接口、对端地址、采用的安全提议、协商模式、ID类型等信息。只有经定义的双方才能够进行协商通信。
页面向导:VPN→IPSEC VPN→IKE对等体
本页面为您提供如下主要功能:
显示和修改已添加的IKE对等体(主页面) |
|
添加一个新的IKE对等体单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作) |
|
页面中关键项的含义如下表所示。
表10-4 页面关键项描述
页面关键项 | 描述 |
对等体名称 | 输入对等体的名称 |
虚接口 | 选择本端发起协商的出接口 |
对端地址 | 设置对等体对端的地址信息
如果对端地址不是固定地址而是动态地址,建议通过将对端地址配置为动态域名的方式进行连接 |
协商模式 | 选择协商模式。主模式一般应用于点对点的对等组网模式;野蛮模式一般应用于中心/分支组网模式 缺省情况下,使用主模式 |
ID类型、本端ID、对端ID | 此设置项需在野蛮模式下进行 当ID类型为NAME类型时,还需要指定相应的本端ID与对端ID |
安全提议 | 选择对等体需要引用的IKE安全提议 |
预共享密钥(PSK) | 设置IKE认证所需的预共享密钥(pre-shared-key) |
生命周期 | 设置IKE SA存在的生命周期(IKE SA实际的周期以协商结果为准) |
DPD开启 | DPD用于IPsec邻居状态的检测。启动DPD功能后,当接收端在触发DPD的时间间隔内收不到对端的IPSec加密报文时,会触发DPD查询,主动向对端发送请求报文,对IKE对等体是否存在进行检测 |
DPD周期 | 指定对等体DPD检测周期,即触发DPD查询的间隔时间 |
DPD超时时间 | 指定对等体DPD检测超时时间,即等待DPD应答报文超时的时间 |
10.4 设置IPSec
1. 设置安全提议
安全提议保存IPSec需要使用的特定安全性协议,以及加密/验证算法,为IPSec协商SA提供各种安全参数。为了能够成功的协商IPSec的SA,两端必须使用相同的安全提议。
页面向导:VPN→IPSEC VPN→IPSec安全提议
本页面为您提供如下主要功能:
显示和修改已添加的IPSec安全提议(主页面) |
|
添加一条新的IPSec安全提议(单击主页面上的<新增>按钮,在弹出的对话框中设置相应的参数,并单击<增加>按钮完成操作) |
|
页面中关键项的含义如下表所示。
表10-5 页面关键项描述
页面关键项 | 描述 |
安全提议名称 | 输入安全提议的名称 |
安全协议类型 | 选择安全协议类型来实现安全服务 缺省情况下,使用ESP |
AH验证算法 | 选择AH验证算法 缺省情况下,使用MD5 |
ESP验证算法 | 选择ESP验证算法 缺省情况下,使用MD5 |
ESP加密算法 | 选择ESP加密算法 缺省情况下,使用3DES |
2. 设置安全策略
安全策略规定了对什么样的数据流采用什么样的安全提议。安全策略分为手工安全策略和IKE协商安全策略。前者需要用户手工配置密钥、SPI等参数;后者则由IKE自动协商生成这些参数。
页面向导:VPN→IPSEC VPN→IPSec安全策略
本页面为您提供如下主要功能:
开启IPSec功能、显示和修改已添加的安全策略(主页面) |
|
设置使用IKE协商方式建立SA(单击主页面上的<新增>按钮,在弹出的对话框中选择“协商类型”为IKE协商并设置相应的参数,单击<增加>按钮完成操作) |
|
设置使用手动协商方式建立SA(单击主页面上的<新增>按钮,在弹出的对话框中选择“协商类型”为手动模式并设置相应的参数,单击<增加>按钮完成操作) |
|
页面中关键项的含义如下表所示。
表10-6 页面关键项描述
页面关键项 | 描述 | ||
启用IPSec | 选中“启用IPSec”,开启IPSec功能 缺省情况下,禁用IPSec功能 | ||
安全策略名称 | 设置安全策略的名称,后面的复选框可以设置该安全策略的使用状态 | ||
本地子网IP/掩码 | 本地子网IP/掩码和对端子网IP/掩码,两个配置项组成一个访问控制规则。IPSec通过此访问控制规则来定义需要保护的数据流,访问控制规则匹配的报文将会被保护 本地子网IP/掩码和对端子网IP/掩码分别用来指定IPSec VPN隧道本端和对端的子网网段 | ||
对端子网IP/掩码 | |||
协商类型 | 选择IPSec协商方式 缺省情况下,使用IKE协商方式 | ||
IKE协商模式 | 对等体 | 选择需要引用的IKE对等体 | |
安全提议 | 选择需要引用的IPSec安全提议
此模式下,一条安全策略最多可以引用四个安全提议,根据组网需求可以灵活的加以配置 | ||
PFS | PFS特性是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。IKE在使用安全策略发起一个协商时,可以进行一个PFS交换。如果本端设置了PFS特性,则发起协商的对端也必须设置PFS特性,且本端和对端指定的DH组必须一致,否则协商会失败 · 禁止:关闭PFS特性 · DH1:768位DH组 · DH2:1024位DH组 · DH5:1536位DH组 · DH14:2048位DH组 缺省情况下,PFS特性处于关闭状态 | ||
生命周期 | 设置IPSec SA存在的生命周期 缺省情况下,生命周期为28800秒 | ||
触发模式 | 用来指定隧道的触发模式 · 流量触发:IKE隧道配置下发后,不会自动建立隧道,会等待兴趣流来触发隧道建立 · 长连模式:IKE隧道配置下发后或隧道异常断开后,会自动触发隧道建立,并且保证隧道长时间建立,不需等待兴趣流触发 | ||
手动模式 | 虚接口 | 指定与当前策略绑定的虚接口 | |
对端地址 | 指定IPSec对等体另外一端的IP地址 | ||
安全提议 | 选择需要引用的IPSec安全提议 | ||
入/出SPI值 | 在安全隧道的两端设置的SA参数必须是完全匹配的。本端入方向SA的SPI必须和对端出方向SA的SPI一样;本端出方向SA的SPI必须和对端入方向SA的SPI一样。SPI具有唯一性,不允许输入相同的SPI值 | ||
安全联盟使用的密钥 | 入/出ESP MD5密钥 入/出ESP 3DES密钥 | 在安全隧道的两端设置的SA参数必须是完全匹配的。本端入方向SA的密钥必须和对端出方向SA的密钥一样;本端出方向SA的密钥必须和对端入方向SA的密钥一样 | |
10.5 查看VPN状态
页面向导:VPN→IPSEC VPN→安全联盟
本页面为您提供如下主要功能:
单击<刷新>按钮,您可以查看已建立的VPN隧道及对应的安全策略信息 |
|
10.6 一对一IPSec VPN配置举例
10.6.1 组网需求
在Router A(采用ER5200G2)和Router B(采用ER5200G2)之间建立一个安全隧道,对客户分支机构A所在的子网(192.168.1.0/24)与客户分支机构B所在的子网(172.16.0.0/16)之间的数据流进行安全保护。
安全协议采用ESP协议,加密算法采用3DES,认证算法采用SHA1。
10.6.2 组网图
图10-5 组网示意图
10.6.3 设置步骤
1. 设置Router A
1. 选择“VPN→IPSEC VPN→虚接口”。单击<新增>按钮,在弹出的对话框中选择一个虚接口通道,并将其与对应的出接口进行绑定(此处假设为WAN1),单击<增加>按钮完成操作 |
|
2. 选择“VPN→IPSEC VPN→IKE安全提议”。单击<新增>按钮,在弹出的对话框中输入安全提议名称,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮完成操作 |
|
3. 选择“VPN→IPSEC VPN→IKE对等体”。单击<新增>按钮,在弹出的对话框中输入对等体名称,选择对应的虚接口ipsec1。在“对端地址”文本框中输入Router B的IP地址,并选择已创建的安全提议等信息,单击<增加>按钮完成操作 |
|
4. 选择“VPN→IPSEC VPN→IPSec安全提议”。单击<新增>按钮,在弹出的对话框中输入安全提议名称,选择安全协议类型为ESP,并设置验证算法和加密算法分别为SHA1、3DES,单击<增加>按钮完成操作 |
|
5. 选择“VPN→IPSEC VPN→IPSec安全策略”。选中“启用IPSec功能”复选框,单击<应用>按钮生效。单击<新增>按钮,在弹出的对话框中输入安全策略名称,在“本地子网IP/掩码”和“对端子网IP/掩码”文本框中分别输入客户分支机构A和B所处的子网信息,并选择协商类型为“IKE协商”、对等体为“IKE-d1”、安全提议为“IPSEC-PRO”,单击<增加>按钮完成操作 |
|
6. 为经过IPSec VPN隧道处理的报文设置路由,才能使隧道两端互通(一般情况下,只需要为隧道报文配置静态路由即可)。选择“高级设置→路由设置→静态路由”,单击<新增>按钮,在弹出的对话框中,设置目的地址、子网掩码等参数,单击<增加>按钮完成操作 |
|
2. 设置Router B
在对端Router B上,IPSec VPN的配置与Router A是相互对应的。因此,除了对等体的对端地址以及安全策略中的本地子网、对端子网需要做相应修改,其他的设置均一致。此处略。
3. 查看VPN状态
两端均设置完成后,您可以通过选择路由器的“VPN→IPSEC VPN→安全联盟”页面,并单击<刷新>按钮来查看相应的隧道是否已成功建立。
11 设置L2TP特性
· L2TP特性简介
· 设置L2TP特性
11.1 L2TP特性简介
11.1.1 概述
VPDN(Virtual Private Dial-up Network,虚拟专用拨号网络)是指利用公共网络(如ISDN或PSTN)的拨号功能接入公共网络,实现虚拟专用网,从而为企业、小型ISP、移动办公人员等提供接入服务。即,VPDN为远端用户与私有企业网之间提供了一种经济而有效的点到点连接方式。
VPDN采用隧道协议在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络,通过虚拟隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。
VPDN隧道协议主要包括以下三种:
· PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议)
· L2F(Layer 2 Forwarding,二层转发)
· L2TP(Layer 2 Tunneling Protocol,二层隧道协议)
L2TP结合了L2F和PPTP的各自优点,是目前使用最为广泛的VPDN隧道协议。
L2TP(RFC 2661)是一种对PPP链路层数据包进行封装,并通过隧道进行传输的技术。L2TP允许连接用户的二层链路端点和PPP会话终点驻留在通过分组交换网络连接的不同设备上,从而扩展了PPP模型,使得PPP会话可以跨越分组交换网络,如Internet。
11.1.2 L2TP典型组网应用
使用L2TP协议构建的VPDN应用的典型组网如图11-1所示。
图11-1 应用L2TP构建的VPDN服务
在L2TP构建的VPDN中,网络组件包括以下三个部分:
· 远端系统
远端系统是要接入VPDN网络的远地用户和远地分支机构,通常是一个拨号用户的主机或私有网络的一台路由设备。
· LAC(L2TP Access Concentrator,L2TP访问集中器)
LAC是具有PPP和L2TP协议处理能力的设备,通常是一个当地ISP的NAS(Network Access Server,网络接入服务器),主要用于为PPP类型的用户提供接入服务。
LAC作为L2TP隧道的端点,位于LNS和远端系统之间,用于在LNS和远端系统之间传递信息包。它把从远端系统收到的信息包按照L2TP协议进行封装并送往LNS,同时也将从LNS收到的信息包进行解封装并送往远端系统。
VPDN应用中,LAC与远端系统之间通常采用PPP链路。
· LNS(L2TP Network Server,L2TP网络服务器)
LNS既是PPP端系统,又是L2TP协议的服务器端,通常作为一个企业内部网的边缘设备。
LNS作为L2TP隧道的另一侧端点,是LAC的对端设备,是LAC进行隧道传输的PPP会话的逻辑终止端点。通过在公网中建立L2TP隧道,将远端系统的PPP连接由原来的NAS在逻辑上延伸到了企业网内部的LNS。
11.1.3 L2TP消息类型及封装结构
L2TP中存在两种消息:
· 控制消息:用户隧道和会话连接的建立、维护和拆除。它的传输是可靠传输,并且支持对控制消息的流量控制和拥塞控制。
· 数据消息:用于封装PPP帧,并在隧道上传输。它的传输是不可靠传输,若数据报文丢失,不予重传,不支持对数据消息的流量控制和拥塞控制。
控制消息和数据消息共享相同的报文头,通过报文头中的Type字段来区分控制消息和数据消息。
图11-2描述了控制通道以及PPP帧和数据通道之间的关系。PPP帧在不可靠的L2TP数据通道上进行传输,控制消息在可靠的L2TP控制通道内传输。
图11-2 L2TP协议结构
图11-3描述了LAC与LNS之间的L2TP数据报文的封装结构。通常L2TP数据以UDP报文的形式发送。L2TP注册了UDP 1701端口,但是这个端口仅用于初始的隧道建立过程中。L2TP隧道发起方任选一个空闲的端口(未必是1701)向接收方的1701端口发送报文;接收方收到报文后,也任选一个空闲的端口(未必是1701),给发送方的指定端口回送报文。至此,双方的端口选定,并在隧道保持连通的时间段内不再改变。
图11-3 L2TP报文封装结构图
11.1.4 L2TP隧道和会话
在一个LNS和LAC对之间存在着两种类型的连接。
· 隧道(Tunnel)连接:它对应了一个LNS和LAC对。
· 会话(Session)连接:它复用在隧道连接之上,用于表示承载在隧道连接中的每个PPP会话过程。
在同一对LAC和LNS之间可以建立多个L2TP隧道,隧道由一个控制连接和一个或多个会话连接组成。会话连接必须在隧道建立(包括身份保护、L2TP版本、帧类型、硬件传输类型等信息的交换)成功之后进行,每个会话连接对应于LAC和LNS之间的一个PPP数据流。
控制消息和PPP数据报文都在隧道上传输。L2TP使用Hello报文来检测隧道的连通性。LAC和LNS定时向对端发送Hello报文,若在一段时间内未收到Hello报文的应答,隧道断开。
11.1.5 L2TP隧道模式及隧道建立过程
L2TP隧道的建立支持以下两种典型模式。
· Client-Initiated
如图11-4所示,直接由LAC客户(指本地支持L2TP协议的用户)发起L2TP隧道连接。LAC客户获得Internet访问权限后,可直接向LNS发起隧道连接请求,无需经过一个单独的LAC设备建立隧道。LAC客户的私网地址由LNS分配。
在Client-Initiated模式下,LAC客户需要具有公网地址,能够直接通过Internet与LNS通信。
图11-4 Client-Initiated L2TP隧道模式
在该模式中,由路由器设备担当LNS角色。
· LAC-Auto-Initiated
如图11-5所示,LAC上创建一个虚拟的PPP用户,LAC将自动向LNS发起建立隧道连接的请求,为该虚拟PPP用户建立L2TP隧道。远端系统访问LNS连接的内部网络时,LAC将通过L2TP隧道转发这些访问数据。
在该模式下,远端系统和LAC之间可以是任何基于IP的连接,不局限于拨号连接。
图11-5 LAC-Auto-Initiated L2TP隧道模式
在该模式中,由路由器设备担当LAC角色。
11.1.6 协议规范
与L2TP相关的协议规范有:
· RFC 1661:The Point-to-Point Protocol (PPP)
· RFC 1918:Address Allocation for Private Internets
· RFC 2661:Layer Two Tunneling Protocol “L2TP”
11.2 设置L2TP特性
支持L2TP特性的设备,既可以担任L2TP客户端(LAC)的角色,又可以担任L2TP服务端(LNS)的角色,下面将对这两种应用场景分别进行介绍。
11.2.1 设置L2TP客户端(设备作为LAC时的配置)
页面向导:VPN→L2TP VPN→L2TP客户端
本页面为您提供如下主要功能:
设置L2TP客户端(LAC) |
|
页面中关键项的含义如下表所示。
表11-1 页面关键项描述
页面关键项 | 描述 |
启用LAC | 启用或禁用LAC功能 缺省情况下,LAC处于禁用状态 |
L2TP用户名 | LNS管理的允许建立会话的用户名(由远端的LNS管理员分配) |
L2TP密码 | LNS管理的允许建立会话的用户密码(由远端的LNS管理员分配) |
L2TP服务器地址 | LNS的公网地址(由远端的LNS管理员分配) |
本端名称 | 标记该L2TP客户端的名称 |
地址获取方式 | 选择LAC会话建立成功后PPP接口的IP地址获取方式: · 动态:由LNS分配 · 静态:LAC端手工设置一个IP地址 缺省情况下,地址获取方式为动态获取 |
静态IP地址 | LAC手工设置的IP,只有在地址获取方式选择静态时起作用(由远端的LNS管理员分配) |
启用隧道认证 | 设置是否启用L2TP隧道认证功能,当启用隧道认证时需要设置隧道认证密码 隧道认证请求可由LAC或LNS任何一侧发起。只要有一端启用了隧道认证,则只有在对端也启用了隧道认证,两端密码完全一致且不为空的情况下,隧道才能建立;否则本端将自动断开隧道连接。若隧道两端都禁止了隧道认证,隧道认证的密码一致与否将不起作用 缺省情况下,未启用隧道认证 |
隧道认证密码 | 为了保证隧道安全,建议用户启用隧道认证功能。如果为了进行网络连通性测试或者接收不知名对端发起的连接,则也可不进行隧道认证(隧道认证的密码由远端的LNS管理员分配) |
HELLO报文间隔 | 设置发送Hello报文的时间间隔,单位为秒 为了检测LAC和LNS之间隧道的连通性,LAC和LNS会定期向对端发送Hello报文,接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时,重复发送,如果重复发送6次仍没有收到对端的响应信息则认为L2TP隧道已经断开,需要重新建立隧道连接 LNS端可以配置与LAC端不同的Hello报文间隔 缺省情况下,Hello报文间隔为60秒 |
绑定接口 | 用来指定l2tp0虚接口绑定的实接口信息 |
11.2.2 设置L2TP服务端(设备作为LNS时的配置)
1. 设置L2TP服务端
页面向导:VPN→L2TP VPN→L2TP服务端
本页面为您提供如下主要功能:
设置L2TP服务端(LNS) |
|
页面中关键项的含义如下表所示。
表11-2 页面关键项描述
页面关键项 | 描述 |
启用LNS | 启用或禁用LNS功能 缺省情况下,LNS处于禁用状态 |
L2TP服务器名称 | 标识该L2TP服务器的名称 |
地址池 | 设置给L2TP客户端分配地址所用的地址池 设置地址池的起始IP地址和结束IP地址 起始地址和结束地址前24位要一致,即输入地址格式:x1.x2.x3.y~x1.x2.x3.y1,即起始与结束地址x1.x2.x3要一致,如:地址池设置为10.5.100.100~10.5.100.155,要确保起始地址和结束地址10.5.100一致即可
· 结束地址被LNS的PPP接口使用,不分配给接入客户端 · 地址池不能和内网网段冲突 |
启用隧道认证 | 设置是否在该组中启用L2TP隧道认证功能,当启用隧道认证时需要设置隧道认证密码 隧道认证请求可由LAC侧发起。只要有一端启用了隧道认证,则只有在对端也启用了隧道认证,两端密码完全一致且不为空的情况下,隧道才能建立;否则本端将自动断开隧道连接。若隧道两端都禁止了隧道认证,隧道认证的密码一致与否将不起作用 缺省情况下,未启用隧道认证
当PC作为LAC,设备作为LNS时,建议不要启用LNS端的隧道认证功能 |
隧道认证密码 | 为了保证隧道安全,建议启用隧道认证功能。如果为了进行网络连通性测试或者接收不知名对端发起的连接,则也可不进行隧道认证 |
HELLO报文间隔 | 设置发送Hello报文的时间间隔,单位为秒 为了检测LAC和LNS之间隧道的连通性,LAC和LNS会定期向对端发送Hello报文,接收方接收到Hello报文后会进行响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时,重复发送,如果重复发送6次仍没有收到对端的响应信息则认为L2TP隧道已经断开,需要重新建立隧道连接 LNS端可以配置与LAC端不同的Hello报文间隔 缺省情况下,Hello报文间隔为60秒 |
2. 设置LNS用户管理
页面向导:VPN→L2TP VPN→LNS用户管理
本页面为您提供如下主要功能:
LNS用户查询(关键字过滤选择用户名或状态,在关键字中输入用户名或选择用户状态,单击<查询>按钮生效) |
|
LNS新增用户(单击主页面上的<新增>按钮,在弹出的对话框中输入用户名、密码和选择用户状态,单击<增加>按钮生效) |
|
修改用户信息(双击主页面上的列表中的用户项或者单击 |
|
页面中关键项的含义如下表所示。
表11-3 页面关键项描述
页面关键项 | 描述 |
用户名 | LNS管理的用户,LAC与该LNS建立会话时要使用的用户名 |
密码 | LNS管理的用户,LAC与该LNS建立会话时要使用的用户密码 |
状态 | LNS管理的用户状态 启用:LNS允许远端的L2TP客户端使用该用户建立会话 禁用:LNS不允许远端的L2TP客户端使用该用户建立会话 |
3. 查看L2TP状态
页面向导:VPN→L2TP VPN→L2TP状态
本页面为您提供如下主要功能:
· 显示当前L2TP客户端信息 · 连接或断开L2TP客户端连接 · 显示当前作为LNS时已建立会话和隧道的信息 |
|
页面中关键项的含义如下表所示。
表11-4 页面关键项描述
页面关键项 | 描述 |
链路状态 | 显示L2TP客户端当前的连接状态 |
本端IP地址 | 显示当前L2TP客户端,本端PPP接口的IP地址 |
对端IP地址 | 显示当前L2TP客户端,对端PPP接口的IP地址 |
用户名 | 显示LNS服务中,当前接入客户端建立会话使用的用户名 |
对端地址 | 显示LNS服务中,当前接入客户端的公网IP地址 |
对端主机名称 | 显示LNS服务中,当前接入客户端的主机名称 |
本端隧道ID | 显示LNS服务中,当前已建立隧道的本端ID |
对端隧道ID | 显示LNS服务中,当前已建立隧道的对端ID |
11.3 L2TP典型配置举例
11.3.1 设备作为L2TP客户端的配置举例
1. 组网需求
VPN用户访问公司总部过程如下:
(1) LAC上创建虚拟PPP用户,LAC自动向LNS发起建立隧道连接的请求,为该虚拟PPP用户建立L2TP隧道。
(2) VPN用户通过LAN将访问公司总部的报文发送给LAC。
(3) LAC封装该报文,并通过已经建立的L2TP隧道将报文发送给LNS,VPN用户与公司总部间的通信都通过LAC与LNS之间的隧道进行传输。
2. 组网图
公司办事处通过L2TP客户端,与远端的公司总部的LNS进行连接。
3. 组网配置方案
· 将路由器的WAN口接公网线路;
· 设置WAN口通过静态方式连接到因特网;
· 启用LAC功能;
· 设置用于建立PPP连接的用户名、密码,以及公司总部提供的L2TP服务器地址;
· 设置L2TP客户端地址获取方式为动态获取;
· 设置公司总部提供的L2TP隧道认证密码;
· 设置指向隧道对端的静态路由。
4. 设置步骤
此典型配置案例中所涉及的设置均在路由器缺省配置的基础上进行。如果您之前已经对路由器做过相应的配置,为了保证效果,请确保当前配置和以下配置不冲突。
(1) LAC侧配置
在管理计算机的Web浏览器地址栏中输入http://192.168.1.1,回车。输入缺省的用户名:admin,密码:admin,单击<登录>按钮后便可进入Web设置页面 |
|
设置WAN口IP:192.16.100.19,网关地址:192.16.100.11(静态IP和网关都是由运营商分配) |
|
配置LAC信息(启用LAC功能,输入用户名:vpdnuser,密码:hello,L2TP服务器IP:192.16.100.31,地址方式选择动态获取,启用隧道认证,隧道认证密码:tunnel-auth,单击<应用>按钮后发起L2TP连接请求) |
|
配置静态路由(设置目的地址为L2TP VPN对端网段地址,出接口为L2TP VPN虚接口,单击<增加>按钮生效) |
|
(2) LNS侧配置
公司总部的LNS服务器运行正常,并提供LNS侧配置信息,如下表所示。
表11-5 LNS管理员提供的配置
关键项 | 内容 |
用户名 | vpdnuser |
密码 | hello |
隧道认证是否开启 | 开启隧道认证模式 |
隧道认证密码 | tunnel-auth |
LNS的公网IP地址 | 192.16.100.31 |
(3) 验证配置结果
选择“VPN→L2TP VPN→L2TP状态→L2TP客户端信息”来查看L2TP客户端连接情况,当链路状态为已连接时,则可正常访问公司总部的资源了 |
|
11.3.2 设备作为L2TP服务端的配置举例
1. 组网需求
VPN用户访问公司总部过程如下:
(1) 配置用户侧主机的IP地址和路由,确保用户侧主机和LNS之间路由可达。
(2) 由用户向LNS发起Tunnel连接的请求。
(3) 在LNS接受此连接请求之后,VPN用户与LNS之间就建立了一条虚拟的L2TP tunnel。
(4) 用户与公司总部间的通信都通过VPN用户与LNS之间的隧道进行传输。
2. 组网图
公司办事处员工通过Windows 7的L2TP客户端接入公司总部的设置L2TP服务端,来访问内部资源。
3. 组网配置方案
· 将路由器的WAN口接公网线路;
· 设置WAN口通过静态方式连接到因特网;
· 设置LNS服务为启用状态,并配置信息;
· 添加允许接入的用户信息。
4. 设置步骤
此典型配置案例中所涉及的设置均在路由器缺省配置的基础上进行。如果您之前已经对路由器做过相应的配置,为了保证效果,请确保当前配置和以下配置不冲突。
(1) LNS侧配置
在管理计算机的Web浏览器地址栏中输入http://192.168.1.1,回车。输入缺省的用户名:admin,密码:admin,单击<登录>按钮后便可进入Web设置页面 |
|
设置WAN口IP:192.16.100.31,网关地址:192.16.100.11(静态IP和网关都是由运营商分配) |
|
配置LNS信息(启用LNS,输入L2TP服务器名称:H3C-LNS,地址池:10.10.11.10~10.10.11.20,单击<应用>按钮生效) |
|
新增用户(单击主LNS用户管理页面上的<新增>按钮,在弹出的对话框中输入用户名:vpdnuser,密码:hello,用户状态:启用,单击<增加>按钮生效) |
|
完成以上所有设置后,您可以通过下列操作来查看当前LNS配置情况:
选择“VPN→L2TP VPN→L2TP服务端”来查看当前LNS配置信息 |
|
选择“VPN→L2TP VPN→LNS用户管理”来查看允许L2TP客户端使用的用户信息 |
|
(2) 设置Windows 7的L2TP客户端
单击桌面右下角的网络图标,如 |
|
单击“设置新的连接或网络”,创建一个L2TP客户端 |
|
弹出“设置连接或网络”,选择“连接到工作区”选项,单击<下一步>按钮 |
|
选择“使用我的Internet连接(VPN)(I)”选项 |
|
输入要连接到的L2TP服务器的IP地址和该L2TP客户端的连接的名称,单击<下一步>按钮 |
|
输入用户名:vpdnuser,密码:hello,单击<连接>按钮进行连接 |
|
单击桌面右下角的网络图标,如 |
|
在弹出窗口中,选择“安全”页签,在“VPN类型(T)”中选择“使用IPsec的第2层隧道协议(L2TP/IPSec)”,单击<确定>按钮生效 |
|
打开L2TP协议的拨号终端窗口,在弹出的窗口中输入用户名:vpdnuser,密码:hello,单击<连接>按钮进行连接 |
|
(3) 验证配置结果
LNS侧,通过选择“VPN→L2TP VPN→L2TP状态”来查看当前的LNS服务端会话信息 |
|
打开Windows 7的L2TP客户端,通过选择L2TP协议连接终端的状态选项,来查看当前的连接情况 |
|
- 2020-06-13回答
- 评论(0)
- 举报
-
(0)
您好,请知:
以下是ER2100的用户手册链接,请参考:
https://www.h3c.com/cn/Service/Document_Software/Document_Center/Routers/Catalog/ER/ER2100/
- 2020-06-13回答
- 评论(1)
- 举报
-
(0)
没有
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明