防火墙设备做LNS,客户端集成LAC
1、接口加入安全域,放通相应的安全策略
2、 防火墙的接口配置如下:
interface GigabitEthernet1/0/1
port link-mode route
description 移动 bandwidth 102400
ip address 2.2.2.1 255.255.255.0
ipsec apply policy l2tp
3、防火墙的L2TP/IPSEC 配置
#
ip pool 10 172.16.1.10 172.16.1.100 //LNS给远端分配地址的地址池
#
interface Virtual-Template1
ppp authentication-mode chap pap
remote address pool 10
ip address 172.16.1.1 255.255.255.0 //VT口的地址是172.16.1.1,认证远端的方式是CHAP或PAP
#
local-user root class network
password simple root
service-type ppp
authorization-attribute user-role network-operator //配置登录的用户,用户类型为PPP,账户密码均为root
#
ipsec transform-set 1
esp encryption-algorithm des-cbc
esp authentication-algorithm sha1 //配置使用的transform的类型
#
ipsec policy-template l2tp 10
transform-set 1
ike-profile 1
reverse-route dynamic //配置IPSEC的策略
#
ipsec policy l2tp 10 isakmp template l2tp //引用模板
#
l2tp-group 1 mode lns
allow l2tp virtual-template 1
undo tunnel authentication //配置本端为LNS
#
l2tp enable
#
ike profile 1
keychain 10
local-identity fqdn fw
match remote identity fqdn client
match local address GigabitEthernet1/0/1 //配置ipsecs使用的profile 注意和客户端一致
proposal 1
#
ike proposal 1
encryption-algorithm 3des-cbc
dh group2
authentication-algorithm md5 //ipsec的提议 注意和客户端一致
#
ike keychain 10
match local address GigabitEthernet1/0/1
pre-shared-key address 0.0.0.0 0.0.0.0 key simple 123456
#
inode的配置
1、定制inode客户端
ipsec的配置两端一定要对称
使用的profile和pro种的算法尽量保持独立
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作