HUAWEI防火墻通過L2TP隧道讓外出員工訪問公司內(nèi)網(wǎng)的各種資源

組網(wǎng)圖形

組網(wǎng)需求

企業(yè)網(wǎng)絡(luò)如圖所示，企業(yè)希望公司外的移動辦公用戶能夠通過L2TP VPN隧道訪問公司內(nèi)網(wǎng)的各種資源。

操作步驟

配置LNS。

1.配置接口IP地址，并將接口加入安全區(qū)域。

<LNS> system-view
[LNS] sysname LNS
[LNS] interface GigabitEthernet 1 /0/1
[LNS-GigabitEthernet1 /0/1 ] ip address 1.1.1.1 24 
[LNS-GigabitEthernet1 /0/1 ] quit
[LNS] firewall zone untrust
[LNS-zone-untrust] add interface GigabitEthernet 1 /0/1
[LNS-zone-untrust] quit
[LNS] interface GigabitEthernet 1 /0/2
[LNS-GigabitEthernet1 /0/2 ] ip address 10.1.1.1 24 
[LNS-GigabitEthernet1 /0/2 ] quit
[LNS] firewall zone trust
[LNS-zone-trust] add interface GigabitEthernet 1 /0/2
[LNS-zone-trust] quit

2.配置地址池。

　　如果真實(shí)環(huán)境中地址池地址和總部內(nèi)網(wǎng)地址配置在了同一網(wǎng)段，則必須在LNS連接總部網(wǎng)絡(luò)的接口上開啟ARP代理功能，保證LNS可以對總部網(wǎng)絡(luò)服務(wù)器發(fā)出的ARP請求進(jìn)行應(yīng)答。

[LNS] ip pool pool
[LNS-ip-pool-pool] section 1 172.16.1.2 172.16.1.100
[LNS-ip-pool-pool] quit

3.配置業(yè)務(wù)方案。

[LNS] aaa
[LNS-aaa] service-scheme l2tp 
[LNS-aaa-service-l2tp] ip-pool pool
[LNS-aaa-service-l2tp] quit

4.配置認(rèn)證域及其下用戶。

　　a. 配置認(rèn)證域。

說明:

　　如果需要對L2TP接入用戶進(jìn)行基于用戶名的策略控制，認(rèn)證域的接入控制必須包含internetaccess。

[LNS-aaa] domain default
[LNS-aaa-domain-default] service- type l2tp

　　b. 配置分支用戶及其對應(yīng)的用戶組。

[LNS] user-manage group  /default/research
[LNS-usergroup- /default/research ] quit
[LNS] user-manage user user0001
[LNS-localuser-user0001] parent-group  /default/research
[LNS-localuser-user0001] password Password123
[LNS-localuser-user0001] quit

5.配置VT接口。

[LNS] interface Virtual-Template 1
[LNS-Virtual-Template1] ip address 172.16.1.1 24
[LNS-Virtual-Template1] ppp authentication-mode pap
[LNS-Virtual-Template1] remote service-scheme l2tp
[LNS-Virtual-Template1] quit
[LNS] firewall zone dmz
[LNS-zone-dmz] add interface Virtual-Template 1
[LNS-zone-dmz] quit

6.配置L2TP Group。

[LNS] l2tp  enable
[LNS] l2tp-group 1
[LNS-l2tp-1] allow l2tp virtual-template 1 remote client
[LNS-l2tp-1] tunnel authentication
[LNS-l2tp-1] tunnel password cipher Hello123
[LNS-l2tp-1] quit

7.配置到Internet上的缺省路由，假設(shè)LNS通往Internet的下一跳IP地址為1.1.1.2。

[LNS] ip route-static 0.0.0.0 0.0.0.0 1.1.1.2

8.配置LNS上的域間安全策略。

　　# 配置trust與dmz之間的安全策略，允許移動辦公用戶訪問總部內(nèi)網(wǎng)以及總部內(nèi)網(wǎng)訪問移動辦公用戶的雙向業(yè)務(wù)流量通過。

[LNS] security-policy
[LNS-policy-security] rule name service_td
[LNS-policy-security-rule-service_td]  source -zone trust
[LNS-policy-security-rule-service_td] destination-zone dmz
[LNS-policy-security-rule-service_td]  source -address 10.1.2.0 24
[LNS-policy-security-rule-service_td] destination-address 172.16.1.0 24
[LNS-policy-security-rule-service_td] action permit
[LNS-policy-security-rule-service_td] quit
[LNS-policy-security] rule name service_dt
[LNS-policy-security-rule-service_dt]  source -zone dmz
[LNS-policy-security-rule-service_dt] destination-zone trust
[LNS-policy-security-rule-service_dt]  source -address 172.16.1.0 24
[LNS-policy-security-rule-service_dt] destination-address 10.1.2.0 24
[LNS-policy-security-rule-service_dt] action permit
[LNS-policy-security-rule-service_dt] quit

　　# 配置從untrust到local方向的安全策略，允許L2TP報(bào)文通過。

[LNS-policy-security] rule name l2tp_ul
[LNS-policy-security-rule-l2tp_ul]  source -zone untrust
[LNS-policy-security-rule-l2tp_ul] destination-zone  local
[LNS-policy-security-rule-l2tp_ul] destination-address 1.1.1.0 24
[LNS-policy-security-rule-l2tp_ul] action permit
[LNS-policy-security-rule-l2tp_ul] quit

配置移動辦公用戶側(cè)的SecoClient。

1.打開SecoClient，進(jìn)入主界面。

　　在“連接”對應(yīng)的下拉列表框中，選擇“新建連接”。

2.配置L2TP VPN連接參數(shù)。

　　在“新建連接”窗口左側(cè)導(dǎo)航欄中選中“L2TP/IPSec”，并配置相關(guān)的連接參數(shù)，然后單擊“確定”。隧道驗(yàn)證密碼是Hello123。

3.登錄L2TP VPN網(wǎng)關(guān)。

　　　a.在“連接”下拉列表框中選擇已經(jīng)創(chuàng)建的L2TP VPN連接，單擊“連接”。

　　b.在登錄界面輸入用戶名、密碼。

　　c.單擊“登錄”，發(fā)起VPN連接。

　　VPN接入成功時(shí)，系統(tǒng)會在界面右下角進(jìn)行提示。連接成功后移動辦公用戶就可以和企業(yè)內(nèi)網(wǎng)用戶一樣訪問內(nèi)網(wǎng)資源了。

結(jié)果驗(yàn)證

1.移動辦公用戶可正常訪問總部內(nèi)網(wǎng)服務(wù)器。
2.在LNS上查看L2TP隧道的建立情況，此處以LNS為例。

　　a.執(zhí)行display l2tp tunnel命令，查看到有L2TP隧道信息，說明L2TP隧道建立成功。

[LNS] display l2tp tunnel
L2TP::Total Tunnel: 1 
                     
 LocalTID RemoteTID RemoteAddress    Port   Sessions RemoteName  VpnInstance   
 ------------------------------------------------------------------------------
 2        1         2.2.2.2          61535   1         client                   
 ------------------------------------------------------------------------------
  Total 1, 1 printed

　　b.執(zhí)行display l2tp session命令，查看到有L2TP會話信息，說明L2TP會話建立成功。

[LNS] display l2tp session
L2TP::Total Session: 1
                     
  LocalSID  RemoteSID  LocalTID   RemoteTID  UserID  UserName    VpnInstance   
 ------------------------------------------------------------------------------
  119       32         2           1         9689    user0001                     
 ------------------------------------------------------------------------------
  Total 1, 1 printed

posted @ 2021-05-31 09:17 講文張字閱讀(2837) 評論(0) 收藏舉報(bào)

刷新頁面返回頂部

返回頂部

HUAWEI防火墻通過L2TP隧道讓外出員工訪問公司內(nèi)網(wǎng)的各種資源

公告