1.1模拟组网拓扑
1.2模拟组网拓扑地址规划
1.3模拟组网拓扑实现的目标
Host_1配置l2tp连接并连接F1090_1设备的l2tp服务,从而使Host_1访问SW设备业务地址网关172.16.1.254/24。
1.4模拟组网设备配置
1.4.1F1090_1设备配置
1.4.1.1F1090_1设备配置-基础配置
[H3C]sysname F1090_1
#修改admin账户的登录密码
[F1090_1]local-user admin
[F1090_1-luser-manage-admin]password simple telnet12345
[F1090_1-luser-manage-admin]大流量套餐service-type https
[F1090_1-luser-manage-admin]quit
#设备console登陆去除认证并设置永不超时
[F1090_1]line console 0
[F1090_1-line-console0]undo authentication-mode
[F1090_1-line-console0]idle-timeout 0
[F1090_1-line-console0]quit
[F1090_1]
#接口IP地址配置
[F1090_1]interface GigabitEthernet1/0/1
[F1090_1-GigabitEthernet1/0/1]ip add大流量套餐ress 192.168.56.10 255.255.255.0
[F1090_1-GigabitEthernet1/0/1]quit
[F1090_1]interface GigabitEthernet1/0/2
[F1090_1-GigabitEthernet1/0/2]ip address 10.100.0.1 255.255.255.252
[F1090_1-GigabitEthernet1/0/2]quit
#把GigabitEthernet1/0/1纳入Untrust区域
[F1090_1]security-zone name Untrust
[F1090_1-security-zone-Unt大流量套餐rust] import interface GigabitEthernet1/0/1
#把GigabitEthernet1/0/2纳入trust区域
[F1090_1-security-zone-Untrust]quit
[F1090_1]security-zone name Trust
[F1090_1-security-zone-Trust] import interface GigabitEthernet1/0/2
[F1090_1-security-zone-Trust]quit
[F1090_1]
#配置默认全放通安全策略
[F1090_1]security-policy ip
[F1090_1-s大流量套餐ecurity-policy-ip] rule 1 name any-all
[F1090_1-security-policy-ip-1-any-all] action pass
[F1090_1-security-policy-ip-1-any-all] logging enable
[F1090_1-security-policy-ip-1-any-all] counting enable
[F1090_1-security-policy-ip-1-any-all]quit
[F1090_1-security-policy-ip]quit
[F1090_1]
#配置静态路由
[F1090_1]ip rou大流量套餐te-static 0.0.0.0 0 192.168.56.1
[F1090_1]ip route-static 172.16.1.0 24 10.100.0.2
[F1090_1]
1.4.1.2F1090_1设备配置-l2tp配置
#配置ISP域system对PPP用户采用本地验证。
[F1090_1]domain system
[F1090_1-isp-system] authentication ppp local
[F1090_1-isp-system]quit
# 创建本地PPP用户am,设置密码为am
[F1090_1]local-user am class network
[F1090_1-lus大流量套餐er-network-am] password simple am
[F1090_1-luser-network-am] service-type ppp
[F1090_1-luser-network-am]quit
#配置PPP地址池。
[F1090_1]ip pool aaa 10.168.0.1 10.168.0.253
The IP address range overlaps with existing IP address ranges in group default.
[F1090_1]ip pool aaa gateway 10.168.0.254
#创建接口Virtual-Templat大流量套餐e1,PPP认证方式为CHAP,并使用地址池aaa为Client端分配IP地址。
[F1090_1]interface Virtual-Template1
[F1090_1-Virtual-Template1] ppp authentication-mode chap domain system
[F1090_1-Virtual-Template1] remote address pool aaa
[F1090_1-Virtual-Template1] ip address 10.168.0.254 255.255.255.0
[F1090_1-Virtual-Template1]quit
[F1090_大流量套餐1]
# 创建LNS模式的L2TP组1,配置隧道本端名称为test,指定接收呼叫的虚拟模板接口为VT1。
[F1090_1]l2tp-group 1 mode lns
[F1090_1-l2tp1] allow l2tp virtual-template 1
# 关闭L2TP隧道验证功能
[F1090_1-l2tp1] undo tunnel authentication
[F1090_1-l2tp1] tunnel name test
[F1090_1-l2tp1]quit
[F1090_1]
#把Virtual-Template1纳入Untrust区域
[F1090_1]security-zone name U大流量套餐ntrust
[F1090_1-security-zone-Untrust] import interface Virtual-Template1
[F1090_1-security-zone-Untrust]quit
[F1090_1]
# 开启L2TP功能。
[F1090_1] l2tp enable
[F1090_1]
1.4.2SW设备配置
[H3C]sysname SW
#启用设备telnet服务
[SW]telnet server enable
#创建admin账户并设置密码为admin
[SW]local-user admin class manage
[SW-luser-manage-admin] pa大流量套餐ssword simple admin
[SW-luser-manage-admin] service-type telnet
[SW-luser-manage-admin] authorization-attribute user-role level-15
[SW-luser-manage-admin]quit
[SW]line vty 0 63
[SW-line-vty0-63] authentication-mode scheme
[SW-line-vty0-63] idle-timeout 0 0
[SW-line-vty0-63]quit
[SW]line con 0
[SW-line-consol大流量套餐e0] idle-timeout 0 0
[SW-line-console0]quit
[SW]interface LoopBack1
[SW-LoopBack1]ip address 172.16.1.254 255.255.255.0
[SW-LoopBack1]quit
[SW]interface GigabitEthernet1/0/1
[SW-GigabitEthernet1/0/1] port link-mode route
[SW-GigabitEthernet1/0/1] ip address 10.100.0.2 255.255.255.252
[SW-GigabitEthernet1/0/大流量套餐1]quit
[SW]ip route-static 0.0.0.0 0 10.100.0.1
[SW]
1.4.3Host_1设备配置
备注:Host_1指安装HCL模拟器的Windows 10 PC主机;
1.4.3.1Host_1设备配置-修改系统注册表
修改Windows注册表,不使用数字证书认证功能。
同时按键盘上“Windows键和字母R键”,弹出“运行”页面,然后输入regedit打开注册表。
找到路径HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters,新建DWORD值,名称为ProhibitIpSec,取大流量套餐值为1,并选择基数为十六进制,修改完成后重启PC,配置生效。
1.4.3.2 Host_1设备配置-创建l2tp网络连接
同时按键盘上“Windows键和字母R键”,弹出“运行”页面,然后输入“control”打开系统控制面板;
依次点击“网络和Internet”、“网络和共享中心”,如下图所示;
选择“设置新的连接或网络”,创建一个新的网络连接。
选择“连接到工作区”,单击“下一步”。
单击“使用我的Internet连接(VPN)(Ⅰ)”。
选择“我将稍后设置Internet连接”。
输入Internet地址,即LNS用于建立VPN隧道的接口的IP地址。
该地址为LNS的IP地址192.168.56.10,填大流量套餐入目标名称为L2TP,作为网络连接的名称,单击“创建”。
在“网络和共享中心”单击“更改适配器设置”。
选中新建的连接后单击右键,选择“属性”。
单击“安全”页签,“VPN类型”选择“使用IPsec的第 2 层隧道协议”。
在“允许使用这些协议(P)”的复选项中,勾选如下内容:“未加密的密码(PAP)(U)”、“质询握手身份验证协议(CHAP)(H)”和“Microsoft CHAP Version 2 (MS-CHAP v2)”,如下图所示;
1.5模拟组网拓扑实现目标的测试验证
1.5.1Host_1设备-连接L2TP服务
同时按键盘上“Windows键和字母i键”,弹出“Windows 设置”页面,如大流量套餐下图所示;
单击“网络和Internet”,点击“VPN”,即可查看先前创建L2TP连接,如下图所示;
点击“L2TP”图标并点击“连接”,如下图所示;输入用户名和密码,分别为am和am,单击“确定”。
Host_1连接L2TP过程中,F1090_1设备实时弹出日志;在F1090_1设备上,通过命令“display l2tp tunnel”可查看l2tp建立会话记录,如下图所示;
当Host_1与F1090_1设备之间完成l2tp链路的建立,在Host_1主机命令提示符(CMD)上可通过命令“ipconfig /all”查看从F1090_1设备获取的虚拟IP,如下图所示。
Host_1主机通过获取的虚拟大流量套餐IP与172.16.1.254之间相互通信。
1.5.2抓包分析测试验证
在F1090_1设备的G1/0/1接口上开启抓包后,在Host_1主机上ping测试172.16.1.254和telnet 测试 172.16.1.254,两种测试均正常。相关报文如下图所示;
ICMP请求报文
Telnet数据报文
从两种数据报文的内容,可得知;
L2TP协议使用UDP端口1701;
L2TP对传输的数据不加密,如上图中的Telnet数据报文;
L2TP传输PPP数据包,PPP可以传输多种协议报文,如本例中的icmp和tcp报文;
L2TP报文格式,如下图所示;
1.6总结
L2TP协议使用UDP端口1701;
L2TP对传输大流量套餐的数据不加密;
L2TP传输PPP数据包,PPP可以传输多种协议报文;
上述模拟组网拓扑中的L2TP隧道是Client-Initiated模式;
L2TP定义了控制消息的加密传输方式,支持L2TP隧道的认证,然而,基于Windows系统创建的L2TP连接不支持L2TP隧道的认证。
友情提醒: 请添加客服微信进行免费领取流量卡!
QQ交流群:226333560 站长微信:qgzmt2
原创文章,作者:sunyaqun,如若转载,请注明出处:https://www.dallk.cn/51210.html
