接口ip配置和区域划分:
fw1:
[fw1]interface GigabitEthernet 0/0/0
[fw1-GigabitEthernet0/0/0]service-manage all permit
[fw1]firewall zone trust
[fw1-zone-trust]add interface GigabitEthernet 1/0/0
[fw1]security-policy
[fw1-policy-security]default action permit
fw2:
[fw2]interface GigabitEthernet 0/0/0
[fw2-GigabitEthernet0/0/0]ip address 192.168.0.2 24
[fw2-GigabitEthernet0/0/0]service-manage all permit
[fw2]interface GigabitEthernet 1/0/1
[fw2-GigabitEthernet1/0/1]ip address 20.1.1.1 24
[fw2]firewall zone trust
[fw2-zone-trust]add interface GigabitEthernet 1/0/0
[fw2]firewall zone untrust
[fw2-zone-untrust]add interface GigabitEthernet 1/0/1
fw1,2的1/0/0接口不配IP
fw3:
[fw3]interface GigabitEthernet 0/0/0
[fw3-GigabitEthernet0/0/0]ip address 192.168.0.3 24
[fw3-GigabitEthernet0/0/0]service-manage all permit
[fw3-GigabitEthernet0/0/0]interface GigabitEthernet 1/0/0
[fw3-GigabitEthernet1/0/0]ip address 20.1.1.2 24
[fw3-GigabitEthernet1/0/0]interface GigabitEthernet 1/0/1
[fw3-GigabitEthernet1/0/1]ip address 192.168.1.254 24
[fw3]firewall zone untrust
[fw3-zone-untrust]add interface GigabitEthernet 1/0/0
[fw3]firewall zone trust
[fw3-zone-trust]add interface GigabitEthernet 1/0/1
1,建立PPPoE连接,设定拨号接口和VT接口
PPPoE两个虚拟接口,Dialer接口(客户端),VT接口(服务端)
fw1(客户端):
1,创建拨号接口
[fw1]interface Dialer 1
[fw1-Dialer1]dialer user user1 ---设定拨号用户名
[fw1-Dialer1]dialer-group 1 ---创建拨号组
[fw1-Dialer1]dialer bundle 1 ---设定拨号程序捆绑包
[fw1-Dialer1]ip address ppp-negotiate ---设定IP地址获取方式为PPP邻居 分配,PPP邻居通过IPCP协议进行分配,即PPP的NCP协商过程所用协议
[fw1-Dialer1]ppp chap user user1 ----设置认证为chap认证,用户为user1
[fw1-Dialer1]ppp chap password cipher Password123 ----设置密码
[PPPoE Client]dialer-rule 1 ip permit ---配置拨号访问控制列表,允许所有IPv4报文
通过拨号口,数字1必须与拨号组编号相同。
[fw1]int g 1/0/0
[fw1PPPoE Client-GigabitEthernet1/0/0]pppoe-client dial-bundle-number 1 ---在物
理接口上启动PPPoE Client程序,绑定拨号程序包,编号为1
fw2(服务端):
[fw2]interface Virtual-Template 1
[fw2-Virtual-Template1]ppp authentication-mode chap
[fw2-Virtual-Template1]ip address 2.2.2.2 24
[fw2]firewall zone dmz
[fw2-zone-dmz]add interface Virtual-Template 1
说明:1.该VT接口的IP地址不参与报文封装,只需要指定一个合法的IP地址即可,但需要注意跟其**
他接口IP地址区分;2.该VT接口需要加入到任意安全区域,否则VT接口不能正常运行,但是安全区域可
以随意选择,因为该接口不参与数据转发,即不受到安全策略控制。
[fw2]interface GigabitEthernet 1/0/0
[fw2-GigabitEthernet1/0/0]pppoe-server bind virtual-template 1 ---将VT接口绑定在物
理接口
[fw2]aaa
[fw2-aaa]domain default
[fw2-aaa-domain-default]service-type l2tp
[fw2]user-manage user user1 domain default
[fw2-localuser-user1]password Password123
用户的IP地址,都是由总部LNS进行统一分配的,所以在LAC上不需要配置地址池信息。即使你配**
置了地址池,在L2TP隧道建立的情况下,也会优先使用总部的地址进行分配。而如果是普通的PPPoE配
置,则必须配置地址池。
**第二步:建立L2TP隧道**
fw2(LAC):
[fw2]l2tp enable --启动l2tp
[fw2]l2tp-group 1 --组名称
[fw2-l2tp-1]tunnel authentication ---隧道认证
[fw2-l2tp-1]tunnel password cipher Hello123 ---隧道认证密码
[fw2-l2tp-1]tunnel name lac ---隧道名称
[fw2-l2tp-1]start l2tp ip 20.1.1.2 fullusername user1 ---对端IP,设定LAC模式,以及LNS地址, 以及认证用户名的方式为“完全用户认证”,并指定用户名
fw3(LNS):
地址池:
[fw3]ip pool l2tp
[fw3-ip-pool-l2tp]section 0 172.16.0.2 172.16.0.100 ---设定编号和地址范围
修改认证模板为l2tp,绑定地址池l2tp
[fw3]aaa
[fw3-aaa]service-scheme l2tp ----修改认证模板为l2tp
[fw3-aaa-service-l2tp]ip-pool l2tp ----绑定地址池l2tp
设置domain default 认证域用户的揭露方式l2tp
[fw3-aaa]domain default
[fw3-aaa-domain-default]service-type l2tp
将用户绑定到domain default 中,设置密码
[fw3]user-manage user user1 domain default
[fw3-localuser-user1]password Password123 ---设置密码
配置VT接口:
[fw3]interface Virtual-Template 1
[fw3-Virtual-Template1]ppp authentication-mode chap
[fw3-Virtual-Template1]ip address 172.16.0.1 24
[fw3-Virtual-Template1]remote service-scheme l2tp ---揭露方式l2tp
[fw3]firewall zone dmz
[fw3-zone-dmz]add interface Virtual-Template 1
l2tp配置
[fw3]l2tp enable --启动l2tp
[fw3]l2tp-group 1 --组名称
[fw3-l2tp-1]tunnel authentication --开启认证
[fw3-l2tp-1]tunnel password cipher Hello123 ---设置密码
[fw3-l2tp-1]allow l2tp virtual-template 1 remote lac domain default --设置VT接口对端的名称为lac和认证域domain default
将fw2,3的默认安全策略改为允许看能否建立l2tp
fw1和fw2建立PPPoE,fw2hefw3建立l2tp
fw1给fw2发ppp的lcp报文
fw1和fw2之间进行认证,fw2将认证结果告诉fw3
fw3给fw1分配ip(ipcp报文),fw1获取IP
chap和lcp重协商在fw2(LNS设备上配置)
[fw2]l2tp-group 1
[fw2-l2tp-1]mandatory-chap
[fw2-l2tp-1]mandatory-lcp
选一个就可以
fw1上的缺省
[fw1]ip route-static 0.0.0.0 0 Dialer 1 ---出接口方式
为Dialer 1划分安全区域
[fw1]firewall zone dmz
[fw1-zone-dmz]add interface Dialer 1
安全策略:
[fw3]display firewall session table verbose --查看会话表的信息
fw2(LAC):local-untrust ,可以根据会话表的l2tp信息来写安全策略
[fw2-policy-security]rule name local_to_untrust ---策略名
[fw2-policy-security-rule-local_to_untrust]source-zone local ---源区域
[fw2-policy-security-rule-local_to_untrust]destination-zone untrust --目的区域
[fw2-policy-security-rule-local_to_untrust]source-address 20.1.1.1 32 ---源地址
[fw2-policy-security-rule-local_to_untrust]destination-address 20.1.1.2 32 ---目的地址
[fw2-policy-security-rule-local_to_untrust]service l2tp --服务为l2tp
[fw2-policy-security-rule-local_to_untrust]service protocol udp destination-port 1701
---端口
[fw2-policy-security-rule-local_to_untrust]action permit ---动作允许
[fw2-policy-security]default action deny ---将默认安全策略改回拒绝
fw3:dmz-trust,untrust-local
[fw3-policy-security]rule name l2tp
[fw3-policy-security-rule-l2tp]source-zone untrust
[fw3-policy-security-rule-l2tp]destination-zone local
[fw3-policy-security-rule-l2tp]source-address 20.1.1.1 32
[fw3-policy-security-rule-l2tp]destination-address 20.1.1.2 32
[fw3-policy-security-rule-l2tp]service l2tp
[fw3-policy-security-rule-l2tp]service protocol udp destination-port 1701
[fw3-policy-security-rule-l2tp]action permit
[fw3-policy-security]rule name icmp
[fw3-policy-security-rule-icmp]source-zone dmz
[fw3-policy-security-rule-icmp]destination-zone trust
[fw3-policy-security-rule-icmp]source-address 172.16.0.0 24
[fw3-policy-security-rule-icmp]destination-address 192.168.1.0 24
[fw3-policy-security-rule-icmp]action permit
[fw3-policy-security]default action deny ---将默认安全策略改回拒绝
测试:
fw1-ping-192.168.1.1
安全策略命中次数:
fw2:9fw3:10