作业（7）

news2025/4/25 16:00:48

接口ip配置和区域划分：
fw1：

[fw1]interface GigabitEthernet 0/0/0
[fw1-GigabitEthernet0/0/0]service-manage all permit

[fw1]firewall zone trust
[fw1-zone-trust]add interface GigabitEthernet 1/0/0

[fw1]security-policy
[fw1-policy-security]default action permit

fw2：

[fw2]interface GigabitEthernet 0/0/0
[fw2-GigabitEthernet0/0/0]ip address 192.168.0.2 24
[fw2-GigabitEthernet0/0/0]service-manage all permit

[fw2]interface GigabitEthernet 1/0/1
[fw2-GigabitEthernet1/0/1]ip address 20.1.1.1 24

[fw2]firewall zone trust
[fw2-zone-trust]add interface GigabitEthernet 1/0/0

[fw2]firewall zone untrust
[fw2-zone-untrust]add interface GigabitEthernet 1/0/1

fw1，2的1/0/0接口不配IP

fw3：

[fw3]interface GigabitEthernet 0/0/0
[fw3-GigabitEthernet0/0/0]ip address 192.168.0.3 24
[fw3-GigabitEthernet0/0/0]service-manage all permit

[fw3-GigabitEthernet0/0/0]interface GigabitEthernet 1/0/0
[fw3-GigabitEthernet1/0/0]ip address 20.1.1.2 24

[fw3-GigabitEthernet1/0/0]interface GigabitEthernet 1/0/1
[fw3-GigabitEthernet1/0/1]ip address 192.168.1.254 24

[fw3]firewall zone untrust
[fw3-zone-untrust]add interface GigabitEthernet 1/0/0

[fw3]firewall zone trust
[fw3-zone-trust]add interface GigabitEthernet 1/0/1

1，建立PPPoE连接，设定拨号接口和VT接口
PPPoE两个虚拟接口，Dialer接口（客户端），VT接口（服务端）

fw1（客户端）：

1，创建拨号接口
[fw1]interface Dialer 1

[fw1-Dialer1]dialer user user1 ---设定拨号用户名

[fw1-Dialer1]dialer-group 1 ---创建拨号组

[fw1-Dialer1]dialer bundle 1 ---设定拨号程序捆绑包

[fw1-Dialer1]ip address ppp-negotiate ---设定IP地址获取方式为PPP邻居分配，PPP邻居通过IPCP协议进行分配，即PPP的NCP协商过程所用协议

[fw1-Dialer1]ppp chap user user1 ----设置认证为chap认证，用户为user1

[fw1-Dialer1]ppp chap password cipher Password123 ----设置密码

[PPPoE Client]dialer-rule 1 ip permit ---配置拨号访问控制列表，允许所有IPv4报文

通过拨号口，数字1必须与拨号组编号相同。

[fw1]int g 1/0/0

[fw1PPPoE Client-GigabitEthernet1/0/0]pppoe-client dial-bundle-number 1 ---在物

理接口上启动PPPoE Client程序，绑定拨号程序包，编号为1

fw2（服务端）：

[fw2]interface Virtual-Template 1

[fw2-Virtual-Template1]ppp authentication-mode chap

[fw2-Virtual-Template1]ip address 2.2.2.2 24

[fw2]firewall zone dmz

[fw2-zone-dmz]add interface Virtual-Template 1

说明：1.该VT接口的IP地址不参与报文封装，只需要指定一个合法的IP地址即可，但需要注意跟其**

他接口IP地址区分；2.该VT接口需要加入到任意安全区域，否则VT接口不能正常运行，但是安全区域可

以随意选择，因为该接口不参与数据转发，即不受到安全策略控制。

[fw2]interface GigabitEthernet 1/0/0

[fw2-GigabitEthernet1/0/0]pppoe-server bind virtual-template 1 ---将VT接口绑定在物

理接口

[fw2]aaa

[fw2-aaa]domain default

[fw2-aaa-domain-default]service-type l2tp

[fw2]user-manage user user1 domain default

[fw2-localuser-user1]password Password123

用户的IP地址，都是由总部LNS进行统一分配的，所以在LAC上不需要配置地址池信息。即使你配**

置了地址池，在L2TP隧道建立的情况下，也会优先使用总部的地址进行分配。而如果是普通的PPPoE配

置，则必须配置地址池。

**第二步：建立L2TP隧道**
fw2（LAC）：

[fw2]l2tp enable --启动l2tp
[fw2]l2tp-group 1 --组名称
[fw2-l2tp-1]tunnel authentication ---隧道认证
[fw2-l2tp-1]tunnel password cipher Hello123 ---隧道认证密码
[fw2-l2tp-1]tunnel name lac ---隧道名称
[fw2-l2tp-1]start l2tp ip 20.1.1.2 fullusername user1 ---对端IP，设定LAC模式，以及LNS地址，以及认证用户名的方式为“完全用户认证”，并指定用户名

fw3（LNS）：

地址池：
[fw3]ip pool l2tp
[fw3-ip-pool-l2tp]section 0 172.16.0.2 172.16.0.100 ---设定编号和地址范围

修改认证模板为l2tp，绑定地址池l2tp
[fw3]aaa
[fw3-aaa]service-scheme l2tp ----修改认证模板为l2tp
[fw3-aaa-service-l2tp]ip-pool l2tp ----绑定地址池l2tp

设置domain default 认证域用户的揭露方式l2tp
[fw3-aaa]domain default
[fw3-aaa-domain-default]service-type l2tp

将用户绑定到domain default 中，设置密码
[fw3]user-manage user user1 domain default
[fw3-localuser-user1]password Password123 ---设置密码

配置VT接口：
[fw3]interface Virtual-Template 1
[fw3-Virtual-Template1]ppp authentication-mode chap
[fw3-Virtual-Template1]ip address 172.16.0.1 24
[fw3-Virtual-Template1]remote service-scheme l2tp ---揭露方式l2tp

[fw3]firewall zone dmz
[fw3-zone-dmz]add interface Virtual-Template 1

l2tp配置
[fw3]l2tp enable --启动l2tp
[fw3]l2tp-group 1 --组名称
[fw3-l2tp-1]tunnel authentication --开启认证
[fw3-l2tp-1]tunnel password cipher Hello123 ---设置密码
[fw3-l2tp-1]allow l2tp virtual-template 1 remote lac domain default --设置VT接口对端的名称为lac和认证域domain default

将fw2，3的默认安全策略改为允许看能否建立l2tp

fw1和fw2建立PPPoE，fw2hefw3建立l2tp

fw1给fw2发ppp的lcp报文

fw1和fw2之间进行认证，fw2将认证结果告诉fw3

fw3给fw1分配ip（ipcp报文），fw1获取IP

chap和lcp重协商在fw2（LNS设备上配置）
[fw2]l2tp-group 1
[fw2-l2tp-1]mandatory-chap
[fw2-l2tp-1]mandatory-lcp

选一个就可以

fw1上的缺省
[fw1]ip route-static 0.0.0.0 0 Dialer 1 ---出接口方式

为Dialer 1划分安全区域
[fw1]firewall zone dmz
[fw1-zone-dmz]add interface Dialer 1

安全策略：
[fw3]display firewall session table verbose --查看会话表的信息

fw2（LAC）：local-untrust ，可以根据会话表的l2tp信息来写安全策略

[fw2-policy-security]rule name local_to_untrust ---策略名
[fw2-policy-security-rule-local_to_untrust]source-zone local ---源区域
[fw2-policy-security-rule-local_to_untrust]destination-zone untrust --目的区域
[fw2-policy-security-rule-local_to_untrust]source-address 20.1.1.1 32 ---源地址
[fw2-policy-security-rule-local_to_untrust]destination-address 20.1.1.2 32 ---目的地址
[fw2-policy-security-rule-local_to_untrust]service l2tp --服务为l2tp
[fw2-policy-security-rule-local_to_untrust]service protocol udp destination-port 1701
---端口
[fw2-policy-security-rule-local_to_untrust]action permit ---动作允许

[fw2-policy-security]default action deny ---将默认安全策略改回拒绝

fw3：dmz-trust，untrust-local

[fw3-policy-security]rule name l2tp
[fw3-policy-security-rule-l2tp]source-zone untrust
[fw3-policy-security-rule-l2tp]destination-zone local
[fw3-policy-security-rule-l2tp]source-address 20.1.1.1 32
[fw3-policy-security-rule-l2tp]destination-address 20.1.1.2 32
[fw3-policy-security-rule-l2tp]service l2tp
[fw3-policy-security-rule-l2tp]service protocol udp destination-port 1701
[fw3-policy-security-rule-l2tp]action permit

[fw3-policy-security]rule name icmp
[fw3-policy-security-rule-icmp]source-zone dmz
[fw3-policy-security-rule-icmp]destination-zone trust
[fw3-policy-security-rule-icmp]source-address 172.16.0.0 24
[fw3-policy-security-rule-icmp]destination-address 192.168.1.0 24
[fw3-policy-security-rule-icmp]action permit

[fw3-policy-security]default action deny ---将默认安全策略改回拒绝

测试：
fw1-ping-192.168.1.1