L2TP Client-initated场景
1. 原理
1.1 阶段1:创建L2TP隧道
C与LNS通过交互三条消息协商隧道ID、UDP端口(1701)、主机名称、L2TP版本、隧道验证等参数。
1.2 阶段2:创建L2TP会话
C与LNS通过三条消息协商会话ID
1.3 阶段3:创建PPP连接
1.4 阶段4:数据封装传输
2.实验
2.1 拓扑图
2.2 配置
FW2
型号:USG6000V
初始账号密码:admin Admin@123
修改后的账号密码:admin abc123..
(0)初始配置
interface GigabitEthernet1/0/1
undo shutdown
ip address 1.1.1.1 255.255.255.0
interface GigabitEthernet1/0/0
undo shutdown
ip address 192.168.1.254 255.255.255.0
service-manage ping permit
==================防火墙区域划分===========================
firewall zone trust
add interface GigabitEthernet1/0/0
add interface Virtual-Template1
firewall zone untrust
add interface GigabitEthernet1/0/1
(1)配置地址池
ip pool pool1
section 1 10.2.1.2 10.2.1.100
(2)接入用户使用业务方案
aaa
service-scheme l2tp
ip-pool pool1
(3)配置认证域,应用业务方案
aaa
domain net1
service-scheme l2tp
service-type l2tp
(4)配置用户(ENSP重启消失,需要重新配置)
user-manage user l2tpuser1 domain net1
password Huawei@123
(5)开启L2TP
l2tp enable
(6)配置虚拟接口模板
interface Virtual-Template1
ppp authentication-mode chap
remote service-scheme l2tp
ip address 10.2.1.1 255.255.255.0
service-manage ping permit
(7)配置L2TP组
l2tp-group 2
tunnel password cipher 123456 //指定隧道认证密码
allow l2tp virtual-template 1 remote llcmac //指定客户端主机名
(8)安全策略
security-policy
rule name 10 //用于控制报文发送
source-zone local
destination-zone untrust
source-address 1.1.1.1 mask 255.255.255.255
action permit
rule name 20 //用于控制报文接收
source-zone untrust
destination-zone local
destination-address 1.1.1.1 mask 255.255.255.255
action permit
rule name 30 //用于私网数据发送(LNS->C)
source-zone trust
destination-zone untrust
source-address 192.168.1.0 mask 255.255.255.0
action permit
rule name 40 //用于私网数据接收(C-->LNS)
source-zone untrust
destination-zone trust
destination-address 192.168.1.0 mask 255.255.255.0
action permit
PC1
Cloud
真机虚拟网卡配置:
3. 测试
Secoclient.exe
路由设置的目的是为了在真机机添加路由,这段路由的下一跳执行l2tp隧道。不影响真机访问其他公网路由
4.实验文件下载
链接:https://pan.baidu.com/s/1bdsI84myiGeCE4Ek5YjPIQ?pwd=rmfb
提取码:rmfb
![P1045 [NOIP2003 普及组] 麦森数](https://img-blog.csdnimg.cn/img_convert/db0982748b792a85823a9de3033031f4.png)
