HUAWEI防火牆通過L2TP隧道讓外出員工訪問公司內網的各種資源

上古南城發表於2021-05-31
防火牆內網

組網圖形

    

組網需求

  • 企業網路如圖所示,企業希望公司外的移動辦公使用者能夠通過L2TP VPN隧道訪問公司內網的各種資源。

操作步驟

配置LNS

  • 1.配置介面IP地址,並將介面加入安全區域。
<LNS> system-view
[LNS] sysname LNS
[LNS] interface GigabitEthernet 1/0/1 
[LNS-GigabitEthernet1/0/1] ip address 1.1.1.1 24 
[LNS-GigabitEthernet1/0/1] quit
[LNS] firewall zone untrust
[LNS-zone-untrust] add interface GigabitEthernet 1/0/1
[LNS-zone-untrust] quit
[LNS] interface GigabitEthernet 1/0/2 
[LNS-GigabitEthernet1/0/2] ip address 10.1.1.1 24 
[LNS-GigabitEthernet1/0/2] quit
[LNS] firewall zone trust
[LNS-zone-trust] add interface GigabitEthernet 1/0/2
[LNS-zone-trust] quit
  •  2.配置地址池。

  如果真實環境中地址池地址和總部內網地址配置在了同一網段,則必須在LNS連線總部網路的介面上開啟ARP代理功能,保證LNS可以對總部網路伺服器發出的ARP請求進行應答。

[LNS] ip pool pool
[LNS-ip-pool-pool] section 1 172.16.1.2 172.16.1.100
[LNS-ip-pool-pool] quit
  •  3.配置業務方案。
[LNS] aaa
[LNS-aaa] service-scheme l2tp 
[LNS-aaa-service-l2tp] ip-pool pool
[LNS-aaa-service-l2tp] quit
  •  4.配置認證域及其下使用者。

  a. 配置認證域。

說明:

  如果需要對L2TP接入使用者進行基於使用者名稱的策略控制,認證域的接入控制必須包含internetaccess

[LNS-aaa] domain default
[LNS-aaa-domain-default] service-type l2tp

   b. 配置分支使用者及其對應的使用者組。

[LNS] user-manage group /default/research
[LNS-usergroup-/default/research] quit
[LNS] user-manage user user0001
[LNS-localuser-user0001] parent-group /default/research
[LNS-localuser-user0001] password Password123
[LNS-localuser-user0001] quit
  •  5.配置VT介面。
[LNS] interface Virtual-Template 1
[LNS-Virtual-Template1] ip address 172.16.1.1 24
[LNS-Virtual-Template1] ppp authentication-mode pap
[LNS-Virtual-Template1] remote service-scheme l2tp
[LNS-Virtual-Template1] quit
[LNS] firewall zone dmz
[LNS-zone-dmz] add interface Virtual-Template 1
[LNS-zone-dmz] quit
  •  6.配置L2TP Group。
[LNS] l2tp enable
[LNS] l2tp-group 1
[LNS-l2tp-1] allow l2tp virtual-template 1 remote client
[LNS-l2tp-1] tunnel authentication
[LNS-l2tp-1] tunnel password cipher Hello123
[LNS-l2tp-1] quit
  •  7.配置到Internet上的預設路由,假設LNS通往Internet的下一跳IP地址為1.1.1.2。
[LNS] ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
  •  8.配置LNS上的域間安全策略。

  # 配置trust與dmz之間的安全策略,允許移動辦公使用者訪問總部內網以及總部內網訪問移動辦公使用者的雙向業務流量通過。

[LNS] security-policy
[LNS-policy-security] rule name service_td
[LNS-policy-security-rule-service_td] source-zone trust
[LNS-policy-security-rule-service_td] destination-zone dmz
[LNS-policy-security-rule-service_td] source-address 10.1.2.0 24
[LNS-policy-security-rule-service_td] destination-address 172.16.1.0 24
[LNS-policy-security-rule-service_td] action permit
[LNS-policy-security-rule-service_td] quit
[LNS-policy-security] rule name service_dt
[LNS-policy-security-rule-service_dt] source-zone dmz
[LNS-policy-security-rule-service_dt] destination-zone trust
[LNS-policy-security-rule-service_dt] source-address 172.16.1.0 24
[LNS-policy-security-rule-service_dt] destination-address 10.1.2.0 24
[LNS-policy-security-rule-service_dt] action permit
[LNS-policy-security-rule-service_dt] quit

   # 配置從untrust到local方向的安全策略,允許L2TP報文通過。

[LNS-policy-security] rule name l2tp_ul
[LNS-policy-security-rule-l2tp_ul] source-zone untrust
[LNS-policy-security-rule-l2tp_ul] destination-zone local
[LNS-policy-security-rule-l2tp_ul] destination-address 1.1.1.0 24
[LNS-policy-security-rule-l2tp_ul] action permit
[LNS-policy-security-rule-l2tp_ul] quit

 配置移動辦公使用者側的SecoClient。

  • 1.開啟SecoClient,進入主介面。

  在“連線”對應的下拉選單框中,選擇“新建連線”。

    

  •  2.配置L2TP VPN連線引數。

  在“新建連線”視窗左側導航欄中選中“L2TP/IPSec”,並配置相關的連線引數,然後單擊“確定”。隧道驗證密碼是Hello123。

    

  •  3.登入L2TP VPN閘道器。

   a.在“連線”下拉選單框中選擇已經建立的L2TP VPN連線,單擊“連線”。

    

   b.在登入介面輸入使用者名稱、密碼。

    

   c.單擊“登入”,發起VPN連線。

  VPN接入成功時,系統會在介面右下角進行提示。連線成功後移動辦公使用者就可以和企業內網使用者一樣訪問內網資源了。

    

 結果驗證

  • 1.移動辦公使用者可正常訪問總部內網伺服器。
  • 2.在LNS上檢視L2TP隧道的建立情況,此處以LNS為例。

  a.執行display l2tp tunnel命令,檢視到有L2TP隧道資訊,說明L2TP隧道建立成功。

[LNS] display l2tp tunnel
L2TP::Total Tunnel: 1 
                      
 LocalTID RemoteTID RemoteAddress    Port   Sessions RemoteName  VpnInstance   
 ------------------------------------------------------------------------------
 2        1         2.2.2.2          61535   1         client                   
 ------------------------------------------------------------------------------
  Total 1, 1 printed

  b.執行display l2tp session命令,檢視到有L2TP會話資訊,說明L2TP會話建立成功。

[LNS] display l2tp session
L2TP::Total Session: 1
                      
  LocalSID  RemoteSID  LocalTID   RemoteTID  UserID  UserName    VpnInstance   
 ------------------------------------------------------------------------------
  119       32         2           1         9689    user0001                     
 ------------------------------------------------------------------------------
  Total 1, 1 printed

 

相關文章