認(rèn)證-hcie-securityv1.0中文培訓(xùn)01課件

目標(biāo)學(xué)完本課程后，您將能夠:了解L2TP

的相關(guān)組件和工作原理；掌握L2TP

over

IPsec的工作原理；在USG系列設(shè)備上熟練配置L2TP

overIPsec；可以對L2TP

over

IPsec

進(jìn)行故障排查和解決問題。1. L2TP

協(xié)議技術(shù)介紹L2TP

over

IPsec

實(shí)驗演示Client-Initiated

場景L2TP

和排障L2TP

協(xié)議技術(shù)介紹VPDN（Virtual

PrivateDial-up

Network，虛擬私有撥號網(wǎng)）PPP

（Point

to

Point

Protocol）L2TP

協(xié)議技術(shù)介紹L2TP

協(xié)議介紹（Layer

2

Tunneling

Protocol，二層隧道協(xié)議）L2TP是IETF有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。L2TP源自于兩個老的PPP隧道協(xié)議Cisco的Layer

2

ForwardingProtocol（L2F）

和

的PPTP。L2TP自身不提供安全機(jī)制（

ity/authentication

），IPSec是保障L2TP安全性的首選，也就是L2TP

over

IPSec。L2TP所有數(shù)據(jù)都被封裝在UDP/1701內(nèi)。L2TP

協(xié)議組件用戶LAC（L2TP

Access

Concentrator，L2TP集中器）LNS（L2TP

Network

Server，L2TP網(wǎng)絡(luò)服務(wù)器）L2TP協(xié)議的封裝結(jié)構(gòu)L2TP和L2TP

over

IPsec封裝結(jié)構(gòu)L2TP和L2TP

over

IPsec封裝結(jié)構(gòu)L2TP控制消息和數(shù)據(jù)消息控制消息用于隧道和會話連接的建立、

以及傳輸控制?？刂葡⒌膫鬏斒强煽總鬏?，并且支持對控制消息的流量控制和擁塞控制。數(shù)據(jù)消息則用于封裝PPP幀并在隧道上傳輸。數(shù)據(jù)消息的傳輸是不可靠傳輸，如果數(shù)據(jù)報文丟失，不予重傳，不支持對數(shù)據(jù)消息的流量控制和擁塞控制。L2TP隧道和會話在LNS和LAC對之間存在著兩種類型的連接：隧道（Tunnel）連接：它定義了互相通信的兩個實(shí)體LNS和LAC。會話（Session）連接：它復(fù)用在隧道連接之上，用于表示承載在隧道連接中的每個PPP會話過程。L2TP的優(yōu)點(diǎn)靈活的

驗證機(jī)制以及高度的安全性多協(xié)議傳輸支持RADIUS服務(wù)器的驗證支持

地址分配網(wǎng)絡(luò)計費(fèi)的靈活性可靠性L2TP隧道模式USG有三種方式可以建立連接：NAS-InitializedClient-InitializedLAC自主撥號1.

L2TP

協(xié)議技術(shù)介紹L2TP

over

IPsec

實(shí)驗演示Client-Initiated

場景L2TP

和排障Client-Initiated的L2TP直接由接入用戶（可為支持L2TP協(xié)議的PC）發(fā)起連接。此時接入用戶可直接向LNS發(fā)起隧道連接請求，無需再經(jīng)過一個單獨(dú)的LAC設(shè)備。接入用戶地址的分配由LNS來完成。由于LNS端需要為每個

用戶建立一條隧道，與NAS-Initiated

場景相比，LNS端配置更復(fù)雜一些。與其他兩種場景相比，其優(yōu)點(diǎn)在于接入用戶不受地域限制。此場景適用于出差員工使用PC、

等移動設(shè)備接入總部服務(wù)器，實(shí)現(xiàn)移動辦公。Client-Initiated隧道和會話的建立Client-Initiated組網(wǎng)數(shù)據(jù)封裝過程LNS服務(wù)器隧道L2TP封裝L2TP解封裝、PPP解封裝數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)流方向報文PPP封裝接入用戶

LAC（PPPoE

Client）（PPPoE

Server）

L2TP數(shù)據(jù)私有IPPPP頭PPPoE頭以太網(wǎng)頭數(shù)據(jù)私有IP以太網(wǎng)頭數(shù)據(jù)私有IPPPP頭L2TP頭UDP頭公網(wǎng)IPClient-Initiated實(shí)驗演示總部L2TP隧道G0/0/1.1G0/0/0.110.1.1.0/24.100.10202.100.2.0/24.254.254202.100.1.0/24配置相關(guān)參數(shù)L2TP屬性虛擬接口模板接口：Virtual-Template1IP地址池172.16.1.100

~

172.16.1.200PAP認(rèn)證方式chap隧道驗證Admin@123用戶賬戶用戶名：user1：Password1用戶認(rèn)證方式本地認(rèn)證IKE安全參數(shù)協(xié)商模式野蠻模式預(yù)共享密鑰abcde認(rèn)證名字名字Client:

ClientLNS

:

LNSIPsec安全參數(shù)封裝模式隧道模式安全協(xié)議ESP封裝加密算法AES-256驗證算法SHA1基本網(wǎng)絡(luò)配置()sysname

LNS#interface

GigabitEthernet

0/0/0

ip

address

10.1.1.1

255.255.255.0#interface

GigabitEthernet

0/0/1ip

address

202.100.2.1

255.255.255.0#ip

route-static

0.0.0.0

0.0.0.0

202.100.2.254L2TP基礎(chǔ)配置-1(LNS)aaaip

pool

1172.16.1.100172.16.1.200#interface

Virtual-Template1ip

address

172.16.1.1

255.255.255.0remote

address

pool

1ppp

authentication-mode

chapfirewall

zone

trustadd

interface

GigabitEthernet

0/0/0#firewall

zone

untrustadd

interface

GigabitEthernet

0/0/1add

interface

Virtual-Template

1Virtual-Template接口配置(LNS)配置接口加入安全區(qū)域(LNS)L2TP基礎(chǔ)配置-2(LNS)security

poicyrule

name

Trust_Untrust_L2TPsource-zone

trustsource-zone

untrustdestination-zone

trustdestination-zone

untrustsource-address

192.168.1.0

24source-address

10.1.1.024destination-address

192.168.1.024destination-address

10.1.1.024actionpermitsecurity

poicyrule

name

Local_Untrust_L2TPsource-zone

localsource-zone

untrustdestination-zone

localdestination-zone

untrustsource-address

202.100.1.1

32source-address

202.100.2.132destination-address

202.100.1.1

32destination-address

202.100.2.132action

permit配置Trust和Untrust域間

濾（LNS）配置Local和Untrust域間 濾（LNS）L2TP相關(guān)配置#開啟L2TP功能l2tp

enable#創(chuàng)建并配置L2TP組。l2tp-group

1tunnel

name

LNSallow

l2tp

virtual-template

1undo

tunnel

authenticationaaalocal-userl2tpuser

password

cipherPassword1local-user

l2tpuser

service-type

pppL2TP相關(guān)配置（LNS）測試和驗證[LAC]display

l2tp

tunnel04:00:37

2014/08/08Total

tunnel

=

1LocalTID

RemoteTID

RemoteAddress1

2

202.100.2.1

1701

1[LAC]display

l2tp

sessionPortSessions

RemoteNamelns04:01:01

2014/08/08Total

session

=

1LocalSID

RemoteSID

LocalTID12

2

1測試和驗證(PC

總部Server)C:\>

10.1.1.10正在

10.1.1.10

具有

32字節(jié)的數(shù)據(jù):來自10.1.1.10

的回復(fù):字節(jié)=32時間=12ms

TTL=126來自10.1.1.10

的回復(fù):字節(jié)=32時間=1msTTL=126來自10.1.1.10

的回復(fù):字節(jié)=32時間<1msTTL=126來自10.1.1.10

的回復(fù):字節(jié)=32

時間<1ms

TTL=12610.1.1.10

的

統(tǒng)計信息:數(shù)據(jù)包:已發(fā)送=4，已接收=4，丟失=0(0%

丟失)，往返行程的估計時間(以毫秒為單位):最短=0ms，最長=12ms，平均=3ms配置IPsec相關(guān)配置acl

3000rule

permit

udp

source-port

eq

1701ike

proposal

10authentication-method

pre-shareauthentication-algorithm

sha1encryption-algorithm

3des-cbc

dh

group2ike

peer

LACexchange-mode

aggressivelocal-id-type

fqdn

LNSremote-id-type

fqdn

Clientike-proposal

10pre-shared-key

abcde配置IPsec相關(guān)配置（LNS）ipsec

proposal

tran1encapsulation-mode

tunneltransform

espesp

authentication-algorithm

sha1esp

encryption-algorithm

aes-256ipsec

policy-templatemap_temp

1security

acl3000proposal

tran1ike-peer

LACipsecpolicy

map1

10

isakmptemplatemap_temp#interface

GigabitEthernet

0/0/1ipsec

policy

map1配置Win7上的Client的L2TP撥號配置Win7上的Client的L2TP撥號測試和驗證[LNS]dis

l2tp

tunnel05:48:30

2014/08/10Total

tunnel

=

1LocalTID

RemoteTID

RemoteAddressPortSessions

RemoteName1

1

202.100.1.100609931

LNS[LNS]display

l2tp

session05:50:22

2014/08/10Total

session

=

1LocalSID

RemoteSID

LocalTID3

1

1L2TP

協(xié)議技術(shù)介紹L2TP

over

IPsec

實(shí)驗演示L2TP

和排障L2TP相關(guān)狀態(tài)檢查命令操作命令查看L2TP會話信息display

l2tp

session查看L2TP隧道信息display

l2tp

tunnel查看所有

用戶的概要信息display

access-user查看VT接口的主要配置信息display

interface

virtual-template

virtual-template-number強(qiáng)制斷開指定L2TP隧道reset

l2tp

tunnel

{

peer-nameremote-name

|

local-idtunnel-id

}操作命令打開所有的L2TP調(diào)試信息debugging

l2tp

all打開控制報文調(diào)試開關(guān)debugging

l2tp

control打開L2TP差錯信息的調(diào)試debugging

l2tp

error打開L2TP的事件調(diào)試信息debugging

l2tp

event打開隱藏AVP的調(diào)試信息debugging

l2tp

hidden打開L2TP數(shù)據(jù)報文調(diào)試開debugging

l2tp

payloadL2TP相關(guān)調(diào)試Debuging命令操作命令打開所有的L2TP調(diào)試信息debugging

l2tp

all打開控制報文調(diào)試開關(guān)debugging

l2tp

control打開L2TP差錯信息的調(diào)試debugging

l2tp

error打開L2TP的事件調(diào)試信息debugging

l2tp

event打開隱藏AVP的調(diào)試信息debugging

l2tp

hidden打開L2TP數(shù)據(jù)報文調(diào)試開debugging

l2tp

payloadPC通過L2TP撥號到LNS失敗的故障處理可能原因定位處理方法1：接入用戶PC與LNS之間路由不可達(dá)。在接入用戶PC上執(zhí)行命令

202.38.160.2，檢測與LNS是否連通。如果可以 通，請進(jìn)行其他項目的檢查。如果不能 通，說明從LNS到接入用戶的路由配置錯誤。請檢查路由的配置。2：L2TP隧道驗證失敗。查看兩端是否均開啟隧道驗證，并設(shè)置了相同的隧道 。如果配置不一致，請在以下路徑中修改。LNS側(cè)查看方法：1.選擇“網(wǎng)絡(luò)>L2TP>L2TP”。2.

選擇接受用戶撥號的LNS組，并查看“隧道 認(rèn)證”和“隧道 ”的設(shè)置。接入用戶PC的查看方法，以Secoway

Client

為例：1.

打開Secoway

Client

，選中撥號連接，并單擊“屬性”。2.選擇“L2TP設(shè)置”頁簽，并查看“隧道驗證”區(qū)域框的設(shè)置。如果兩端隧道驗證的配置一致，請進(jìn)行其他項目的檢查。3：隧道名稱配置錯誤。LNS側(cè)設(shè)置的“對端隧道名稱”是否和接入用戶端配置的“隧道名稱”一致，如果配置不一致，請在以下路徑中修改。LNS側(cè)查看方法：1.選擇“網(wǎng)絡(luò)>L2TP>L2TP”。2.選擇接受用戶撥號的LNS組，并查看“對端隧道名稱”的設(shè)置。接入用戶PC的查看方法，以Secoway

Client

為例：1.

打開Secoway

Client

，選中撥號連接，并單擊“屬性”。2.選擇“L2TP設(shè)置”頁簽，在“基本信息”區(qū)域框中，查看“隧道名稱”的設(shè)置。如果兩端隧道名稱配置一致，請進(jìn)行其他項目的檢查。PC通過L2TP撥號到LNS失敗的故障處理可能原因定位處理方法4：接入用戶撥號的用戶名和LNS端配置的用戶名不一致，導(dǎo)致接入用戶PC無法從LNS地址池獲取IP地址。1.在LNS端選擇“網(wǎng)絡(luò)>L2TP>L2TP”。2.選擇接受用戶撥號的LNS組，并查看用戶組和用戶的配置。如果“用戶組”不為“default”，則接入用戶撥號使用的用戶名應(yīng)該帶有@。查看接入用戶撥號的用戶名是否和LNS端配置的用戶名一致。如果不一致，則修改用戶撥號使用的用戶名。如果接入用戶撥號的用戶名和LNS端配置的用戶名一致，請進(jìn)行其他項目的檢查。5：上線人數(shù)超過最大值，導(dǎo)致接入用戶PC無法從LNS地址池獲取IP地址。1.

在LNS端選擇“對象

>

用戶

>

用戶”。2.

在“ 用戶列表”中，查看位于此認(rèn)證域中的用戶數(shù)是否超出了地址 分配的地址數(shù)。選擇接受用戶撥號的LNS組，并查看“對端隧道名稱”的設(shè)置。如果位于此認(rèn)證域中的用戶數(shù)已超出了地址 分配的地址數(shù)，說明上線人數(shù)已經(jīng)超過域最大用戶接入數(shù)。需要等待當(dāng)前L2TP用戶全部下線后，修改安全域最大用戶接入數(shù)，即擴(kuò)大地址池中地址的總數(shù)。PC通過L2TP方式撥號成功但業(yè)務(wù)不通可能原因定位處理方法1：接入用戶PC上沒有到達(dá)內(nèi)網(wǎng)服務(wù)器的默認(rèn)路由。撥號成功后，PC上會生成一條指向服務(wù)器地址（或撥號獲取到的IP地址）的默認(rèn)路由，即默認(rèn)網(wǎng)關(guān)。該默認(rèn)網(wǎng)關(guān)的作用是使得由PC發(fā)出的報 經(jīng)過撥號獲得的私網(wǎng)IP來封裝成L2TP報文，走L2TP隧道。但是有的PC撥號上線后沒有生成默認(rèn)網(wǎng)關(guān)（如雙網(wǎng)卡的PC或者因網(wǎng)卡驅(qū)動實(shí)現(xiàn)不同等其他原因），因此沒有 內(nèi)網(wǎng)業(yè)務(wù)的路由。1.