网络运维|外出员工通过L2TPvpn访问内部资源

2020-06-13 20:09 作者：艾锑无限 浏览量：

大家好，我是一枚从事IT外包的网络安全运维工程师，今天和大家分享的是网络安全设备维护相关的内容，在这里介绍下L2TPvpn使用实例， 网络安全运维，从Web管理轻松学起,一步一步学成网络安全运维大神。
网络维护是一种日常维护，包括网络设备管理(如计算机，服务器)、操作系统维护(系统打补丁，系统升级)、网络安全(病毒防范)等。+

北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务，北京网络维修信息查询，同时您可以免费资讯北京网络维护，北京网络维护服务，北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限+

+
北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息

Client-Initialized VPN

出差员工与LNS端建立隧道，直接向LNS发起连接请求。本例将实现Client-Initialized VPN方式建立L2TP的配置。

组网需求

如图10-48所示，公司总部通过LNS连接到Internet。出差员工（LAC Client）可通过L2TP拨号方式直接向LNS发起连接请求，与LNS的通讯数据通过L2TP隧道传输。此时要求出差员工的主机上必须装有L2TP客户端软件。
图  配置Client-Initialized VPN组网图 

配置思路

· 配置LNS。

1. 配置接口基本配置、路由配置，并开启本地策略和转发策略。

2. 添加L2TP本地用户。

3. 配置LNS端的地址池、服务器地址、隧道密码参数，并指定对端隧道名称。此处的对端隧道名称要和LAC端的“本端隧道名称”一致。

· 配置LAC Client。

以安装了Secoway VPN Client软件的PC为例，配置L2TP参数，注意参数要和LNS的配置保持一致。

操作步骤

· 配置LNS。

1. 配置接口基本参数。

a. 选择“网络 > 接口 > 接口”。

b. 在“接口列表”中，单击GE0/0/1对应的。

c. 在“修改GigabitEthernet”界面中，配置如下：

§ 安全区域：trust

§ IP地址：192.168.1.1

§ 子网掩码：255.255.255.0

其他配置项采用缺省值。

d. 单击“应用”。
e. 在“接口列表”中，单击GE0/0/2对应的。

f. 在“修改GigabitEthernet”界面中，配置如下：

§ 安全区域：untrust

§ IP地址：202.38.160.2

§ 子网掩码：255.255.255.0

其他配置项采用缺省值。

g. 单击“应用”。

2. 对于USG系列，配置域间包过滤，以保证网络基本通信正常。对于USG BSR/HSR系列，不需要执行此步骤。

a. 配置Local安全区域和Untrust安全区域之间的安全策略。

. 选择“防火墙 > 安全策略 > 本地策略”。

i. 在“本地策略”中单击“新建”。配置如下参数：

§ 源安全区域：untrust

§ 动作：permit

ii. 单击“应用”。

a. 配置Trust安全区域和Untrust安全区域之间的安全策略。

i. 选择“防火墙 > 安全策略 > 转发策略”。

ii. 在“转发策略列表”中单击“新建”。配置如下参数。

§ 源安全区域：trust

§ 目的安全区域：untrust

§ 源地址：192.168.1.0/24

§ 动作：permit

iii. 单击“应用”。

iv. 重新在“转发策略列表”中单击“新建”。配置如下参数。

§ 源安全区域：untrust

§ 目的安全区域：trust

§ 目的地址：192.168.1.0/24

§ 动作：permit

v. 单击“应用”。

1. 配置L2TP参数。

a. 选择“VPN > L2TP > L2TP”。

b. 在“配置L2TP”中，选中L2TP后的“启用”，单击“应用”。

c. 在“L2TP组列表”中，单击“新建”。

d. 选择“组类型”为“LNS”。

e. 单击“新建”，新建用户vpdnuser。

f. 配置其余L2TP参数。

 说明：

此举例中，LAC Client端使用Secoway VPN Client软件进行拨号，可以开启隧道密码验证功能。如果LAC Client端使用Windows操作系统自带的L2TP客户端软件拨号，需要关闭L2TP隧道验证功能。

“对端隧道名称”要和LAC端配置的“本端隧道名称”一致。

g. 单击“应用”。

· 配置LAC Client。

出差员工主机上必须装有L2TP客户端软件，并通过拨号方式连接到Internet。下面以Secoway VPN Client软件为例。

2. 打开Secoway VPN Client软件，选中已有连接，单击。

 说明：

如果没有连接存在，请单击，根据向导建立新的连接。

3. 在“基本设置”页面设置“LNS服务器IP”、“登录用户名”和“登录密码”。

登录密码设置为Hello123。

 说明：

用户侧设置的用户名和口令需要与LNS侧保持一致。

4. 单击“L2TP设置”。在“L2TP设置”页面，设置隧道名称、认证模式。

为vpdnuser上的设置，设置隧道名称为client1，认证模式为CHAP。启用隧道验证功能，设置隧道验证密码为Password123。

 说明：

用户侧设置的认证模式和隧道验证密码需要与LNS侧保持一致。

5. 单击“确定”。

结果验证

1. 在LAC Client端PC上，单击配置完毕的VPN连接的，建立L2TP隧道。

2. LAC Client拨号成功后，在LNS端查看L2TP隧道的建立情况。

a. 选择“VPN > L2TP > 监控”，查看到有L2TP隧道ID，说明L2TP隧道建立成功。

其中，

图10-53  查看L2TP通道监控列表 

b. 单击会话数的链接，可查看到会话详细信息，如图10-54所示。

图10-54  查看L2TP会话详细信息 


3. 在LAC Client端PC上，可以查看到分配到了10.2.1.2/24～10.2.1.100/24网段的地址。且出差员工可以正常访问总部服务器资源。
 
以上文章由北京艾锑无限科技发展有限公司整理