网络运维|L2TP和IPSec的结合来用
2020-06-14 21:50 作者:admin
大家好,我是一枚从事IT外包的网络安全运维工程师,今天和大家分享的是网络安全设备维护相关的内容,在这里介绍下L2TP和IPSec结合使用的意义,网络安全运维,从Web管理轻松学起,一步一步学成网络安全运维大神。
网络维护是一种日常维护,包括网络设备管理(如计算机,服务器)、操作系统维护(系统打补丁,系统升级)、网络安全(病毒防范)等。+
北京艾锑无限科技发展有限公司为您免费提供给您大量真实有效的北京网络维护服务,北京网络维修信息查询,同时您可以免费资讯北京网络维护,北京网络维护服务,北京网络维修信息。专业的北京网络维护信息就在北京艾锑无限+
+
北京网络维护全北京朝阳丰台北京周边海淀、大兴、昌平、门头沟、通州、西城区、燕郊、石景山、崇文、房山、宣武、顺义、平谷、延庆全北京网络维护信息
L2TP over IPSec
L2TP over IPSec,即先用L2TP封装报文后再用IPSec封装,这样可以综合两种VPN的优势,通过L2TP实现用户验证和地址分配,并利用IPSec保障安全性。
配置L2TP over IPSec
本节介绍L2TP over IPSe方式的IPSec策略的配置方法。
配置L2TP over IPSec策略
L2TP over IPSec是IPSec应用中一种常见的扩展方式,它可以综合两种VPN的优势,通过L2TP实现用户验证和地址分配,并利用IPSec保障安全性。
目前设备作为LNS侧建立L2TP over IPSec隧道的配置已经和IPSec的配置进行了融合,您既可以在“VPN > L2TP over IPSec > L2TP over IPSec”中直接新建L2TP over IPSe方式的IPSec策略,也可以在“VPN > IPSec > IPSec”中选择新建“场景”为“点到多点”,“对端接入类型”为“L2TP over IPSec客户端”的IPSec策略。
这两种方式新建的策略都属于IPSec策略,都集中在“VPN > IPSec > IPSec”中供管理员查看和修改,在“VPN > IPSec > 监控”中供管理员监控和维护。
设备作为LAC侧建立L2TP over IPSec隧道则需要分别在“VPN > IPSec > IPSec”中新建一个“场景”为“点到点”的IPSec隧道,以及在“VPN > L2TP > L2TP”中建立一个L2TP隧道。配置时注意以下几点就可以保证两条策略的自动关联:
· L2TP策略中的“服务器地址”参数与IPSec策略中“对端地址”参数保持一致。
· 为了保证数据流正确进入隧道,建议详细指定待加密数据流的信息。在LAC侧的IPSec策略中,待加密的数据流的“源地址”配置为L2TP隧道所使用的出接口的IP地址,“目的地址”配置为L2TP策略的“服务器地址”,“协议”配置为“UDP”,“目的端口”配置为“1701”。
关于L2TP over IPSec应用场景的详细信息请参见移动用户远程接入VPN。以下将介绍设备作为LNS侧,在“VPN > L2TP over IPSec > L2TP over IPSec”中新建L2TP over IPSec方式的IPSec策略的配置步骤。在“VPN > IPSec > IPSec”中新建L2TP over。两个位置的配置方法基本相同。
1. 选择“VPN > L2TP over IPSec > L2TP over IPSec”。
2. 单击“新建”,建立一条IPSec策略。
3. 配置双方相互校验的校验参数。
为了保证IPSec隧道的安全性,必须防止非法客户端接入,因此需要通过一系列参数来对对端的合法性进行校验。同时为了通过对端的合法性校验,本端也需要提供一些相应的参数。
4. 可选:配置接入客户端的用户/用户组信息。
当“对端接入类型”勾选了“L2TP over IPSec客户端”或“IKE V2客户端”时会出现本配置项。只有这两种类型的接入客户端才可以进行用户认证。
如果用户组尚未创建好,可以从下拉列表中选择“新建用户组”按钮立即新建一个用户组。
如果需要向现有用户组中添加用户,可以单击“用户组”右侧的“配置”按钮对用户组进行修改。
在弹出的“新建用户组”或“修改用户组”对话框中,单击“本地用户列表”中的“新建”按钮,可以立即在该组中新建用户。
5. 配置待加密的数据流。
本场景中,系统会自动匹配需要加密的数据流,不需要配置“待加密的数据流”。
根据需要可以选择配置是否进行“反向路由注入”。开启“反向路由注入”后,设备将把到达对端保护的网段的路由自动引入到路由表,从而不用管理员手工配置路由。此功能一般在与多个分支对接的总部网关上配置。
输入注入路由的“优先级”,从而更灵活地应用路由管理策略。例如,如果设备上还有其它方式配置的到达相同目的地址的路由,可以为它们指定相同优先级来可实现负载分担,也可指定不同优先级来实现路由备份。
6. 可选:配置安全提议中高级参数。
· 通常如果需要支持的终端类型特别多,可以不在总部侧限定允许接入的安全提议参数。此时只需要勾选“安全提议”中“接受对端提议”即可保证总部与所有客户端之间正常建立隧道。勾选之后表示如果对端发起隧道建立请求,本端完全接受对端提议的算法参数,以保证隧道协商成功。此时的隧道安全性由对端配置决定,本端不需要配置高级参数。
· 如果总部对安全提议有特殊要求,则可以调整本端的对应参数以保证安全性。
取消勾选“安全提议”中“接受对端提议”,展开“高级”。
其中算法类参数所提供的多个选择,在列表中位置越高,代表其安全性越高。如果该参数支持多选,那么实际协商时将根据参数在列表中位置从高到低依次尝试,直至协商成功。
7. 单击“应用”,新配置的IPSec策略将出现在“VPN > IPSec > IPSec”的策略列表中。
查看当前配置支持接入的设备类型
由于在IPSec的协商过程中,双方参数的一致性非常重要,所以设备提供了“推荐对端配置”功能。此功能可以列出能够协商成功的对端配置,可以导出该配置发送给对端网关的管理员参考配置。
1. 在IPSec策略的“新建”和“修改”界面,点击位于界面右侧中间位置的“推荐对端配置”按钮。
2. 在界面右侧会展开显示推荐对端配置的简要信息。单击展开区域右上角的“导出”按钮,将详细配置介绍导出成网页文件保存至本地。
3. 将导出的网页文件发送给对端网管的管理员参考。
以上文章由北京艾锑无限科技发展有限公司整理