USG50典型应用之PPPoE&L2TP&IPSec
(仅供内部使用)
For internal u only
拟制: | 潜立标 54851 | 日期: | 2007-11-2 |
审核: | | 日期: | |
审核: | | 日期: | |
批准: | | 日期: | |
修订记录 |
日期 | 修订版本 | 作者 | 描述 |
2007-11-12 | 1.1 | 潜立标 54851 | 增加多隧道备份(含双机接口vrrp) |
| | | |
| | | |
| | | |
华为技术有限公司
Huawei Technologies Co., Ltd.
目 录
1 IPSec over L2TP 3
1.1 组网 3
1.2 简单描述 3
1.3 主要配置 3
2 L2TP over IPSec 11
2.1 组网 11
2.2 简单描述 11
2.3 主要配置 11
3 多隧道备份(含双机接口vrrp) 16
3.1 组网 16
3.2 简单描述 16
3.3 主要配置 16
4 常见问题 28
1 IPSec over L2TP
1.1 组网
1.2 简单描述
1、 USG50作为单位分支机构网络接口,首先自身通过拨号获得公网的IP地址
2、 两台E200作为单位总部对外接口,彼此实现VRRP双机热备
3、 通过配置路由实现USG50与E200的简单互通
4、 在USG50与E200之间实现LAC+LNS的L2TP连接(实现两者的虚拟直连)
5、 在USG50与E200的L2TP连接基础上实现IPSec安全连接
1.3 主要配置
1、 USG50配置
#
sysname USG5015
#
web-manager enable
#
l2tp enable
l2tp domain suffix-parator @
#
firewall packet-filter default permit interzone local trust direction inbound
firewall packet-filter default permit interzone local trust direction outbound
firewall packet-filter default permit interzone local untrust direction inbound
firewall packet-filter default permit interzone local untrust direction outbound
firewall packet-filter default permit interzone local dmz direction inbound
firewall packet-filter default permit interzone local dmz direction outbound
firewall packet-filter default permit interzone trust untrust direction inbound
firewall packet-filter default permit interzone trust untrust direction outbound
firewall packet-filter default permit interzone trust dmz direction inbound
firewall packet-filter default permit interzone trust dmz direction outbound
firewall packet-filter default permit interzone dmz untrust direction inbound
firewall packet-filter default permit interzone dmz untrust direction outbound
#
nat alg enable ftp
nat alg enable dns
nat alg enable icmp
nat alg enable netbios
undo nat alg enable h323
undo nat alg enable hwcc
undo nat alg enable ils
undo nat alg enable pptp
undo nat alg enable qq
undo nat alg enable msn
undo nat alg enable ur-define
undo nat alg enable sip
nat alg enable rtsp
firewall permit sub-ip
#
firewall statistic system enable
#
ike peer a
pre-shared-key 123456
remote-address 100.0.0.1 #该IP地址为 ipc隧道对端ip,如果ipc建立在l2tp上,者使用对端vt口ip地址,如果ipc隧道建立在实接口间,那么ip应指定为对端实接口ip。
#
ipc proposal a
#
ipc policy a 1 isakmp
curity acl 3000 #acl的指定应该尽可能的具体,这样可以减少需要加密的报文,从而减轻系统负担。特别需要注意的是,当对端ipc使用的是模版方式时,该acl必须要指定需要加密流的源ip,如果该ip是动态获得的可以指定该源ip会在的网段。否则ike协商第二阶段会不成功。
ike-peer a
proposal a
#
interface Dialer1
link-protocol ppp
ppp pap local-ur abc password simple abc
mtu 1450
ip address ppp-negotiate
dialer ur abc
dialer bundle 1
#
interface Ethernet0/0/0
pppoe-client dial-bundle-number 1
ip address 2.2.2.1 255.255.255.0
#
interface Ethernet0/0/1
ip address 6.6.6.6 255.255.255.0
#
interface Virtual-Template0
#
interface Virtual-Template1
#
interface Virtual-Template10
ppp authentication-mode pap
ppp pap local-ur huawei@huawei password simple huawei123
ip address 100.0.0.100 255.255.255.0 #该地址可以静态指定,也可以配置为ppp-negotiate让对端来分配。但是如果要让对端来分配,需要在对端的vt口上要指定分配用的地址池
call-lns local-ur huawei@huawei
ipc policy a #将ipc策略应用在vt接口上,说明是先做l2tp再做ipc
#
interface NULL0
#
acl number 3000
rule 5 permit ip source 120.120.1.0 0.0.0.255 destination 1.1.1.0 0.0.0.255
rule 10 permit tcp destination-port eq rtsp
rule 20 permit udp source 100.0.0.0 0.0.0.255 destination 100.0.0.1 0
rule 25 permit icmp source 100.0.0.0 0.0.0.255 #指定了源ip网段
acl number 3001
rule 10 permit tcp destination-port eq rtsp
acl number 3002
rule 5 permit ip
acl number 3999
rule 0 permit ip source 4.4.4.4 0 destination 6.6.6.6 0
rule 5 permit ip source 6.6.6.6 0 destination 4.4.4.4 0
#
firewall zone local
t priority 100
#
firewall zone trust
t priority 85
add interface Ethernet0/0/0
add interface Virtual-Template10 #如果l2tp LAC已经获得地址了,但是ping不通对端vt地址,那么检查下该vt接口是否已经加入域了,对应域间关系是否已经打开。
#
firewall zone untrust
t priority 5
#
firewall zone dmz
t priority 50
add interface Ethernet0/0/1
add interface Dialer1
#
firewall interzone local trust
#
firewall interzone local untrust
#
firewall interzone local dmz
packet-filter 3002 inbound
packet-filter 3002 outbound
