認(rèn)證-hcie-securityv1.0中文培訓(xùn)01課件

目標(biāo)學(xué)完本課程后，您將能夠:了解L2TP

的相關(guān)組件和工作原理；掌握L2TP

over

IPsec的工作原理；在USG系列設(shè)備上熟練配置L2TP

overIPsec；可以對(duì)L2TP

over

IPsec

進(jìn)行故障排查和解決問(wèn)題。1. L2TP

協(xié)議技術(shù)介紹L2TP

over

IPsec

實(shí)驗(yàn)演示Client-Initiated

場(chǎng)景L2TP

和排障L2TP

協(xié)議技術(shù)介紹VPDN（Virtual

PrivateDial-up

Network，虛擬私有撥號(hào)網(wǎng)）PPP

（Point

to

Point

Protocol）L2TP

協(xié)議技術(shù)介紹L2TP

協(xié)議介紹（Layer

2

Tunneling

Protocol，二層隧道協(xié)議）L2TP是IETF有關(guān)二層隧道協(xié)議的工業(yè)標(biāo)準(zhǔn)。L2TP源自于兩個(gè)老的PPP隧道協(xié)議Cisco的Layer

2

ForwardingProtocol（L2F）

和

的PPTP。L2TP自身不提供安全機(jī)制（

ity/authentication

），IPSec是保障L2TP安全性的首選，也就是L2TP

over

IPSec。L2TP所有數(shù)據(jù)都被封裝在UDP/1701內(nèi)。L2TP

協(xié)議組件用戶LAC（L2TP

Access

Concentrator，L2TP集中器）LNS（L2TP

Network

Server，L2TP網(wǎng)絡(luò)服務(wù)器）L2TP協(xié)議的封裝結(jié)構(gòu)L2TP和L2TP

over

IPsec封裝結(jié)構(gòu)L2TP和L2TP

over

IPsec封裝結(jié)構(gòu)L2TP控制消息和數(shù)據(jù)消息控制消息用于隧道和會(huì)話連接的建立、

以及傳輸控制?？刂葡⒌膫鬏斒强煽總鬏?，并且支持對(duì)控制消息的流量控制和擁塞控制。數(shù)據(jù)消息則用于封裝PPP幀并在隧道上傳輸。數(shù)據(jù)消息的傳輸是不可靠傳輸，如果數(shù)據(jù)報(bào)文丟失，不予重傳，不支持對(duì)數(shù)據(jù)消息的流量控制和擁塞控制。L2TP隧道和會(huì)話在LNS和LAC對(duì)之間存在著兩種類型的連接：隧道（Tunnel）連接：它定義了互相通信的兩個(gè)實(shí)體LNS和LAC。會(huì)話（Session）連接：它復(fù)用在隧道連接之上，用于表示承載在隧道連接中的每個(gè)PPP會(huì)話過(guò)程。L2TP的優(yōu)點(diǎn)靈活的

驗(yàn)證機(jī)制以及高度的安全性多協(xié)議傳輸支持RADIUS服務(wù)器的驗(yàn)證支持

地址分配網(wǎng)絡(luò)計(jì)費(fèi)的靈活性可靠性L2TP隧道模式USG有三種方式可以建立連接：NAS-InitializedClient-InitializedLAC自主撥號(hào)1.

L2TP

協(xié)議技術(shù)介紹L2TP

over

IPsec

實(shí)驗(yàn)演示Client-Initiated

場(chǎng)景L2TP

和排障Client-Initiated的L2TP直接由接入用戶（可為支持L2TP協(xié)議的PC）發(fā)起連接。此時(shí)接入用戶可直接向LNS發(fā)起隧道連接請(qǐng)求，無(wú)需再經(jīng)過(guò)一個(gè)單獨(dú)的LAC設(shè)備。接入用戶地址的分配由LNS來(lái)完成。由于LNS端需要為每個(gè)

用戶建立一條隧道，與NAS-Initiated

場(chǎng)景相比，LNS端配置更復(fù)雜一些。與其他兩種場(chǎng)景相比，其優(yōu)點(diǎn)在于接入用戶不受地域限制。此場(chǎng)景適用于出差員工使用PC、

等移動(dòng)設(shè)備接入總部服務(wù)器，實(shí)現(xiàn)移動(dòng)辦公。Client-Initiated隧道和會(huì)話的建立Client-Initiated組網(wǎng)數(shù)據(jù)封裝過(guò)程LNS服務(wù)器隧道L2TP封裝L2TP解封裝、PPP解封裝數(shù)據(jù)數(shù)據(jù)數(shù)據(jù)流方向報(bào)文PPP封裝接入用戶

LAC（PPPoE

Client）（PPPoE

Server）

L2TP數(shù)據(jù)私有IPPPP頭PPPoE頭以太網(wǎng)頭數(shù)據(jù)私有IP以太網(wǎng)頭數(shù)據(jù)私有IPPPP頭L2TP頭UDP頭公網(wǎng)IPClient-Initiated實(shí)驗(yàn)演示總部L2TP隧道G0/0/1.1G0/0/0.110.1.1.0/24.100.10202.100.2.0/24.254.254202.100.1.0/24配置相關(guān)參數(shù)L2TP屬性虛擬接口模板接口：Virtual-Template1IP地址池172.16.1.100

~

172.16.1.200PAP認(rèn)證方式chap隧道驗(yàn)證Admin@123用戶賬戶用戶名：user1：Password1用戶認(rèn)證方式本地認(rèn)證IKE安全參數(shù)協(xié)商模式野蠻模式預(yù)共享密鑰abcde認(rèn)證名字名字Client:

ClientLNS

:

LNSIPsec安全參數(shù)封裝模式隧道模式安全協(xié)議ESP封裝加密算法AES-256驗(yàn)證算法SHA1基本網(wǎng)絡(luò)配置()sysname

LNS#interface

GigabitEthernet

0/0/0

ip

address

10.1.1.1

255.255.255.0#interface

GigabitEthernet

0/0/1ip

address

202.100.2.1

255.255.255.0#ip

route-static

0.0.0.0

0.0.0.0

202.100.2.254L2TP基礎(chǔ)配置-1(LNS)aaaip

pool

1172.16.1.100172.16.1.200#interface

Virtual-Template1ip

address

172.16.1.1

255.255.255.0remote

address

pool

1ppp

authentication-mode

chapfirewall

zone

trustadd

interface

GigabitEthernet

0/0/0#firewall

zone

untrustadd

interface

GigabitEthernet

0/0/1add

interface

Virtual-Template

1Virtual-Template接口配置(LNS)配置接口加入安全區(qū)域(LNS)L2TP基礎(chǔ)配置-2(LNS)security

poicyrule

name

Trust_Untrust_L2TPsource-zone

trustsource-zone

untrustdestination-zone

trustdestination-zone

untrustsource-address

192.168.1.0

24source-address

10.1.1.024destination-address

192.168.1.024destination-address

10.1.1.024actionpermitsecurity

poicyrule

name

Local_Untrust_L2TPsource-zone

localsource-zone

untrustdestination-zone

localdestination-zone

untrustsource-address

202.100.1.1

32source-address

202.100.2.132destination-address

202.100.1.1

32destination-address

202.100.2.132action

permit配置Trust和Untrust域間

濾（LNS）配置Local和Untrust域間 濾（LNS）L2TP相關(guān)配置#開(kāi)啟L2TP功能l2tp

enable#創(chuàng)建并配置L2TP組。l2tp-group

1tunnel

name

LNSallow

l2tp

virtual-template

1undo

tunnel

authenticationaaalocal-userl2tpuser

password

cipherPassword1local-user

l2tpuser

service-type

pppL2TP相關(guān)配置（LNS）測(cè)試和驗(yàn)證[LAC]display

l2tp

tunnel04:00:37

2014/08/08Total

tunnel

=

1LocalTID

RemoteTID

RemoteAddress1

2

202.100.2.1

1701

1[LAC]display

l2tp

sessionPortSessions

RemoteNamelns04:01:01

2014/08/08Total

session

=

1LocalSID

RemoteSID

LocalTID12

2

1測(cè)試和驗(yàn)證(PC

總部Server)C:\>

10.1.1.10正在

10.1.1.10

具有

32字節(jié)的數(shù)據(jù):來(lái)自10.1.1.10

的回復(fù):字節(jié)=32時(shí)間=12ms

TTL=126來(lái)自10.1.1.10

的回復(fù):字節(jié)=32時(shí)間=1msTTL=126來(lái)自10.1.1.10

的回復(fù):字節(jié)=32時(shí)間<1msTTL=126來(lái)自10.1.1.10

的回復(fù):字節(jié)=32

時(shí)間<1ms

TTL=12610.1.1.10

的

統(tǒng)計(jì)信息:數(shù)據(jù)包:已發(fā)送=4，已接收=4，丟失=0(0%

丟失)，往返行程的估計(jì)時(shí)間(以毫秒為單位):最短=0ms，最長(zhǎng)=12ms，平均=3ms配置IPsec相關(guān)配置acl

3000rule

permit

udp

source-port

eq

1701ike

proposal

10authentication-method

pre-shareauthentication-algorithm

sha1encryption-algorithm

3des-cbc

dh

group2ike

peer

LACexchange-mode

aggressivelocal-id-type

fqdn

LNSremote-id-type

fqdn

Clientike-proposal

10pre-shared-key

abcde配置IPsec相關(guān)配置（LNS）ipsec

proposal

tran1encapsulation-mode

tunneltransform

espesp

authentication-algorithm

sha1esp

encryption-algorithm

aes-256ipsec

policy-templatemap_temp

1security

acl3000proposal

tran1ike-peer

LACipsecpolicy

map1

10

isakmptemplatemap_temp#interface

GigabitEthernet

0/0/1ipsec

policy

map1配置Win7上的Client的L2TP撥號(hào)配置Win7上的Client的L2TP撥號(hào)測(cè)試和驗(yàn)證[LNS]dis

l2tp

tunnel05:48:30

2014/08/10Total

tunnel

=

1LocalTID

RemoteTID

RemoteAddressPortSessions

RemoteName1

1

202.100.1.100609931

LNS[LNS]display

l2tp

session05:50:22

2014/08/10Total

session

=

1LocalSID

RemoteSID

LocalTID3

1

1L2TP

協(xié)議技術(shù)介紹L2TP

over

IPsec

實(shí)驗(yàn)演示L2TP

和排障L2TP相關(guān)狀態(tài)檢查命令操作命令查看L2TP會(huì)話信息display

l2tp

session查看L2TP隧道信息display

l2tp

tunnel查看所有

用戶的概要信息display

access-user查看VT接口的主要配置信息display

interface

virtual-template

virtual-template-number強(qiáng)制斷開(kāi)指定L2TP隧道reset

l2tp

tunnel

{

peer-nameremote-name

|

local-idtunnel-id

}操作命令打開(kāi)所有的L2TP調(diào)試信息debugging

l2tp

all打開(kāi)控制報(bào)文調(diào)試開(kāi)關(guān)debugging

l2tp

control打開(kāi)L2TP差錯(cuò)信息的調(diào)試debugging

l2tp

error打開(kāi)L2TP的事件調(diào)試信息debugging

l2tp

event打開(kāi)隱藏AVP的調(diào)試信息debugging

l2tp

hidden打開(kāi)L2TP數(shù)據(jù)報(bào)文調(diào)試開(kāi)debugging

l2tp

payloadL2TP相關(guān)調(diào)試Debuging命令操作命令打開(kāi)所有的L2TP調(diào)試信息debugging

l2tp

all打開(kāi)控制報(bào)文調(diào)試開(kāi)關(guān)debugging

l2tp

control打開(kāi)L2TP差錯(cuò)信息的調(diào)試debugging

l2tp

error打開(kāi)L2TP的事件調(diào)試信息debugging

l2tp

event打開(kāi)隱藏AVP的調(diào)試信息debugging

l2tp

hidden打開(kāi)L2TP數(shù)據(jù)報(bào)文調(diào)試開(kāi)debugging

l2tp

payloadPC通過(guò)L2TP撥號(hào)到LNS失敗的故障處理可能原因定位處理方法1：接入用戶PC與LNS之間路由不可達(dá)。在接入用戶PC上執(zhí)行命令

202.38.160.2，檢測(cè)與LNS是否連通。如果可以 通，請(qǐng)進(jìn)行其他項(xiàng)目的檢查。如果不能 通，說(shuō)明從LNS到接入用戶的路由配置錯(cuò)誤。請(qǐng)檢查路由的配置。2：L2TP隧道驗(yàn)證失敗。查看兩端是否均開(kāi)啟隧道驗(yàn)證，并設(shè)置了相同的隧道 。如果配置不一致，請(qǐng)?jiān)谝韵侣窂街行薷?。LNS側(cè)查看方法：1.選擇“網(wǎng)絡(luò)>L2TP>L2TP”。2.

選擇接受用戶撥號(hào)的LNS組，并查看“隧道 認(rèn)證”和“隧道 ”的設(shè)置。接入用戶PC的查看方法，以Secoway

Client

為例：1.

打開(kāi)Secoway

Client

，選中撥號(hào)連接，并單擊“屬性”。2.選擇“L2TP設(shè)置”頁(yè)簽，并查看“隧道驗(yàn)證”區(qū)域框的設(shè)置。如果兩端隧道驗(yàn)證的配置一致，請(qǐng)進(jìn)行其他項(xiàng)目的檢查。3：隧道名稱配置錯(cuò)誤。LNS側(cè)設(shè)置的“對(duì)端隧道名稱”是否和接入用戶端配置的“隧道名稱”一致，如果配置不一致，請(qǐng)?jiān)谝韵侣窂街行薷摹NS側(cè)查看方法：1.選擇“網(wǎng)絡(luò)>L2TP>L2TP”。2.選擇接受用戶撥號(hào)的LNS組，并查看“對(duì)端隧道名稱”的設(shè)置。接入用戶PC的查看方法，以Secoway

Client

為例：1.

打開(kāi)Secoway

Client

，選中撥號(hào)連接，并單擊“屬性”。2.選擇“L2TP設(shè)置”頁(yè)簽，在“基本信息”區(qū)域框中，查看“隧道名稱”的設(shè)置。如果兩端隧道名稱配置一致，請(qǐng)進(jìn)行其他項(xiàng)目的檢查。PC通過(guò)L2TP撥號(hào)到LNS失敗的故障處理可能原因定位處理方法4：接入用戶撥號(hào)的用戶名和LNS端配置的用戶名不一致，導(dǎo)致接入用戶PC無(wú)法從LNS地址池獲取IP地址。1.在LNS端選擇“網(wǎng)絡(luò)>L2TP>L2TP”。2.選擇接受用戶撥號(hào)的LNS組，并查看用戶組和用戶的配置。如果“用戶組”不為“default”，則接入用戶撥號(hào)使用的用戶名應(yīng)該帶有@。查看接入用戶撥號(hào)的用戶名是否和LNS端配置的用戶名一致。如果不一致，則修改用戶撥號(hào)使用的用戶名。如果接入用戶撥號(hào)的用戶名和LNS端配置的用戶名一致，請(qǐng)進(jìn)行其他項(xiàng)目的檢查。5：上線人數(shù)超過(guò)最大值，導(dǎo)致接入用戶PC無(wú)法從LNS地址池獲取IP地址。1.

在LNS端選擇“對(duì)象

>

用戶

>

用戶”。2.

在“ 用戶列表”中，查看位于此認(rèn)證域中的用戶數(shù)是否超出了地址 分配的地址數(shù)。選擇接受用戶撥號(hào)的LNS組，并查看“對(duì)端隧道名稱”的設(shè)置。如果位于此認(rèn)證域中的用戶數(shù)已超出了地址 分配的地址數(shù)，說(shuō)明上線人數(shù)已經(jīng)超過(guò)域最大用戶接入數(shù)。需要等待當(dāng)前L2TP用戶全部下線后，修改安全域最大用戶接入數(shù)，即擴(kuò)大地址池中地址的總數(shù)。PC通過(guò)L2TP方式撥號(hào)成功但業(yè)務(wù)不通可能原因定位處理方法1：接入用戶PC上沒(méi)有到達(dá)內(nèi)網(wǎng)服務(wù)器的默認(rèn)路由。撥號(hào)成功后，PC上會(huì)生成一條指向服務(wù)器地址（或撥號(hào)獲取到的IP地址）的默認(rèn)路由，即默認(rèn)網(wǎng)關(guān)。該默認(rèn)網(wǎng)關(guān)的作用是使得由PC發(fā)出的報(bào) 經(jīng)過(guò)撥號(hào)獲得的私網(wǎng)IP來(lái)封裝成L2TP報(bào)文，走L2TP隧道。但是有的PC撥號(hào)上線后沒(méi)有生成默認(rèn)網(wǎng)關(guān)（如雙網(wǎng)卡的PC或者因網(wǎng)卡驅(qū)動(dòng)實(shí)現(xiàn)不同等其他原因），因此沒(méi)有 內(nèi)網(wǎng)業(yè)務(wù)的路由。1.