收藏
下载资源

华为防火墙l2tp配置

上传人:re****.1 文档编号:493975222 上传时间:2023-08-08 格式:DOCX 页数:8 大小:169.27KB
返回 下载 相关 举报
华为防火墙l2tp配置_第1页
第1页 / 共8页
华为防火墙l2tp配置_第2页
第2页 / 共8页
华为防火墙l2tp配置_第3页
第3页 / 共8页
华为防火墙l2tp配置_第4页
第4页 / 共8页
华为防火墙l2tp配置_第5页
第5页 / 共8页
点击查看更多>>
资源描述

《华为防火墙l2tp配置》由会员分享,可在线阅读,更多相关《华为防火墙l2tp配置(8页珍藏版)》请在金锄头文库上搜索。

1、配置 Client-Initialized 方式的 L2TP 举例组网需求如图i所示,某公司的网络环境描述如下: 公司总部通过USG5300与Internet连接。 出差员工需要通过USG5300访问公司总部的资源。图1配置Client-Initialized方式的L2TP组网图囹 1SCliBiit-Init ial i zed 方式的 L2TP 组网图L2TP Tunnel192168.0.0/2配置L2TP,实现出差员工能够通过L2TP隧道访问公司总部资源,并与公司总部用户进行 通信。配置思路1配置客户端。2根据网络规划为防火墙分配接口,并将接口加入相应的安全区域。3 配置防火墙策略。4

2、 配置LNS。数据准备为完成此配置例,需准备如下的数据 防火墙各接口的IP地址。 本地用户名和密码。操作步骤配置客户端。说明:如果客户端的操作系统为Windows系列,请首先进行如下操作。1在“开始 运行”中,输入regedit命令,单击“确定”,进入注册表编辑器。1 在界面左侧导航树中,定位至 “我的电脑 HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Services Rasman Parameters” 。在该路径下右 侧界面中,检查是否存在名称为ProhibitIpSec、数据类型为DWORD的键值。 如果不存在,请单击右键,选择 “新建 DWO

3、RD 值”,并将名称命名为 ProhibitIpSec。如果此键值已经存在,请执行下面的步骤。1选中该值,单击右键,选择修改”,编辑DWORD值。在“数值数据”文本框 中填写1,单击“确定”。1重新启动该PC,使修改生效。此处以 Windows XP Professional 操作系统为例,介绍客户端的配置方法。# 客户端主机上必须装有 L2TP 客户端软件,并通过拨号方式连接到 Internet。# 配置客户端计算机的主机名为 client1。# 创建 L2TP 连接。1 打开“我的电脑 控制面板 网络连接”,在“网络任务”中选择“创建一个 新的连接”,在弹出的界面中选择“下一步”。1 在“

4、网络连接类型”中选择“连接到我的工作场所的网络”,单击“下一步”。1 在“网络连接”中选择“虚拟专用网络连接”,单击“下一步”。1 在“连接名”下的“公司名”文本框中设置公司名称或 VPN 服务器名称,本例 设置为LNS,单击“下一步”。1 在“公用网络”中选择“不拨初始连接”,单击“下一步”。1 在“VPN服务器选择”中填写LNS的IP地址,此处设置的IP地址为USG5300 与Internet连接接口的IP地址,本配置例中为202.38.161.1,单击“下一步”。1 将“在我的桌面上添加一个到此连接的快捷方式”选中,单击“完成”。在弹出的对话框中,输入在LNS上配置的用户名和密码,单击“

5、属性”,如图2所示。图2连 接LNSm2连接皿厂封下面用戶保存用戶名和密码:席只是我皿广任何使用此计宜机的人连援 取消 |;1!EEQ|帮助单击“属性”,设置如图3所示。图3设置LNS属性的选项页签圏d设養口厲性的选项页签UIS厘性常规 选项妾全I网络I高级拨号选项Y连接时显示连接讲疑辺) 提示名称、密码和证书等世) 包含WindQffs登录域址)重拨这数翅;挂斷前的空闲时间追):重拨间隔(T):rzilZzj 职消单击“安全”页签,选择“高级(自定义设置)”,单击“设置”,如图4所示。图4设置LNS属 性的安全页签厂要求数据加密澱:有就斷开X要使用这些设直需要有安全抄议的知课确定取消在“高级

6、安全设置”中设置如图5所示,单击“确定”。图5高级安全设置厂髒髓制心品和飙哄金高级倍定义设置)0囹理设蚩L刖厲性的安全页签常规丨选项 安全|网络丨高级|安全选顶广典型淞祥设置)CTJIFSec 设置(). |图5高级安全设畫单击“网络”页签,设置如图6所示。图6设置LNS的网络页签7疋数据加甕.:|不允许协密迪口果它需要协密服务器将斷开连接)登录安全措施C俊用可扩展胡身岗趟证协议(EAF)也)I3厘悝 I 总强许越协缪r邱加密的密码(fat厂Shiva密码身穩验证谢邊(sifA?J7质询握手身卷验证tiRCHAT)(jC?r Microsoft CHAT S-CHAP).)C允许为din讪鈕

7、服务器使用旧版MS-CKAFCtf厂 liicross ft CJLAF 版本 2 (JflS-CW 吃)厂:附基于胎-世的碱自訪便用警前Wiitds登录名和药黑 限域如果有的话-匚邂匱|取消|高級安全邊置r Internet 囲谑(TCF/IF)图白设费L昭的网络页签常规|选项|安全 岡络高级|V?U类型退):fL2TP IPSe ra习设置朋此速接使用下列顶目直:HjPQoS数据包计划程序 0MicrcS:p七网络的文件和打E卩机英享 1 Mi cr&s o七岡络客戶请安装皿| 卸载助 | 犀性亠描TCt EP是默认的广域网协观.它提供跨毬多沖宜联网 络的通讯确定取消单击“确定”,完成设置

8、,返回至图2。单击“确定”,发起L2TP连接。 配置LNS。#创建虚拟接口模板。 system-viewUSG5300 interface Virtual-Template 1 #配置虚拟接口模板的IP地址。USG5300-Virtual-Template1ip address 10.1.1.1 24 # 配置 PPP 认证方式为 CHAP。USG5300-Virtual-Template1ppp authentication-mode chap # 配置为对端分配 IP 地址池中的地址。USG5300-Virtual-Template1remote address pool 1USG5300

9、-Virtual-Template1quit说明:此处指定的地址池号需要与AAA视图下配置的地址池的相对应。# 配置接口 GigabitEthernet 0/0/1的 IP 地址。USG5300 interface GigabitEthernet 0/0/1 USG5300-GigabitEthernet0/0/1 ip address 202.38.161.1 24 USG5300-GigabitEthernet0/0/1 quit# 将接口 GigabitEthernet 0/0/1、虚拟接口模板加入 Untrust 区域。 USG5300 firewall zone untrust US

10、G5300-zone-untrust add interface GigabitEthernet 0/0/1 USG5300-zone-untrust add interface Virtual-Template 1 USG5300-zone-untrust quit# 配置接口 GigabitEthernet 0/0/2的 IP 地址。 USG5300 interface GigabitEthernet 0/0/2 USG5300-GigabitEthernet0/0/2 ip address 192.168.0.1 24 USG5300-GigabitEthernet0/0/2 quit#

11、 将接口 GigabitEthernet 0/0/2加入 Trust 区域。 USG5300 firewall zone trust USG5300-zone-trust add interface GigabitEthernet 0/0/2 USG5300-zone-trust quit# 在 Trust 和 Untrust 域间配置防火墙策略。 USG5300 policy interzone trust untrust inbound USG5300-policy-interzone-trust-untrust-inbound policy 1 USG5300-policy-interz

12、one-trust-untrust-inbound-1 action permit USG5300-policy-interzone-trust-untrust-inbound-1 quit USG5300-policy-interzone-trust-untrust-inbound quit USG5300 policy interzone trust untrust outbound USG5300-policy-interzone-trust-untrust-outbound policy 1 USG5300-policy-interzone-trust-untrust-outbound

13、-1 action permit USG5300-policy-interzone-trust-untrust-outbound-1 quit USG5300-policy-interzone-trust-untrust-outbound quit# 在 Local 和 Untrust 域间配置防火墙策略。 USG5300 policy interzone local untrust inbound USG5300-policy-interzone-local-untrust-inbound policy 1 USG5300-policy-interzone-local-untrust-inb

14、ound-1 action permit USG5300-policy-interzone-local-untrust-inbound-1 quit USG5300-policy-interzone-local-untrust-inbound quit USG5300 policy interzone local untrust outbound USG5300-policy-interzone-local-untrust-outbound policy 1 USG5300-policy-interzone-local-untrust-outbound-1 action permit USG5

15、300-policy-interzone-local-untrust-outbound-1 quit USG5300-policy-interzone-local-untrust-outbound quit说明:由于LNS需要为拨号用户分配IP地址,使拨号用户能够访问内网资源,同时 需要允许虚拟接口模板所在的安全区域与Local安全区域的互通,因此需要配置上述两个域 间的防火墙策略。# 开启 L2TP 功能。 USG5300 l2tp enable# 创建 L2TP 组。 USG5300 l2tp-group 10 # 配置 L2TP 隧道本端名称为 lns。USG5300-l2tp10 tunnel name lns# 配置 LNS 端接受客户端呼叫时使用的虚拟接口模板。USG5300-l2tp10

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文 > 其它学术论文

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号