组网图形

    

组网需求

  • 企业网络如图所示,企业希望公司外的移动办公用户能够通过L2TP VPN隧道访问公司内网的各种资源。

操作步骤

配置LNS

  • 1.配置接口IP地址,并将接口加入安全区域。
<LNS> system-view

[LNS] sysname LNS

[LNS] interface GigabitEthernet 1/0/1

[LNS-GigabitEthernet1/0/1] ip address 1.1.1.1 24

[LNS-GigabitEthernet1/0/1] quit

[LNS] firewall zone untrust

[LNS-zone-untrust] add interface GigabitEthernet 1/0/1

[LNS-zone-untrust] quit

[LNS] interface GigabitEthernet 1/0/2

[LNS-GigabitEthernet1/0/2] ip address 10.1.1.1 24

[LNS-GigabitEthernet1/0/2] quit

[LNS] firewall zone trust

[LNS-zone-trust] add interface GigabitEthernet 1/0/2

[LNS-zone-trust] quit
  • 2.配置地址池。

  如果真实环境中地址池地址和总部内网地址配置在了同一网段,则必须在LNS连接总部网络的接口上开启ARP代理功能,保证LNS可以对总部网络服务器发出的ARP请求进行应答。

[LNS] ip pool pool

[LNS-ip-pool-pool] section 1 172.16.1.2 172.16.1.100

[LNS-ip-pool-pool] quit
  • 3.配置业务方案。
[LNS] aaa

[LNS-aaa] service-scheme l2tp

[LNS-aaa-service-l2tp] ip-pool pool

[LNS-aaa-service-l2tp] quit
  • 4.配置认证域及其下用户。

  a. 配置认证域。

说明:

  如果需要对L2TP接入用户进行基于用户名的策略控制,认证域的接入控制必须包含internetaccess

[LNS-aaa] domain default

[LNS-aaa-domain-default] service-type l2tp

  b. 配置分支用户及其对应的用户组。

[LNS] user-manage group /default/research

[LNS-usergroup-/default/research] quit

[LNS] user-manage user user0001

[LNS-localuser-user0001] parent-group /default/research

[LNS-localuser-user0001] password Password123

[LNS-localuser-user0001] quit
  • 5.配置VT接口。
[LNS] interface Virtual-Template 1

[LNS-Virtual-Template1] ip address 172.16.1.1 24

[LNS-Virtual-Template1] ppp authentication-mode pap

[LNS-Virtual-Template1] remote service-scheme l2tp

[LNS-Virtual-Template1] quit

[LNS] firewall zone dmz

[LNS-zone-dmz] add interface Virtual-Template 1

[LNS-zone-dmz] quit
  • 6.配置L2TP Group。
[LNS] l2tp enable

[LNS] l2tp-group 1

[LNS-l2tp-1] allow l2tp virtual-template 1 remote client

[LNS-l2tp-1] tunnel authentication

[LNS-l2tp-1] tunnel password cipher Hello123

[LNS-l2tp-1] quit
  • 7.配置到Internet上的缺省路由,假设LNS通往Internet的下一跳IP地址为1.1.1.2。
[LNS] ip route-static 0.0.0.0 0.0.0.0 1.1.1.2
  • 8.配置LNS上的域间安全策略。

  # 配置trust与dmz之间的安全策略,允许移动办公用户访问总部内网以及总部内网访问移动办公用户的双向业务流量通过。

[LNS] security-policy

[LNS-policy-security] rule name service_td

[LNS-policy-security-rule-service_td] source-zone trust

[LNS-policy-security-rule-service_td] destination-zone dmz

[LNS-policy-security-rule-service_td] source-address 10.1.2.0 24

[LNS-policy-security-rule-service_td] destination-address 172.16.1.0 24

[LNS-policy-security-rule-service_td] action permit

[LNS-policy-security-rule-service_td] quit

[LNS-policy-security] rule name service_dt

[LNS-policy-security-rule-service_dt] source-zone dmz

[LNS-policy-security-rule-service_dt] destination-zone trust

[LNS-policy-security-rule-service_dt] source-address 172.16.1.0 24

[LNS-policy-security-rule-service_dt] destination-address 10.1.2.0 24

[LNS-policy-security-rule-service_dt] action permit

[LNS-policy-security-rule-service_dt] quit

  # 配置从untrust到local方向的安全策略,允许L2TP报文通过。

[LNS-policy-security] rule name l2tp_ul

[LNS-policy-security-rule-l2tp_ul] source-zone untrust

[LNS-policy-security-rule-l2tp_ul] destination-zone local

[LNS-policy-security-rule-l2tp_ul] destination-address 1.1.1.0 24

[LNS-policy-security-rule-l2tp_ul] action permit

[LNS-policy-security-rule-l2tp_ul] quit

 配置移动办公用户侧的SecoClient。

  • 1.打开SecoClient,进入主界面。

  在“连接”对应的下拉列表框中,选择“新建连接”。

    

  • 2.配置L2TP VPN连接参数。

  在“新建连接”窗口左侧导航栏中选中“L2TP/IPSec”,并配置相关的连接参数,然后单击“确定”。隧道验证密码是Hello123。

    

  • 3.登录L2TP VPN网关。

   a.在“连接”下拉列表框中选择已经创建的L2TP VPN连接,单击“连接”。

    

  b.在登录界面输入用户名、密码。

    

  c.单击“登录”,发起VPN连接。

  VPN接入成功时,系统会在界面右下角进行提示。连接成功后移动办公用户就可以和企业内网用户一样访问内网资源了。

    

 结果验证

  • 1.移动办公用户可正常访问总部内网服务器。
  • 2.在LNS上查看L2TP隧道的建立情况,此处以LNS为例。

  a.执行display l2tp tunnel命令,查看到有L2TP隧道信息,说明L2TP隧道建立成功。

[LNS] display l2tp tunnel

L2TP::Total Tunnel: 1 

 LocalTID RemoteTID RemoteAddress    Port   Sessions RemoteName  VpnInstance

 ------------------------------------------------------------------------------

 2        1         2.2.2.2          61535   1         client

 ------------------------------------------------------------------------------

  Total 1, 1 printed

  b.执行display l2tp session命令,查看到有L2TP会话信息,说明L2TP会话建立成功。

[LNS] display l2tp session

L2TP::Total Session: 1

  LocalSID  RemoteSID  LocalTID   RemoteTID  UserID  UserName    VpnInstance

 ------------------------------------------------------------------------------

  119       32         2           1         9689    user0001

 ------------------------------------------------------------------------------

  Total 1, 1 printed

HUAWEI防火墙通过L2TP隧道让外出员工访问公司内网的各种资源的更多相关文章

  1. 思科,华为l2tp组网,家庭宽带,公司内网数据分离

    拓扑 简介 办公网使用专线接入,拥有固定IP地址,网络出口使用防火墙做NAT,下联交换机接入服务器,办公电脑等,旁挂思科路由器做L2TP LNS 家庭宽带使用ADSL线路,华为路由器做拨号设备与DHC ...

  2. IPsecVPN:阿里云VPN网关和深信服防火墙打通公有云和公司内网

    简介 目前许多公司网络环境为混合云(私有云,IDC,公司内网融合)的状态,通过内网ip的访问使得工作更加方便,需求也更为迫切,而本文介绍的即是实现私有云和公司内网互通的一种方法,希望对有此需求的小伙伴 ...

  3. 公司内网Debian Server上的openvpnserver搭建并通过SSH隧道转发到广域网

    因为戴维营公司在长沙的学员,研发人员和北京的研发人员须要协同研发,故须要让北京的兄弟们增加到长沙办公室的内网,訪问版本号 管理server,于是採用在内网server上搭建一个OpenVPN服务,并把 ...

  4. 内网隧道与SOCKS代理思路总结

    早就想总结一下这部分内容了,总是有其他事情卡住,一直拖到现在 内网中有很多边界设备,比如防火墙.这种边界设备会控制内部主机的对外连接,一般会仅允许某些种类的端口开放或某种数据流量出入 这就意味着我们只 ...

  5. AUTOSSH设置ssh隧道,实现反向代理访问内网主机

    内网主机上配置: autossh -M -CNR :localhost: ubuntu@123.207.121.121 可以实现将访问主机123.207.121.121的1234端口的数据,通过隧道转 ...

  6. 在linux下搭建l2tp隧道

    搭一个l2tp隧道,拓扑如下 两台机器是CentOS5,内核选上CONFIG_LEGACY_PTYS选项后自己编译的,l2tp是已经停更的l2tpd-0.69.先在LS上配置IP地址,iptables ...

  7. 利用SSH反向隧道,连接内网服务器

    前言 公司有一台文件服务器(内部使用,无外网IP),上面主要安装了SVN服务,用来存储和共享各部门的文档,因为都是内网,直接远程(mstsc)上去就可以方便维护,但最近公司租了新的办公室,部分员工被分 ...

  8. 利用SSH隧道技术穿越内网访问远程设备

    本文为作者原创,转载请注明出处:https://www.cnblogs.com/leisure_chn/p/11899478.html 通常,我们用于调试的计算机无法远程访问位于局域网中的待调试设备. ...

  9. cisco asa 5525 思科防火墙设置拨号访问内网以及外网

    WZ-2A10-SAS5525-0938# show running-config : Saved : : Serial Number: FCH17307098 : Hardware: ASA5525 ...

随机推荐

  1. 手写Spring DI依赖注入,嘿,你的益达!

    目录 提前实例化单例Bean DI分析 DI的实现 构造参数依赖 一:定义分析 二:定义一个类BeanReference 三:BeanDefinition接口及其实现类 四:DefaultBeanFa ...

  2. 07_利用pytorch的nn工具箱实现LeNet网络

    07_利用pytorch的nn工具箱实现LeNet网络 目录 一.引言 二.定义网络 三.损失函数 四.优化器 五.数据加载和预处理 六.Hub模块简介 七.总结 pytorch完整教程目录:http ...

  3. Css预编语言以及区别

    一.是什么 Css 作为一门标记性语言,语法相对简单,对使用者的要求较低,但同时也带来一些问题 需要书写大量看似没有逻辑的代码,不方便维护及扩展,不利于复用,尤其对于非前端开发工程师来讲,往往会因为缺 ...

  4. 0609-搭建ResNet网络

    0609-搭建ResNet网络 目录 一.ResNet 网络概述 二.利用 torch 实现 ResNet34 网络 三.torchvision 中的 resnet34网络调用 四.第六章总结 pyt ...

  5. [Web] 通用轮播图代码示例

    首先是准备好的几张图片, 它们的路径是: "img/1.jpg", "img/2.jpg", "img/3.jpg", "img/ ...

  6. 【synchronized锁】通过synchronized锁 反编译查看字节码指令分析synchronized关键字修饰方法与代码块的区别

    前提: 首先要铺垫几个前置的知识: Java中的锁如sychronize锁是对象锁,Java对象头中具有标识位,当对象锁升级为重量级锁时,重量级锁的标识位会指向监视器monitor, 而每个Java对 ...

  7. hdu4530 水题

    题意: 小Q系列故事--大笨钟 Time Limit: 600/200 MS (Java/Others) Memory Limit: 65535/32768 K (Java/Others) Total ...

  8. POJ 3301 三分(最小覆盖正方形)

    题意:      给你n个点,让你找一个最小的正方形去覆盖所有点.思路:       想一下,如果题目中规定正方形必须和x轴平行,那么我们是不是直接找到最大的x差和最大的y差取最大就行了,但是这个题目 ...

  9. Iptables防火墙实验

    先说明一下环境,这里有四台主机,中间的Centos充当防火墙.右上角的win XP和右下角的Rhel7充当服务器,最左边的win7充当主机.四者之间的网卡都已经配置好.而且我们已经在Centos6.5 ...

  10. 微信小程序支付功能完整流程

    支付流程 整个支付流程分为四个步骤: 获取令牌token 创建订单 预支付,获取支付参数对象pay 发起微信支付 收尾工作.跳转到订单页面,删除购物车中已购买的商品 请求方式:POST 整个支付过程中 ...