網絡運維|L2TP和IPSec的結合來用
2020-06-14 21:50 作者:admin
網絡運維|L2TP和IPSec的結合來用
大家好,我是一枚從事IT外包的網絡安全運維工程師,今天和大家分享的是網絡安全設備維護相關的內容,在這里介紹下L2TP和IPSec結合使用的意義,網絡安全運維,從Web管理輕松學起,一步一步學成網絡安全運維大神。網絡維護是一種日常維護,包括網絡設備管理(如計算機,服務器)、操作系統維護(系統打補丁,系統升級)、網絡安全(病毒防范)等。+
北京艾銻無限科技發展有限公司為您免費提供給您大量真實有效的北京網絡維護服務,北京網絡維修信息查詢,同時您可以免費資訊北京網絡維護,北京網絡維護服務,北京網絡維修信息。專業的北京網絡維護信息就在北京艾銻無限+
+
北京網絡維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網絡維護信息
L2TP over IPSec
L2TP over IPSec,即先用L2TP封裝報文后再用IPSec封裝,這樣可以綜合兩種VPN的優勢,通過L2TP實現用戶驗證和地址分配,并利用IPSec保障安全性。配置L2TP over IPSec
本節介紹L2TP over IPSe方式的IPSec策略的配置方法。配置L2TP over IPSec策略
L2TP over IPSec是IPSec應用中一種常見的擴展方式,它可以綜合兩種VPN的優勢,通過L2TP實現用戶驗證和地址分配,并利用IPSec保障安全性。目前設備作為LNS側建立L2TP over IPSec隧道的配置已經和IPSec的配置進行了融合,您既可以在“VPN > L2TP over IPSec > L2TP over IPSec”中直接新建L2TP over IPSe方式的IPSec策略,也可以在“VPN > IPSec > IPSec”中選擇新建“場景”為“點到多點”,“對端接入類型”為“L2TP over IPSec客戶端”的IPSec策略。
這兩種方式新建的策略都屬于IPSec策略,都集中在“VPN > IPSec > IPSec”中供管理員查看和修改,在“VPN > IPSec > 監控”中供管理員監控和維護。
設備作為LAC側建立L2TP over IPSec隧道則需要分別在“VPN > IPSec > IPSec”中新建一個“場景”為“點到點”的IPSec隧道,以及在“VPN > L2TP > L2TP”中建立一個L2TP隧道。配置時注意以下幾點就可以保證兩條策略的自動關聯:
· L2TP策略中的“服務器地址”參數與IPSec策略中“對端地址”參數保持一致。
· 為了保證數據流正確進入隧道,建議詳細指定待加密數據流的信息。在LAC側的IPSec策略中,待加密的數據流的“源地址”配置為L2TP隧道所使用的出接口的IP地址,“目的地址”配置為L2TP策略的“服務器地址”,“協議”配置為“UDP”,“目的端口”配置為“1701”。
關于L2TP over IPSec應用場景的詳細信息請參見移動用戶遠程接入VPN。以下將介紹設備作為LNS側,在“VPN > L2TP over IPSec > L2TP over IPSec”中新建L2TP over IPSec方式的IPSec策略的配置步驟。在“VPN > IPSec > IPSec”中新建L2TP over。兩個位置的配置方法基本相同。
1. 選擇“VPN > L2TP over IPSec > L2TP over IPSec”。
2. 單擊“新建”,建立一條IPSec策略。
3. 配置雙方相互校驗的校驗參數。
為了保證IPSec隧道的安全性,必須防止非法客戶端接入,因此需要通過一系列參數來對對端的合法性進行校驗。同時為了通過對端的合法性校驗,本端也需要提供一些相應的參數。
4. 可選:配置接入客戶端的用戶/用戶組信息。
當“對端接入類型”勾選了“L2TP over IPSec客戶端”或“IKE V2客戶端”時會出現本配置項。只有這兩種類型的接入客戶端才可以進行用戶認證。
如果用戶組尚未創建好,可以從下拉列表中選擇“新建用戶組”按鈕立即新建一個用戶組。
如果需要向現有用戶組中添加用戶,可以單擊“用戶組”右側的“配置”按鈕對用戶組進行修改。
在彈出的“新建用戶組”或“修改用戶組”對話框中,單擊“本地用戶列表”中的“新建”按鈕,可以立即在該組中新建用戶。
5. 配置待加密的數據流。
本場景中,系統會自動匹配需要加密的數據流,不需要配置“待加密的數據流”。
根據需要可以選擇配置是否進行“反向路由注入”。開啟“反向路由注入”后,設備將把到達對端保護的網段的路由自動引入到路由表,從而不用管理員手工配置路由。此功能一般在與多個分支對接的總部網關上配置。
輸入注入路由的“優先級”,從而更靈活地應用路由管理策略。例如,如果設備上還有其它方式配置的到達相同目的地址的路由,可以為它們指定相同優先級來可實現負載分擔,也可指定不同優先級來實現路由備份。
6. 可選:配置安全提議中高級參數。
· 通常如果需要支持的終端類型特別多,可以不在總部側限定允許接入的安全提議參數。此時只需要勾選“安全提議”中“接受對端提議”即可保證總部與所有客戶端之間正常建立隧道。勾選之后表示如果對端發起隧道建立請求,本端完全接受對端提議的算法參數,以保證隧道協商成功。此時的隧道安全性由對端配置決定,本端不需要配置高級參數。
· 如果總部對安全提議有特殊要求,則可以調整本端的對應參數以保證安全性。
取消勾選“安全提議”中“接受對端提議”,展開“高級”。
其中算法類參數所提供的多個選擇,在列表中位置越高,代表其安全性越高。如果該參數支持多選,那么實際協商時將根據參數在列表中位置從高到低依次嘗試,直至協商成功。
7. 單擊“應用”,新配置的IPSec策略將出現在“VPN > IPSec > IPSec”的策略列表中。
查看當前配置支持接入的設備類型
由于在IPSec的協商過程中,雙方參數的一致性非常重要,所以設備提供了“推薦對端配置”功能。此功能可以列出能夠協商成功的對端配置,可以導出該配置發送給對端網關的管理員參考配置。1. 在IPSec策略的“新建”和“修改”界面,點擊位于界面右側中間位置的“推薦對端配置”按鈕。
2. 在界面右側會展開顯示推薦對端配置的簡要信息。單擊展開區域右上角的“導出”按鈕,將詳細配置介紹導出成網頁文件保存至本地。
3. 將導出的網頁文件發送給對端網管的管理員參考。
以上文章由北京艾銻無限科技發展有限公司整理
相關文章
IT電腦維護外包
關閉