您当前的位置:首页 > 电脑百科 > 安全防护 > 软件工具

H3C 防火墙 L2TP Tunnel搭建

时间:2020-07-09 13:59:46  来源:  作者:

一、H3C VPDN

VPDN(Virtual Private Dial-up Network,虚拟专用拨号网络)是指利用公共网络(如ISDN或PSTN)的拨号功能接入公共网络,实现虚拟专用网,从而为企业、小型ISP、移动办公人员等提供接入服务。即VPDN为远端用户与私有企业网之间提供了一种经济而有效的点到点连接方式。

二、LAC、LNS

L2TP: Layer 2 Tunnel Protocol 二层隧道协议,是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议.

特性:

  • 灵活的身份验证机制以及高度的安全性
  • 多协议传输
  • 支持RADIUS服务器的验证
  • 支持内部地址分配
  • 网络计费的灵活性
  • 可靠性

VPDN采用隧道协议在公共网络上为企业建立安全的虚拟专网。企业驻外机构和出差人员可从远程经由公共网络,通过虚拟隧道实现和企业总部之间的网络连接,而公共网络上其它用户则无法穿过虚拟隧道访问企业网内部的资源。

VPDN隧道协议主要包括以下三种:

· PPTP(Point-to-Point Tunneling Protocol,点到点隧道协议)

· L2F(Layer 2 Forwarding,二层转发)

· L2TP(Layer 2 Tunneling Protocol,二层隧道协议)

L2TP结合了L2F和PPTP的各自优点,是目前使用最为广泛的VPDN隧道协议。

L2TP(RFC 2661)是一种对PPP链路层数据包进行封装,并通过隧道进行传输的技术。L2TP允许连接用户的二层链路端点和PPP会话终点驻留在通过分组交换网络连接的不同设备上,从而扩展了PPP模型,使得PPP会话可以跨越分组交换网络,如Internet。

H3C 防火墙 L2TP Tunnel搭建

 

L2TP发起远程连接有两种,一种是用户发起连接,另外一种是LAC NAS发起连接。

  比较简单,用户直接向LNS发起连接请求,不需要LAC的支持

LAC发起连接。

  LAC根据VPN用户指定的地址,向LNS发起连接,流程比较复杂

LAC 和LNS之间可以进行验证。

LAC: L2TP Access Concentrator L2TP的接入集中器

NAS服务器发起VPDN连接

NAS(Network Access Sever,网络接入服务器)通过使用VPDN隧道协议,将客户的PPP连接直接连接到企业的VPDN网关上,从而与VPDN网关建立隧道。NAS与VPDN网关建立虚拟隧道对于用户是透明的。用户只需要登录到NAS就可以通过虚拟隧道接入企业内部网络。用户只能在连接到NAS以下的网络中,有地点限制。

用户发起VPDN连接

客户端一VPDN网关建立隧道。这种方式由客户端先与intenet联网,然后通过专用的软件或支持L2TP的客户端与VPND网关建立隧道连接。用户上网方式和地点没有限制。

VPDN网关,一般使用的是路由器或VPN专用服务器。

LNS: L2TP Network Server L2TP的网络服务器

LNS是具有PPP和L2TP协议处理能力设备,通常位于企业内部边缘。

LNS作为L2TP隧道的另一侧端点,是LAC通过隧道传输PPP会话的逻辑终点。L2TP通过在公共网络中建立L2TP隧道,将远端系统的PPP连接由原来的NAS延伸到了企业内部网络的LNS设备。

远端系统

远端系统是要接入企业内部网络的用户和远端分支机构,通常是一个拨号用户电脑或私有网络中的一台路由器或服务器。

三、实施过程

VPN用户访问公司总部过程如下:

(1) 用户首先连接Internet,之后直接由用户向LNS发起Tunnel连接的请求。

(2) 在LNS接受此连接请求之后,VPN用户与LNS之间就建立了一条虚拟的L2TP tunnel。

(3) 用户与公司总部间的通信都通过VPN用户与LNS之间的隧道进行传输。

H3C 防火墙 L2TP Tunnel搭建

 

对于NAS-Intiated模式,需要配置LAC和LNS两台网络设备;对于Client-Initiated模式,只需要配置LNS一台网络设备。Web目前仅支持配置设备作为LNS端。

1、启用L2TP VPDN功能。

H3C 防火墙 L2TP Tunnel搭建

 

2、已勾选。

H3C 防火墙 L2TP Tunnel搭建

 

3、组类型选择LNS,L2TP组号为1,本端隧道名称为LNS。PPP认证方式选择CHAP认证,PPP服务器地址:192.168.10.1,子网掩码为:255.255.255.0,用户地址池:192.168.10.2-192.168.10.40。

H3C 防火墙 L2TP Tunnel搭建

 

4、L2TP中LNS创建成功。

H3C 防火墙 L2TP Tunnel搭建

 

5、在IP选项中,多出一个虚拟接口IP地址,192.168.10.1这个地址PPP服务器地址。

H3C 防火墙 L2TP Tunnel搭建

 

6、在对象中,添加L2TP用户。

H3C 防火墙 L2TP Tunnel搭建

 

7、输入用户名和密码,选择PPP接入服务。

H3C 防火墙 L2TP Tunnel搭建

 

8、用户已创建完成。

H3C 防火墙 L2TP Tunnel搭建

 

9、需要将创建的VPDN的虚拟接口加入Untrust中。

H3C 防火墙 L2TP Tunnel搭建

 

10、在Untrust域中,添加VT1虚拟VPND接口。

H3C 防火墙 L2TP Tunnel搭建

 

11、已经加入到Untrust域中,为什么要加入Untrust呢?因为电脑都是是外部拨号进入到公司内网,肯定是加入到Untrust域。

H3C 防火墙 L2TP Tunnel搭建

 

四、客户端拨号测试

1、创建VPN客户端(略)。

H3C 防火墙 L2TP Tunnel搭建

 

2、输入外网IP地址,开始拨号,拨号成功。

H3C 防火墙 L2TP Tunnel搭建

 


H3C 防火墙 L2TP Tunnel搭建

 

3、使用Ipconfig可以看到PPP拨号所得的IP地址。

H3C 防火墙 L2TP Tunnel搭建

 

4、去ping两个DMZ中的服务器,发现都可以正常ping通。

H3C 防火墙 L2TP Tunnel搭建

 

5、如何只让访问其中一个DMZ,172.30.12.0网段服务器,拒绝访问另外一个DMZ服务器172.30.11.0网段服务器。

H3C 防火墙 L2TP Tunnel搭建

 

6、新增安全策略,untrust-DMZ拒绝。

H3C 防火墙 L2TP Tunnel搭建

 

7、添加完拒绝策略后,开始测试。

H3C 防火墙 L2TP Tunnel搭建

 

8、发现172.30.11.0网段还是可以ping通。

H3C 防火墙 L2TP Tunnel搭建

 

9、发现是由于安全拒绝策略没有上移,开始上移。

H3C 防火墙 L2TP Tunnel搭建

 

10、上移策略成功,策略都是从上往上匹配执行。如果上一条符合规则,就不会在继续往下执行。

H3C 防火墙 L2TP Tunnel搭建

 

11、上移后,点“立即加速”,使安全策略快速生效。

H3C 防火墙 L2TP Tunnel搭建

 

12、点击是。

H3C 防火墙 L2TP Tunnel搭建

 

13、点击提交。

H3C 防火墙 L2TP Tunnel搭建

 

14、再次测试,发现VPDN拨上来的电脑,无法访问172.30.11.0网段服务器。

H3C 防火墙 L2TP Tunnel搭建

 

15、当成功拨号后,可以看到虚拟端口从Down状态,变成了up状态。

H3C 防火墙 L2TP Tunnel搭建

 

16、在L2tp隧道信息中,可以看到成功拨号的设备。

H3C 防火墙 L2TP Tunnel搭建

 

17、配置完成后,点击右上角,保存配置信息。

H3C 防火墙 L2TP Tunnel搭建

 



Tags:H3C 防火墙   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、H3C VPDNVPDN(Virtual Private Dial-up Network,虚拟专用拨号网络)是指利用公共网络(如ISDN或PSTN)的拨号功能接入公共网络,实现虚拟专用网,从而为企业、小型ISP、移动办公人员...【详细内容】
2020-07-09  Tags: H3C 防火墙  点击:(432)  评论:(0)  加入收藏
▌简易百科推荐
已经观察到一种新的基于JavaScript的远程访问木马(RAT)利用社会工程学传播,采用隐蔽的"无文件"技术作为其逃避检测和分析的方法。该恶意软件由Prevalyion的对抗性反情报团队(PA...【详细内容】
2021-12-17  网安老葫    Tags:恶意软件   点击:(13)  评论:(0)  加入收藏
关于windows Defender防病毒的问题升级win10后,我们会经常遇到打开或下载文件时弹出提示框提示你下载的文件是病毒之类,直接给你删除。你好不容易找了个激活工具,你刚打开发现...【详细内容】
2021-11-08  IT小哥吧    Tags:defender   点击:(47)  评论:(0)  加入收藏
喽!大家好,我是小易,欢迎来到我的知识分享站!今天给大家分享5个杀毒神器,让你的电脑干干净净,建议收藏起来哟! 1、Windows Defender随着Win10系统的更新已经日趋完善,它可以很好的解...【详细内容】
2021-11-08  知识与技能    Tags:流氓软件   点击:(74)  评论:(0)  加入收藏
介绍其实Iptables服务不是真正的防火墙,只是用来定义防火墙规则功能的"防火墙管理工具",将定义好的规则交由内核中的netfilter即网络过滤器来读取,从而真正实现防火墙功能。fil...【详细内容】
2021-10-18  互联网IT技术全栈    Tags:   点击:(52)  评论:(0)  加入收藏
什么是Nessus?Nessus 是目前全世界最多人使用的系统漏洞扫描与分析软件。总共有超过75,000个机构使用Nessus 作为扫描该机构电脑系统的软件步骤如下:查看当前kali系统内核版本...【详细内容】
2021-09-09  TestGO    Tags:Nessus   点击:(112)  评论:(0)  加入收藏
http 头部信息http头部信息经常包含着主机服务的一些版本信息,经常使用的字段信息有:Server, X-Powered-By, X-AspNet-Version工具可采用curl进行curl --location --head $URL...【详细内容】
2021-08-19  80后IT老民工    Tags:渗透   点击:(227)  评论:(0)  加入收藏
一、杀软常见的三种方式二、免杀的三种常用方式三、利用工具实现免杀1、veil工具基础实现免杀+进阶2、venom免杀3、利用kali自带的shellter进行免杀4、利用avet实现免杀四、...【详细内容】
2021-08-18  白帽hacker淬炼    Tags:免杀   点击:(82)  评论:(0)  加入收藏
关于工具现有工具现在,现成的污点分析工具已经有很多了。其中,我最感兴趣的是Triton和bincat,因为两者已经相当成熟。然而,我们却无法使用这两种工具,因为它们不支持目标设备所...【详细内容】
2021-08-12  Hbo涵    Tags:安全漏洞   点击:(94)  评论:(0)  加入收藏
从实现原理上分,防火墙的技术包括四大类:网络级防火墙、应用级网关、电路级网关和规则检查防火墙。1、网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端...【详细内容】
2021-07-20  趣谈文化  搜狐号  Tags:防火墙   点击:(225)  评论:(0)  加入收藏
一、VMware部分1、Vmware简介虚拟机就是一个用来模拟真实的物理机环境的一个软件,可以在虚拟机中安装不同版本的操作系统。就是一个把下载好的ISO安装在物理机操作系统的一个...【详细内容】
2021-07-12  Kali与编程  公众号  Tags:Kali Linux   点击:(113)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条