5L2TPoverIPsec组网方案

1、L2TP over IPsec 组网方案目录L2TP over IPsec 组网方案目录1介绍 21.1 IPsec特性介绍 21.2 L2TP特性介绍 22测试组网 33功能说明 33.1 分支网关设备 33.2 BRAS 设备 33.3 LNS 设备 43.4 移动办公用户 44LNS典型配置 45其它相关资料 错误！未定义书签。2/5/2020版权所有，侵权必究第1页L2TP over IPsec 组网方案L2TP over IPsec 组网方案关键词:L2TP IPsec缩略语:缩略语英文全名中文解释L2TPLayer Two Tunneling Protocol二层隧道协议LACL2

2、TP Access ConcentratorL2TP访问集中器LNSL2TP Network ServerL2TP网络服务器IPsecSecurity Architecture for the Internet Protocol互联网协议安全体系结构IKEThe Internet Key Exchange因特网密钥交换协议1 介绍1.1 IPsec特性介绍IPsec协议族是IETF制定的一系列协议，它为IP数据报提供了高质量的、可互操作的、 基于密码学的安全性。特定的通信方之间在IP层通过加密与数据源验证等方式，来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。IPsec 通过 AH

3、 （ Authentication Header，认证头）和 ESP （ Encapsulating SecurityPayload，封装安全载荷）这两个安全协议来实现上述目标。并且还可以通过IKE（Internet Key Exchange，因特网密钥交换协议）为 IPsec提供了自动协商交换密钥、建立和维护安全联盟的服务，以简化IPsec的使用和管理。1.2 L2TP特性介绍L2TP （ Layer Two Tunneling Protocol）L2TP协议提供了对 PPP链路层数据包的通道（Tunnel ）传输支持，允许二层链路端点和PPP会话点驻留在不同设备上，并且采用包交换网络技术进

4、行信息交互，从而扩展了PPP模型。L2TP协议结合了 L2F协议和PPTP协议的各自优点，成为IETF有关二层隧道协议的工业标准。2测试组网分支EVB0入會brasLACICG500C LMS移动办公图1 L2TP over IPsec 典型组网图1上图是一种企业典型的 L2TP VPN组网方案，分支机构通过 EVDO方式或者其他拨号方 式接入运营商 BRAS设备，通过认证后，BRAS充当LAC角色，负责同LNS协商建立L2TP隧道，可以在LAC和LNS上别对接入用户进行认证和计费，L2TP隧道建立后分支网络内部的PC可以通过隧道直接访问总部内部网络；对于移动办公的用户，首先需要接入In te

5、rnet，然后通过操作系统自带的软件或者第三方软件（推荐使用INode ），与LNS建立IPsec和L2TP隧道，在LNS对接入用户进行认 证，完成隧道建立后，移动办公用户可以直接访问企业总部内部网络。3功能说明3.1分支网关设备作为分支机构内部网络的网关，进行EVDO拨号和认证操作，待LAC和LNS之间的L2TP隧道建立后，获取到由 LNS分配的IP地址，完成企业内部网络访问企业总部服务 器数据的转发。3.2 BRAS 设备运营商接入汇聚设备，完成分支网关EVDO接入和初步认证，并且作为LAC设备，根据用户的权限完成与指定的LNS设备建立L2TP隧道，隧道建立后将网关设备发送的报文经过L2T

6、P封装转发给LNS设备。3.3 LNS设备首先需要接入In ternet，接受LAC设备的接入请求，与 LAC设备建立L2TP隧道，将分支 网关设备提供的用户名和密码通过AAA认证协议转发给 AAA服务器进行认证，认证通过后向网关设备分配接入的IP地址。LNS可以使能加密卡功能，提高 IPSec加密的处理性能。3.4移动办公用户首先需要接入In ternet，然后使用系统自带的或者第三发VPN客户端软件（推荐使用INode ）拨入LNS，与LNS建立L2TPoverIPSec连接，保证移动办公用户安全、方便的 接入总部内部网络。4 LNS典型配置#sysname LNS#I2tp enable

7、#domain default enable system#vlan 1#radius scheme l2tpprimary authentication 172.32.0.16 primary accounting 172.32.0.16 key authentication msr key accounting msr#domain l2tpauthentication ppp radius-scheme l2tp authorization ppp radius-scheme l2tp accounting ppp radius-scheme l2tp access-limit disa

8、blestate active idle-cut disable self-service-url disable ip pool 1 10.1.1.2 10.1.1.100 accounting optional domain systemaccess-limit disablestate active idle-cut disable self-service-url disable#ike peer l2tp pre-shared-key l2tp#IPsec proposal l2tpesp authentication-algorithm sha1 esp encryption-al

9、gorithm 3des#IPsec policy-template l2tp-lns 1ike-peer l2tpproposal l2tp#ipsec policy l2tp 1 isakmp template l2tp-lns #2/5/2020L2TP over IPsec 组网方案I2tp-group 1allow l2tp virtual-template 0tunnel password simple msr_l2tp tunnel name msr_lns# _interface AuxO async mode flow link-protocol ppp#interface Virtual-TemplateOppp authentication-mode chap domain l2tp remote address pool 1ip address 10.1.1.1 255.255.255.0#interface NULLO#interface GigabitEthernetO/Oport link-mode routeip address 172.32.15.1O 255.255.O.O#interface GigabitEthernetO/1port link-mode routeip address 2O2.115