1、完成基本互聯
接口的IP配置,安全區域的設定,路由的配置,保證用戶端可以通路到防火牆
2、配置位址池
上面是華為的産品文檔,其中标注了當配置設定給用戶端的IP與内網的目标主機為同網段時必須設定防火牆連接配接内部網絡的接口的ARP請求應答功能,這是為什麼?因為當主機接收到解封後的L2TP封包後,會發現目的位址為同網段,于是就會發出arp請求,防火牆連接配接内部網絡的接口預設時若不做arp代理,這時就會導緻業務中斷,是以需要開啟接口的arp請求。
3、配置業務方案
如圖所示,将先前配置好的位址池綁定在業務方案上,其主要功能就是給L2TP的用戶端配置設定IP位址,一般我們是不建議用戶端自己手工使用位址進行L2TP的上網的,因為在沒有做綁定的情況下,先前配置設定給該用戶端的IP可能在此時已經配置設定給别人了
4、配置域
域有什麼用?可以這麼了解,我們使用L2TP的時候都需要使用使用者進行上網,使用者是包含在域中的,在域中定義了使用者的驗證,授權和計費的方式,同時還可以定義域的服務類型,總的來說域的作用就是将進行驗證的使用者進行分類,并執行不同的服務操作。在本地認證的方式下,我們可以自己建立域和相關使用者并定義域的服務類型。在産品文檔中給出的是使用預設存在的域,如果要使用自己建立的域那麼就可以這麼做:
aaa //進入aaa視圖
domain xxx //建立xxx域
service-type l2tp //表明該域主要是用于l2tp的服務
5、建立相關使用者
在建立了域之後我們還要建立該域中的使用者,隻要建立了該域中的使用者後我們在登入的時候防火牆才會将該使用者視為是域中的使用者并使用域中的認證,授權和計費方式。我們在防火牆的aaa視圖下建立的使用者是web-manager,在user-manager視圖下建立的是可管理的普通使用者。
圖形化界面使用者建立指令:
user-manager group /xxx/xxx //表示在xxx域中建立一個xxx使用者組,若不指定域預設建立的是default域中的使用者組
user-manager user /xxx/xxx/xxx //表示在xxx域的xxx使用者組中建立一個xxx使用者,若不指定域預設建立的是default域中的使用者
華為防火牆L2TP 客戶機發起端配置(本地驗證)該軟體的一些重點的地方 還有一些密碼的配置如上圖所示
不知道是bug還是什麼的,我在指令行下建立不出來其他域的使用者,隻有在圖形化界面才能建立,建立的使用者結果如下圖所示:
如圖所示,域中的使用者是以@域名結尾的,第一個是使用者組,第二個是普通使用者。
6、建立VT接口
VT接口在PPPoe中我們已經很熟悉了,那麼在L2TP中它有什麼作用? 在PPPoe中,VT接口的主要作用和在PPPoe類似,它的作用還是将普通的封包封裝上PPP封包,同時還提供了PPP的驗證的平台,然後再将其交給L2TP功能子產品進行新三層標頭的封裝,VT接口在L2TP中并不起什麼流量相轉發的相關作用,是以随便配一個位址就行。如果要和GRE做一個比較的話,在GRE中我們通過指定源端和對端IP并建立靜态路由對想要的流量進行引流來實作GRE,那麼在L2TP中要如何實作引流,其實和GRE差不多,我在另一個部落格中已經說明,用戶端有兩種利用L2TP的模式,一種是全部流量都使用L2TP進行引流,另一種就是人為的設定,當目的位址比對到人為設定的位址的時候,就進行L2TP的流量封裝,對于LNS端來說,在隧道生成後就會産生一個unr主機路由,其中目的位址是已經配置設定給用戶端的IP位址,子網路遮罩是32位,下一跳是VT接口。那麼隻要是私網主機要回包的時候,隻要将流量發送給防火牆,那麼防火牆就會根據unr路由将資料發送VT接口,然後VT接口進行PPP的封裝,然後再将其傳送給L2TP子產品進行下一步的封裝,最後再轉發出去。而GRE隻是直接将未處理的封包打上新的三層首部,然後直接的轉發,而對于PPPoe來說,它憑借VT接口進行PPP的封裝,然後将封包以以太網的封裝模式發出。
7、配置L2TP
首先開啟L2TP的功能,然後建立一個L2TP的組,可配置隧道認證,使用者認證和隧道認證雙重保證着隧道的接入安全。
驗證
後面的東西是人都會用就不粘貼了
該軟體的一些重點的地方
如上圖所示,如果我沒有勾選上圖的複選框,那麼我們會發現網絡就直接斷開了,除非你的電腦還有其他的預設靜态路由條目。這是因為此時電腦中存在着一個預設路由條目,下一跳就是用來進行VT接口的IP位址,于是所有的封包都從該接口走所有的封包都進行L2TP隧道封裝。如果你選中并添加目的IP,那麼同樣的會在電腦中産生相應的路由條目,下一跳還是用來VT接口的IP位址,那麼隻要目的位址比對,就會将該流量進行L2TP的封裝。
下圖是啟用了L2TP連接配接時電腦的路由表:
軟體想的事情是在你電腦裡面添加一條預設路由,然後你隻要有封包就從VPN接口發送出去就行了,但是卻沒有想到隻要正常的網卡設定了網關,那麼就會在路由表中添加預設路由,這就實作了預設路由的負載,這就導緻不是所有的流都從VPN形成的預設路由出去而導緻VPN業務的中斷,是以要通路某些私網主機的時候,還是指定具體的IP位址吧,或者就把其他網卡關閉掉避免影響。