1、完成基本互联
接口的IP配置,安全区域的设置,路由的配置,保证客户端可以访问到防火墙
2、配置地址池
上面是华为的产品文档,其中标注了当分配给客户端的IP与内网的目标主机为同网段时必须设置防火墙连接内部网络的接口的ARP请求应答功能,这是为什么?因为当主机接收到解封后的L2TP报文后,会发现目的地址为同网段,于是就会发出arp请求,防火墙连接内部网络的接口默认时若不做arp代理,这时就会导致业务中断,所以需要开启接口的arp请求。
3、配置业务方案
如图所示,将先前配置好的地址池绑定在业务方案上,其主要功能就是给L2TP的客户端分配IP地址,一般我们是不建议客户端自己手工使用地址进行L2TP的上网的,因为在没有做绑定的情况下,先前分配给该客户端的IP可能在此时已经分配给别人了
4、配置域
域有什么用?可以这么理解,我们使用L2TP的时候都需要使用用户进行上网,用户是包含在域中的,在域中定义了用户的验证,授权和计费的方式,同时还可以定义域的服务类型,总的来说域的作用就是将进行验证的用户进行分类,并执行不同的服务操作。在本地认证的方式下,我们可以自己创建域和相关用户并定义域的服务类型。在产品文档中给出的是使用默认存在的域,如果要使用自己创建的域那么就可以这么做:
aaa //进入aaa视图
domain xxx //创建xxx域
service-type l2tp //表明该域主要是用于l2tp的服务
5、创建相关用户
在创建了域之后我们还要创建该域中的用户,只要创建了该域中的用户后我们在登录的时候防火墙才会将该用户视为是域中的用户并使用域中的认证,授权和计费方式。我们在防火墙的aaa视图下创建的用户是web-manager,在user-manager视图下创建的是可管理的普通用户。
图形化界面用户创建命令:
user-manager group /xxx/xxx //表示在xxx域中创建一个xxx用户组,若不指定域默认创建的是default域中的用户组
user-manager user /xxx/xxx/xxx //表示在xxx域的xxx用户组中创建一个xxx用户,若不指定域默认创建的是default域中的用户
华为防火墙L2TP 客户机发起端配置(本地验证)该软件的一些重点的地方 还有一些密码的配置如上图所示
不知道是bug还是什么的,我在命令行下创建不出来其他域的用户,只有在图形化界面才能创建,创建的用户结果如下图所示:
如图所示,域中的用户是以@域名结尾的,第一个是用户组,第二个是普通用户。
6、创建VT接口
VT接口在PPPoe中我们已经很熟悉了,那么在L2TP中它有什么作用? 在PPPoe中,VT接口的主要作用和在PPPoe类似,它的作用还是将普通的报文封装上PPP报文,同时还提供了PPP的验证的平台,然后再将其交给L2TP功能模块进行新三层包头的封装,VT接口在L2TP中并不起什么流量相转发的相关作用,所以随便配一个地址就行。如果要和GRE做一个比较的话,在GRE中我们通过指定源端和对端IP并创建静态路由对想要的流量进行引流来实现GRE,那么在L2TP中要如何实现引流,其实和GRE差不多,我在另一个博客中已经说明,客户端有两种利用L2TP的模式,一种是全部流量都使用L2TP进行引流,另一种就是人为的设定,当目的地址匹配到人为设定的地址的时候,就进行L2TP的流量封装,对于LNS端来说,在隧道生成后就会产生一个unr主机路由,其中目的地址是已经分配给客户端的IP地址,子网掩码是32位,下一跳是VT接口。那么只要是私网主机要回包的时候,只要将流量发送给防火墙,那么防火墙就会根据unr路由将数据发送VT接口,然后VT接口进行PPP的封装,然后再将其传送给L2TP模块进行下一步的封装,最后再转发出去。而GRE只是直接将未处理的报文打上新的三层首部,然后直接的转发,而对于PPPoe来说,它凭借VT接口进行PPP的封装,然后将报文以以太网的封装模式发出。
7、配置L2TP
首先开启L2TP的功能,然后创建一个L2TP的组,可配置隧道认证,用户认证和隧道认证双重保证着隧道的接入安全。
验证
后面的东西是人都会用就不粘贴了
该软件的一些重点的地方
如上图所示,如果我没有勾选上图的复选框,那么我们会发现网络就直接断开了,除非你的电脑还有其他的默认静态路由条目。这是因为此时电脑中存在着一个默认路由条目,下一跳就是用来进行VT接口的IP地址,于是所有的报文都从该接口走所有的报文都进行L2TP隧道封装。如果你选中并添加目的IP,那么同样的会在电脑中产生相应的路由条目,下一跳还是用来VT接口的IP地址,那么只要目的地址匹配,就会将该流量进行L2TP的封装。
下图是启用了L2TP连接时电脑的路由表:
软件想的事情是在你电脑里面添加一条缺省路由,然后你只要有报文就从VPN接口发送出去就行了,但是却没有想到只要正常的网卡设置了网关,那么就会在路由表中添加缺省路由,这就实现了缺省路由的负载,这就导致不是所有的流都从VPN形成的缺省路由出去而导致VPN业务的中断,所以要访问某些私网主机的时候,还是指定具体的IP地址吧,或者就把其他网卡关闭掉避免影响。