華為防火牆部署 l2tp over ipsec

2021-10-17 15:45:14 字數 2145 閱讀 5918

一般手機不能很好支援ssl vpn 和eap認證, 客戶需要部署l2tp over ipsec

配置:

inte***ce virtual-template1


ppp authentication-mode chap


ip address 172.16


.19.1


255.255


.255


.0firewall zone untrust


set priority 5


add inte***ce dialer0


add inte***ce virtual-template1


l2tp enable


l2tp-group 1


tunnel password cipher admin@123


//關閉tunnel認證  undo tunnel authentication


tunnel name lns


allow l2tp virtual-template 1 remote client  //l2tp組1可以不指定隧道對端名稱嗎?


user-manage user admin domain default     


password admin@123


//建立賬號密碼


ip pool l2tp


section 0


172.16


.19.3


172.16


.19.254


//給客戶端分配位址


aaa	authentication-scheme default


authentication-mode local


service-scheme l2tp


ip-pool l2tp


domain default     //domain域下呼叫


authentication-scheme default


service-scheme l2tp


service-


type l2tp


internet-access mode password


reference user current-domain
以上部分是普通的l2tp配置

acl number 3000


rule 5 permit udp source-port eq 1701


//抓感興趣流,l2tp協議報文埠是1701


ike proposal 1


encryption-algorithm aes-


256	dh group2


authentication-algorithm sha2-


256	authentication-method pre-share


integrity-algorithm hmac-sha2-


256	prf hmac-sha2-


256ike peer 1


exchange-mode auto


pre-shared-key admin@123


ike-proposal 1


rsa encryption-padding oaep


rsa signature-padding pss


ikev2 authentication sign-


hash sha2-


256ipsec proposal 1


encapsulation-mode auto   //封裝方式建議採用傳輸模式


esp authentication-algorithm sha2-


256	esp encryption-algorithm aes-


256ipsec policy-template 1


1//手機端沒有固定ip,採用模板方式


security acl 3000


ike-peer 1


proposal 1


scenario point-to-multi-point l2tp-user-access


ipsec policy l2tp 10 isakmp template 1


inte***ce dialer0    //dialer口下呼叫,客戶這邊是pppoe上網獲取的是動態的公網ip


ipsec policy l2tp

華為防火牆 2(配置)

一 命令列配置 1.介面劃分區域 內網 進入gigabitethernet 0 0 1檢視 usg5300 inte ce gigabitethernet 0 0 1 配置gigabitethernet 0 0 1的ip位址 usg5300 gigabitethernet0 0 1 ip addre...

華為USG防火牆配置

組網需求 需求1該公司trust區域的10.1.1.0 24網段的使用者可以訪問internet,該安全區域其它網段 的使用者不能訪問。提供的訪問外部網路的合法ip位址範圍為202.1.1.100 202.1.1.200。需求2提供ftp和web伺服器供外部網路使用者訪問。其中ftp server的...

華為防火牆目的NAT

目的nat學習 qq3421609946 目的nat就是防火牆中資料報在轉換時,轉換的是目的ip位址,不是源ip位址。在移動終端訪問無線網路時,如果預設wap閘道器位址於所在地運營商的wap閘道器位址不一致時,可以在終端於wap閘道器中間部署一台裝置,並配屬署目的nat功能,使裝置自動將 給錯誤wa...