IT技术互动交流平台

Juniper防火墙下实现L2TP的本地和AAA验证

作者:mht8423  发布日期:2013-02-01 09:25:48
L2TP是一种工业标准的Internet隧道协议,功能大致和PPTP协议类似,比如同样可以对网络数据流进行加密。不过也有不同之处,比如PPTP要求网络为IP网络,L2TP要求面向数据包的点对点连接;PPTP使用单一隧道,L2TP使用多隧道;L2TP提供包头压缩、隧道验证,而PPTP不支持.

L2TP隧道(L2TP Tunnel)是指在第二层隧道协议(L2TP)端点之间的逻辑链接:LAC(L2TP接入聚合器)和LNS(L2TP网络服务器)。当LNS是服务器时,LAC是隧道的发起人,它等待新的隧道。一旦一个隧道被确立,在这个点之间的新通信将是双向的。为了对网络有用,高层协议例如点对点协议(PPP)然后通过L2TP隧道,适合出差在外的员工利用VPN拨入公司的内网!
案例:

以下以juniper防火墙为例建立l2tp,分别实现本地身份验证和AAA服务器验证。

 
防火墙型号是netscreen-25
配置防火墙
设置ip地址
ns25-> set interface eth1 ip 192.168.3.1 255.255.255.0
ns25-> set interface eth1 manage ping 给予ping权限
ns25-> set interface eth1 manage web 给予web访问权限
ns25-> set interface eth3 manage ping
ns25-> set interface eth3 manage web
ns25-> set interface eth3 ip 61.130.130.21 255.255.255.0
ns25-> get interface
 
A - Active, I - Inactive, U - Up, D - Down, R - Ready
 
Interfaces in vsys Root:
Name           IP Address         Zone        MAC            VLAN State VSD     
eth1           192.168.3.1/24     Trust       0019.e240.67d0    -   U   - 
eth2           0.0.0.0/0          DMZ         0019.e240.67d5    -   D   - 
eth3           61.130.130.21/24   Untrust     0019.e240.67d6    -   U   - 
eth4           0.0.0.0/0          Null        0019.e240.67d7    -   D   - 
vlan1          0.0.0.0/0          VLAN        0019.e240.67df    1   D   - 
null           0.0.0.0/0          Null        0000.5e00.0100    -   U   0 
 

接下来用pc1对防火墙进行web配置
 

 

本地身份验证
1 设置地址池
 

 
 
2 设置本地账号
 

3 配置l2tp
 
 

4 l2tp隧道
 

5 写策略
 

 

 
6配置外网用户端
   为方便测试,我们直接让用户端与防火墙相连,但不能配置网关
   关闭ipsec的认证功能,修改注册表 (快捷键 regedit)
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters中添加一个DWORD文件,文件名为ProhibitIPSec 值为1
创建一个l2tp网络连接
 

 

 

 

创建完成后打开
 

 

 

 

7 测试
 
 

 

 

 

 
借助于AAA实现验证
借助于AAA服务器进行验证,可有效地实现安全性。  www.it165.net
1 acs配置
 

 

 

 

 

2 防火墙配置
 

 

 

3 测试

 

 


 

延伸阅读:

Tag标签: Juniper防火墙   L2TP  
  • 专题推荐

About IT165 - 广告服务 - 隐私声明 - 版权申明 - 免责条款 - 网站地图 - 网友投稿 - 联系方式
本站内容来自于互联网,仅供用于网络技术学习,学习中请遵循相关法律法规