Juniper防火牆下實現L2TP的本地和AAA驗證
L2TP是一種工業標準的Internet隧道協議,功能大致和PPTP協議類似,比如同樣可以對網絡數據流進行加密。不過也有不同之處,比如PPTP要求網絡爲IP網絡,L2TP要求面向數據包的點對點連接;PPTP使用單一隧道,L2TP使用多隧道;L2TP提供包頭壓縮、隧道驗證,而PPTP不支持.
L2TP隧道(L2TP Tunnel)是指在第二層隧道協議(L2TP)端點之間的邏輯鏈接:LAC(L2TP接入聚合器)和LNS(L2TP網絡服務器)。當LNS是服務器時,LAC是隧道的發起人,它等待新的隧道。一旦一個隧道被確立,在這個點之間的新通信將是雙向的。爲了對網絡有用,高層協議例如點對點協議(PPP)然後通過L2TP隧道,適合出差在外的員工利用***撥入公司的內網!
案例:
以下以juniper防火牆爲例建立l2tp,分別實現本地身份驗證和AAA服務器驗證。
防火牆型號是netscreen-25
配置防火牆
設置ip地址
ns25-> set interface eth1 ip 192.168.3.1 255.255.255.0
ns25-> set interface eth1 manage ping 給予ping權限
ns25-> set interface eth1 manage web 給予web訪問權限
ns25-> set interface eth3 manage ping
ns25-> set interface eth3 manage web
ns25-> set interface eth3 ip 61.130.130.21 255.255.255.0
ns25-> get interface
A - Active, I - Inactive, U - Up, D - Down, R - Ready
Interfaces in vsys Root:
Name IP Address Zone MAC VLAN State VSD
eth1 192.168.3.1/24 Trust 0019.e240.67d0 - U -
eth2 0.0.0.0/0 DMZ 0019.e240.67d5 - D -
eth3 61.130.130.21/24 Untrust 0019.e240.67d6 - U -
eth4 0.0.0.0/0 Null 0019.e240.67d7 - D -
vlan1 0.0.0.0/0 VLAN 0019.e240.67df 1 D -
null 0.0.0.0/0 Null 0000.5e00.0100 - U 0
接下來用pc1對防火牆進行web配置
一本地身份驗證
1 設置地址池
2 設置本地賬號
3 配置l2tp
4 l2tp隧道
5 寫策略
6配置外網用戶端
爲方便測試,我們直接讓用戶端與防火牆相連,但不能配置網關
關閉ipsec的認證功能,修改註冊表 (快捷鍵 regedit)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters中添加一個DWORD文件,文件名爲ProhibitIPSec 值爲1
創建一個l2tp網絡連接
創建完成後打開
7 測試
二藉助於AAA實現驗證
藉助於AAA服務器進行驗證,可有效地實現安全性。
1 acs配置
2 防火牆配置
3 測試