Juniper防火牆下實現L2TP的本地和AAA驗證

 

 

 

 

Juniper防火牆下實現L2TP的本地和AAA驗證

L2TP是一種工業標準的Internet隧道協議，功能大致和PPTP協議類似，比如同樣可以對網絡數據流進行加密。不過也有不同之處，比如PPTP要求網絡爲IP網絡，L2TP要求面向數據包的點對點連接；PPTP使用單一隧道，L2TP使用多隧道；L2TP提供包頭壓縮、隧道驗證，而PPTP不支持.

L2TP隧道（L2TP Tunnel）是指在第二層隧道協議(L2TP)端點之間的邏輯鏈接：LAC（L2TP接入聚合器）和LNS（L2TP網絡服務器）。當LNS是服務器時，LAC是隧道的發起人，它等待新的隧道。一旦一個隧道被確立，在這個點之間的新通信將是雙向的。爲了對網絡有用,高層協議例如點對點協議(PPP)然後通過L2TP隧道，適合出差在外的員工利用***撥入公司的內網！

案例：

以下以juniper防火牆爲例建立l2tp，分別實現本地身份驗證和AAA服務器驗證。

 

防火牆型號是netscreen-25

配置防火牆

設置ip地址

ns25-> set interface eth1 ip 192.168.3.1 255.255.255.0

ns25-> set interface eth1 manage ping 給予ping權限

ns25-> set interface eth1 manage web 給予web訪問權限

ns25-> set interface eth3 manage ping

ns25-> set interface eth3 manage web

ns25-> set interface eth3 ip 61.130.130.21 255.255.255.0

ns25-> get interface

 

A - Active, I - Inactive, U - Up, D - Down, R - Ready

 

Interfaces in vsys Root:

Name           IP Address         Zone        MAC            VLAN State VSD     

eth1           192.168.3.1/24     Trust       0019.e240.67d0    -   U   - 

eth2           0.0.0.0/0          DMZ         0019.e240.67d5    -   D   - 

eth3           61.130.130.21/24   Untrust     0019.e240.67d6    -   U   - 

eth4           0.0.0.0/0          Null        0019.e240.67d7    -   D   - 

vlan1          0.0.0.0/0          VLAN        0019.e240.67df    1   D   - 

null           0.0.0.0/0          Null        0000.5e00.0100    -   U   0 

 

接下來用pc1對防火牆進行web配置

 

 

 

一本地身份驗證

1 設置地址池

 

 

 

2 設置本地賬號

 

3 配置l2tp

 

 

4 l2tp隧道

 

5 寫策略

 

 

 

 

6配置外網用戶端

   爲方便測試，我們直接讓用戶端與防火牆相連，但不能配置網關

   關閉ipsec的認證功能，修改註冊表 (快捷鍵 regedit)

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters中添加一個DWORD文件，文件名爲ProhibitIPSec 值爲1

創建一個l2tp網絡連接

 

 

 

 

 

 

 

創建完成後打開

 

 

 

 

 

 

 

7 測試

 

 

 

 

 

 

 

 

 

 

二藉助於AAA實現驗證

藉助於AAA服務器進行驗證，可有效地實現安全性。

1 acs配置

 

 

 

 

 

 

 

 

 

2 防火牆配置

 

 

 

 

 

3 測試