L2TP LAC initial 配置与安全策略

news/2024/11/18 2:25:31/

对于和NAS initial类似,这里是由LAC发起的,而且不是使用pppoe进行隧道的建立和会话的建立,当有去往总部的流量的时候,LAC就会主动和LNS进行隧道和会话的协商,LNS会分配给LAC一个地址,所以如果分支机构的用户想要访问总部,那么都要借助LAC获取来的地址,所以在这种情况下,分支机构的用户要访问总部就需要LAC设置easy IP,将分支结构用户的源IP置换为LNS分配的IP地址。

模拟器上配置的困难:

首先就是你配了也不一定立刻就能生效,有的时候你明明创建了用户,但是验证没有给你通过,总的来说做这个模拟还是十分吐血的。

一、LAC的配置

(1)完成基本的网络互联

(2)LAC的l2tp的配置

如上图所示,其实就是配置l2tp的一个组,用于后续的隧道协商和会话协商

(3)LAC的虚拟接口的配置

因为LAC是发起隧道认证的一方,所以在VT接口上要配置PPP验证的相关用户信息,同时地址采用PPP协商方式获取,比较关键的地方在call-lns local-user xxx 这个命令

call-lns local-user  fuck binding l2tp-group  1  //这是完整的命令,主要就是设置将该VT接口和l2tp组进行绑定和结合,同时还指出进行call-lns这个操作的用户

(4)配置路由

做这步的原因是,区分去往总部和去往internet的流量,只要有去往总部的流量就发送给VT接口进行隧道封装发送

(5)配置easy-ip 

做这一步的主要原因是因为,LAC虽然获取了LNS分配的地址,但是支部内的主机如果要和总部通信却依然需要靠LAC,LAC在这种网络场景下是作为支部主机和LNS之间的中间人,支部内的之际必须使用LAC获取到的地址才能与总部内的主机通信,所以使用easy ip将内部主机的源地址转换为LAC获取到的地址。

二、LNS的配置

这里的配置和NAS initial没什么区别,详解看这个:

(79条消息) 华为L2TP NAS initial 配置详解以及安全策略的原理_Mllllk的博客-CSDN博客

HUAWEI USG6000E 产品文档

其实LNS还是搭建一个被动响应的LNS端,从client initial还是NAS initial,还是LAC initial配置都是一样的。

配置总结

其实从本质上来说,LAC initial就是创建了VT接口和l2tp组之间的联系,同时设置VT接口作为一个主动进行隧道协商的一个接口。于是LNS就会将地址分配给LAC的VT接口,于是LNS和LAC之间的隧道就由此建立,支部的所有主机通过LAC获取到的地址进行easy ip与LNS进行通信,其实就是支部内部的主机都借用LAC创建好的隧道进行与总部的通信。

所以我们从图上也可以看出,只有LAC和LNS之间才有复杂的隧道封装。 

 

安全策略

业务方向

设备

源安全区域

目的安全区域

源地址

目的地址

应用

分支员工访问企业总部服务器

LAC

Trust

DMZ

10.1.1.0/24

192.168.1.0/24

*

Local

Untrust

1.1.1.1/32

2.2.2.2/32

L2TP

LNS

Untrust

Local

1.1.1.1/32

2.2.2.2/32

L2TP

DMZ

Trust

172.16.1.51/24

192.168.1.0/24

*

总部内网服务器访问分支员工

LAC

DMZ

Trust

192.168.1.0/24

10.1.1.0/24

*

LNS

Trust

DMZ

192.168.1.0/24

172.16.1.51/24

*

LAC的安全策略解释

因为支部的流量到达防火墙后根据路由表发现下一跳去去VT接口,而支部主机处于trust区域,VT接口处于dmz区域,所以,放行trust--->dmz区域的流量,local--->untrust区域的流量主要是因为l2tp的相关协商报文是单播的,且源区域为local,目的区域是untrust。dmz--->trust是因为总部主机可能需要访问支部主机,所以当流量到达LAC后,防火墙将该流量交给VT接口处理,dmz区域的VT接口然后交给trust区域的物理接口,所以要放行dmz--->trust

LNS的安全策略的解释

其实和LAC的安全解释差不多,原因也是差不多就不说细说了,查考LAC的安全策略解释

LAC为什么放行L2TP的相关协商流量时只放行一个出方向,LNS放行L2TP的相关协商流量的时候只放行一个入方向

主要因为整个L2TP隧道的协商和建立都是由LAC主导的,所以LAC主要放行出方向,后续回包依靠会话即可,对于LNS它被动接收LAC的协商报文,所以只要放行入方向的协商流量即可,LNS要发送响应报文的时候依靠会话即可

该场景和NAS initial安全策略的对比

为什么在LAC initial中的LAC的安全策略和LNS差不多,而在NAS initial中NAS的安全策略只有一个?

主要因为NAS场景下它的VT接口直接绑定到了物理接口上,当回包到达防火墙后,防火墙同样还是将其交给VT接口处理,VT接口处理后从与VT接口绑定的物理接口发送,而这个过程中其实是从dmz--->dmz区域的数据流动,所以不需要放行安全策略。


http://www.ppmy.cn/news/720967.html

相关文章

L2TP详解(一)

今天继续给大家介绍HCIE安全。本文给大家介绍的是L2TP相关内容,包括L2TP的特点和应用场景。 一、L2TP简介 L2TP是一种二层的VPN技术,它提供了对PPP链路层数据帧的隧道传输支持,允许二层链路端点和PPP会话驻留在不同设备上,扩展了…

TP5学习(十二):安全

一、输入安全 设置public目录为唯一对外访问目录,不要把资源文件放入应用目录;开启表单令牌验证避免数据的重复提交,能起到CSRF防御作用;使用框架提供的请求变量获取方法(Request类param方法及input助手函数&#xff…

毛概的笔记

简述毛泽东思想的活的灵魂。答:(1)贯穿于毛泽东思想各个组成部分的立场、观点和方法,是毛泽东思想的活的灵魂,它们有三个基本方面,即实事求是,群众路线,独立自主。(2&…

TP5之安全机制

防止sql注入 1、查询条件尽量使用数组方式,具体如下: $wheres array();$wheres[account] $account;$wheres[password] $password;$User->where($wheres)->find(); 2、如果必须使用字符串,建议使用预处理机制,具体如下&…

ROS学习笔记 -day1入门学习

学习资料:https://sychaichangkun.gitbooks.io/ros-tutorial-icourse163/content/chapter1/ 1、Linux下的编译器:gcc/g , Makefile , Cmake , … ROS对Cmake进行拓展 — Catkin(对cmake , make指令进行封装) 2、Catkin编译与工作…

超低延迟高可靠

1. 超低延迟 1.1 解释 超低延迟通常指延迟至少低于10 ms,甚至低于1ms。 1.2 影响因素 1.2.1 传统因素 传播延迟:取决于路径长度;传输延迟:取决于数据包大小;排队延迟:取决于处理速度和到达速率&#x…

OBS降低延迟

设置->输出->输出模式选择高级 image.png 码率控制选择ABR。比特率设置在2500以上。这里在选择时应考虑到大多数观众端的网络状况,避免因推流画面质量过,导致高观看端由于网速有限出现卡顿。关键帧间隔设置为1。CPU使用预设选择superfast。配置选择…

谈谈网络游戏中的延迟解决方案

我们平常玩的很多网络游戏,比如英雄联盟/王者荣耀/PUBG等,你感觉到卡顿往往不是因为你的网速问题,而是因为网络延时导致的,比如说LOL美服的游戏服务器在美国,而你在中国的华中地区玩着美服LOL,那么你的延迟…