今天继续给大家介绍HCIE安全。本文以华为eNSP模拟器，实现了Client-Initiated类型的L2TP 配置。Client-Initiated 主要应用在公司外部职员在外地出差时访问公司内部网络的场景下。
阅读本文，您需要对L2TP 有一定的了解，如果您对此还存在困惑，欢迎您查阅我博客内的其他文章，相信您一定会有所收获。
相关文章链接：
L2TP详解（一）
L2TP详解（二）

一、实验拓扑及目的

实验拓扑如上所示，其中本地使用Vmware虚拟出一台Win7设备与路由器实现链接。虚拟机如下所示：

现在要求配置如上所示的Client-Initiated L2TP ，实现本地虚拟机通过防火墙连接到PC1。

二、实验配置命令

（一）L2TP功能使能

要配置实现L2TP功能，必须在全局模式下，使能L2TP功能，相关配置如下所示：

l2tp enable

（二）Service-scheme和domain相关配置

要实现L2TP功能，还应当在aaa模式下，配置service-schema和domain，相关配置如下：

aaaservice-scheme L2TPip-pool testdomain defaultservice-type l2tp
#

（三）L2TP组配置

在配置L2TP组时，在这里要注意tunnel password的配置就是在Client端要输入的隧道密码的值，而后面的远端“test”，也必须和Client上的配置相同。

l2tp-group 1tunnel password cipher huaweiallow l2tp virtual-template 1 remote test
#

（四）虚模板接口配置

为了实现L2TP虚拟隧道建立，必须建立一个虚模板接口，在该虚模板接口上配置PPP认证的模式，并关联到L2TP中，相关配置如下：

interface Virtual-Template1ppp authentication-mode chapremote service-scheme L2TPip address 192.168.100.200 255.255.255.0service-manage ping permit
#

（五）L2TP用户名和密码相关配置

为了实现L2TP用户的接入，必须在防火墙上配置L2TP的用户名和密码，相关配置如下：

user-manage user testpassword huawei@123

在配置上述部分时，必须要保证密码符合一定的复杂程度，负责会配置失败。

（六）安全区域和安全策略相关配置

为了实现L2TP的正常建立，需要在防火墙安全策略上方向一些数据包通信，一是要放行远程主机与防火墙建立L2TP的数据流量，因此目的区域在这里要配置成local，另外一个是配置远程Client与公司内网之间的网络流量。相关配置如下：

firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet1/0/1
#
firewall zone untrustset priority 5add interface GigabitEthernet1/0/0
#
firewall zone dmzset priority 50add interface Virtual-Template1
#
security-policyrule name l2tpsource-zone untrustdestination-zone localservice l2tpaction permitrule name pingsource-zone dmzdestination-zone trustaction permit

三、Seco Client配置

为了能够与对端正常建立L2TP 链接，我们可以选择在本地安装华为的专用L2TP 客户端。在安装完成后，就可以新建立一个L2TP链接，重要配置如下所示：

在这里，隧道名称和隧道验证密码必须和L2TP组中的名称配置相同，认证模式必须各Virtual-Template中配置的认证方式相同。
配置完成后，会出现如下界面：

这里，我们点击连接就可以了，之后会出现如下界面：

输入我们在user-manage中配置的用户名和密码，就可以正常登录了。如果成功实现登录，会弹出弹框提示，如果登录失败，也会弹出弹框说明失败原因。

四、实验现象

（一）L2TP隧道建立过程抓包

（二）L2TP数据报文抓包

（三）防火墙状态查看

（四）虚拟机网络状态查看

（五）数据包通信

五、附录——FW设备配置相关命令

sysname USG6000V1
l2tp enable
ip pool testsection 0 192.168.100.100 192.168.100.110
#
aaaservice-scheme L2TPip-pool testdomain defaultservice-type l2tp
#
l2tp-group default-lns
l2tp-group 1tunnel password cipher %$%$q6~DTdoqH$}@9WCz2\+2_cXo%$%$allow l2tp virtual-template 1 remote test
#
interface Virtual-Template1ppp authentication-mode chapremote service-scheme L2TPip address 192.168.100.200 255.255.255.0service-manage ping permit
#
interface GigabitEthernet1/0/0undo shutdownip address 155.1.11.2 255.255.255.0service-manage ping permit
#
interface GigabitEthernet1/0/1undo shutdownip address 192.168.58.254 255.255.255.0service-manage ping permit
#
firewall zone trustset priority 85add interface GigabitEthernet0/0/0add interface GigabitEthernet1/0/1
#
firewall zone untrustset priority 5add interface GigabitEthernet1/0/0
#
firewall zone dmzset priority 50add interface Virtual-Template1
#
ip route-static 0.0.0.0 0.0.0.0 155.1.11.1
#
security-policyrule name l2tpsource-zone untrustdestination-zone localservice l2tpaction permitrule name pingsource-zone dmzdestination-zone trustaction permit

原创不易，转载请说明出处：https://blog.csdn.net/weixin_40228200/article/details/119618546