中國專業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價(jià)格計(jì)算器

您當(dāng)前位置：主頁 > 資訊動(dòng)態(tài) > 艾銻分享 >

網(wǎng)絡(luò)運(yùn)維|L2TP和IPSec的結(jié)合來用

2020-06-14 21:50 作者：admin

網(wǎng)絡(luò)運(yùn)維|L2TP和IPSec的結(jié)合來用

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容，在這里介紹下L2TP和IPSec結(jié)合使用的意義，網(wǎng)絡(luò)安全運(yùn)維，從Web管理輕松學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。
網(wǎng)絡(luò)維護(hù)是一種日常維護(hù)，包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī)，服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁，系統(tǒng)升級(jí))、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息查詢，同時(shí)您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù)，北京網(wǎng)絡(luò)維護(hù)服務(wù)，北京網(wǎng)絡(luò)維修信息。專業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無限+
+
北京網(wǎng)絡(luò)維護(hù)全北京朝陽豐臺(tái)北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息

L2TP over IPSec

L2TP over IPSec，即先用L2TP封裝報(bào)文后再用IPSec封裝，這樣可以綜合兩種VPN的優(yōu)勢，通過L2TP實(shí)現(xiàn)用戶驗(yàn)證和地址分配，并利用IPSec保障安全性。

配置L2TP over IPSec

本節(jié)介紹L2TP over IPSe方式的IPSec策略的配置方法。

配置L2TP over IPSec策略

L2TP over IPSec是IPSec應(yīng)用中一種常見的擴(kuò)展方式，它可以綜合兩種VPN的優(yōu)勢，通過L2TP實(shí)現(xiàn)用戶驗(yàn)證和地址分配，并利用IPSec保障安全性。
目前設(shè)備作為LNS側(cè)建立L2TP over IPSec隧道的配置已經(jīng)和IPSec的配置進(jìn)行了融合，您既可以在“VPN > L2TP over IPSec > L2TP over IPSec”中直接新建L2TP over IPSe方式的IPSec策略，也可以在“VPN > IPSec > IPSec”中選擇新建“場景”為“點(diǎn)到多點(diǎn)”，“對端接入類型”為“L2TP over IPSec客戶端”的IPSec策略。
這兩種方式新建的策略都屬于IPSec策略，都集中在“VPN > IPSec > IPSec”中供管理員查看和修改，在“VPN > IPSec > 監(jiān)控”中供管理員監(jiān)控和維護(hù)。
設(shè)備作為LAC側(cè)建立L2TP over IPSec隧道則需要分別在“VPN > IPSec > IPSec”中新建一個(gè)“場景”為“點(diǎn)到點(diǎn)”的IPSec隧道，以及在“VPN > L2TP > L2TP”中建立一個(gè)L2TP隧道。配置時(shí)注意以下幾點(diǎn)就可以保證兩條策略的自動(dòng)關(guān)聯(lián)：
· L2TP策略中的“服務(wù)器地址”參數(shù)與IPSec策略中“對端地址”參數(shù)保持一致。
· 為了保證數(shù)據(jù)流正確進(jìn)入隧道，建議詳細(xì)指定待加密數(shù)據(jù)流的信息。在LAC側(cè)的IPSec策略中，待加密的數(shù)據(jù)流的“源地址”配置為L2TP隧道所使用的出接口的IP地址，“目的地址”配置為L2TP策略的“服務(wù)器地址”，“協(xié)議”配置為“UDP”，“目的端口”配置為“1701”。
關(guān)于L2TP over IPSec應(yīng)用場景的詳細(xì)信息請參見移動(dòng)用戶遠(yuǎn)程接入VPN。以下將介紹設(shè)備作為LNS側(cè)，在“VPN > L2TP over IPSec > L2TP over IPSec”中新建L2TP over IPSec方式的IPSec策略的配置步驟。在“VPN > IPSec > IPSec”中新建L2TP over。兩個(gè)位置的配置方法基本相同。
1. 選擇“VPN > L2TP over IPSec > L2TP over IPSec”。
2. 單擊“新建”，建立一條IPSec策略。
3. 配置雙方相互校驗(yàn)的校驗(yàn)參數(shù)。
為了保證IPSec隧道的安全性，必須防止非法客戶端接入，因此需要通過一系列參數(shù)來對對端的合法性進(jìn)行校驗(yàn)。同時(shí)為了通過對端的合法性校驗(yàn)，本端也需要提供一些相應(yīng)的參數(shù)。
4. 可選：配置接入客戶端的用戶/用戶組信息。
當(dāng)“對端接入類型”勾選了“L2TP over IPSec客戶端”或“IKE V2客戶端”時(shí)會(huì)出現(xiàn)本配置項(xiàng)。只有這兩種類型的接入客戶端才可以進(jìn)行用戶認(rèn)證。
如果用戶組尚未創(chuàng)建好，可以從下拉列表中選擇“新建用戶組”按鈕立即新建一個(gè)用戶組。
如果需要向現(xiàn)有用戶組中添加用戶，可以單擊“用戶組”右側(cè)的“配置”按鈕對用戶組進(jìn)行修改。
在彈出的“新建用戶組”或“修改用戶組”對話框中，單擊“本地用戶列表”中的“新建”按鈕，可以立即在該組中新建用戶。
5. 配置待加密的數(shù)據(jù)流。
本場景中，系統(tǒng)會(huì)自動(dòng)匹配需要加密的數(shù)據(jù)流，不需要配置“待加密的數(shù)據(jù)流”。
根據(jù)需要可以選擇配置是否進(jìn)行“反向路由注入”。開啟“反向路由注入”后，設(shè)備將把到達(dá)對端保護(hù)的網(wǎng)段的路由自動(dòng)引入到路由表，從而不用管理員手工配置路由。此功能一般在與多個(gè)分支對接的總部網(wǎng)關(guān)上配置。
輸入注入路由的“優(yōu)先級(jí)”，從而更靈活地應(yīng)用路由管理策略。例如，如果設(shè)備上還有其它方式配置的到達(dá)相同目的地址的路由，可以為它們指定相同優(yōu)先級(jí)來可實(shí)現(xiàn)負(fù)載分擔(dān)，也可指定不同優(yōu)先級(jí)來實(shí)現(xiàn)路由備份。
6. 可選：配置安全提議中高級(jí)參數(shù)。
· 通常如果需要支持的終端類型特別多，可以不在總部側(cè)限定允許接入的安全提議參數(shù)。此時(shí)只需要勾選“安全提議”中“接受對端提議”即可保證總部與所有客戶端之間正常建立隧道。勾選之后表示如果對端發(fā)起隧道建立請求，本端完全接受對端提議的算法參數(shù)，以保證隧道協(xié)商成功。此時(shí)的隧道安全性由對端配置決定，本端不需要配置高級(jí)參數(shù)。
· 如果總部對安全提議有特殊要求，則可以調(diào)整本端的對應(yīng)參數(shù)以保證安全性。
取消勾選“安全提議”中“接受對端提議”，展開“高級(jí)”。
其中算法類參數(shù)所提供的多個(gè)選擇，在列表中位置越高，代表其安全性越高。如果該參數(shù)支持多選，那么實(shí)際協(xié)商時(shí)將根據(jù)參數(shù)在列表中位置從高到低依次嘗試，直至協(xié)商成功。
7. 單擊“應(yīng)用”，新配置的IPSec策略將出現(xiàn)在“VPN > IPSec > IPSec”的策略列表中。

查看當(dāng)前配置支持接入的設(shè)備類型

由于在IPSec的協(xié)商過程中，雙方參數(shù)的一致性非常重要，所以設(shè)備提供了“推薦對端配置”功能。此功能可以列出能夠協(xié)商成功的對端配置，可以導(dǎo)出該配置發(fā)送給對端網(wǎng)關(guān)的管理員參考配置。
1. 在IPSec策略的“新建”和“修改”界面，點(diǎn)擊位于界面右側(cè)中間位置的“推薦對端配置”按鈕。
2. 在界面右側(cè)會(huì)展開顯示推薦對端配置的簡要信息。單擊展開區(qū)域右上角的“導(dǎo)出”按鈕，將詳細(xì)配置介紹導(dǎo)出成網(wǎng)頁文件保存至本地。
3. 將導(dǎo)出的網(wǎng)頁文件發(fā)送給對端網(wǎng)管的管理員參考。
以上文章由北京艾銻無限科技發(fā)展有限公司整理

分享到:

上一篇：辦公設(shè)備:打印機(jī)打印出來模糊

下一篇：辦公設(shè)備：針式打印機(jī)更換色帶

相關(guān)文章