配置L2TP时,根据需要可选择不同的配置任务。
为了L2TP连接安全起见,可以在LAC侧和LNS侧配置名称、隧道验证;而为了及时检测到隧道的状态,可以配置隧道Hello报文的发送间隔。为了优化用户接入认证,可以在LAC侧和LNS侧设置用户域名分隔符和查找顺序。在某些时候,还可以通过命令强制挂断通道以触发重新建立隧道。
而对于LNS侧而言,还可以配置强制CHAP认证和LCP重新协商,以进一步增强L2TP隧道的安全性。
1.LAC侧可选配的参数
(1)设置本端名称 用户可在LAC侧配置本端通道名称。LAC侧通道名称要与LNS侧配置的接收通道对端名称保持一致。设置本端名称命令如下:
[H3C-l2tp1]tunnel name name
缺省情况下,本端名称为路由器的主机名。
(2)启用隧道验证及设置密码 用户可根据实际需要,决定是否在创建隧道连接之前启用隧道验证。隧道验证请求可由LAC或LNS任何一侧发起。只要有一方启用了隧道验证,则只有在对端也启用了隧道验证,两端密码完全一致并且不为空的情况下,隧道才能建立;否则本端将自动将隧道连接断开。若隧道两端都配置了禁止隧道验证,隧道验证的密码一致与否将不起作用。启用隧道验证及设置密码的命令如下:
[H3C-12tp1]tunnel authentication
[H3C-l2tp1]tunnel password{simple l cipher}password缺省情况下,启用隧道验证,隧道验证的密码为空。为了保证通道安全,建议用户最好不要禁用隧道验证的功能。
(3)设置通道Hello报文发送时间间隔 为了检测LAC和LNS之间通道的连通性,LAC和LNS会定期向对端发送Hello报文,接收方接收到Hello报文后会响应。当LAC或LNS在指定时间间隔内未收到对端的Hello响应报文时,重复发送,如果重复发送超过3次都没有收到对端的响应信息则认为LZTP隧道已经断开,需要在LAC和LNS之间重新建立隧道连接。
设置通道Hello报文发送时间间隔的命令如下:
[H3C-l2tp1]tunnel timer hello hejlo-interval
缺省情况下,通道Hello报文的发送时间间隔为60秒。如果LAC侧不进行此项配置,LAC将采用此缺省值为周期向对端发送Hello报文。
(4)设置域名分隔符及查找顺序 当LAC侧存在大量L2TP域名接入用户,顺序查找用户很费时间,此时可通过在LAC侧设置必要的查找策略(如前后缀分隔符)来加快查找速度。
分隔符有前缀分隔符和后缀分隔符两种,有“@”、“#”、“%”、“/”4类特殊字符。带前缀分隔符的用户如H3c.com#vpdnuser;带后缀分隔符用户如vpdnuser@h3c.com。在查找时将分离用户名与前/后缀分隔符,仅按照定义的规则查找,由此大大加快查找速度。
在域名方式下,设置了前/后缀分隔符后,有4种查找规则可供选择:
①dnis-domain:先按被叫号码查找,再按域名查找。
②dnis:仅按照被叫号码查找。
③domain-dnis:先按域名查找,再按被叫号码查找。
④domain:仅按照域名查找。
设置前缀分隔符命令如下:
[H3C-l2tp1]l2tp domain Prefix-separator sarator
设置后缀分隔符命令如下:
[H3C-l2tp]l2tp domain suffix-separator Separator
设置查找规则命令如下:
[H3C-12tp1]l2tp match-order{dnis-domain l dnis l domain-nis 1domain}
命令l2tp match-order仅仅配置了被叫号码和域名之间的查找顺序,而实际中,一定是先按照全用户名进行查找,然后再按照该命令的配置顺序依次进行查找。
缺省情况下,先根据被叫号码,再根据域名进行查找。
(5)强制挂断通道 当用户数为零、网络发生故障或管理员主动要求挂断通道时,就会进行隧道清除操作。LAC和LNS任何一端都可主动发起隧道清除请求,接收到清除请求的一端要发送确认信息(ACK),并等待一定的时间再进行隧道清除操作,以确保ACK消息丢失的情况下能够正确接收到对端重传过来的清除请求。强制挂断通道后,该通道上的所有控制连接与会话连接也将被清除。通道挂断后,当有新用户拨入时,还可重新建立通道。
强制挂断通道的命令如下:(www.xing528.com)
〈H3C〉reset 12tp tunnel{remote-name l tunnel-id}
当使用remote-name参数指定删除的隧道名称时,将删除所有此名字的隧道;指定tunnel-id参数时,只删除指定的隧道。
2.LNS侧可选配的参数
(1)强制本端CHAP认证 当LAC对用户进行代理验证后,LNS可再次验证用户。此时将对用户进行两次验证,第一次发生在LAC侧,第二次发生在LNS侧,只有两次验证全部成功,L2TP通道才能建立。
在L2TP组网中,LNS侧对用户的验证方式有:代理验证、强制CHAP验证和LCP重协商。这3种验证方式中,LCP重协商的优先级最高。如果在LNS上同时配置LCP重协商和强制CHAP验证,L2TP将使用LCP重协商,采用相应的虚拟接口模板上配置的验证方式。
如果只配置强制CHAP验证,则LNS对用户进行CHAP验证。强制CHAP验证配置如下:
[H3C-l2tp1]mandatory-chap
如果既不配置LCP重协商,也不配置强制CHAP验证,则LNS对用户进行的是代理验证。在这种情况下,LAC将它从用户得到的所有验证信息及LAC端本身配置的验证方式发送给LNS,LNS侧会默认通过LAC侧对用户的验证结果。
在LNS使用代理验证时,如果虚拟接口模板配置的验证方式为CHAP,而LAC端配置的验证方式为PAP,则由于LNS要求的CHAP验证级别高于LAC能够提供的PAP验证,验证将无法通过,会话也就不能正确建立。
(2)强制LCP重新协商 对由NAS发起的VPN服务请求(NAS -Initialized VPN),在PPP会话开始时,用户先和NAS(网络接入服务器)进行PPP协商。若协商通过,则由NAS初始化L2TP通道连接,并将用户信息传递给LNS,由LNS根据收到的代理验证信息,判断用户是否合法。
但在某些特定的情况下(如需在LNS侧也要进行验证与计费),需要强制LNS与用户间重新进行LCP协商,此时将忽略NAS侧的代理验证信息。强制LCP重新协商的命令如下:
[H3C-l2tp1]mandatory-lcp启用LCP重协商后,如果相应的虚拟接口模板上不配置验证,则LNS将不对接入用户进行二次验证,这时用户只在LAC侧接受一次验证。
3.配置H3CSecpoint VPN客户端软件
H3CSecPoint(以下简称SecPoint)是H3C开发的应用在PC上的VPN客户端软件。通过安装SecPoint软件,PC机可以通过多种方式与网络设备进行VPN互联,远端PC能够安全快捷地通过Internet访问相应企业总部VPN。
SecPoint提供了L2TP客户端功能。只要远程系统用户能够通过某种方式,如拨号ADSL和小区宽带等,接入到Internet,就可以和总部的VPN网关之间建立L2TP隧道,访问公司企业内部网Intranet上的相关资源。
SecPoint还提供了强大的安全策略,包括IPSec IKE和NAT穿越等,大大强化了VPN系统的安全性。IPSec使特定的通信方之间在IP层通过加密与数据源验证等方式保证数据包在网络上传输时的私密性、完整性、真实性,并可以在一定程度上防重放攻击。
在使用L2TP时,可以用SecPoint作为客户端软件,实现客户LAC方式。
基于SecPoint的VPN客户端管理系统具有以下特点:
(1)可以创建一个或多个不同配置的VPN连接;
(2)除了可以采用手工方式创建VPN连接外,为了方便用户使用,还提供了从配置文件导入的方式自动创建和配置VPN连接的功能;
(3)支持安全策略的配置,包括IKE配置、IPSec配置和NAT穿越的配置等。通过配置IPSec用户可选择针对不同的数据流使用验证加密等不同的安全保护策略;
(4)支持在L2TP链路连接中使用数据隐含功能;
(5)客户端可以支持LNS备份。当LAC和默认连接的LNS无法连接时,客户端可以向备份的LNS重新发起连接;
(6)引入了RSA Secul ID动态密钥机制,可以更安全地验证用户的身份,防止非授权用户使用VPN网络;
(7)支持使用Internet密钥交换(internet key exehange,IKE)协议来建立安全联盟;
(8)支持连接VPN网络的同时还能够访问公网。
用SecPoint作为LZT户客户端软件时,需要完成的配置主要包括:
(1)创建VPN连接。
(2)配置L2TP相关属性。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。