二层隧道协议L2TP实践课(3)—L2TP over IPSec_二层隧道协议有哪些内容

 

1.二层隧道协议

1.1概述L2TP对传输的数据不加密，那么该如何有效保证L2TP传输数据的机密性呢？本期文章结合实际案例向各位小伙伴总结分享L2TP over IPSec技术备注：模拟组网拓扑图、地址规划、F1090_1和SW设备配置参见文章《二层隧道协议L2TP实践课(1)—基础L2TP配置》。

2.二层隧道协议包括

1.2模拟组网拓扑实现的目标F1090_1设备配置IPSec相关配置，实现L2TP over IPSec技术；Host_1安装l2tp客户端，并在创建l2tp连接过程中启用l2tp隧道认证和IPSec安全协议；

3.二层隧道协议哪些

Host_1的l2tp客户端连接F1090_1设备的l2tp服务，从而使Host_1访问SW设备业务地址网关172.16.1.254/241.3 F1090_1设备配置-IPSec配置及l2tp隧道认证。

4.二层隧道协议和三层隧道协议

1.3.1F1090_1设备配置-l2tp隧道认证[F1090_1]l2tp-group 1[F1090_1-l2tp1]tunnel authentication[F1090_1-l2tp1]tunnel password simple test

5.二层隧道协议封装的是

[F1090_1-l2tp1]tunnel avp-hidden[F1090_1-l2tp1]quit[F1090_1]1.3.2F1090_1设备配置-IPSec配置#创建优先级为100的IKE提议，加密算法：aes-cbc-128、认证算法：sha256认证方法：预共享密钥、DH密钥交换参数：group5

6.二层隧道协议,封装的是osi参考

[F1090_1]ike proposal 100[F1090_1-ike-proposal-100] encryption-algorithm aes-cbc-128[F1090_1-ike-proposal-100] dh group5

7.二层隧道协议,封装的数据包是哪一层的

[F1090_1-ike-proposal-100] authentication-algorithm sha256[F1090_1-ike-proposal-100]quit[F1090_1]#配置IKE对等体的密钥信息，密钥为test

8.第二层隧道协议包括

[F1090_1]ike keychain test_IPv4_1[F1090_1-ike-keychain-test_IPv4_1] match local address GigabitEthernet1/0/1

9.二层隧道技术

[F1090_1-ike-keychain-test_IPv4_1]pre-shared-key address 0.0.0.0 0.0.0.0 key simple test[F1090_1-ike-keychain-test_IPv4_1]quit

10.两层隧道

[F1090_1]#创建一个IKE profile，调用IKE提议及对等体密钥信息等[F1090_1]ike profile test_IPv4_1[F1090_1-ike-profile-test_IPv4_1] keychain test_IPv4_1

[F1090_1-ike-profile-test_IPv4_1] match remote identity address 0.0.0.0 0.0.0.0[F1090_1-ike-profile-test_IPv4_1] match local address GigabitEthernet1/0/1

[F1090_1-ike-profile-test_IPv4_1] proposal 100[F1090_1-ike-profile-test_IPv4_1]quit[F1090_1]#创建IPsec安全提议，协议：esp、加密算法：aes-cbc-128

认证算法：sha256[F1090_1]ipsec transform-set test_IPv4_1#配置IPsec安全提议采用的安全协议，esp[F1090_1-ipsec-transform-set-test_IPv4_1]protocol esp

#配置安全协议对IP报文的封装模式，隧道模式[F1090_1-ipsec-transform-set-test_IPv4_1]encapsulation-mode tunnel[F1090_1-ipsec-transform-set-test_IPv4_1] esp encryption-algorithm aes-cbc-128

[F1090_1-ipsec-transform-set-test_IPv4_1] esp authentication-algorithm sha256[F1090_1-ipsec-transform-set-test_IPv4_1]quit

[F1090_1]#创建一条IPsec安全策略模板，名称为test，序号为1[F1090_1]ipsec policy-template test 1[F1090_1-ipsec-policy-template-test-1]transform-set test_IPv4_1。

[F1090_1-ipsec-policy-template-test-1]local-address 192.168.56.10[F1090_1-ipsec-policy-template-test-1]ike-profile test_IPv4_1

[F1090_1-ipsec-policy-template-test-1]quit[F1090_1]#创建IPsec安全策略，建立IPSec隧道，保护需要防护的数据流[F1090_1]ipsec policy test 1 isakmp template test

[F1090_1]#在接口上应用IPsec安全策略，对接口上的流量进行保护[F1090_1]interface GigabitEthernet1/0/1[F1090_1-GigabitEthernet1/0/1] ipsec apply policy test

[F1090_1-GigabitEthernet1/0/1]quit[F1090_1]1.4模拟组网拓扑实现目标的测试验证备注：L2TP客户端下载，参见文章《二层隧道协议L2TP实践课(2)—L2TP隧道认证》。

1.4.1在L2TP客户端上创建L2TP连接

1.4.2抓包分析测试验证在F1090_1设备的G1/0/1接口上开启抓包后，通过L2TP客户端连接F1090_1设备L2TP服务客户端成功连接L2TP服务后，Host_1可正常访问SW设备业务地址网关172.16.1.254/24。

在F1090_1设备上，通过命令“display l2tp tunnel”可查看l2tp隧道建立的状态信息；通过命令“ display ipsec tunnel” 可查看ipsec隧道建立的状态信息；通过命令“ display ike sa verbose” 可查看ike协商建立的状态信息，如下图所示；

分析抓取的报文也属加密状态，如下图所示；

1.5总结L2TP对传输的数据不加密，采用L2TP over IPSec技术可有效保护l2tp传输数据的机密性；此外，Host_1主机同样需要安装VPN客户端并且客户端上ipsec参数的设置需匹配F1090_1设备的ipsec参数配置。