Cisco l2tp server настройка

Параметры загрузки

Содержание

Введение

Протоколы туннелирования 2-го уровня, в том числе L2TP, не предусматривают механизмы шифрования для трафика, проходящего через туннель. Шифрование данных они делегируют другим протоколам безопасности, таким как IPSec. В рассматриваемом примере конфигурации шифрование трафика L2TP для входящих подключений пользователей по коммутируемым каналам выполняется посредством IPSec.

Туннель L2TP устанавливается между концентратором доступа L2TP (LAC) и сетевым сервером L2TP (LNS). Между этими устройствами также устанавливается туннель IPSec, и весь трафик туннеля L2TP шифруется по протоколу IPSec.

Предварительные условия

Требования

Данный документ требует базовых знаний протокола IPSec. Дополнительные сведения о протоколе IPSec можно найти в документе Обзор протокола шифрования для защиты IP-пакетов (IPSec).

Используемые компоненты

Содержание настоящего документа касается следующих версий программного и аппаратного обеспечения:

ПО Cisco IOS®, выпуск 12.2(24a)

Маршрутизаторы Cisco серии 2500

Сведения, представленные в этом документе, получены для устройств в особой лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе с реальной сетью необходимо полностью осознавать возможные результаты использования всех команд.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе Условное обозначение технических терминов Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание. Для поиска дополнительных сведений о командах, описываемых в данном документе, используйте средство поиска команд (только для зарегистрированных пользователей).

Схема сети

В этом документе используются настройки сети, показанные на данной диаграмме: Удаленный пользователь инициирует PPP-сеанс с LAC по аналоговой телефонной системе. После прохождения пользователем аутентификации LAC инициирует установление туннеля L2TP с LNS. Оконечные точки туннеля, LAC и LNS, перед созданием туннеля выполняют аутентификацию друг друга. После установления туннеля для пользователя удаленного доступа создается сеанс L2TP. Чтобы зашифровать весь трафик L2TP между LAC и LNS, трафик L2TP определяется как представляющий интерес (трафик, который нужно зашифровать) для IPSec.

Варианты конфигурации

В настоящем документе используются следующие конфигурации.

Конфигурация LAC
Конфигурация LNS

Проверка

В данном разделе содержатся сведения о проверке работы конфигурации.

Некоторые команды show поддерживаются интерпретатором выходных данных (доступен только для зарегистрированных пользователей); интерпретатор позволяет просматривать анализ выходных данных команды show.

Для проверки конфигурации используйте следующие команды show.

show crypto isakmp sa – показывает все текущие ассоциации безопасности IKE (SA) на другой стороне однорангового соединения.

Читайте также:  Прошивка для телефона lg h422

show crypto ipsec sa – показывает настройки, используемые текущими ассоциациями безопасности.

show vpdn – показывает сведения об активном туннеле L2TP.

Поиск и устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Команды для устранения неполадок

Некоторые команды show поддерживаются интерпретатором выходных данных (доступен только для зарегистрированных пользователей); интерпретатор позволяет просматривать анализ выходных данных команды show.

Примечание. Прежде чем применять команды debug, ознакомьтесь с документом Важные сведения о командах debug.

debug crypto engine – показывает события ядра.

debug crypto ipsec – показывает события IPSec.

debug crypto isakmp – показывает сообщения, касающиеся событий IKE.

debug ppp authentication – показывает сообщения протокола аутентификации, включая информацию об обмене пакетами CHAP и обмене по протоколу аутентификации по паролю (PAP).

debug vpdn event – показывает сообщения о событиях, являющихся частью обычного процесса установки или завершения работы туннеля.

debug vpdn error – показывает ошибки, не позволяющие установить туннель или вызывающие закрытие установленного туннеля.

debug ppp negotiation – показывает PPP-пакеты, передаваемые при запуске PPP во время согласования параметров.

Дополнительные сведения

  • Настройка и устранение неполадок шифрования данных на уровне сети Cisco
  • IPSec RFC 1825
  • Страницы поддержки IPSec
  • Настройка параметров сетевой безопасности IPSec
  • Настройка протокола защищенного обмена ключами IKE
  • Техническая поддержка – Cisco Systems

Введение

Протоколы туннелирования 2-го уровня, в том числе L2TP, не предусматривают механизмы шифрования для трафика, проходящего через туннель. Шифрование данных они делегируют другим протоколам безопасности, таким как IPSec. В рассматриваемом примере конфигурации шифрование трафика L2TP для входящих подключений пользователей по коммутируемым каналам выполняется посредством IPSec.

Туннель L2TP устанавливается между концентратором доступа L2TP (LAC) и сетевым сервером L2TP (LNS). Между этими устройствами также устанавливается туннель IPSec, и весь трафик туннеля L2TP шифруется по протоколу IPSec.

Предварительные условия

Требования

Данный документ требует базовых знаний протокола IPSec. Дополнительные сведения о протоколе IPSec можно найти в документе Обзор протокола шифрования для защиты IP-пакетов (IPSec).

Используемые компоненты

Содержание настоящего документа касается следующих версий программного и аппаратного обеспечения:

ПО Cisco IOS®, выпуск 12.2(24a)

Маршрутизаторы Cisco серии 2500

Сведения, представленные в этом документе, получены для устройств в особой лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе с реальной сетью необходимо полностью осознавать возможные результаты использования всех команд.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе Условное обозначение технических терминов Cisco

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание. Для поиска дополнительных сведений о командах, описываемых в данном документе, используйте средство поиска команд (только для зарегистрированных пользователей).

Схема сети

В этом документе используются настройки сети, показанные на данной диаграмме: Удаленный пользователь инициирует PPP-сеанс с LAC по аналоговой телефонной системе. После прохождения пользователем аутентификации LAC инициирует установление туннеля L2TP с LNS. Оконечные точки туннеля, LAC и LNS, перед созданием туннеля выполняют аутентификацию друг друга. После установления туннеля для пользователя удаленного доступа создается сеанс L2TP. Чтобы зашифровать весь трафик L2TP между LAC и LNS, трафик L2TP определяется как представляющий интерес (трафик, который нужно зашифровать) для IPSec.

Читайте также:  Слепая печать проверить скорость

Варианты конфигурации

В настоящем документе используются следующие конфигурации.

Конфигурация LAC
Конфигурация LNS

Проверка

В данном разделе содержатся сведения о проверке работы конфигурации.

Некоторые команды show поддерживаются интерпретатором выходных данных (доступен только для зарегистрированных пользователей); интерпретатор позволяет просматривать анализ выходных данных команды show.

Для проверки конфигурации используйте следующие команды show.

show crypto isakmp sa – показывает все текущие ассоциации безопасности IKE (SA) на другой стороне однорангового соединения.

show crypto ipsec sa – показывает настройки, используемые текущими ассоциациями безопасности.

show vpdn – показывает сведения об активном туннеле L2TP.

Поиск и устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Команды для устранения неполадок

Некоторые команды show поддерживаются интерпретатором выходных данных (доступен только для зарегистрированных пользователей); интерпретатор позволяет просматривать анализ выходных данных команды show.

Примечание. Прежде чем применять команды debug, ознакомьтесь с документом Важные сведения о командах debug.

debug crypto engine – показывает события ядра.

debug crypto ipsec – показывает события IPSec.

debug crypto isakmp – показывает сообщения, касающиеся событий IKE.

debug ppp authentication – показывает сообщения протокола аутентификации, включая информацию об обмене пакетами CHAP и обмене по протоколу аутентификации по паролю (PAP).

debug vpdn event – показывает сообщения о событиях, являющихся частью обычного процесса установки или завершения работы туннеля.

debug vpdn error – показывает ошибки, не позволяющие установить туннель или вызывающие закрытие установленного туннеля.

debug ppp negotiation – показывает PPP-пакеты, передаваемые при запуске PPP во время согласования параметров.

Персональный IT-блог

Необходимо настроить L2TP/IPsec сервер на Cisco IOS для удаленного подключения сотрудников.

aaa authentication login default local
aaa authorization network default local

vpdn-group L2TP
accept-dialin
protocol l2tp
virtual-template 1
lcp renegotiation on-mismatch
no l2tp tunnel authentication
ip pmtu
ip mtu adjust

username testuser privilege 0 password testpass

crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key SECRET_KEY address 0.0.0.0 no-xauth
crypto isakmp keepalive 3600

crypto ipsec transform-set L2TP_SET esp-3des esp-sha-hmac
mode transport

crypto dynamic-map L2TP_MAP 10
set nat demux
set transform-set L2TP_SET

crypto map L2TP_CRYPTO_MAP 10 ipsec-isakmp dynamic L2TP_MAP

interface Loopback1
ip address 172.31.1.1 255.255.255.0

interface GigabitEthernet0/0
description -= WAN =-
ip address XXX.XXX.XXX.2 255.255.255.252
ip nat outside
crypto map L2TP_CRYPTO_MAP

interface GigabitEthernet0/1
description -= LAN =-
ip address 192.168.0.1 255.255.255.0
ip nat inside

interface Virtual-Template1
ip unnumbered Loopback1
ip nat inside
peer ip address forced
peer default ip address pool L2TP_POOL
ppp encrypt mppe 40
ppp authentication ms-chap-v2
ppp ipcp dns 192.168.0.1

Читайте также:  Проверить силу сигнала wifi

ip local pool L2TP_POOL 172.31.1.10 172.31.1.250

ip nat inside source list INET_ACL interface GigabitEthernet0/0 overload
ip route 0.0.0.0 0.0.0.0 XXX.XXX.XXX.1

ip access-list extended INET_ACL
permit ip 192.168.0.0 0.0.0.255 any
permit ip 172.31.1.0 0.0.0.255 any

Работая в небольшом ISP, часто приходилось предоставлять клиентам (юридическим лицам) ethernet-канал связи между их подразделениями, территориально разбросанными по всему городу или в соседних городах. Большинству клиентам удавалось просто предоставить VLAN. Но что делать, если по пути между филиалами есть только маршрутизируемые сети?

Сначала посмотрел в сторону GRE-туннеля + bridge между туннелем и портом абонента. Решение возможное, но корявое и официально «not supported», работало в зависимости от фазы луны. Смотреть в сторону MPLS идея утопичная, т.к. имеющееся оборудование его просто не поддерживает. Выбор пал на EoL2TP, который, как оказалось, не только работает нормально, но конфигурится намного проще, чем кажется на первый взгляд. Итак, приступим.

Задача: Необходимо объединить Workstation 1 и 2 в единый broadcast-домен, через маршрутизируемую сеть. При этом мы можем управлять только оконечными роутерами A и B.

Шаг 1. Настраиваем связь между роутерами. В режиме глобальной конфигурации:

P.S. Я специально не стал рассматривать динамическую маршрутизацию, чтобы не отвлекать читателя дополнительной информацией не по теме.

Шаг 2. Проверяем связь между роутерами
Шаг 3. Теперь можно перейти к настройке EoL2TP
Шаг 4. Проверяем связь Workstation 1 Workstation 2



Как видно, проброс ethernet’а через IP-сеть уже работает.

Шаг 5. Проверяем статистику на роутерах

На этом настройка и проверка полностью закончена. На мой взгляд довольно простое и быстрое решение. Дополнение, критика принимаются, но не судите строго, этой мой первый пост.
Источник www.cisco.com/en/US/docs/ios/12_3t/12_3t2/feature/guide/gtvoltun.html

Данная статья не подлежит комментированию, поскольку её автор ещё не является полноправным участником сообщества. Вы сможете связаться с автором только после того, как он получит приглашение от кого-либо из участников сообщества. До этого момента его username будет скрыт псевдонимом.

  • 29 мая 2019 в 11:22 Настройка Etherchannel с минимальным downtime-ом
  • 4 июня 2019 в 14:52 Бэкап конфигурации сетевого оборудования системой rConfig
  • 3 октября 2019 в 17:15 Сброс пароля на Cisco ACS
  • 22 октября 2019 в 23:49 Как запустить Cisco ASDM на linux и не сойти с ума

Это «Песочница» — раздел, в который попадают дебютные посты пользователей, желающих стать полноправными участниками сообщества.

Если у вас есть приглашение, отправьте его автору понравившейся публикации — тогда её смогут прочитать и обсудить все остальные пользователи Хабра.

Чтобы исключить предвзятость при оценке, все публикации анонимны, псевдонимы показываются случайным образом.