2024年1月2日发(作者:)
Huawei AR 系列物联网关配置指南-VPN(命令行)2 L2TPv3配置2关于本章2.1 L2TPv3简介介绍L2TPv3的定义和目的。2.2 L2TPv3原理介绍介绍L2TPv3实现原理。2.3 L2TPv3应用场景介绍L2TPv3的应用场景。2.4 L2TPv3配置注意事项介绍部署L2TPv3的注意事项。2.5 配置L2TPv3介绍L2TPv3详细的配置过程。2.6 监控L2TPv3隧道运行状况 L2TPv3配置在IP网络中配置L2TPv3隧道,实现二层数据在三层网络的透明传输。2.7 L2TPv3配置举例介绍L2TPv3特性在不同场景的配置示例,包括组网需求、配置思路、配置步骤等。2.1 L2TPv3简介介绍L2TPv3的定义和目的。定义二层隧道协议第三版L2TPv3(Layer Two Tunneling Protocol - Version 3)是一种二层隧道技术,可以透传多种二层报文(如PPP、Ethernet、HDLC、ATM等),运用于用户侧的二层接入链路在分组交换网络中透明传递。说明目前仅支持透传以太报文(除BPDU报文)且用户侧接入端口仅支持VLANIF、WAN和子接口。文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司60
Huawei AR 系列物联网关配置指南-VPN(命令行)2 L2TPv3配置目的用户需要在分支和总部或者分支之间建立二层连接时,可以通过部署VLL(VirtualLeased Line)来实现,但是VLL的部署成本太高。通过L2TPv3提供二层连接,只做以太二层透传,不用对现有的IP网络做升级改造,从而节省运营商网络建设投资,使各企业可以享受到更低费用的服务。2.2 L2TPv3原理介绍介绍L2TPv3实现原理。如图2-1所示,企业分支局域网之间想通过IP网络进行二层数据通信,在企业出口网关处配置了L2TPv3功能。图2-1 L2TPv3组网图PWPW接口AC接口LCCE1LANL2TPv3 TunnelIP NetworkPW接口AC接口LCCE2LAN分支A分支B相关概念●LCCE控制连接终点LCCE(L2TP Control Connection Endpoint):L2TP控制连接隧道任意一端的L2TP节点。它既可以是LAC,也可以是LNS。取决于在数据链路层还是在网络层处理隧道帧。若在数据链路层处理隧道帧,则LCCE是LAC;若在网络层处理隧道帧,则LCCE是LNS。●PW伪线PW(Pseudowire):一条从本地AC接口到对端AC接口之间的虚拟的、直接相连的数据通道,能够完成用户的二层数据透明传输。每个L2TPv3会话对应一条PW。●AC接口AC接口:连接用户侧设备的接口,用于接收和发送用户侧流量。在本手册内,只支持接入三层Ethernet接口,包括三层WAN接口、子接口(不支持灵活QinQ模式)、VLANIF接口。●PW接口PW接口:连接对端LCCE的接口,用于LCCE接收和发送L2TPv3协议报文和网络侧数据报文。文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司61
Huawei AR 系列物联网关配置指南-VPN(命令行)2 L2TPv3配置●静态隧道:静态隧道是指直接通过命令行配置指定本端和对端的参数,不需要经过报文协商过程就直接进行数据转发。一个接口下只有一个隧道,一个隧道只支持一个会话。不同的接口下可以配置多个隧道。工作过程如图2-1所示,将企业分支A网关设备部署为LCCE1,企业分支B网关设备部署为LCCE2,LCCE1和LCCE2之间建立L2TPv3隧道。1.2.企业分支机构在LCCE设备上全局使能L2TPv3功能。在LCCE设备上创建Tunnel接口。配置隧道封装协议为L2TPv3、隧道工作模式为静态,设置隧道源地址和目的地址以及Session ID等其他参数。说明两端设备的配置需要保持一致,否则隧道建立失败。3.4.在LCCE设备上将AC接口和Tunnel接口绑定。流量经过AC接口,通过Tunnel转发到对端设备。L2TPv3报文格式企业分支发送的报文经L2TPv3封装后的报文格式,如图2-2所示。图2-2 L2TPv3报文格式图IP HeadL2TP HeadL2HeadpayloadL2TPv3报文封装图2-3 L2TPv3报文封装图LAN分支ALCCE1IP NetworkLANLCCE2分支B二层报文L2TPv3封装L2
payloadHeadIP HeadL2TPv3
HeadL2
payloadHeadL2
payloadHead如图2-3所示,企业分支A发送报文到企业分支B,有以下过程:文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司62
Huawei AR 系列物联网关配置指南-VPN(命令行)2 L2TPv3配置1.2.分支A向分支B发送数据报文。LCCE1收到报文之后根据AC口VLAN封装规则对报文进行处理。然后根据AC口查隧道封装表,在报文二层头上直接封装L2TPv3头,查路由表后从隧道接口发送出去。LCCE2接收到报文后查路由表并判断是否是L2TPv3报文。若是L2TPv3报文则查隧道解封装表,校验对端LCCE1配置与本端LCCE2配置是否一致,合法的话剥掉L2TPv3头。剥掉L2TPv3头的报文从AC口,根据VLAN封装规则处理后发送给分支B;若不是L2TPv3报文或者配置不一致则丢弃报文。3.业务接入方式两分支机构处于不同的VLAN需要互通,可以采用以下几种接入L2TPv3的方式:●整端口接入L2TPv3隧道:当AC口为WAN口时,即在AC口配置Link-bridge命令将AC口和Tunnel绑定。L2TPv3隧道可以透传不带Tag,带一层Tag或者带两层Tag的二层报文。终结一层Tag接入L2TPv3隧道:对AC接口下的子接口接收到的带有一层或两层Tag的报文,子接口剥除报文的最外层Tag,报文封装L2TPv3报文头后进入L2TPv3隧道;对从AC接口下的子接口发出的报文,子接口添加一层Tag再发送出去。––●当接受到的报文带有一层Tag,剥掉报文Tag就是C-Tag终结方式。当接受到的报文带有两层Tag,剥掉报文最外层Tag就是S-Tag终结方式。●终结两层Tag接入L2TPv3隧道:对AC接口下的子接口接收到的带有两层Tag的报文,子接口剥掉两层Tag(S-Tag和C-Tag),报文封装L2TPv3报文头后进入L2TPv3隧道;对从AC接口下的子接口发出的报文,子接口添加两层Tag(S-Tag和C-Tag)再发送出去。终结子接口的具体描述请参见《Huawei AR系列物联网关 配置指南(通过命令行)-以太网交换配置》中的“VLAN终结配置”。2.3 L2TPv3应用场景介绍L2TPv3的应用场景。企业总部在不同城市设有分支机构,分支机构部署为以太网络,并配备网关设备接入IP网络。分支之间以及分支和总部之间需要建立二层连接,于是使用L2TPv3功能将网关设备部署为LCCE,通过L2TPv3隧道,只做以太二层透传,从而节省运营商网络建设投资。说明仅支持企业专线点对点(LAC-LAC)场景,不支持点对多点场景。仅支持VLAN接入对称场景和端口对称的场景即LCCE的AC接口对称模式。L2TPv3隧道仅支持配置一个VLAN。文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司63
Huawei AR 系列物联网关配置指南-VPN(命令行)2 L2TPv3配置图2-4 L2TPv3基本组网图LANLCCE企业A分支1IP NetworkLCCELANL2TPv3 Tunnel企业A分支22.4 L2TPv3配置注意事项介绍部署L2TPv3的注意事项。涉及网元无License支持L2TPv3是设备的基本特性,无需获得License许可即可应用此功能。特性依赖和限制仅AR500系列(除AR502EG-L、AR502EGW-L、AR502CG-L、AR502EGRb-L、AR502EGRc-Lc、AR502EG-L-PD、AR502EG-La、AR502EGRz-L、AR502EGRz-Lc、AR509CGW-L、AR509CG-Lc、AR509CG-Lt、AR509CG-Lt-7)、AR550E、AR1500系列和AR2500系列支持L2TPv3。2.5 配置L2TPv3介绍L2TPv3详细的配置过程。2.5.1 配置静态隧道功能背景信息L2TPv3隧道上透传二层以太业务。通过部署在LCCE设备上的L2TPv3隧道,将用户的二层数据传输到对端。操作步骤步骤1使能L2TPv3功能。1.2.执行命令system-view,进入系统视图。执行命令l2tpv3 enable,使能L2TPv3功能。缺省情况下,L2TPv3功能处于未使能状态。文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司64
Huawei AR 系列物联网关配置指南-VPN(命令行)2 L2TPv3配置步骤2配置L2TPv3隧道参数。1.2.3.4.5.6.执行命令interface tunnel
interface-number,创建Tunnel接口,并进入Tunnel接口视图。执行命令tunnel-protocol svpn,配置Tunnel接口的隧道协议为SVPN。缺省情况下,Tunnel接口的隧道协议为none,即不进行任何协议封装。执行命令encapsulation l2tpv3 [ static ],配置隧道的类型为静态L2TPv3隧道。缺省情况下,没有使能隧道类型。执行命令l2tpv3 local session-id
local-session-id,配置本端的会话ID。缺省情况下,没有为本端配置会话ID。执行命令l2tpv3 remote session-id
remote-session-id,配置对端的会话ID。缺省情况下,没有为对端配置会话ID。(可选)执行命令l2tpv3 local cookie { key cipher
local-cookie { length 4plain lower-value
local-lower-value | length 8 plain lower-value
local-lower-value upper-value
local-high-value } },配置本端的Cookie密钥。缺省情况下,没有为本端配置Cookie密钥。7.(可选)执行命令l2tpv3 remote cookie { key cipher
local-cookie { length 4plain lower-value
local-lower-value | length 8 plain lower-value
local-lower-value upper-value
local-high-value } },配置对端的Cookie密钥。缺省情况下,没有为对端配置Cookie密钥。说明建议配置的本端Cookie密钥和对端配置密钥一致,否则会出现流量不通现象。8.执行命令tunnel-source {
source-ip-address |
interface-type
interface-number },配置Tunnel的源地址或源接口。缺省情况下,没有为Tunnel配置源地址。说明隧道的源地址就是实际发送报文的接口IP地址,隧道的源接口就是实际发送报文的接口。9.执行命令tunnel-destination [ vpn-instance
vpn-instance-name ]
dest-ip-address,配置Tunnel的目的地址。缺省情况下,没有为Tunnel配置目的地址。说明隧道的目的地址就是实际接收报文的接口IP地址。10.执行命令quit,回到系统视图。步骤3绑定AC接口和Tunnel接口。1.2.执行命令interface
interface-type interface-number,进入AC接口。执行命令link-bridge
interface-type
interface-number { tagged | raw },用来配置将AC接口和Tunnel接口进行绑定的功能。缺省情况下,设备没有绑定AC接口和Tunnel接口。文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司65
Huawei AR 系列物联网关配置指南-VPN(命令行)2 L2TPv3配置3.执行命令quit,回到系统视图。----结束2.5.2 检查L2TPv3配置结果前提条件已经完成L2TPv3隧道的所有配置。操作步骤●●执行命令display interface tunnel [
interface-number | main ],查看Tunnel接口的工作状态。执行命令display interface brief [ main ],查看接口状态和配置的简要信息。----结束2.6 监控L2TPv3隧道运行状况背景信息通过查看AC口和Tunnel口的状态,达到查看L2TPv3隧道运行状况的目的。执行命令link-bridge绑定AC口和Tunnel口之前,它们状态不会有对应关系。绑定AC口和Tunnel口之后,它们之间会有对应关系。AC口和Tunnel口的状态联动关系有以下几种情况:口的Physical为UP、Tunnel的Physical为UP且Protocol为UP(Spoofing)则表示隧道是UP的。Tunnel口的Physical为Standby(^down)则表示AC口的Physical为down或者是*down。原因:AC口没有插网线或被Shutdown等。口的Physical为Standby(^down)则表示Tunnel的Protocol为down。原因:Tunnel下的参数配置不完整、路由不可达、没有加载License、Tunnel被Shutdown等。说明修改参数后,隧道会被删除。若新配置正确,隧道会重新被建立。操作步骤●●执行命令display interface tunnel [
interface-number ],查看Tunnel接口的工作状态。执行命令display interface brief [ main ],查看接口状态和配置的简要信息。----结束2.7 L2TPv3配置举例介绍L2TPv3特性在不同场景的配置示例,包括组网需求、配置思路、配置步骤等。文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司66
Huawei AR 系列物联网关配置指南-VPN(命令行)2 L2TPv3配置2.7.1 配置通过静态方式建立L2TPv3隧道示例组网需求如图2-5所示,企业A有两个分支,分别通过LCCE1和LCCE2接入到IP网络。分支1部署本地局域网,将LCCE1部署为网关设备。分支2部署本地局域网,将LCCE2部署为网关设备。现需要分支1和分支2之间能通过IP网络透传二层数据,不同局域网实现互通。图2-5 配置终结一层Tag方式接入L2TPv3隧道组网图IP
NetworkGE0/0/110.1.1.2企业A分支1L2TPv3 TunnelGE0/0/110.1.2.2企业A分支2LCCE1LCCE2GE0/0/2GE0/0/2PC1PC2
配置思路要实现分支1和分支2通过三层网络互通,需要在LCCE1和LCCE2之间部署L2TPv3隧道,使二层数据在IP网络透传。配置终结一层Tag方式接入L2TPv3隧道的思路如下:1.2.3.4.5.配置路由,保证LCCE1和LCCE2两端路由可达。全局使能L2TPv3功能。创建Tunnel接口并配置L2TPv3隧道参数。在AC接口上配置Dot1q子接口接入L2TPv3。配置Link-bridge功能,绑定AC接口和Tunnel接口。说明使用L2TPv3功能需要加载License,否则无法启用此功能。操作步骤步骤1分别在LCCE1和LCCE2上配置PW接口的IP地址和到对端的静态路由# 在LCCE1上配置PW接口的IP地址。
Huawei AR 系列物联网关配置指南-VPN(命令行)2 L2TPv3配置# 在LCCE1上配置到对端的静态路由,此处假设到对端的下一跳地址为10.1.1.3。[LCCE1]ip route-static 10.1.2.0 255.255.255.0 10.1.1.3# 在LCCE2上配置PW接口的IP地址。
# 在LCCE2上创建子接口,以Dotlq子接口方式接入L2TPv3。[LCCE2] interface gigabitethernet 0/0/2.1[LCCE2-GigabitEthernet0/0/2.1] dot1q termination vid 20
步骤5配置Link-bridge功能# 在LCCE1上配置Link-bridge功能,使AC接口和Tunnel接口绑定。文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司68
Huawei AR 系列物联网关配置指南-VPN(命令行)[LCCE1-GigabitEthernet0/0/2.1] link-bridge tunnel0/0/1 tagged2 L2TPv3配置# 在LCCE2上配置Link-bridge功能,使AC接口和Tunnel接口绑定。[LCCE2-GigabitEthernet0/0/2.1] link-bridge tunnel0/0/1 tagged步骤6验证配置结果# 配置成功之后,分别在LCCE1和LCCE2上执行display interface brief可以查看接口与IP相关的简要信息,包括IP地址、子网掩码、物理链路和协议的Up/Down状态以及处于不同状态的接口数目,以LCCE1显示为例。[LCCE1] display interface briefPHY: Physical*down: administratively down(l): loopback(s): spoofing(b): BFD down^down: standby(e): ETHOAM downInUti/OutUti: input utility/output utilityInterface PHY Protocol InUti OutUti inErrors outErrorsAtm8/0/0 down down 0% 0% 0 0Atm8/0/1 down down 0% 0% 0 0Atm8/0/2 down down 0% 0% 0 0Atm8/0/3 down down 0% 0% 0 0Cellular0/0/0 down down 0% 0% 0 0Cellular0/0/1 down down 0% 0% 0 0Ethernet1/0/0 up up 0% 0% 0 0Ethernet1/0/1 up down 0.01% 0% 0 0Ethernet2/0/0 down down 0% 0% 0 0GigabitEthernet0/0/0 up up 0.01% 0.01% 0 0GigabitEthernet0/0/1 up up 0.01% 0% 0 0GigabitEthernet0/0/2 up up 0.01% 0% 0 0GigabitEthernet0/0/2.1 up up 0% 0% 0 0GigabitEthernet0/0/3 up down 0.01% 0% 0 0GigabitEthernet3/0/0 down down 0% 0% 0 0MFR0/0/1 down down 0% 0% 0 0Mp-group0/0/1 down down 0% 0% 0 0NULL0 up up(s) 0% 0% 0 0Serial4/0/0 up up 0.05% 0.05% 0 0Serial6/0/0 down down 0% 0% 0 0Serial6/0/1 down down 0% 0% 0 0Serial6/0/2 down down 0% 0% 0 0Serial6/0/3 down down 0% 0% 0 0Serial6/0/4 down down 0% 0% 0 0Serial6/0/5 down down 0% 0% 0 0Serial6/0/6 down down 0% 0% 0 0Serial6/0/7 down down 0% 0% 0 0Tunnel0/0/1 up up(s) 0% 0% 0 0Virtual-Template1 up down 0% 0% 0 0# 分别在LCCE1和LCCE2上执行display interface tunnel 0/0/1可以查看Tunnel接口状态为UP(spoofing)状态,以LCCE1显示为例。[LCCE1] display interface tunnel 0/0/1Tunnel0/0/1 current state : UPLine protocol current state : UP (spoofing)Description:HUAWEI, AR Series, Tunnel0/0/1 InterfaceRoute Port,The Maximum Transmit Unit is 1500Internet protocol processing : disabledEncapsulation is TUNNEL, loopback not setTunnel protocol/transport SVPN/IPCurrent system time: 2016-02-25 17:10:48 300 seconds input rate 0 bits/sec, 0 packets/sec 300 seconds output rate 0 bits/sec, 0 packets/sec 99 seconds input rate 0 bits/sec, 0 packets/sec 99 seconds output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司69
Huawei AR 系列物联网关配置指南-VPN(命令行) 0 input error 0 packets output, 0 bytes 0 output error Input bandwidth utilization : 0% Output bandwidth utilization : 0%2 L2TPv3配置----结束配置文件●LCCE1的配置文件# sysname LCCE1# l2tpv3 enable#interface GigabitEthernet0/0/1 ip address 10.1.1.2 255.255.255.0#interface GigabitEthernet0/0/2.1 dot1q termination vid 9 link-bridge Tunnel0/0/1 tagged#interface Tunnel0/0/1 tunnel-protocol svpn encapsulation l2tpv3
l2tpv3 local session-id 1 l2tpv3 remote session-id 4 l2tpv3 local cookie length 4 plain lower-value 11 l2tpv3 remote cookie length 4 plain lower-value 22 tunnel-source 10.1.1.2 tunnel-destination 10.1.2.2#ip route-static 10.1.2.0 255.255.255.0 10.1.1.3#return●LCCE2的配置文件# sysname LCCE2# l2tpv3 enable#interface GigabitEthernet0/0/1 ip address 10.1.2.2 255.255.255.0#interface GigabitEthernet0/0/2.1 dot1q termination vid 20 link-bridge Tunnel0/0/1 tagged#interface Tunnel0/0/1 tunnel-protocol svpn encapsulation l2tpv3
l2tpv3 local session-id 4 l2tpv3 remote session-id 1 l2tpv3 local cookie length 4 plain lower-value 22 l2tpv3 remote cookie length 4 plain lower-value 11 tunnel-source 10.1.2.2 tunnel-destination 10.1.1.2#ip route-static 10.1.1.0 255.255.255.0 10.1.2.3#return文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司70
Huawei AR 系列物联网关配置指南-VPN(命令行)2 L2TPv3配置2.7.2 配置设备之间通过L2TPv3 over IPSec方式实现安全互通的示例组网需求如图2-6所示,企业A有两个分支,分别通过LCCE接入到IP网络。分支1部署本地局域网,将LCCE1部署为网关设备。分支2部署本地局域网,将LCCE2部署为网关设备。现企业希望通过L2TPv3隧道传输的业务进行安全保护,防止被窃取或篡改等。此时,可以配置L2TPv3 over IPSec的方式来加密保护企业的业务。图2-6 配置分支机构之间通过L2TPv3 over IPSec方式实现安全互通组网图IP
NetworkGE0/0/110.1.1.2企业A分支1L2TPv3 over IPSecGE0/0/110.1.2.2企业A分支2LCCE1LCCE2GE0/0/2GE0/0/2PC1PC2
配置思路采用如下思路配置分支机构之间通过L2TPv3 over IPSec方式实现安全互通:1.2.3.4.5.6.7.8.9.配置路由,保证LCCE1和LCCE2两端路由可达。全局使能L2TPv3功能。创建Tunnel接口并配置L2TPv3隧道参数。配置Link-bridge,绑定Tunnel接口和AC接口。配置ACL,定义需要IPSec保护的数据流。配置IPSec安全提议,定义IPSec的保护方法。配置IKE对等体,定义对等体间IKE协商时的属性。配置安全策略,并引用ACL、IPSec安全提议和IKE对等体,确定对何种数据流采取何种保护方法。在接口上应用安全策略组,使接口具有IPSec的保护功能。操作步骤步骤1分别在LCCE1和LCCE2上配置PW接口的IP地址和到对端的静态路由# 在LCCE1上配置PW接口的IP地址。
Huawei AR 系列物联网关配置指南-VPN(命令行)[LCCE1] interface gigabitethernet 0/0/1[LCCE1-GigabitEthernet0/0/1] ip address 10.1.1.2 24[LCCE1-GigabitEthernet0/0/1] quit2 L2TPv3配置# 在LCCE1上配置到对端的静态路由,此处假设到对端的下一跳地址为10.1.1.3。[LCCE1]ip route-static 10.1.2.0 255.255.255.0 10.1.1.3# 在LCCE2上配置PW接口的IP地址。
[LCCE1-GigabitEthernet0/0/2] link-bridge tunnel0/0/1 tagged# 在LCCE2上配置Link-bridge功能,使AC接口和Tunnel接口绑定。[LCCE2] interface GigabitEthernet 0/0/2
[LCCE2-GigabitEthernet0/0/2] link-bridge tunnel0/0/1 tagged文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司72
Huawei AR 系列物联网关配置指南-VPN(命令行)2 L2TPv3配置步骤5配置ACL,定义各自要保护的数据流说明隧道封装为IP协议(协议号是115),不支持UDP协议。# 在LCCE1上配置ACL。[LCCE1] acl number 3000
[LCCE1-acl-adv-3000] rule permit 115 source 10.1.1.2 0 destination 10.1.2.2 0
[LCCE1-acl-adv-3000] quit# 在LCCE2上配置ACL。[LCCE2] acl number 3000
[LCCE2-acl-adv-3000] rule permit 115 source 10.1.2.2 0 destination 10.1.1.2 0
[LCCE2-acl-adv-3000] quit步骤6创建IPSec安全提议[LCCE1] ipsec proposal rtb[LCCE1-ipsec-proposal-rtb] esp authentication-algorithm sha2-256[LCCE1-ipsec-proposal-rtb] esp encryption-algorithm aes-192[LCCE1-ipsec-proposal-rtb] quit# 在LCCE1上配置IPSec安全提议。# 在LCCE2上配置IPSec安全提议。[LCCE2] ipsec proposal rta[LCCE2-ipsec-proposal-rta] esp authentication-algorithm sha2-256[LCCE2-ipsec-proposal-rta] esp encryption-algorithm aes-192[LCCE2-ipsec-proposal-rta] quit步骤7配置IKE对等体# 在LCCE1上配置IKE安全提议。[LCCE1] ike proposal 1[LCCE1-ike-proposal-1] encryption-algorithm aes-256[LCCE1-ike-proposal-1] authentication-algorithm sha2-256[LCCE1-ike-proposal-1] quit# 在LCCE1上配置IKE对等体,并根据默认配置,配置预共享密钥和对端ID。[LCCE1] ike peer rtb
[LCCE1-ike-peer-rtb] ike-proposal 1[LCCE1-ike-peer-rtb] pre-shared-key cipher huawei@123[LCCE1-ike-peer-rtb] remote-address 10.1.2.2[LCCE1-ike-peer-rtb] quit# 在LCCE2上配置IKE安全提议。[LCCE2] ike proposal 1[LCCE2-ike-proposal-1] encryption-algorithm aes-256[LCCE2-ike-proposal-1] authentication-algorithm sha2-256[LCCE2-ike-proposal-1] quit# 在LCCE2上配置IKE对等体,并根据默认配置,配置预共享密钥和对端ID。[LCCE2] ike peer rta[LCCE2-ike-peer-rta] ike-proposal 1[LCCE2-ike-peer-rta] pre-shared-key cipher huawei@123[LCCE2-ike-peer-rta] remote-address 10.1.1.2[LCCE2-ike-peer-rta] quit步骤8创建安全策略# 在LCCE1上配置IKE动态协商方式安全策略。[LCCE1] ipsec policy rtb 1 isakmp[LCCE1-ipsec-policy-isakmp-rtb-1] ike-peer rtb文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司73
Huawei AR 系列物联网关配置指南-VPN(命令行)[LCCE1-ipsec-policy-isakmp-rtb-1] proposal rtb[LCCE1-ipsec-policy-isakmp-rtb-1] security acl 3000[LCCE1-ipsec-policy-isakmp-rtb-1] quit2 L2TPv3配置# 在LCCE2上配置IKE动态协商方式安全策略。[LCCE2] ipsec policy rta 1 isakmp[LCCE2-ipsec-policy-isakmp-rta-1] ike-peer rta[LCCE2-ipsec-policy-isakmp-rta-1] proposal rta[LCCE2-ipsec-policy-isakmp-rta-1] security acl 3000[LCCE2-ipsec-policy-isakmp-rta-1] quit步骤9接口上应用各自的安全策略组,使接口具有IPSec的保护功能# 在LCCE1的PW接口上引用安全策略组。[LCCE1] interface gigabitethernet0/0/1[LCCE1-GigabitEthernet0/0/1] ipsec policy rtb[LCCE1-GigabitEthernet0/0/1] quit# 在LCCE2的PW接口上引用安全策略组。[LCCE2] interface gigabitethernet0/0/1[LCCE2-GigabitEthernet0/0/1] ipsec policy rta[LCCE2-GigabitEthernet0/0/1] quit步骤10验证配置结果# 配置成功后,在主机PC1执行ping操作仍然可以ping通主机PC2,它们之间的数据传输将被加密。分别在LCCE1和LCCE2上执行display ipsec sa会显示所配置的信息,以LCCE1为例。[LCCE1] display ipsec sa
ipsec sa information:
===============================
Interface: GigabitEthernet0/0/1
===============================
-----------------------------
IPSec policy name: "rtb"
Sequence number : 1
Acl group : 3000
Acl rule : 5
Mode : ISAKMP
-----------------------------
Connection ID : 9
Encapsulation mode: Tunnel
Tunnel local : 10.1.1.2
Tunnel remote : 10.1.2.2
Flow source : 10.1.1.2/255.255.255.255 0/0
Flow destination : 10.1.2.2/255.255.255.255 0/0
[Outbound ESP SAs]
SPI: 1380002640 (0x52412b50)
Proposal: ESP-ENCRYPT-AES-192 ESP-AUTH-SHA2-256-128
SA remaining key duration (kilobytes/sec):
1532270/3514
Outpacket count : 2686500
Outpacket encap count : 2686495
Outpacket drop count : 0
Max sent sequence-number: 2686293
UDP encapsulation used for NAT traversal: N
[Inbound ESP SAs]
文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司74
Huawei AR 系列物联网关配置指南-VPN(命令行)2 L2TPv3配置 SPI: 2595661893 (0x9ab6a845)
Proposal: ESP-ENCRYPT-AES-192 ESP-AUTH-SHA2-256-128
SA remaining key duration (kilobytes/sec):
1490295/3514
Inpacket count : 3068764
Inpacket decap count : 3068761
Inpacket drop count : 0
Max received sequence-number: 3068590
UDP encapsulation used for NAT traversal: N
Anti-replay : Enable
Anti-replay window size: 1024
# 分别在LCCE1和LCCE2上执行display interface brief可以查看接口与IP相关的简要信息,包括IP地址、子网掩码、物理链路和协议的Up/Down状态以及处于不同状态的接口数目,以LCCE1显示为例。[LCCE1] display interface briefPHY: Physical*down: administratively down(l): loopback(s): spoofing(b): BFD down^down: standby(e): ETHOAM downInUti/OutUti: input utility/output utilityInterface PHY Protocol InUti OutUti inErrors outErrorsAtm8/0/0 down down 0% 0% 0 0Atm8/0/1 down down 0% 0% 0 0Atm8/0/2 down down 0% 0% 0 0Atm8/0/3 down down 0% 0% 0 0Cellular0/0/0 down down 0% 0% 0 0Cellular0/0/1 down down 0% 0% 0 0Ethernet1/0/0 up up 0% 0% 0 0Ethernet1/0/1 up down 0.01% 0% 0 0Ethernet2/0/0 down down 0% 0% 0 0GigabitEthernet0/0/0 up up 0.01% 0.01% 0 0GigabitEthernet0/0/1 up up 0.01% 0% 0 0GigabitEthernet0/0/2 up up 0.01% 0% 0 0GigabitEthernet0/0/3 up down 0.01% 0% 0 0GigabitEthernet3/0/0 down down 0% 0% 0 0MFR0/0/1 down down 0% 0% 0 0Mp-group0/0/1 down down 0% 0% 0 0NULL0 up up(s) 0% 0% 0 0Serial4/0/0 up up 0.05% 0.05% 0 0Serial6/0/0 down down 0% 0% 0 0Serial6/0/1 down down 0% 0% 0 0Serial6/0/2 down down 0% 0% 0 0Serial6/0/3 down down 0% 0% 0 0Serial6/0/4 down down 0% 0% 0 0Serial6/0/5 down down 0% 0% 0 0Serial6/0/6 down down 0% 0% 0 0Serial6/0/7 down down 0% 0% 0 0Tunnel0/0/1 up up(s) 0% 0% 0 0Virtual-Template1 up down 0% 0% 0 0# 分别在LCCE1和LCCE2上执行display interface tunnel 0/0/1可以查看Tunnel接口状态为UP(spoofing)状态,以LCCE1显示为例。[LCCE1] display interface tunnel 0/0/1Tunnel0/0/1 current state : UPLine protocol current state : UP (spoofing)Description:HUAWEI, AR Series, Tunnel0/0/1 InterfaceRoute Port,The Maximum Transmit Unit is 1500Internet protocol processing : disabledEncapsulation is TUNNEL, loopback not setTunnel protocol/transport SVPN/IPCurrent system time: 2016-02-25 17:10:48 300 seconds input rate 0 bits/sec, 0 packets/sec文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司75
Huawei AR 系列物联网关配置指南-VPN(命令行) 300 seconds output rate 0 bits/sec, 0 packets/sec 99 seconds input rate 0 bits/sec, 0 packets/sec 99 seconds output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes 0 input error 0 packets output, 0 bytes 0 output error Input bandwidth utilization : 0% Output bandwidth utilization : 0%2 L2TPv3配置----结束配置文件●LCCE1的配置文件# sysname LCCE1# l2tpv3 enable#acl number 3000
rule 5 permit 115 source 10.1.1.2 0 destination 10.1.2.2 0
#ipsec proposal rtb esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192#ike proposal 1 encryption-algorithm aes-256 authentication-algorithm sha2-256#ike peer rtb pre-shared-key cipher %^%#`KJ{)J4dRTcJ2eLBf[3SEp3hQbWrGA;#K()Bw*h1%^%# ike-proposal 1remote-address 10.1.2.2#ipsec policy rtb 1 isakmp security acl 3000 ike-peer rtb proposal rtb#interface GigabitEthernet0/0/1 ip address 10.1.1.2 255.255.255.0 ipsec policy rtb#interface GigabitEthernet0/0/2 link-bridge Tunnel0/0/1 tagged#interface Tunnel0/0/1 tunnel-protocol svpn encapsulation l2tpv3
l2tpv3 local session-id 1 l2tpv3 remote session-id 4 l2tpv3 local cookie length 4 plain lower-value 11 l2tpv3 remote cookie length 4 plain lower-value 22 tunnel-source 10.1.1.2 tunnel-destination 10.1.2.2#ip route-static 10.1.2.0 255.255.255.0 10.1.1.3#return●LCCE2的配置文件# sysname LCCE2# l2tpv3 enable#文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司76
Huawei AR 系列物联网关配置指南-VPN(命令行)acl number 3000
rule 5 permit 115 source 10.1.2.2 0 destination 10.1.1.2 0
#ipsec proposal rta esp authentication-algorithm sha2-256
esp encryption-algorithm aes-192#ike proposal 1 encryption-algorithm aes-256 authentication-algorithm sha2-256#ike peer rta
pre-shared-key cipher %^%#`KJ{)J4dRTcJ2eLBf[3SEp3hQbWrGA;#K()Bw*h1%^%# ike-proposal 1 remote-address 10.1.1.2#ipsec policy rta 1 isakmp security acl 3000 ike-peer rta proposal rta#interface GigabitEthernet0/0/1 ip address 10.1.2.2 255.255.255.0 ipsec policy rta
#interface GigabitEthernet0/0/2 link-bridge Tunnel0/0/1 tagged#interface Tunnel0/0/1 tunnel-protocol svpn encapsulation l2tpv3
l2tpv3 local session-id 4 l2tpv3 remote session-id 1 l2tpv3 local cookie length 4 plain lower-value 22 l2tpv3 remote cookie length 4 plain lower-value 11 tunnel-source 10.1.2.2 tunnel-destination 10.1.1.2#ip route-static 10.1.1.0 255.255.255.0 10.1.2.3#return2 L2TPv3配置文档版本 08 (2020-08-31)版权所有 © 华为技术有限公司77
发布评论