步骤2:配置USG2100 B #输入用户名 admin #输入密码 Admin@123
#切换语言模式为中文模式
[USG2100] sysname USG2100 B
# 配置Ethernet 0/0/0的IP地址。 [USG2100 B] interface Ethernet 0/0/0 [USG2100 B-Ethernet0/0/0] ip address 24 [USG2100 B-Ethernet0/0/0] quit # 创建编号为5的VLAN。 [USG2100 B] vlan 5 [USG2100 B-vlan5] quit
# 配置Ethernet 1/0/0的链路类型并加入VLAN。 [USG2100 B] interface Ethernet 1/0/0
[USG2100 B-Ethernet1/0/0] port access vlan 5 [USG2100 B-Ethernet1/0/0] quit
# 创建VLAN 5所对应的三层接口Vlanif 5,并配置Vlanif 5的IP地址。配置VLAN接口。
[USG2100 B] interface vlanif 5 [USG2100 B-Vlanif5] ip address 24 [USG2100 B-Vlanif5] quit # 创建Tunnel2接口。
[USG2100 B] interface tunnel 2 # 配置Tunnel2接口的IP地址。
[USG2100 B-Tunnel2] ip address 24 # 配置Tunnel封装模式。
[USG2100 B-Tunnel2] tunnel-protocol gre
# 配置Tunnel2接口的源地址(Ethernet 0/0/0的IP地址)。
[USG2100 B-Tunnel2] source 配置Tunnel2接口的目的地址(USG2100 A的Ethernet 0/0/0的IP地址)。
[USG2100 B-Tunnel2] destination 退回系统视图 [USG2100 B-Tunnel2] quit
# 配置从USG2100 B经过Tunnel2接口到Group1的静态路由。 [USG2100 B] ip route-static tunnel 2 # 进入Trust区域视图。
[USG2100 B] firewall zone trust # 配置Vlanif 5加入Trust区域。
[USG2100 B-zone-trust] add interface Vlanif 5
[USG2100 B-zone-trust] quit # 进入Untrust区域。
[USG2100 B] firewall zone untrust
# 配置Ethernet 0/0/0加入Untrust区域。
[USG2100 B-zone-untrust] add interface Ethernet 0/0/0 # 配置Tunnel 2加入Untrust区域。
[USG2100 B-zone-untrust] add interface Tunnel 2 # 退回系统视图。
[USG2100 B-zone-untrust] quit # 配置域间缺省包过滤规则。
[USG2100 B] firewall packet-filter default permit all
4、 实验十一:配置L2TP VPN
步骤1:LAC侧的配置 #输入用户名 admin #输入密码 Admin@123
#切换语言模式为中文模式
# 配置Ethernet 0/0/0的IP地址。 [LAC] interface Ethernet 0/0/0 [LAC-Ethernet0/0/0] ip address 16 [LAC-Ethernet0/0/0] quit # 创建编号为5的VLAN。 [LAC] vlan 5 [LAC-vlan5] quit
# 配置Ethernet 1/0/0的链路类型并加入VLAN 5。 [LAC] interface Ethernet 1/0/0
[LAC-Ethernet1/0/0] port access vlan 5 [LAC-Ethernet1/0/0] quit
# 创建VLAN 5所对应的三层接口Vlanif 5,并配置Vlanif 5的IP地址。 [LAC] interface vlanif 5 [LAC-Vlanif5] ip address 24 [LAC-Vlanif5] quit
# 配置Vlanif 5加入Trust区域。 [LAC] firewall zone trust
[LAC-zone-trust] add interface Vlanif 5 [LAC-zone-trust] quit # 进入Untrust区域视图。
[LAC] firewall zone untrust
# 配置Ethernet 0/0/0加入Untrust区域。
[LAC-zone-untrust] add interface Ethernet 0/0/0 # 退回系统视图。
[LAC-zone-untrust] quit # 配置缺省路由。
[LAC] ip route-static 为LAC的下一跳设备的IP地址。 # 创建虚拟接口模板。
[LAC] interface Virtual-Template 1 # 配置PPP认证方式。(配置的时候会有个提示:请确认对端设备已具备相应的PPP协议[Y/N],这里选Y。)
[LAC-Virtual-Template1] ppp authentication-mode chap # 退回系统视图。
[LAC-Virtual-Template1] quit # 进入Vlanif 5视图。 [LAC] interface Vlanif 5 # 配置接口绑定虚拟接口模板。
[LAC-Vlanif5] pppoe-server bind virtual-template 1
虚拟接口模板可以与LAC的任一接口绑定。 # 退回系统视图。 [LAC-Vlanif5] quit
# 进入Untrust区域视图。 [LAC] firewall zone untrust
# 配置虚拟接口模板加入Untrust区域。
[LAC-zone-untrust] add interface Virtual-Template 1 # 退回系统视图。
[LAC-zone-untrust] quit # 使能L2TP功能。 [LAC] l2tp enable
# 配置用户名带域名的后缀分隔符。 [LAC] l2tp domain suffix-separator @ # 创建L2TP组。 [LAC] l2tp-group 1
# 配置L2TP隧道LNS端IP地址。
[LAC-l2tp1] start l2tp ip fullusername vpnuser@domain1
A.USG2130缺省需要进行隧道的认证。如果没有配置undo tunnel authentication命令,需要配置tunnel password命令。
B.LAC端配置的隧道验证时的密码需要与LNS端的配置保持一致。 # 启动L2TP隧道认证。
[LAC-l2tp1] tunnel authentication # 配置L2TP隧道认证密码。
[LAC-l2tp1] tunnel password simple Hello123 # 配置隧道本端名称。
[LAC-l2tp1] tunnel name lac # 退回系统视图。 [LAC-l2tp1] quit # 进入AAA视图。 [LAC] aaa
# 创建名称为domain1的域。 [LAC-aaa] domain domain1 # 退回AAA视图。
[LAC-aaa-domain-domain1] quit # 配置本地用户和密码。
[LAC-aaa] local-user vpnuser@domain1 password simple VPNuser123 # 退回系统视图。 [LAC-aaa] quit
# 配置域间缺省包过滤规则。
[LAC] firewall packet-filter default permit interzone untrust local [LAC] firewall packet-filter default permit interzone trust untrust
由于LAC需要与LNS设备进行PPP协商,也需要传输PC的连接请求,故配置上述域间的缺省包过滤规则。
步骤2:LNS侧的配置 #输入用户名 admin #输入密码 Admin@123
#切换语言模式为中文模式
# 配置Ethernet 0/0/0的IP地址。 [LNS] interface Ethernet 0/0/0 [LNS-Ethernet0/0/0] ip address 16 [LNS-Ethernet0/0/0] quit # 创建编号为5的VLAN。 [LNS] vlan 5 [LNS-vlan5] quit
# 配置Ethernet 1/0/0的链路类型并加入VLAN 5。 [LNS] interface Ethernet 1/0/0
[LNS-Ethernet1/0/0] port access vlan 5 [LNS-Ethernet1/0/0] quit
# 创建VLAN 5所对应的三层接口Vlanif 5,并配置Vlanif 5的IP地址。 [LNS] interface vlanif 5 [LNS-Vlanif5] ip address 24 [LNS-Vlanif5] quit
# 配置Vlanif 5加入Trust区域。 [LNS] firewall zone trust
[LNS-zone-trust] add interface Vlanif 5 [LNS-zone-trust] quit # 进入Untrust区域视图。 [LNS] firewall zone untrust
# 配置Ethernet 0/0/0加入Untrust区域。
[LNS-zone-untrust] add interface Ethernet 0/0/0 # 退回系统视图。
[LNS-zone-untrust] quit # 配置缺省路由。
[LNS] ip route-static 为LNS的下一跳设备的IP地址。 # 创建虚拟接口模板。
[LNS] interface Virtual-Template 1 # 配置虚拟接口模板的IP地址。
[LNS-Virtual-Template1] ip address 24
配置虚拟接口模板的IP地址为LNS侧的必配项。 # 配置PPP认证方式。
[LNS-Virtual-Template1] ppp authentication-mode chap # 配置为对端接口分配IP地址池中的地址。
[LNS-Virtual-Template1] remote address pool 1
此处引用的地址池号需要与AAA视图下的相对应。否则LNS无法为PC分配地址。 # 退回系统视图。
[LNS-Virtual-Template1] quit # 进入Untrust区域视图。 [LNS] firewall zone untrust
# 配置虚拟接口模板加入Untrust区域。
[LNS-zone-untrust] add interface Virtual-Template 1
虚拟接口模板可以加入LNS的任一安全区域,但为LNS侧的必配项。 # 退回系统视图。
[LNS-zone-untrust] quit # 使能L2TP功能。 [LNS] l2tp enable
# 配置用户名带域名的后缀分隔符。 [LNS] l2tp domain suffix-separator @ # 配置L2TP组。
[LNS] l2tp-group 1
# 指定接受呼叫时隧道对端的名称及所使用的Virtual-Template。 [LNS-l2tp1] allow l2tp virtual-template 1 # 使能L2TP隧道认证。
[LNS-l2tp1] tunnel authentication # 配置L2TP隧道认证密码。
[LNS-l2tp1] tunnel password simple Hello123
A.USG2130缺省需要进行隧道的认证。如果没有配置undo tunnel authentication命令,需要配置tunnel password命令。
B.LNS端配置的隧道验证时的密码需要与LAC端的配置保持一致。 # 配置隧道本端名称。
[LNS-l2tp1] tunnel name lns # 退回系统视图。 [LNS-l2tp1] quit # 进入AAA视图。 [LNS] aaa
# 创建本地用户名和密码。
[LNS-aaa] local-user vpnuser@domain1 password simple VPNuser123 # 创建名称为domain1的域。 [LNS-aaa] domain domain1 # 配置公共IP地址池。
[LNS-aaa-domain-domain1] ip pool 1 退回AAA视图。 [LNS-aaa-domain-domain1] quit # 退回系统视图。 [LNS-aaa] quit
# 配置域间缺省包过滤规则。
[LNS] firewall packet-filter default permit interzone local untrust
由于LNS需要给PC分配IP地址,此时不能配置确切的ACL及域间规则。同时,需要打开Local和Untrust域间的缺省过滤规则。
[LNS] firewall packet-filter default permit interzone trust untrust
网络安全期末考试题库答案
