1.1概述

L2TP对传输的数据不加密，那么该如何有效保证L2TP传输数据的机密性呢？本期文章结合实际案例向各位小伙伴总结分享L2TP over IPSec技术。

备注：模拟组网拓扑图、地址规划、F1090_1和SW设备配置参见文章《二层隧道协议L2TP实践课(1)—基础L2TP配置》。

1.2模拟组网拓扑实现的目标

F1090_1设备配置IPSec相关配置，实现L2TP over IPSec技术；

Host_1安装l2tp客户端，并在创建l2tp连接过程中启用l2tp隧道认证和IPSec安全协议；

Host_1的l2tp客户端连接F1090_1设备的l2tp服务，从而使Host_1访问SW设备业务地址网关172.16.1.254/24。

1.3 F1090_1设备配置-IPSec配置及l2tp隧道认证1.3.1F1090_1设备配置-l2tp隧道认证

[F1090_1]l2tp-group 1

[F1090_1-l2tp1]tunnel authentication

[F1090_1-l2tp1]tunnel password simple test

[F1090_1-l2tp1]tunnel avp-hidden

[F1090_1-l2tp1]quit

[F1090_1]

1.3.2F1090_1设备配置-IPSec配置

#创建优先级为100的IKE提议，加密算法：aes-cbc-128、认证算法：sha256认证方法：预共享密钥、DH密钥交换参数：group5

[F1090_1]ike proposal 100

[F1090_1-ike-proposal-100] encryption-algorithm aes-cbc-128

[F1090_1-ike-proposal-100] dh group5

[F1090_1-ike-proposal-100] authentication-algorithm sha256

[F1090_1-ike-proposal-100]quit

[F1090_1]

#配置IKE对等体的密钥信息，密钥为test

[F1090_1]ike keychain test_IPv4_1

[F1090_1-ike-keychain-test_IPv4_1] match local address GigabitEthernet1/0/1

[F1090_1-ike-keychain-test_IPv4_1]pre-shared-key address 0.0.0.0 0.0.0.0 key simple test

[F1090_1-ike-keychain-test_IPv4_1]quit

[F1090_1]

#创建一个IKE profile，调用IKE提议及对等体密钥信息等

[F1090_1]ike profile test_IPv4_1

[F1090_1-ike-profile-test_IPv4_1] keychain test_IPv4_1

[F1090_1-ike-profile-test_IPv4_1] match remote identity address 0.0.0.0 0.0.0.0

[F1090_1-ike-profile-test_IPv4_1] match local address GigabitEthernet1/0/1

[F1090_1-ike-profile-test_IPv4_1] proposal 100

[F1090_1-ike-profile-test_IPv4_1]quit

[F1090_1]

#创建IPsec安全提议，协议：esp、加密算法：aes-cbc-128

认证算法：sha256

[F1090_1]ipsec transform-set test_IPv4_1

#配置IPsec安全提议采用的安全协议，esp

[F1090_1-ipsec-transform-set-test_IPv4_1]protocol esp

#配置安全协议对IP报文的封装模式，隧道模式

[F1090_1-ipsec-transform-set-test_IPv4_1]encapsulation-mode tunnel

[F1090_1-ipsec-transform-set-test_IPv4_1] esp encryption-algorithm aes-cbc-128

[F1090_1-ipsec-transform-set-test_IPv4_1] esp authentication-algorithm sha256

[F1090_1-ipsec-transform-set-test_IPv4_1]quit

[F1090_1]

#创建一条IPsec安全策略模板，名称为test，序号为1。

[F1090_1]ipsec policy-template test 1

[F1090_1-ipsec-policy-template-test-1]transform-set test_IPv4_1

[F1090_1-ipsec-policy-template-test-1]local-address 192.168.56.10

[F1090_1-ipsec-policy-template-test-1]ike-profile test_IPv4_1

[F1090_1-ipsec-policy-template-test-1]quit

[F1090_1]

#创建IPsec安全策略，建立IPSec隧道，保护需要防护的数据流

[F1090_1]ipsec policy test 1 isakmp template test

[F1090_1]

#在接口上应用IPsec安全策略，对接口上的流量进行保护

[F1090_1]interface GigabitEthernet1/0/1

[F1090_1-GigabitEthernet1/0/1] ipsec apply policy test

[F1090_1-GigabitEthernet1/0/1]quit

[F1090_1]

1.4模拟组网拓扑实现目标的测试验证

备注：L2TP客户端下载，参见文章《二层隧道协议L2TP实践课(2)—L2TP隧道认证》。

1.4.1在L2TP客户端上创建L2TP连接 1.4.2抓包分析测试验证

在F1090_1设备的G1/0/1接口上开启抓包后，通过L2TP客户端连接F1090_1设备L2TP服务。

客户端成功连接L2TP服务后，Host_1可正常访问SW设备业务地址网关172.16.1.254/24。

在F1090_1设备上，通过命令“display l2tp tunnel”可查看l2tp隧道建立的状态信息；通过命令“ display ipsec tunnel” 可查看ipsec隧道建立的状态信息；通过命令“ display ike sa verbose” 可查看ike协商建立的状态信息，如下图所示；

分析抓取的报文也属加密状态，如下图所示；

1.5总结

L2TP对传输的数据不加密，采用L2TP over IPSec技术可有效保护l2tp传输数据的机密性；

此外，Host_1主机同样需要安装VPN客户端并且客户端上ipsec参数的设置需匹配F1090_1设备的ipsec参数配置。