51CTO下载-USG50典型应用WEB配置指导

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

USG50典型应用WEB配置

(仅供内部使用） For internal use only

华为技术有限公司 Huawei Technologies Co., Ltd.

2009-06-02

华为机密，未经许可不得扩散 第1页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

目 录

1

通过专线做NAT访问internet ........................................................................................... 3

1.1 1.2 1.3 1.4 1.5 1.6

登录usg50.............................................................................................................. 4 配置出口地址 .......................................................................................................... 5 配置ACL（NAT 关联的acl 访问策略acl） .............................................................. 8 配置NAT .............................................................................................................. 20 配置缺省路由，网关地址为100.1.1.5 ..................................................................... 29 最终的配置 ........................................................................................................... 30

2 IPSec over L2TP ............................................................................................................ 34

2.1 2.2 2.3 2.4

组网 ..................................................................................................................... 34 简单描述 ............................................................................................................... 34 主要WEB配置过程 ............................................................................................... 35 USG50配置.......................................................................................................... 48

3 L2TP over IPSec ............................................................................................................ 51

3.1 3.2 3.3 3.4

组网 ..................................................................................................................... 51 简单描述 ............................................................................................................... 51 主要WEB配置过程 ............................................................................................... 51 USG50配置.......................................................................................................... 52

2009-06-02

华为机密，未经许可不得扩散

第2页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

USG50典型应用场景配置

配置环境准备：虽然USG50 可以使用缺省的配置进行web管理，但有时接口地址和你的业务规划不一致，难免带来不便，比较方面的方法是在首先在命令行里将eth0/0/1配置好实际需要的地址，并划分到规划的区域里，然后在eth0/0/1下添加一个169.254.1.1/16 的sub地址，打开所有的包过滤（配置fire packet default permit all），这样eth0/0/1 包含4个lan接口，随意找一个接口连接PC（web管理客户端），不需要为PC设定地址，即可直接登录，windows系统在动态获取地址的情况下，会自动分配169.254网段的地址。

1 通过专线做NAT访问internet

企业用户通过以太网专线做NAT 访问internet，并提供一个内部服务器供外网用户访问 Lan0～lan3接口eth0/0/1 划分到trust区域， wan0 即eth0/0/0划分到untrust区域，内部服务器对外地址是100.1.1.1，地址池地址是100.1.1.2， wan0接口配置一个固定的公网地址100.1.1.3，出口网关的地址为100.1.1.5。

169.254.1.0/24 Interwan0 Eth0/0/0 net 以太网交换机 USG50 lan1 l内部服务器 an2

169.254.1.2

Web配置如下：

USG50 缺省配置中已经将eth0/0/0划分到trust区域，并且配置了192.168.0.1/24的地址，并配置了一个缺省的web管理用户，用户名/口令是usg50/usg50。将PC设置为192.168.0.2 255.255.255.0的地址，用网线将PC网口和USG50 lan0～lan3 任意一个口连上，即可通过web配置usg50了

2009-06-02

华为机密，未经许可不得扩散 第3页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

1.1 登录usg50

输入用户名口令后点击submit按钮，即可进入web配置界面

注：老版本的用户名/口令为 usg50/usg50，新版本的用户名/口令为admin/Admin@123. 如果弹出web登录界面，输入用户名口令后无法进入web页面，说明用户名口令有误，如果弹不出web登录界面，可能有以下几种情况： 1） 网络连接有问题；

2） 没有配置web登录帐号； 3） 没有使能web登录功能；

此时需要通过console口登录检查，或者恢复出厂缺省配置后再次登录。

在下面的例子中，修改了usg50的eth0/0/1的地址为169.254.1.1/16，目的是不用设置PC windows系统的地址了，该地址与windows 缺省分配的地址在同一网段。

2009-06-02

华为机密，未经许可不得扩散 第4页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

1.2 配置出口地址

系统缺省已将eth0/0/0 (LAN0~LAN3) 加入了trust区域，eth0/0/0 （WAN0）加入了untrust区域，因此不需要配置在区域中添加接口了。

配置出口IP地址：

点开左侧导航菜单中的Network后点击Interface，

2009-06-02

华为机密，未经许可不得扩散 第5页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

出现如图示的界面，点击第一行中的在

配置eth0/0/0的地址

一行中输入出口地址和掩码

其它选项根据需要勾选，一般无需改动，然后点击 出现如下提示框，

2009-06-02

华为机密，未经许可不得扩散 第6页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

点击 确定

点击

2009-06-02

华为机密，未经许可不得扩散 第7页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

这样就配置好了出接口地址 在命令行中显示如下结果

interface Ethernet0/0/0 ip address 100.1.1.3 255.255.255.0

1.3 配置ACL（NAT 关联的acl 访问策略acl）

点开Security后点击其下的ACL

2009-06-02

华为机密，未经许可不得扩散 第8页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

点击右上角的new

输入ACL号和描述后点击 apply按钮 后点击确定

2009-06-02

华为机密，未经许可不得扩散 第9页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

点击上图中的new 创建rule 规则

输入地址和掩码后 点击 apply 点击 确定

2009-06-02

华为机密，未经许可不得扩散 第10页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

点击back返回

此步骤完成后在命令行中增加了如下配置

acl number 2000 description NAT ACL rule 5 permit source 169.254.1.0 0.0.0.255

2009-06-02

华为机密，未经许可不得扩散

第11页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

点击 右上角的new 创建访问规则

输入高级ACL号 点击apply 点击确定

点击new 添加 rule

2009-06-02

华为机密，未经许可不得扩散 第12页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

点击apply 点击确定

点击 back 返回

2009-06-02

华为机密，未经许可不得扩散 第13页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

此步骤完成后在命令行里增加了如下命令

acl number 3000 rule 5 permit ip source 169.254.1.0 0.0.0.255

点击右上角的new 创建新的ACL

输入acl号 3001 和描述 点击apply

2009-06-02

华为机密，未经许可不得扩散

第14页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

点击new 创建 rule

输入地址 后 点击apply 点击确定

2009-06-02

华为机密，未经许可不得扩散 第15页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

点击 close

设置域间区域后点击 ACL 的 select

2009-06-02

华为机密，未经许可不得扩散 第26页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

选中ACL 点击close

2009-06-02

华为机密，未经许可不得扩散 第27页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

点击 apply 点击确定

此步骤完成后在命令行里增加了如下命令

firewall interzone trust untrust nat outbound 2000 address-group 0

2009-06-02

华为机密，未经许可不得扩散 第28页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

1.5 配置缺省路由，网关地址为100.1.1.5

点开Network后点击 Route config

点击右上角的new 输入缺省路由

点击 apply 后点击确定

2009-06-02

华为机密，未经许可不得扩散 第29页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

此步骤完成后在命令行里增加了如下命令 ip route-static 0.0.0.0 0.0.0.0 100.1.1.5

部分命令在web里没有需要在命令行下配置 如在域间配置 detect ftp 等

firewall interzone trust untrust detect ftp detect msn detect qq ……

1.6 最终的配置

NOTICE:This is a private communication system. Unauthorized access or use may lead to prosecution.

dis cur

2009-06-02

华为机密，未经许可不得扩散

第30页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

# sysname USG50 # web-manager enable # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound

# nat address-group 0 100.1.1.2 100.1.1.2 nat server protocol tcp global 100.1.1.1 any inside 169.254.1.1 any

nat alg enable ftp nat alg enable dns nat alg enable icmp nat alg enable netbios undo nat alg enable h323 undo nat alg enable hwcc undo nat alg enable ils undo nat alg enable pptp undo nat alg enable qq undo nat alg enable msn undo nat alg enable user-define undo nat alg enable sip undo nat alg enable rtsp firewall permit sub-ip # firewall statistic system enable # interface Ethernet0/0/0 ip address 100.1.1.3 255.255.255.0

2009-06-02

华为机密，未经许可不得扩散

第31页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

# interface Ethernet0/0/1 ip address 169.254.1.1 255.255.0.0 # interface NULL0 # acl number 2000 description NAT ACL rule 5 permit source 169.254.1.0 0.0.0.255 # acl number 3000 description rule 5 permit ip source 169.254.1.0 0.0.0.255 acl number 3001 description permit access Server rule 5 permit ip destination 169.254.1.2 0

# firewall zone local set priority 100 # firewall zone trust set priority 85 add interface Ethernet0/0/1 # firewall zone untrust set priority 5 add interface Ethernet0/0/0 # firewall zone dmz

2009-06-02

华为机密，未经许可不得扩散

第32页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

set priority 50 # firewall interzone local trust # firewall interzone local untrust # firewall interzone local dmz # firewall interzone trust untrust packet-filter 3001 inbound packet-filter 3000 outbound nat outbound 2000 address-group 0 detect qq detect msn

detect ftp

# firewall interzone trust dmz # firewall interzone dmz untrust # aaa local-user usg50 password cipher usg50

local-user usg50 level 3 local-user usg50 ftp-directory flash:/ authentication-scheme default # authorization-scheme default # accounting-scheme default

2009-06-02

华为机密，未经许可不得扩散

第33页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

# domain default # # ip route-static 0.0.0.0 0.0.0.0 100.1.1.5

# user-interface con 0 authentication-mode none set authentication password simple usg50 user-interface vty 0 4 # return

2 IPSec over L2TP

2.1 组网

2.2 简单描述

1、 USG50作为单位分支机构网络接口，首先自身通过拨号获得公网的IP地址 2、 两台E200作为单位总部对外接口，彼此实现VRRP双机热备

2009-06-02

华为机密，未经许可不得扩散

第34页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

3、 通过配置路由实现USG50与E200的简单互通

4、 在USG50与E200之间实现LAC+LNS的L2TP连接（实现两者的虚拟直连） 5、 在USG50与E200的L2TP连接基础上实现IPSec安全连接

2.3 主要WEB配置过程

点开 左侧导航树中的Network 点击 Interface进入接口配置页面 点击右上角的

添加接口

依次创建 Dialer、loopback、Tunnel、Virtual-Template 接口，注意要输入接口号 最后点击 导航树中Network下的 Interface 刷新页面，可以看到已创建的接口

2009-06-02

华为机密，未经许可不得扩散

第35页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

依次配置这些接口

配置dialer0，点击第1行 dialer0 的 more

点击

选择 ppp-negotiate

点击apply 点击确定 再点击back

2009-06-02

华为机密，未经许可不得扩散 第36页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

点击

输入用户名、口令，选择pap验证 点击 apply 点击 确定 点击back

2009-06-02

华为机密，未经许可不得扩散 第37页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

划分到untrust区域，选择dialer bundle 1 点击 apply 点击 确定 点击back

在命令行里修改 dialer0 接口的MTU值为1450 配置eth0/0/0

2009-06-02

华为机密，未经许可不得扩散

第38页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

点击 apply 点击确定 点击 back 在命令行下配置

interface Ethernet0/0/0 pppoe-client dial-bundle-number 1

点开左侧导航树中的Recauce 点击其下的ACL 创建以下几条 ACL

acl number 3000 rule 5 permit ip source 120.120.1.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 rule 10 permit tcp destination-port eq rtsp rule 20 permit udp source 100.0.0.0 0.0.0.255 destination 100.0.0.1 0 rule 25 permit icmp source 100.0.0.0 0.0.0.255 acl number 3001 rule 10 permit tcp destination-port eq rtsp acl number 3002 rule 5 permit ip acl number 3999 rule 0 permit ip source 4.4.4.4 0 destination 6.6.6.6 0 rule 5 permit ip source 6.6.6.6 0 destination 4.4.4.4 0

点开左侧导航树 中的Security，点击其下的Packet-filter，点击第2行当 more 在域间应用acl

点击apply 点击确定 点击确定 点击第4行当more 在域间应用acl

2009-06-02

华为机密，未经许可不得扩散 第39页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

点击apply 点击确定 点击确定

点开 左侧导航树中的Service 点开NAT，点击其下的NAT-policy，点击new 创建nat策略

点击apply 点击确定点击back

点开左侧导航树 中的VPN，再点开其下的L2TP，点击其下的L2TP-Group 勾选右上角的 L2TP enable 点击 new

2009-06-02

华为机密，未经许可不得扩散 第40页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

输入L2TP 相关配置信息（红色的信息）

l2tp-group 1 undo tunnel authentication start l2tp ip 1.1.1.6 fullusername huawei@huawei tunnel name LAC_2

点击apply 点击确定 点击back

点开左侧导航树中的VPN，点开其下的IPSec，点击其下的IKE 点击

点击new 创建ipsec 提议

页签

2009-06-02

华为机密，未经许可不得扩散 第41页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

点击apply 点击确定 点击back 点击

点击new创建ike peer

页签

输入ike peer信息

2009-06-02

华为机密，未经许可不得扩散

第42页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

ike peer a pre-shared-key 123456 remote-address 100.0.0.1

点击apply 点击确定 点击back

点开左侧导航树中的VPN，点开其下的IPSec，点击其下的IPSec 点击

页签

配置IPSec提议

ipsec proposal a

点击apply 点击确定 点击back 点击

页签 点击new创建ipsec 策略

2009-06-02

华为机密，未经许可不得扩散 第43页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

点击apply 点击确定 点击back

将IPSec 策略应用到虚模板接口上

点开左侧导航树中的Network,点击其下的Interface，点击虚模板所在行的more，配置虚模板接口

2009-06-02

华为机密，未经许可不得扩散 第44页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

点击apply，再点击 PPP Config

选择pap验证

点击apply 点击确定，点击back

2009-06-02

华为机密，未经许可不得扩散 第45页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

点击PPP user and call

输入用户名口令，点击apply 点击确定，点击back

2009-06-02

华为机密，未经许可不得扩散 第46页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

点击apply 点击确定，点击back

点开左侧导航树中的Network，点击其下的route config 点击右上角的new 创建路由

点击apply 点击确定，点击back

以下命令在web页面里无法配置，需要在命令行中配置

l2tp domain suffix-separator @ interface Dialer1 mtu 1450 quit

interface Ethernet0/0/0

pppoe-client dial-bundle-number 1

2009-06-02

华为机密，未经许可不得扩散

第47页, 共53页

quit

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

interface Virtual-Template10 call-lns local-user huawei@huawei quit

ip route-static 0.0.0.0 0.0.0.0 Dialer1

最后视情况关闭缺省的包过滤 Undo firewall packet default permit all

2.4 USG50配置

# sysname USG5015 # web-manager enable # l2tp enable l2tp domain suffix-separator @ # firewall packet-filter default permit interzone local trust direction inbound firewall packet-filter default permit interzone local trust direction outbound firewall packet-filter default permit interzone local untrust direction inbound firewall packet-filter default permit interzone local untrust direction outbound firewall packet-filter default permit interzone local dmz direction inbound firewall packet-filter default permit interzone local dmz direction outbound firewall packet-filter default permit interzone trust untrust direction inbound firewall packet-filter default permit interzone trust untrust direction outbound firewall packet-filter default permit interzone trust dmz direction inbound firewall packet-filter default permit interzone trust dmz direction outbound firewall packet-filter default permit interzone dmz untrust direction inbound firewall packet-filter default permit interzone dmz untrust direction outbound # nat alg enable ftp nat alg enable dns nat alg enable icmp nat alg enable netbios undo nat alg enable h323 undo nat alg enable hwcc undo nat alg enable ils undo nat alg enable pptp undo nat alg enable qq undo nat alg enable msn undo nat alg enable user-define undo nat alg enable sip nat alg enable rtsp firewall permit sub-ip # firewall statistic system enable #

ike proposal 1 # ike peer a pre-shared-key 123456 ike-proposal 1 remote-address 100.0.0.1 #该IP地址为 ipsec隧道对端ip，如果ipsec建立在l2tp上，者使用对端

2009-06-02

华为机密，未经许可不得扩散

第48页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

vt口ip地址，如果ipsec隧道建立在实接口间，那么ip应指定为对端实接口ip。 #

ipsec proposal a #

ipsec policy a 1 isakmp security acl 3000 #acl的指定应该尽可能的具体，这样可以减少需要加密的报文，从而减轻系统负担。特别需要注意的是，当对端ipsec使用的是模版方式时，该acl必须要指定需要加密流的源ip，如果该ip是动态获得的可以指定该源ip会在的网段。否则ike协商第二阶段会不成功。 ike-peer a proposal a #

interface Dialer1 link-protocol ppp ppp pap local-user abc password simple abc mtu 1450 ip address ppp-negotiate dialer user abc dialer bundle 1 #

interface Ethernet0/0/0 pppoe-client dial-bundle-number 1 ip address 2.2.2.1 255.255.255.0 #

interface Ethernet0/0/1 ip address 6.6.6.6 255.255.255.0 #

interface Virtual-Template0 #

interface Virtual-Template1 #

interface Virtual-Template10 ppp authentication-mode pap ppp pap local-user huawei@huawei password simple huawei123 ip address 100.0.0.100 255.255.255.0 #该地址可以静态指定，也可以配置为ppp-negotiate让对端来分配。但是如果要让对端来分配，需要在对端的vt口上要指定分配用的地址池 call-lns local-user huawei@huawei ipsec policy a #将ipsec策略应用在vt接口上，说明是先做l2tp再做ipsec #

interface NULL0 #

acl number 3000 rule 5 permit ip source 120.120.1.0 0.0.0.255 destination 1.1.1.0 0.0.0.255 rule 10 permit tcp destination-port eq rtsp rule 20 permit udp source 100.0.0.0 0.0.0.255 destination 100.0.0.1 0 rule 25 permit icmp source 100.0.0.0 0.0.0.255 #指定了源ip网段 acl number 3001 rule 10 permit tcp destination-port eq rtsp acl number 3002 rule 5 permit ip acl number 3999 rule 0 permit ip source 4.4.4.4 0 destination 6.6.6.6 0 rule 5 permit ip source 6.6.6.6 0 destination 4.4.4.4 0 #

firewall zone local set priority 100

2009-06-02

华为机密，未经许可不得扩散

第49页, 共53页

USG50典型应用之PPPoE&L2TP&IPSec 内部公开

#

firewall zone trust set priority 85 add interface Ethernet0/0/0 add interface Virtual-Template10 #如果l2tp LAC已经获得地址了，但是ping不通对端vt地址，那么检查下该vt接口是否已经加入域了，对应域间关系是否已经打开。 #

firewall zone untrust set priority 5 #

firewall zone dmz set priority 50 add interface Ethernet0/0/1 add interface Dialer1 #

firewall interzone local trust #

firewall interzone local untrust #

firewall interzone local dmz packet-filter 3002 inbound packet-filter 3002 outbound #

firewall interzone trust untrust #

firewall interzone trust dmz packet-filter 3000 outbound nat outbound 3001 interface Ethernet0/0/1 detect rtsp #

firewall interzone dmz untrust #

l2tp-group 1 undo tunnel authentication start l2tp ip 1.1.1.6 fullusername huawei@huawei #这里指定的ip为对端实接口ip地址，当你发现L2TP lac端拨号一直没有成功，你第一个应该想到的是，这个ip地址是否可以ping通。另外，需要注意的是，当对端使用VRRP双机热备时，客户端指定的ip都应该是双机热备的vrip，而不应该是实ip，否则主备切换后就不通了。 tunnel name LAC_2 # aaa local-user eudemon password cipher E`=(>@*)NH[Q=^Q`MAF4<1!! local-user eudemon level 3 local-user eudemon ftp-directory flash:/ local-user huawei@huawei password simple huawei123 authentication-scheme default # authorization-scheme default # accounting-scheme default # domain default domain huawei # # ip route-static 0.0.0.0 0.0.0.0 Dialer1

2009-06-02

华为机密，未经许可不得扩散

第50页, 共53页

本文来源：https://www.bwwdw.com/article/r645.html