模拟器上配置的困难:
一、LAC的配置
(1)完成基本的网络互联
(2)LAC的l2tp的配置
(3)LAC的虚拟接口的配置
(4)配置路由
(5)配置easy-ip
二、LNS的配置
配置总结
所以我们从图上也可以看出,只有LAC和LNS之间才有复杂的隧道封装。
安全策略
| 业务方向 | 设备 | 源安全区域 | 目的安全区域 | 源地址 | 目的地址 | 应用 |
|---|---|---|---|---|---|---|
| 分支员工访问企业总部服务器 | LAC | Trust | DMZ | 10.1.1.0/24 | 192.168.1.0/24 | * |
| Local | Untrust | 1.1.1.1/32 | 2.2.2.2/32 | L2TP | ||
| LNS | Untrust | Local | 1.1.1.1/32 | 2.2.2.2/32 | L2TP | |
| DMZ | Trust | 172.16.1.51/24 | 192.168.1.0/24 | * | ||
| 总部内网服务器访问分支员工 | LAC | DMZ | Trust | 192.168.1.0/24 | 10.1.1.0/24 | * |
| LNS | Trust | DMZ | 192.168.1.0/24 | 172.16.1.51/24 | * |
LAC的安全策略解释
因为支部的流量到达防火墙后根据路由表发现下一跳去去VT接口,而支部主机处于trust区域,VT接口处于dmz区域,所以,放行trust--->dmz区域的流量,local--->untrust区域的流量主要是因为l2tp的相关协商报文是单播的,且源区域为local,目的区域是untrust。dmz--->trust是因为总部主机可能需要访问支部主机,所以当流量到达LAC后,防火墙将该流量交给VT接口处理,dmz区域的VT接口然后交给trust区域的物理接口,所以要放行dmz--->trust
