第七次作业，网络防御高级

拓扑：1

接口ip配置和区域划分：

fw1：

[fw1]interface GigabitEthernet 0/0/0
[fw1-GigabitEthernet0/0/0]service-manage all permit 
​
[fw1]firewall zone trust 
[fw1-zone-trust]add interface GigabitEthernet 1/0/0
​
​
[fw1]security-policy
[fw1-policy-security]default action permit 
​

fw2：

[fw2]interface GigabitEthernet 0/0/0
[fw2-GigabitEthernet0/0/0]ip address 192.168.0.2 24
[fw2-GigabitEthernet0/0/0]service-manage all permit 
​
[fw2]interface GigabitEthernet 1/0/1
[fw2-GigabitEthernet1/0/1]ip address 20.1.1.1 24
​
    
[fw2]firewall zone trust 
[fw2-zone-trust]add interface GigabitEthernet 1/0/0
​
​
[fw2]firewall zone untrust 
[fw2-zone-untrust]add interface GigabitEthernet 1/0/1

fw1，2的1/0/0接口不配IP

fw3：

[fw3]interface GigabitEthernet 0/0/0
[fw3-GigabitEthernet0/0/0]ip address 192.168.0.3 24
[fw3-GigabitEthernet0/0/0]service-manage all permit 
​
[fw3-GigabitEthernet0/0/0]interface GigabitEthernet 1/0/0
[fw3-GigabitEthernet1/0/0]ip address 20.1.1.2 24
​
[fw3-GigabitEthernet1/0/0]interface GigabitEthernet 1/0/1
[fw3-GigabitEthernet1/0/1]ip address 192.168.1.254 24
​
[fw3]firewall zone untrust 
[fw3-zone-untrust]add interface GigabitEthernet 1/0/0
​
[fw3]firewall zone trust 
[fw3-zone-trust]add interface GigabitEthernet 1/0/1
​

server：2

1，建立PPPoE连接，设定拨号接口和VT接口

PPPoE两个虚拟接口，Dialer接口（客户端），VT接口（服务端）

fw1（客户端）：

1，创建拨号接口

[fw1]interface Dialer 1 
​
[fw1-Dialer1]dialer user user1 ---设定拨号用户名 
​
[fw1-Dialer1]dialer-group 1 ---创建拨号组 
​
[fw1-Dialer1]dialer bundle 1 ---设定拨号程序捆绑包 
​
[fw1-Dialer1]ip address ppp-negotiate ---设定IP地址获取方式为PPP邻居 
​
分配，PPP邻居通过IPCP协议进行分配，即PPP的NCP协商过程所用协议 
​
[fw1-Dialer1]ppp chap user user1 
​
[fw1-Dialer1]ppp chap password cipher Password123 
​
[PPPoE Client]dialer-rule 1 ip permit ---配置拨号访问控制列表，允许所有IPv4报文 
​
通过拨号口，数字1必须与拨号组编号相同。 
​
[fw1]int g 1/0/0 
​
[fw1PPPoE Client-GigabitEthernet1/0/0]pppoe-client dial-bundle-number 1 ---在物 
​
理接口上启动PPPoE Client程序，绑定拨号程序包，编号为1 

fw2（服务端）：

[fw2]interface Virtual-Template 1 
​
[fw2-Virtual-Template1]ppp authentication-mode chap 
​
[fw2-Virtual-Template1]ip address 2.2.2.2 24 
​
[fw2]firewall zone dmz 
​
[fw2-zone-dmz]add interface Virtual-Template 1

说明：1.该VT接口的IP地址不参与报文封装，只需要指定一个合法的IP地址即可，但需要注意跟其**

他接口IP地址区分；2.该VT接口需要加入到任意安全区域，否则VT接口不能正常运行，但是安全区域可

以随意选择，因为该接口不参与数据转发，即不受到安全策略控制。

[fw2]interface GigabitEthernet 1/0/0
​
[fw2-GigabitEthernet1/0/0]pppoe-server bind virtual-template 1 ---将VT接口绑定在物 
​
理接口 
​
[fw2]aaa 
​
[fw2-aaa]domain default 
​
[fw2-aaa-domain-default]service-type l2tp 
​
[fw2]user-manage user user1 domain default 
​
[fw2-localuser-user1]password Password123 

用户的IP地址，都是由总部LNS进行统一分配的，所以在LAC上不需要配置地址池信息。即使你配**

置了地址池，在L2TP隧道建立的情况下，也会优先使用总部的地址进行分配。而如果是普通的PPPoE配

置，则必须配置地址池。

**第二步：建立L2TP隧道**

fw2（LAC）：

[fw2]l2tp enable   --启动l2tp
[fw2]l2tp-group 1   --组名称
[fw2-l2tp-1]tunnel authentication   ---隧道认证
[fw2-l2tp-1]tunnel password cipher Hello123  ---隧道认证密码
[fw2-l2tp-1]tunnel  name lac  ---隧道名称
[fw2-l2tp-1]start l2tp ip 20.1.1.2 fullusername user1   ---对端IP，设定LAC模式，以及LNS地址， 以及认证用户名的方式为“完全用户认证”，并指定用户名

web界面：3

fw3（LNS）：

地址池：

[fw3]ip pool l2tp
[fw3-ip-pool-l2tp]section 0 172.16.0.2 172.16.0.100  ---设定编号和地址范围

修改认证模板为l2tp，绑定地址池l2tp

[fw3]aaa	
[fw3-aaa]service-scheme l2tp ----修改认证模板为l2tp
[fw3-aaa-service-l2tp]ip-pool l2tp  ----绑定地址池l2tp

设置domain default 认证域用户的揭露方式l2tp

[fw3-aaa]domain default 
[fw3-aaa-domain-default]service-type l2tp

将用户绑定到domain default 中，设置密码

[fw3]user-manage user user1 domain default 
[fw3-localuser-user1]password Password123 ---设置密码

配置VT接口：

[fw3]interface Virtual-Template 1	
[fw3-Virtual-Template1]ppp authentication-mode chap 
[fw3-Virtual-Template1]ip address 172.16.0.1 24
[fw3-Virtual-Template1]remote service-scheme l2tp  ---揭露方式l2tp

[fw3]firewall zone dmz 
[fw3-zone-dmz]add interface Virtual-Template 1

l2tp配置

[fw3]l2tp enable   --启动l2tp
[fw3]l2tp-group 1  --组名称
[fw3-l2tp-1]tunnel authentication  --开启认证
[fw3-l2tp-1]tunnel password cipher Hello123  ---设置密码
[fw3-l2tp-1]allow l2tp virtual-template  1 remote lac domain default	--设置VT接口对端的名称为lac和认证域domain default

web：4

将fw2，3的默认安全策略改为允许看能否建立l2tp

fw1和fw2建立PPPoE，fw2hefw3建立l2tp

fw1给fw2发ppp的lcp报文

fw1和fw2之间进行认证，fw2将认证结果告诉fw3

fw3给fw1分配ip（ipcp报文），fw1获取IP

chap和lcp重协商在fw2（LNS设备上配置）

[fw2]l2tp-group 1
[fw2-l2tp-1]mandatory-chap	
[fw2-l2tp-1]mandatory-lcp

fw1上的缺省

[fw1]ip route-static 0.0.0.0 0 Dialer 1 ---出接口方式

[fw1]firewall zone dmz 
[fw1-zone-dmz]add interface Dialer 1

安全策略：

[fw3]display  firewall session table verbose --查看会话表的信息

fw2的会话表l2tp信息：5

fw2（LAC）：local-untrust ，可以根据会话表的l2tp信息来写安全策略

[fw2-policy-security]rule name local_to_untrust
[fw2-policy-security-rule-local_to_untrust]source-zone local 
[fw2-policy-security-rule-local_to_untrust]destination-zone untrust 
[fw2-policy-security-rule-local_to_untrust]source-address 20.1.1.1 32
[fw2-policy-security-rule-local_to_untrust]destination-address 20.1.1.2 32
[fw2-policy-security-rule-local_to_untrust]service l2tp  --服务为l2tp
[fw2-policy-security-rule-local_to_untrust]service protocol udp destination-port  1701
---端口
[fw2-policy-security-rule-local_to_untrust]action permit 


[fw2-policy-security]default action deny ---将默认安全策略改回拒绝

fw3会话表的icmp，l2tp信息：6，7

fw3：dmz-trust，untrust-local

[fw3-policy-security]rule name l2tp	
[fw3-policy-security-rule-l2tp]source-zone untrust 
[fw3-policy-security-rule-l2tp]destination-zone local 
[fw3-policy-security-rule-l2tp]source-address 20.1.1.1 32
[fw3-policy-security-rule-l2tp]destination-address 20.1.1.2 32	
[fw3-policy-security-rule-l2tp]service l2tp 
[fw3-policy-security-rule-l2tp]service protocol udp destination-port 1701
[fw3-policy-security-rule-l2tp]action permit 


[fw3-policy-security]rule name icmp	
[fw3-policy-security-rule-icmp]source-zone dmz 
[fw3-policy-security-rule-icmp]destination-zone trust 
[fw3-policy-security-rule-icmp]source-address 172.16.0.0 24
[fw3-policy-security-rule-icmp]destination-address 192.168.1.0 24
[fw3-policy-security-rule-icmp]action permit 


[fw3-policy-security]default action deny ---将默认安全策略改回拒绝

测试：

fw1-ping-192.168.1.1

：8

安全策略命中次数：

fw2：9

fw3：10