防火墙配置 L2TP over IPSec 需要放行的端口如下:
1. IKE 协商的初始端口使用的是 500,完成 NAT- T 能力检测和 NAT 网关探测后,封装 ISAKMP 消息的 UDP 端口号被修改为 4500,后续协商及数据传输都使用这个端口。
2. L2TP 注册了 UDP 端口 1701,但是这个端口仅用于初始的隧道建立过程。L2TP 隧道发起方(LAC)任选一个空闲端口(未必是 1701)向接收方(LNS)的 1701 端口发送报文;LNS 收到报文后,也任选一个空闲端口(未必是 1701),给 LAC 的指定端口回送报文。至此,双方的端口选定,并在隧道保持连通的时间段内不再改变。
3. 由于 L2TP over IPSec 是先对报文进行 L2TP 封装,再进行 IPSec 封装,故此处使用 L2TP 报文的端口 1701 作为匹配条件。所有经过了 L2TP 封装的报文都走 IPSec 隧道。
因此,在配置 L2TP over IPSec 时,在没有 nat 穿越的情况下,放行 500 端口和 1701 端口;
在有 NAT 穿越的场景下,放行 500 端口,4500 端口和 1701 端口。
微信扫描下方的二维码阅读本文
正文完
