用H3C防火牆通過l2tp實現用戶***網絡包括本地驗證和AAA服務器的驗證
網絡拓撲圖如下:
一、本地驗證實現l2tp
1.防火牆上的基本配置
[H3C]firewall packet-filter default permit //此條命令一般防火牆上有,若沒有必須添加上
[H3C-Ethernet0/0]ip add 192.168.1.1 24
[H3C]int eth0/0
[H3C-Ethernet0/0]ip add 192.168.1.1 24
[H3C-Ethernet0/0]int eth0/4
[H3C-Ethernet0/4]ip add 60.130.130.1 24
2.把接口添加到區域中才能用
[H3C]firewall zone trust
[H3C-zone-trust]add int eth0/0
[H3C]firewall zone untrust
[H3C-zone-untrust]add int eth0/4
3.建分配給客戶端的地址池
[H3C]domain system
[H3C-isp-system]ip pool 1 192.168.10.1 192.168.10.20 //分配給客戶端的地址
4.創建本地賬號
[H3C]local-user user1
[H3C-luser-user1]password simple 123456
[H3C-luser-user1]service-type ppp //服務器的類型選擇ppp的
5.創建虛擬接口
[H3C]int Virtual-Template 0
[H3C-Virtual-Template0]ip add 192.168.10.5 24 //地址應該與地址池裏的地址在同一個網段
[H3C-Virtual-Template0]ppp authentication-mode pap //驗證模式選擇pap認證
[H3C-Virtual-Template0]remote add pool 1 //指明對端得到的地址是從地址池1裏面得到的
6.創建一個組方便對更多的用戶管理
[H3C]l2tp-group 1
[H3C-l2tp1]mandatory-lcp //LCP再協商
[H3C-l2tp1]undo tunnel authentication //不進行tunnel認證
[H3C-l2tp1]allow l2tp virtual-template 0 //接受任何LAC的l2tp請求,並綁定到VT0
7.重要的一步需要將虛擬端口加入到區域,此接口才能生效
[H3C]firewall zone untrust
[H3C-zone-untrust]add int Virtual-Template 0
8.作爲客戶端pc欲使用l2tp撥號,所需要做的配置
發起***請求時應禁止IPSec功能,在命令行模式下執行regedit命令,彈出“註冊表編輯器”對話框。
在左側註冊表項目中逐級找到:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters,單擊Parameters參數,接着在右邊窗口空白處單擊鼠標右鍵,選擇[新建/雙字節值]並新建一個註冊表值(名稱爲ProhibitIPSec,值爲1),然後重新啓動Windows
9.客戶端需要新建一個***連接略
10.***連接的基本配置
如果出現以下的錯誤,表明現在禁用了ipsec的驗證功能,導致驗證時不能通過驗證,需要需要改變驗證方式。
11.本地認證已經通過
二、通過AAA服務器的驗證
1.其他配置防火牆上已經做了配置,還要做的配置是做方案
[H3C]radius scheme hua
[H3C-radius-hua]primary authentication 192.168.1.100
[H3C-radius-hua]key authentication 654321
[H3C-radius-hua]server-type standard
[H3C-radius-hua]accounting optional
[H3C-radius-hua]user-name-format without-domain
2.默認域應用方案
[H3C]domain system
[H3C-isp-system]radius-scheme hua
3.AAA服務器山上的配置
添加用戶
注意:建用戶後和設置組的時候都要指明分配的地址池
4.驗證通過獲得的地址
