H3C防火牆下實現l2tp本地驗證和AAA驗證
一 本地身份驗證
1 配置ip
[H3C]inter eth0/0
[H3C-Ethernet0/0]ip add 192.168.3.1 24
[H3C-Ethernet0/0]inter eth0/4
[H3C-Ethernet0/4]ip add 61.130.130.21 24
2 開啓l2tp
[H3C]l2tp enable 開啓l2tp功能
[H3C]domain system
[H3C-isp-system]ip pool 1 192.168.50.10 192.168.50.20 建立地址池
3 建立本地賬號
[H3C]local-user user1
[H3C-luser-user1]password simple 123
[H3C-luser-user1]service-type ppp
4 建立虛擬接口
[H3C]inter Virtual-Template 0
[H3C-Virtual-Template0]ip address 192.168.50.5 24
[H3C-Virtual-Template0]ppp authentication-mode pap 驗證方式爲pap
[H3C-Virtual-Template0]remote address pool 1 給客戶端分配ip爲地址池1
5 建立組並允許l2tp
[H3C]l2tp-group 1
[H3C-l2tp1]mandatory-lcp
[H3C-l2tp1]allow l2tp virtual-template 0
[H3C-l2tp1]undo tunnel authentication
6 加區域
H3C]firewall zone trust
[H3C-zone-trust]add inter eth0/0
[H3C]firewall zone untrust
[H3C-zone-untrust]add inter eth0/4
[H3C-zone-untrust]add inter Virtual-Template 0
7 客戶端建立l2tp連接
爲方便測試,我們直接讓用戶端與防火牆相連,但不能配置網關
關閉ipsec的認證功能,修改註冊表 (快捷鍵 regedit)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters中添加一個DWORD文件,文件名爲ProhibitIPSec 值爲1
創建一個l2tp網絡連接
創建完成後打開
7 測試
二 藉助AAA服務器實現身份驗證
1 防火牆端配置
[H3C]radius scheme l2tp 建立方案
[H3C-radius-l2tp]pri authentication 192.168.3.100 radius服務器地址
[H3C-radius-l2tp]key authentication 123456 協商密鑰
[H3C-radius-l2tp]accounting optional 審計可選
[H3C-radius-l2tp]server-type standard 服務器類型標準
[H3C-radius-l2tp]user-name-format without-domain 不用域名訪問
[H3C]domain sytem
[H3C-isp-sytem]radius-scheme l2tp
[H3C-isp-sytem]accounting optional
[H3C-isp-sytem]access-limit enable 10
2 AAA配置
至此,測試成功,接下來你可以大顯身手試試啦!!