H3C防火墙 l2tp 的配置。型号h3c firewal 100c
一.l2tp 本地验证模式的配置。
1.local-user user1
password cipher 7-CZB#/YX]KQ=^Q`MAF4<1!!
service-type telnet terminal
level
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
interface Ethernet0/4
ip address 61.130.130.1 255.255.255.0
firewall zone trust
add interface Ethernet0/0
set priority 85
firewall zone untrust
add interface Ethernet0/4
add interface Virtual-Template0 //把虚拟接口模板添加进入非安全域
l2tp enable /使能l2tp/
domain system
ip pool 1 192.168.8.2 192.168.0.100 /分配给拨号用户的地址/
local-user usera /创建用于验证用户的本地帐号/
password simple usera
service-type ppp
interface Virtual-Template0
ppp authentication-mode pap /PPP认证方式为PAP,使用system默认域/
ip address 192.168.8.1 255.255.255.0
remote address pool 1 /指定使用ip pool 1给用户分配地址/
interface Ethernet0/4
ip address 61.130.130.1 255.255.255.0
l2tp-group 1
mandatory-lcp /LCP再协商/
allow l2tp virtual-template 0 /接受任何LAC的l2tp请求,并绑定到VT0/
undo tunnel authentication /不进行tunnel认证/
pc欲使用l2tp拨号,所需要做的配置
3.发起×××请求时应禁止IPSec功能,在命令行模式下执行regedit命令,弹出“注册表编辑器”
在注册表HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Rasman\Parameters,单击Parameters参数,接着在右边窗口空白处单击鼠标右键,选择[新建/双字节值]并新建一个注册表值(名称为ProhibitIPSec,值为1),然后重新启动Windows2003。注意设置为pap验证,尤其注意要选择l2tp拨号,微软默认的是pptp。
4.客户新建连接端验证配置如下:
5.建立连接以后就会出现如下:
6.防火墙上会出现如下信息。
二..集中的身份验证。
ACS下面在AAA服务器做用户的验证。即firewall上的用户在AAA服务器上。
1、正确安装ACS 并调低浏览器整安全性, 添加服务器
2.同时在firewall上做AAA认证的配置。在AAA 服务器上新建AAA客户端。
配置方案在fw1上。
[f1]radius scheme abc 方案名abc
[f1-radius-abc]key authentication 123456 服务器上的 AAA client 密码要一致。
[f1-radius-abc]primary authentication 192.168.1.100
[f1-radius-abc]server-type standard
[f1-radius-abc]user-name-format without-domain
[f1-radius-abc]dis cu
[f1]domain system
[f1-isp-system]authentication radius-scheme abc
This domain is being used!
[f1-isp-system]access-limit enable 10
在AAA服务器上为firewall1添加用户user2
在客户机上测试如下:
