H3C防火墙下实现l2tp本地验证和AAA验证
一 本地身份验证
1 配置ip
[H3C]inter eth0/0
[H3C-Ethernet0/0]ip add 192.168.3.1 24
[H3C-Ethernet0/0]inter eth0/4
[H3C-Ethernet0/4]ip add 61.130.130.21 24
2 开启l2tp
[H3C]l2tp enable 开启l2tp功能
[H3C]domain system
[H3C-isp-system]ip pool 1 192.168.50.10 192.168.50.20 建立地址池
3 建立本地账号
[H3C]local-user user1
[H3C-luser-user1]password simple 123
[H3C-luser-user1]service-type ppp
4 建立虚拟接口
[H3C]inter Virtual-Template 0
[H3C-Virtual-Template0]ip address 192.168.50.5 24
[H3C-Virtual-Template0]ppp authentication-mode pap 验证方式为pap
[H3C-Virtual-Template0]remote address pool 1 给客户端分配ip为地址池1
5 建立组并允许l2tp
[H3C]l2tp-group 1
[H3C-l2tp1]mandatory-lcp
[H3C-l2tp1]allow l2tp virtual-template 0
[H3C-l2tp1]undo tunnel authentication
6 加区域
H3C]firewall zone trust
[H3C-zone-trust]add inter eth0/0
[H3C]firewall zone untrust
[H3C-zone-untrust]add inter eth0/4
[H3C-zone-untrust]add inter Virtual-Template 0
7 客户端建立l2tp连接
为方便测试,我们直接让用户端与防火墙相连,但不能配置网关
关闭ipsec的认证功能,修改注册表 (快捷键 regedit)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RasMan\Parameters中添加一个DWORD文件,文件名为ProhibitIPSec 值为1
创建一个l2tp网络连接
创建完成后打开
7 测试
二 借助AAA服务器实现身份验证
1 防火墙端配置
[H3C]radius scheme l2tp 建立方案
[H3C-radius-l2tp]pri authentication 192.168.3.100 radius服务器地址
[H3C-radius-l2tp]key authentication 123456 协商密钥
[H3C-radius-l2tp]accounting optional 审计可选
[H3C-radius-l2tp]server-type standard 服务器类型标准
[H3C-radius-l2tp]user-name-format without-domain 不用域名访问
[H3C]domain sytem
[H3C-isp-sytem]radius-scheme l2tp
[H3C-isp-sytem]accounting optional
[H3C-isp-sytem]access-limit enable 10
2 AAA配置
至此,测试成功,接下来你可以大显身手试试啦!!
