cisco vpn使用windows 2008域账户进行认证。
思想是windows 2008自带的NPS提供radius认证功能
第一步,需要在windows 2008 上添加角色“网络策略服务器”。
第二步,在radius客户端中添加设备可以联通的ip地址,高级里面选择radius协议是采用标准的还是厂商自己的,我们选择cisco。
弄好之后效果:
第三步,在策略内建立网络策略(注意,网络策略可以建很多条,每条与每条是独立的,在每条内只能添加一个用户组。)。
创建过程如下(名字随便取):
其他的默认,建好之后如下(可以直接复制策略,只更改组)。我有三个组加入策略。
第四步,建立连接请求策略(名字随便取)。
条件设置里面加入radius客户端的ip地址(和创建的radius客户端一致也和匹配的网络策略里面的ip地址一致,这个是网络策略之后匹配后匹配的连接策略必须要配置一个一致的。)。
这一步配置好后,windows 2008上配置就基本结束了。
cisco 防火墙配置:
我的ios版本是8.4(3)
aaa-server NPS-Radius protocol radius
aaa-server NPS-Radius (server) host *.*.*.*(radius服务器ip地址)
key *****
crypto ikev1 enable outside //接口打开ikev1
crypto ikev1 policy 10 //配置ikev1参数
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 28800
crypto ipsec ikev1 transform-set TEST-tran esp-des esp-md5-hmac //设置第二阶段加密集
crypto dynamic-map TEST-dymap 10 set ikev1 transform-set TEST-tran //设置动态加密图
crypto dynamic-map TEST-dymap 10 set reverse-route //配置反转路由
crypto map TEST-map 10 ipsec-isakmp dynamic TEST-dymap //调用动态加密图
crypto map TEST-map interface outside //应用到接口
ip local pool EZ×××-pool 192.168.100.100-192.168.100.150 mask 255.255.255.0 //配置vpn客户端ip地址池
access-list split extended permit ip 192.168.1.0 255.255.255.0 any //配置分离列表,配置后vpn用户可以公网和vpn同时访问
access-list split extended permit ip 192.168.2.0 255.255.255.0 any
group-policy TEST-policy internal
group-policy TEST-policy attributes
dns-server value *.*.*.*(vpn用户拨入后可以使用域)
split-tunnel-policy tunnelspecified
split-tunnel-network-list value split
address-pools value EZ×××-pool
tunnel-group TEST type remote-access
tunnel-group TEST general-attributes
authentication-server-group NPS-Radius
accounting-server-group NPS-Radius
default-group-policy TEST-policy
tunnel-group TEST ipsec-attributes
ikev1 pre-shared-key *****
测试认证可以使用test命令
所有的连接都可以在windows事件上查看,如果认证失败也可在这里查找原因。
配置完成,现在vpn用户可以使用域账户进行登录。
