- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
30-MSR係列路由器L2TP使用Shiva進行認證及地址分配功能的典型配置舉例
本章節下載: 30-MSR係列路由器L2TP使用Shiva進行認證及地址分配功能的典型配置舉例 (615.76 KB)
MSR係列路由器L2TP使用Shiva進行認證及地址分配功能的典型配置舉例
|
Copyright © 2014 杭州華三通信技術有限公司 版權所有,保留一切權利。 非經本公司書麵許可,任何單位和個人不得擅自摘抄、複製本文檔內容的部分或全部, 並不得以任何形式傳播。本文檔中的信息可能變動,恕不另行通知。 |
|
目 錄
本文檔介紹L2TP用戶端進行Shiva認證及地址分配的典型案例。
本文檔不嚴格與具體軟、硬件版本對應,如果使用過程中與產品實際情況有差異,請參考相關產品手冊,或以設備實際情況為準。
本文檔中的配置均是在實驗室環境下進行的配置和驗證,配置前設備的所有參數均采用出廠時的缺省配置。如果您已經對設備進行了配置,為了保證配置效果,請確認現有配置和以下舉例中的配置不衝突。
本文檔假設您已了解L2TP和RADIUS服務器的特性。
如圖1所示,客戶端主機通過MSR路由器連接內部局域網,MSR路由器與RADIUS服務器相連,現要求:
· RADIUS服務器對登錄內部局域網的客戶端進行認證授權並分配地址。
· 客戶端主機與MSR路由器建立L2TP連接。
圖1 MSR係列路由器L2TP使用Shiva進行認證及地址分配功能組網圖
為了使RADIUS服務器正常認證授權客戶端,需要在路由器上建立RADIUS方案,並且配置與RADIUS服務器一致的接口地址和端口號。
本舉例是在Release 2311版本上進行配置和驗證的。
在LNS設備上配置時,先要全局開啟L2TP功能,再建立虛模模板,否則可能會導致虛擬模板不斷自動開啟和關閉。
# 配置接口IP地址。
<Router> system-view
[Router] interface ethernet 0/0
[Router-Ethernet0/0] port link-mode route
[Router-Ethernet0/0] ip address 1.1.1.1 255.255.255.0
[Router-Ethernet0/0] quit
[Router] interface ethernet 0/1
[Router-Ethernet0/1] port link-mode route
[Router-Ethernet0/1] ip address 10.1.1.1 255.255.255.0
[Router-Ethernet0/1] quit
[Router] interface ethernet 0/2
[Router-Ethernet0/2] port link-mode route
[Router-Ethernet0/2] ip address 10.1.2.1 255.255.255.0
[Router-Ethernet0/2] quit
# 創建RADIUS方案shiva。
[Router] radius scheme shiva
# 配置服務器類型。
[Router-radius-shiva] server-type standard
# 配置認證和計費服務器地址和端口號。
[Router-radius-shiva] primary authentication 10.1.2.2 1645
[Router-radius-shiva] primary accounting 10.1.2.2 1646
# 配置認證和計費密碼。
[Router-radius-shiva] key authentication cipher h3c
[Router-radius-shiva] key accounting cipher h3c
# 配置認證用戶名不帶ISP域名。
[Router-radius-shiva] user-name-format without-domain
[Router-radius-shiva] quit
# 創建ISP域h3c.com。
[Router] domain h3c.com
# 配置PPP認證,授權和計費方案shiva。
[Router-isp-h3c.com] authentication ppp radius-scheme shiva
[Router-isp-h3c.com] authorization ppp radius-scheme shiva
[Router-isp-h3c.com] accounting ppp radius-scheme shiva
[Router-isp-h3c.com] quit
# 設置本地用戶名、密碼及服務類型。
[Router] local-user user1
[Router-luser-user1] password simple hello
[Router-luser-user1] service-type ppp
# 配置域h3c.com,配置IP地址池0,地址範圍為192.168.10.2到192.168.10.254。
[Router] domain h3c.com
[Router-isp-h3c.com] ip pool 0 192.168.10.2 192.168.10.254
[Router-isp-h3c.com] quit
# 啟用L2TP服務。
[Router] l2tp enable
# 創建虛模模板Virtual-Template 0,並配置模板地址。
[Router] interface virtual-template 0
[Router-Virtual-Template0] ip address 192.168.10.1 255.255.255.0
# 配置PPP認證方式為PAP驗證。
[Router-Virtual-Template0] ppp authentication-mode pap domain h3c.com
[Router-Virtual-Template0] remote address pool 0
[Router-Virtual-Template0] quit
# 設置L2TP組1,指定接收呼叫的虛擬模板接口。
[Router] l2tp-group 1
[Router-l2tp1] allow l2tp virtual-template 0
# 不啟用L2TP的隧道驗證。
[Router-l2tp1] undo tunnel authentication
[Router-l2tp1] quit
# 點擊Shiva Access Manager圖標,出現如下界麵:
在“Username”一欄中輸入“supermanager”,“Password”為空。
# 點擊“Login”按鈕,出現界麵:
# 點擊“Start Console Now”按鈕,出現如下界麵:
在“Username”一欄中輸入“supermanager”,“Password”為空。
# 點擊“Login”按鈕,出現Shiva Access Manager主界麵:
# 在“Options”菜單下選擇“Encryption Keys”,如下圖所示:
出現如下界麵:
在“NAS Address”一欄填寫與服務器相連的接口的IP地址10.1.2.1,“Encryption Key”一欄填寫密鑰,要與路由器上已配置好的認證密鑰保持一致,點擊“Add”按鈕即可。
# 在“Options”菜單下選擇“General”,出現如下界麵:
在“Authentication UDP Port”一欄填寫認證端口號,“Accounting UDP Port”一欄填寫計費端口號,點擊“OK”按鈕即可。(Shiva默認端口號為1645,1646)。
# 在“User”菜單下選擇“Manage Users”,出現如下界麵:
在“Username”一欄填寫要添加的用戶名字如“user1”,係統中不存在該用戶時右邊會顯示“New User”字樣,選擇“General Attributes”屬性頁,在“Password”一欄中輸入認證密碼,“Account Expiration Date”一欄選擇“Dec-31-2049”。點擊“Add User”按鈕。
# 管理用戶界麵選擇“Radius Options”屬性頁:
在“Attributes to check before granting access”框中添加屬性“Service-Type”,屬性值選“Framed”,點擊“Commit Change”按鈕即可完成配置。
# 以Windows xp係統為例,創建一個新的連接,進入新建連接向導,點擊“下一步”。
# 選擇“連接到我的工作場所的網絡”,點擊“下一步”。
# 選擇“虛擬專用網絡連接”,然後點擊“下一步”。
# 輸入“連接名”,自定義即可。
# 選擇“不撥初始連接”。
# VPN服務器選擇,輸入路由器側的IP地址1.1.1.1,輸入完畢後選擇“下一步”。
# 點擊“完成”。可見成功創建了連接“H3C”,“H3C”正是剛才填寫的連接名。
# 再次進入網絡連接。發現新生成了一個網絡連接“H3C”,雙擊之後會出現登陸窗口。
# 配置“屬性”,點擊“常規”選項。
# 配置“安全”,選擇“高級(自定義設置)”,“IPSec設置”暫時不用配置。
# 配置“高級安全設置”,選擇VPN類型是“L2TP IPSec VPN”,“允許這些協議(U)”選擇對應的多選框,配置完畢,返回登錄窗口。
# 在登錄窗口中輸入在路由器設備上配置的用戶名和密碼:user1和hello,點擊“連接”。
# 連接成功。
# 在客戶端上虛擬專用網絡遠程撥號,連接L2TP隧道,MSR路由器顯示如下:
<Router>
%Jul 25 20:04:06:807 2013 Router E IFNET/3/LINK_UPDOWN: Virtual-Template0:0 link
status is UP.
%Jul 25 20:04:09:801 2013 Router E IFNET/5/LINEPROTO_UPDOWN: Line protocol on th
e interface Virtual-Template0:0 is UP.
%Jul 25 20:04:09:803 2013 Router E IFNET/5/PROTOCOL_UPDOWN: Protocol PPP IPCP on
the interface Virtual-Template0:0 is UP.
<Router>
# 在MSR路由器上查看建立的L2TP隧道。
<Router> display l2tp tunnel
Total tunnel = 1
LocalTID RemoteTID RemoteAddress Port Sessions RemoteName
1 32 1.1.1.2 1701 1 h3c
# 在MSR路由器上查看建立的L2TP會話。
<Router> display l2tp session
Total session = 1
LocalSID RemoteSID LocalTID
22581 1 1
#
l2tp enable
#
radius scheme shiva
primary authentication 10.1.2.2 1645
primary accounting 10.1.2.2 1646
key authentication cipher $c$3$K0N41MIy1AUGIcNyqZbUHrPkaisbww==
key accounting cipher $c$3$kwfSO/QLFf8dq0yoSWJNrwv15D4NiQ==
user-name-format without-domain
#
domain h3c.com
authentication ppp radius-scheme shiva
authorization ppp radius-scheme shiva
accounting ppp radius-scheme shiva
access-limit disable
state active
idle-cut disable
self-service-url disable
ip pool 0 192.168.10.2 192.168.10.254
#
local-user user1
password cipher $c$3$N30dbnObEXDlLX5gml/XwEx83KNUqIew
service-type ppp
#
l2tp-group 1
undo tunnel authentication
allow l2tp virtual-template 0
#
interface Virtual-Template0
ppp authentication-mode pap domain h3c.com
remote address pool 0
ip address 192.168.10.1 255.255.255.0
#
interface ethernet0/0
port link-mode route
ip address 1.1.1.1 255.255.255.0
#
interface ethernet0/1
port link-mode route
ip address 10.1.1.1 255.255.255.0
#
interface ethernet0/2
port link-mode route
ip address 10.1.2.1 255.255.255.0
#
· H3C MSR 係列路由器 命令參考(V5)-R2311
· H3C MSR 係列路由器 配置指導(V5)-R2311
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
