• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

iMC UAM与iNode配合进行L2TP over IPSec认证的典型配置

2013-04-24 发表
  • 0关注
  • 0收藏 2582浏览
粉丝:3人 关注:0人

iMC UAMiNode配合进行L2TP over IPSec认证的典型配置

 

一、 组网需求:

在家办公的企业员工或企业的分支机构都需要通过Internet接入企业的内网。为了提高数据传输的安全性,通常都采用VPN接入。H3C推出了以“iMC UAMVPN设备-iNode客户端”为核心的L2TP IPsec VPN接入解决方案,充分保证了用户接入的灵活性和安全性。本配置案例使用版本分别为:

UAM5.2 E0402

iNode客户端:5.2 E0401(iNode全系列版本均支持,需在管理中心订制VPN认证)

二、 组网图:

如图,PCMSR路由器的G0/0口同属于Vlan3,由交换机负责为PC分配IP

在启用VPN之前需保证PC端和iMC侧路由可达,iMC的网卡IP172.16.0.5.

本组网为客户端LAC模式,PC为安装有iNode客户端的LACMSR路由器为LNS设备,进行远程身份认证。

三、 配置步骤:

LNS侧配置:

1.配置RADIUS方案为vpn,并将认证、计费服务器指向iMC

[lns] radius scheme vpn

[lns-radius-vpn] server-type extended

[lns-radius-vpn] primary authentication 172.16.0.5

[lns-radius-vpn] primary accounting 172.16.0.5

[lns-radius-vpn] key authentication simple h3c

[lns-radius-vpn] key accounting simple h3c

[lns-radius-vpn] user-name-format with-domain

2.配置domain域为vpn,认证、授权、计费方案指向RADIUS方案vpn,并在domain视图下配置为VPN虚网卡分配IP的地址池(认证用户域视图配置,非认证用户系统视图配置)

[lns] domain vpn

[lns-isp-vpn] authentication ppp radius-scheme vpn

[lns-isp-vpn] authorization ppp radius-scheme vpn

[lns-isp-vpn] accounting ppp radius-scheme vpn

[lns-isp-vpn] ip pool 1 1.1.1.1 1.1.1.20

3.配置LNS侧虚模板1,虚模板接口是一种虚拟的逻辑接口,主要用在L2TP会话建立之后与对端交换数据,并为VPN客户端分配IP,虚模板接口IPVPN客户端的网关;同时也要在虚模板视图下配置LNS对客户端的验证方式。

[lns] inter Virtual-Template 1

[lns-Virtual-Template1] ppp authentication-mode chap domain vpn

[lns-Virtual-Template1] ip address 1.1.1.21 255.255.255.0

在虚模板视图下指定为用户分配IP的地址池

[lns-Virtual-Template1] remote address pool 1

4.启用L2TP

[lns] l2tp enable

配置L2TP组,L2TP相关的参数均在组视图下配置

[lns] l2tp-group 1

[lns-l2tp1] tunnel authentication

[lns-l2tp1] tunnel password simple h3c

[lns-l2tp1] tunnel name h3c

LNS侧可能有多个虚模板,需指定接收呼叫的虚模板接口、隧道对端名称及域名信息:

[lns-l2tp1] allow l2tp virtual-template 1 remote h3c domain vpn

此时在iNode客户端进行相关的L2TP配置即可进行L2TP接入认证;

5.配置 IKE提议,在安全网关协商IKE之初,通信双方首先协商保护IKE协商本身的安全参数,这一协商通过交换IKE提议实现,IKE提议具体描述了在IKE协商过程中使用的安全参数

[lns] ike proposal 1

[lns-ike-proposal-1]encryption-algorithm 3des-cbc

[lns-ike-proposal-1]authentication-method pre-share

[lns-ike-proposal-1]authentication-algorithm md5

[lns-ike-proposal-1]dh group1

[lns-ike-proposal-1]sa duration 86400

6.配置IKE peerIKE peer主要用来设置DH交换的安全环境,在与iNode配置进行VPN接入时,交换模式必须为野蛮模式,id-type必须为name

[lns]ike peer h3c

[lns-ike-peer-h3c] exchange-mode aggressive

[lns-ike-peer-h3c] proposal 1

[lns-ike-peer-h3c] pre-shared-key simple h3c(和IKE proposal保持一致)

[lns-ike-peer-h3c] id-type name

[lns-ike-peer-h3c] remote-name h3c

[lns-ike-peer-h3c] nat traversal

7.配置安全提议(ipsec proposal),安全提议保存IPSec提供安全服务时准备使用的一组特定参数,以便IPSec通信双方协商各种安全参数,IPSec通信双方的安全提议必须一致。

[lns]ipsec proposal h3c

[lns-ipsec-proposal-h3c] transform esp

[lns-ipsec-proposal-h3c] esp authentication-algorithm md5

[lns-ipsec-proposal-h3c] esp encryption-algorithm 3des

[lns-ipsec-proposal-h3c] encapsulation-mode tunnel

8.配置安全ACLIPSec使用ACL的条件定义并匹配需获得安全服务的数据包,对于发生方(iNode)来说,安全ACL许可的包将被保护,通信双方的安全ACL必须互为镜像。注意此处的IP地址必须填写安全网关的IP,而不是隧道两端的IP

[lns] acl number 3000

[lns-acl-adv-3000] rule 0 permit ip source 172.16.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255

[lns-acl-adv-3000] rule 4 deny ip

9.配置安全策略

安全策略规定了对什么样的数据流采用什么样的安全提议,可通过手工配置或者动态协商建立安全策略,本案例以动态协商的形式建立安全策略,并引用之前创建的安全ACL、安全提议和IKE对等体。

[lns] ipsec policy h3c 1 isakmp

[lns-ipsec-policy-isakmp-h3c-1] ike-peer h3c

[lns-ipsec-policy-isakmp-h3c-1] security acl 3000

[lns-ipsec-policy-isakmp-h3c-1] proposal h3c

10.在接口上应用安全策略

[lns] inter g0/0

[lns-GigabitEthernet0/0] ipsec policy h3c

此时,在LNS侧的配置已经完成,接下来需要在iMC侧进行相关的配置

11.配置接入设备,接入设备的秘钥需与RADIUS方案vpn里面的秘钥保持一致,IP地址为与iMC相连的接口的IP地址。

12.配置vpn用户引用的服务

服务后缀需和domain vpn保持一致

13.配置vpn用户并引用之前配置的服务

 

iMC侧配置完成,接下来需要对iNode客户端进行相关的配置,才能充当LAC的角色进行认证。

iNode客户端侧配置,所有参数配置必须和设备侧保持一致。

14.新建vpn连接,输入在iMC里面新建的账号:vpn和密码

15.vpn连接进行相关设置如下

 

说明:windows vista及以上系统均需勾选“使用NAT穿越特性”,而不管是否有NAT穿越。同时在IKE  peer视图下也需配置此条命令

配置完成后发起认证请求,可见同一客户端发起多次认证请求,虚模板所分配的IP地址均不一样如下:

四、  配置关键点:

1:安全ACL必须为安全网关两端的IP地址,而不可以是隧道两端IP

2windows vista及以上操作系统在设备侧及iNode客户端均需配置NAT穿越特性;

3:虚模板的IP地址不能包含在地址池范围之中;

4IKE协商只能选择野蛮模式,id-type只能为name

 


该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

作者在2019-06-11对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作