iMC UAM与iNode配合进行L2TP over IPSec认证的典型配置
一、 组网需求:
在家办公的企业员工或企业的分支机构都需要通过Internet接入企业的内网。为了提高数据传输的安全性,通常都采用VPN接入。H3C推出了以“iMC UAM-VPN设备-iNode客户端”为核心的L2TP IPsec VPN接入解决方案,充分保证了用户接入的灵活性和安全性。本配置案例使用版本分别为:
UAM:5.2 E0402
iNode客户端:5.2 E0401(iNode全系列版本均支持,需在管理中心订制VPN认证)
二、 组网图:
如图,PC和MSR路由器的G0/0口同属于Vlan3,由交换机负责为PC分配IP;
在启用VPN之前需保证PC端和iMC侧路由可达,iMC的网卡IP为172.16.0.5.
本组网为客户端LAC模式,PC为安装有iNode客户端的LAC,MSR路由器为LNS设备,进行远程身份认证。
三、 配置步骤:
LNS侧配置:
1.配置RADIUS方案为vpn,并将认证、计费服务器指向iMC;
[lns] radius scheme vpn
[lns-radius-vpn] server-type extended
[lns-radius-vpn] primary authentication 172.16.0.5
[lns-radius-vpn] primary accounting 172.16.0.5
[lns-radius-vpn] key authentication simple h3c
[lns-radius-vpn] key accounting simple h3c
[lns-radius-vpn] user-name-format with-domain
2.配置domain域为vpn,认证、授权、计费方案指向RADIUS方案vpn,并在domain视图下配置为VPN虚网卡分配IP的地址池(认证用户域视图配置,非认证用户系统视图配置)
[lns] domain vpn
[lns-isp-vpn] authentication ppp radius-scheme vpn
[lns-isp-vpn] authorization ppp radius-scheme vpn
[lns-isp-vpn] accounting ppp radius-scheme vpn
[lns-isp-vpn] ip pool 1 1.1.1.1 1.1.1.20
3.配置LNS侧虚模板1,虚模板接口是一种虚拟的逻辑接口,主要用在L2TP会话建立之后与对端交换数据,并为VPN客户端分配IP,虚模板接口IP为VPN客户端的网关;同时也要在虚模板视图下配置LNS对客户端的验证方式。
[lns] inter Virtual-Template 1
[lns-Virtual-Template1] ppp authentication-mode chap domain vpn
[lns-Virtual-Template1] ip address 1.1.1.21 255.255.255.0
在虚模板视图下指定为用户分配IP的地址池
[lns-Virtual-Template1] remote address pool 1
4.启用L2TP
[lns] l2tp enable
配置L2TP组,L2TP相关的参数均在组视图下配置
[lns] l2tp-group 1
[lns-l2tp1] tunnel authentication
[lns-l2tp1] tunnel password simple h3c
[lns-l2tp1] tunnel name h3c
LNS侧可能有多个虚模板,需指定接收呼叫的虚模板接口、隧道对端名称及域名信息:
[lns-l2tp1] allow l2tp virtual-template 1 remote h3c domain vpn
此时在iNode客户端进行相关的L2TP配置即可进行L2TP接入认证;
5.配置 IKE提议,在安全网关协商IKE之初,通信双方首先协商保护IKE协商本身的安全参数,这一协商通过交换IKE提议实现,IKE提议具体描述了在IKE协商过程中使用的安全参数
[lns] ike proposal 1
[lns-ike-proposal-1]encryption-algorithm 3des-cbc
[lns-ike-proposal-1]authentication-method pre-share
[lns-ike-proposal-1]authentication-algorithm md5
[lns-ike-proposal-1]dh group1
[lns-ike-proposal-1]sa duration 86400
6.配置IKE peer,IKE peer主要用来设置DH交换的安全环境,在与iNode配置进行VPN接入时,交换模式必须为野蛮模式,id-type必须为name
[lns]ike peer h3c
[lns-ike-peer-h3c] exchange-mode aggressive
[lns-ike-peer-h3c] proposal 1
[lns-ike-peer-h3c] pre-shared-key simple h3c(和IKE proposal保持一致)
[lns-ike-peer-h3c] id-type name
[lns-ike-peer-h3c] remote-name h3c
[lns-ike-peer-h3c] nat traversal
7.配置安全提议(ipsec proposal),安全提议保存IPSec提供安全服务时准备使用的一组特定参数,以便IPSec通信双方协商各种安全参数,IPSec通信双方的安全提议必须一致。
[lns]ipsec proposal h3c
[lns-ipsec-proposal-h3c] transform esp
[lns-ipsec-proposal-h3c] esp authentication-algorithm md5
[lns-ipsec-proposal-h3c] esp encryption-algorithm 3des
[lns-ipsec-proposal-h3c] encapsulation-mode tunnel
8.配置安全ACL,IPSec使用ACL的条件定义并匹配需获得安全服务的数据包,对于发生方(iNode)来说,安全ACL许可的包将被保护,通信双方的安全ACL必须互为镜像。注意此处的IP地址必须填写安全网关的IP,而不是隧道两端的IP。
[lns] acl number 3000
[lns-acl-adv-3000] rule 0 permit ip source 172.16.1.0 0.0.0.255 destination 172.16.1.0 0.0.0.255
[lns-acl-adv-3000] rule 4 deny ip
9.配置安全策略
安全策略规定了对什么样的数据流采用什么样的安全提议,可通过手工配置或者动态协商建立安全策略,本案例以动态协商的形式建立安全策略,并引用之前创建的安全ACL、安全提议和IKE对等体。
[lns] ipsec policy h3c 1 isakmp
[lns-ipsec-policy-isakmp-h3c-1] ike-peer h3c
[lns-ipsec-policy-isakmp-h3c-1] security acl 3000
[lns-ipsec-policy-isakmp-h3c-1] proposal h3c
10.在接口上应用安全策略
[lns] inter g0/0
[lns-GigabitEthernet0/0] ipsec policy h3c
此时,在LNS侧的配置已经完成,接下来需要在iMC侧进行相关的配置
11.配置接入设备,接入设备的秘钥需与RADIUS方案vpn里面的秘钥保持一致,IP地址为与iMC相连的接口的IP地址。
12.配置vpn用户引用的服务
服务后缀需和domain vpn保持一致
13.配置vpn用户并引用之前配置的服务
iMC侧配置完成,接下来需要对iNode客户端进行相关的配置,才能充当LAC的角色进行认证。
iNode客户端侧配置,所有参数配置必须和设备侧保持一致。
14.新建vpn连接,输入在iMC里面新建的账号:vpn和密码
15.对vpn连接进行相关设置如下
说明:windows vista及以上系统均需勾选“使用NAT穿越特性”,而不管是否有NAT穿越。同时在IKE peer视图下也需配置此条命令
配置完成后发起认证请求,可见同一客户端发起多次认证请求,虚模板所分配的IP地址均不一样如下:
四、 配置关键点:
1:安全ACL必须为安全网关两端的IP地址,而不可以是隧道两端IP;
2:windows vista及以上操作系统在设备侧及iNode客户端均需配置NAT穿越特性;
3:虚模板的IP地址不能包含在地址池范围之中;
4:IKE协商只能选择野蛮模式,id-type只能为name。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作