F1020---ISP---家用路由器---pc
关键配置
#
ip pool aa 10.6.0.100 10.6.0.200
ip pool aa gateway 10.6.0.1
#
interface Virtual-Template1
ppp authentication-mode chap domain system
ppp ipcp dns x.x.x.x
remote address pool aa
ip address 10.6.0.1 255.255.255.0
dns server x.x.x.x
#
interface GigabitEthernet1/0/1
port link-mode route
description LINK-to-Internet
ip address x.x.x.x 255.255.255.240
ipsec apply policy GE1/0/1 // ipsec 为传输模式 不过多赘述配置
#
domain system
authentication ppp radius-scheme aa
authorization ppp radius-scheme aa
accounting ppp radius-scheme aa
#
l2tp-group 1 mode lns
allow l2tp virtual-template 1
undo tunnel authentication
tunnel name LNS
#
用inode 和 pc自带的拨号软件拨号都失败了
pc端拨号的同时抓网卡报文,发现ipsec正常建立了,但经过几个esp报文后,交互了informational信息,隧道中断。
这几个esp报文其实是被保护的l2tp协商报文,看抓包怀疑是终端l2tp拨号失败,主动把ipsec隧道删除,需要继续排查l2tp协商失败的原因。
报错显示用户名和密码失败,所以在设备上重新创建了一个ppp用户用于测试,还是拨号失败,报错依旧。
发现客户设备中有1个月前的诊断信息
对比配置后,发现客户的1个月前的配置中
ppp用户的认证方式为本地认证
而现在ppp用户的认证域的认证方式是结合了radius的
interface Virtual-Template1
ppp authentication-mode chap domain system
#
domain system
authentication ppp radius-scheme aa
authorization ppp radius-scheme aa
accounting ppp radius-scheme aa
#
随后将该domain中的认证方式改成local测试,拨号成功。
配置ppp用户认证方式为local
interface Virtual-Template1
ppp authentication-mode chap domain system
#
domain system
authentication ppp local
authorization ppp local
accounting ppp local
处理故障问题的时候有条件可以先对配置。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作