• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

H3C SecPath 系列对L2TP用户进行EAD认证的典型配置

2007-06-13 发表
  • 0关注
  • 0收藏 821浏览
王思军
王思军
粉丝: 关注:

H3C SecPath 系列对L2TP用户进行EAD认证

典型配置

一、  组网需求:

SecPath作为VPN网关,移动办公用户通过移动客户端iNode L2TP方式拨入访问公司内部资源,考虑到接入端点的安全性,需要对接入用户进行EAD认证。

 

二、  组网图:

适用版本

Comware software, Version 3.40, ESS 1621及以上

支持产品

SecPath V1000-A /F1000-A/F1000-S/F100-E/F100-A

支持的iNode客户端:

EAD iNode V2.40-F0314及以上

 

三、  配置步骤:

EAD功能的配置步骤分为以下几步:

(1)        配置域用户采用cams认证且不同域给对端分配IP地址池
(2)        配置L2TP接入
(3)        配置PPP访问控制及包过滤ACL
(4)        配置CAMS服务器:

l              指定用户安全策略中安全acl 3002,隔离acl 3001

l              服务配置(三个域:test(选择安全策略),test1test2

l              帐号用户(test@test

(5)        配置iNode客户端

1、配置防火墙SecPath

配置域用户采用cams认证且不同域给对端分配IP的地址池

当前视图

配置命令

简单说明

[H3C]

radius scheme tcm1

配置认证域

[[H3C-radius-tcm1]

server-type extended

服务类型

[H3C-radius-tcm1]

primary authentication 192.168.96.16

认证计费服务器地址

[H3C-radius-tcm1]

primary accounting 192.168.96.16

[H3C-radius-tcm1]

key authentication huawei   

配置KEY

[H3C-radius-tcm1]

key accounting huawei

[H3C-radius-tcm1]

accounting optional

计费可选

[H3C-radius-tcm1]

quit

退回视图

[H3C]

domain test

配置不同域给对端分配IP的地址池

[H3C-isp-test]

scheme radius-scheme tcm1

[H3C-isp-test]

ip pool 1 101.1.1.2 101.1.1.100    

[H3C-isp-test]

quit

[H3C]

domain test1

[H3C-isp-test1]

scheme radius-scheme tcm1

[H3C-isp-test1]

ip pool 2 102.1.1.2 102.1.1.100 

[H3C-isp-test1]

quit

[H3C]

domain test2

[H3C-isp-test2]

scheme radius-scheme tcm1

[H3C-isp-test2]

ip pool 2 103.1.1.2 103.1.1.100

 

配置PPP访问控制及包过滤ACL

当前视图

配置命令

简单说明

[H3C]

interface Virtual-Template0

创建VT

[H3C-Virtual-Template0]

ppp authentication-mode chap

进行相关配置

[H3C-Virtual-Template0]

ppp ipcp dns 1.1.1.7

[H3C-Virtual-Template0]

ppp access-control enable

[H3C-Virtual-Template0]

ip address 100.1.1.1 255.255.255.0

[H3C-Virtual-Template0]

remote address pool 

[H3C-Virtual-Template0]

quit

退回系统视图

[H3C]

acl number 3002  

配置安全ACL

[H3C-acl-basic-2000]

rule 0 permit 

[H3C-acl-basic-2000]

quit

退回系统视图

[H3C]

acl number 3001

配置隔离ACL

[H3C-acl-basic-3002]

rule 0 permit ip destination 192.168.96.49 0

[H3C-acl-basic-3002]

rule 1 permit ip destination 192.168.96.16 0

[H3C-acl-basic-3002]

rule 2 deny ip

 

配置L2TP接入

当前视图

配置命令

简单说明

[H3C]

l2tp enable

使能l2tp功能

[H3C]

l2tp-group 1  

创建l2tp,并进行相关配置

[H3C-l2tp1]

allow l2tp virtual-template 0 

[H3C-l2tp1]]

tunnel password simple 123

[H3C-l2tp1]

tunnel name lns 

[H3C-l2tp1]

mandatory-lcp 

[H3C-l2tp1]

quit

退回系统视图

 

2、配置CAMS服务器

当前视图

配置

简单说明

系统配置

接入设备配置 (附图12)

初始地址,结束地址,共享密钥,端口号等。

防病毒软件管理

金山毒霸,瑞星杀毒,江民杀毒等(附图3)

修改防病毒软件设置

软件补丁管理

添加各类系统下的补丁(附图4)

手工添加各类补丁

可控软件管理

根据需要添加违规软件(附图56)

需要添加运行进程名

安全策略管理配置:

应用已经配置的受控软件检查,补丁检查及防病毒软件等(附图710)

同时必须配置隔离,安全ACL

服务配置:

应用已经配置安全策略管理(附图1112)

如果需要进行计费,还需要先配置计费策略.

帐号管理

创建新用户,并应用已经配置的服务(附图1314)

一个用户可以引用多个服务

 

具体配置请参考CAMS相关资料。

3、配置iNode客户端

当前视图

配置命令

简单说明

配置LNS服务地址

192.1.1.21

配置LNS设备地址

登录用户名

test@test

通过CAMS认证创建的用户名

登录密码

123456

通过CAMS认证创建的密码

选择“高级”

进入L2TP协议配置

进入另一窗口

L2TP协议配置隧道名称

lac

配置l2tp隧道名称

L2TP协议配置选择认证模式

chap

可以选择chappap

使用隧道验证密码

123

配置隧道验证密码

具体配置请参考后面1617

3、接口及路由配置

当前视图

配置命令

简单说明

[H3C]

interface GigabitEthernet0/0  

进入连接g0/0的接口视图

[H3C-GigabitEthernet0/0]

ip address 192.168.96.21 255.255.252.0  

配置GigabitEthernet0/0 IP地址连接内部网路资源

[H3C]

interface GigabitEthernet1/0 

进入连接g1/0的接口视图

[H3C-GigabitEthernet1/0]

ip address 192.1.1.21 255.255.255.0   

配置GigabitEthernet1/0 IP地址连接iNode客户端

[H3C]

ip route-static 0.0.0.0 0.0.0.0 192.1.1.2 preference 60   

添加路由

 

 
 

四、  配置关键点:

 

l              仅支持用户ACL规则为2000-2999的基本IP规则或3000-3999的高级IP规则,不支持其他的ACL规则。

l              不支持IPv6报文的过滤和控制。

l              只支持在Virtual-Template接口上开关基于用户的EAD

l              EAD功能时,必须注意以下事项:

(1)        用户ACL规则为2000-2999的基本IP规则或3000-3999的高级IP规则
(2)        VPN接入认证策略配置的隔离ACL号在设备上定义
(3)        CAMS配合,RADIUS 服务类型为extended
(4)        安全策略服务相关配置必须正确(代理IP、通讯端口等)
(5)        CAMS配置台中策略服务器启用
(6)        安装客户端管理代理并正常启动
(7)        安全策略服务器与客户端管理代理正常运行,策略服务器能正常访问数据库
(8)        iNode客户端安装后需要重新启动PC
(9)        在实际组网中,SecPathCAMS往往不在一个网段,这时,认证通过后如果进行安全检查,必须在SecPathCAMS之间的网络设备上添加到iNode所获取地址网段的路由

五、  附图

1. 系统配置

图1  接入配置

图2  配置地址、共享密钥、端口

2. 防病毒软件管理:

图3  杀毒引擎版本和病毒库的版本检查.

3. 软件补丁管理:

图4  软件补丁管理

图5  需要检查的补丁进行添加

4. 可控软件管理:

图6  受控的软件进行添加

图7  正确填写运行进程名称

5. 安全策略管理配置

图8  创建新策略

图9  创建新策略,应用已配的受控软件检查 

图10  创建新策略,应用已配的补丁检查

 

图11  创建新策略,应用已配防病毒软件

6. 服务配置

图12  创建新服务

图13  创建新服务,应用已经配置安全策略test

7. 帐号管理配置

图14  创建新用户

图15  创建新用户,并应用上面已经配置服务test

8. iNode 配置截图

图16  配置iNode基本信息

图17  配置L2TP属性

 

若您有关于案例的建议,请反馈:

作者在2007-06-13对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
网站相关
关于我们
服务条款
帮助中心
经验与权限
积分规则
联系我们
联系我们
建议反馈
常用链接
知了APP下载
标杆的神器下载
关注我们
H3C官网
新华三服务公众号
安仔远程运维服务
新华三商城
内容许可
除特别说明外,用户内容均可采用知识共享署名-相同方式共享3.0中国大陆许可协议进行许可

Copyright©2024新华三集团保留一切权利 当前呈现版本 NO.1

本图标版权归新华三集团所有,仅限本社区使用,切勿用做商业目的,违者必究

浙ICP备09064986号-1   浙公网安备 33010802004416号

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作