H3C SecPath 系列对L2TP用户进行EAD认证
典型配置
一、 组网需求:
SecPath作为VPN网关,移动办公用户通过移动客户端iNode L2TP方式拨入访问公司内部资源,考虑到接入端点的安全性,需要对接入用户进行EAD认证。
二、 组网图:
适用版本:
Comware software, Version 3.40, ESS 1621及以上
支持产品:
SecPath V1000-A /F1000-A/F1000-S/F100-E/F100-A
支持的iNode客户端:
EAD iNode V2.40-F0314及以上
三、 配置步骤:
EAD功能的配置步骤分为以下几步:
l 指定用户安全策略中安全acl 为3002,隔离acl 为3001
l 服务配置(三个域:test(选择安全策略),test1,test2)
l 帐号用户(test@test)
当前视图 |
配置命令 |
简单说明 |
[H3C] |
radius scheme tcm1 |
配置认证域 |
[[H3C-radius-tcm1] |
server-type extended |
服务类型 |
[H3C-radius-tcm1] |
primary authentication 192.168.96.16 |
认证计费服务器地址 |
[H3C-radius-tcm1] |
primary accounting 192.168.96.16 | |
[H3C-radius-tcm1] |
key authentication huawei |
配置KEY |
[H3C-radius-tcm1] |
key accounting huawei | |
[H3C-radius-tcm1] |
accounting optional |
计费可选 |
[H3C-radius-tcm1] |
quit |
退回视图 |
[H3C] |
domain test |
配置不同域给对端分配IP的地址池 |
[H3C-isp-test] |
scheme radius-scheme tcm1 | |
[H3C-isp-test] |
ip pool 1 101.1.1.2 101.1.1.100 | |
[H3C-isp-test] |
quit | |
[H3C] |
domain test1 | |
[H3C-isp-test1] |
scheme radius-scheme tcm1 | |
[H3C-isp-test1] |
ip pool 2 102.1.1.2 102.1.1.100 | |
[H3C-isp-test1] |
quit | |
[H3C] |
domain test2 | |
[H3C-isp-test2] |
scheme radius-scheme tcm1 | |
[H3C-isp-test2] |
ip pool 2 103.1.1.2 103.1.1.100 |
当前视图 |
配置命令 |
简单说明 |
[H3C] |
interface Virtual-Template0 |
创建VT口 |
[H3C-Virtual-Template0] |
ppp authentication-mode chap |
进行相关配置 |
[H3C-Virtual-Template0] |
ppp ipcp dns 1.1.1.7 | |
[H3C-Virtual-Template0] |
ppp access-control enable | |
[H3C-Virtual-Template0] |
ip address 100.1.1.1 255.255.255.0 | |
[H3C-Virtual-Template0] |
remote address pool | |
[H3C-Virtual-Template0] |
quit |
退回系统视图 |
[H3C] |
acl number 3002 |
配置安全ACL |
[H3C-acl-basic-2000] |
rule 0 permit | |
[H3C-acl-basic-2000] |
quit |
退回系统视图 |
[H3C] |
acl number 3001 |
配置隔离ACL |
[H3C-acl-basic-3002] |
rule 0 permit ip destination 192.168.96.49 0 | |
[H3C-acl-basic-3002] |
rule 1 permit ip destination 192.168.96.16 0 | |
[H3C-acl-basic-3002] |
rule 2 deny ip |
当前视图 |
配置命令 |
简单说明 |
[H3C] |
l2tp enable |
使能l2tp功能 |
[H3C] |
l2tp-group 1 |
创建l2tp组,并进行相关配置 |
[H3C-l2tp1] |
allow l2tp virtual-template 0 | |
[H3C-l2tp1]] |
tunnel password simple 123 | |
[H3C-l2tp1] |
tunnel name lns | |
[H3C-l2tp1] |
mandatory-lcp | |
[H3C-l2tp1] |
quit |
退回系统视图 |
当前视图 |
配置 |
简单说明 |
系统配置 |
接入设备配置 (附图1-2) |
初始地址,结束地址,共享密钥,端口号等。 |
防病毒软件管理 |
金山毒霸,瑞星杀毒,江民杀毒等(附图3) |
修改防病毒软件设置 |
软件补丁管理 |
添加各类系统下的补丁(附图4) |
手工添加各类补丁 |
可控软件管理 |
根据需要添加违规软件(附图5-6) |
需要添加运行进程名 |
安全策略管理配置: |
应用已经配置的受控软件检查,补丁检查及防病毒软件等(附图7-10) |
同时必须配置隔离,安全ACL |
服务配置: |
应用已经配置安全策略管理(附图11-12) |
如果需要进行计费,还需要先配置计费策略. |
帐号管理 |
创建新用户,并应用已经配置的服务(附图13-14) |
一个用户可以引用多个服务 |
具体配置请参考CAMS相关资料。
当前视图 |
配置命令 |
简单说明 |
配置LNS服务地址 |
192.1.1.21 |
配置LNS设备地址 |
登录用户名 |
test@test |
通过CAMS认证创建的用户名 |
登录密码 |
123456 |
通过CAMS认证创建的密码 |
选择“高级” |
进入L2TP协议配置 |
进入另一窗口 |
L2TP协议配置隧道名称 |
lac |
配置l2tp隧道名称 |
L2TP协议配置选择认证模式 |
chap |
可以选择chap或pap |
使用隧道验证密码 |
123 |
配置隧道验证密码 |
具体配置请参考后面图16和图17 。
当前视图 |
配置命令 |
简单说明 |
[H3C] |
interface GigabitEthernet0/0 |
进入连接g0/0的接口视图 |
[H3C-GigabitEthernet0/0] |
ip address 192.168.96.21 255.255.252.0 |
配置GigabitEthernet0/0 的IP地址连接内部网路资源 |
[H3C] |
interface GigabitEthernet1/0 |
进入连接g1/0的接口视图 |
[H3C-GigabitEthernet1/0] |
ip address 192.1.1.21 255.255.255.0 |
配置GigabitEthernet1/0 的IP地址连接iNode客户端 |
[H3C] |
ip route-static 0.0.0.0 0.0.0.0 192.1.1.2 preference 60 |
添加路由 |
四、 配置关键点:
l 仅支持用户ACL规则为2000-2999的基本IP规则或3000-3999的高级IP规则,不支持其他的ACL规则。
l 不支持IPv6报文的过滤和控制。
l 只支持在Virtual-Template接口上开关基于用户的EAD。
l 当EAD功能时,必须注意以下事项:
图9 创建新策略,应用已配的受控软件检查
图10 创建新策略,应用已配的补丁检查
图11 创建新策略,应用已配防病毒软件
图13 创建新服务,应用已经配置安全策略test
图15 创建新用户,并应用上面已经配置服务test
图16 配置iNode基本信息
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作