H3C F100-M L2TP Winradius 設置圖文教程
[H3C]dis ve
H3C Comware Software
Comware software, Version 3.40, Release 1661
Copyright (c) 2004-2009 Hangzhou H3C Technologies Co., Ltd.
All rights reserved.
Without the owner's prior written consent, no decompiling
nor reverse-engineering shall be allowed.
H3C SecPath F100-M uptime is 4 weeks, 0 day, 8 hours, 5 minutes
CPU type: Mips IDT RC32438 266MHz
256M bytes DDR SDRAM Memory
16M bytes Flash Memory
Pcb Version:3.0
Logic Version:1.0
BootROM Version:1.18
[SLOT 0] 3FE (Hardware)3.0, (Driver)2.0, (Cpld)1.0
[H3C]dis cu
#
sysname H3C
#
l2tp enable //使能L2TP(打開防火牆L2TP功能)
#
firewall packet-filter enable //使能包過濾防火牆
#
firewall packet-filter default permit //設置缺省過濾動作爲允許數據包通過
#
nat dns-map www.abc.com X.X.X.X tcp //爲內網網站服務器設置域名映射
#
firewall statistic system enable //啓用防火牆流量監控統計功能
#
DNS server 61.134.1.4 //設置首選DNS地址
DNS server 218.30.19.40 //設置備用DNS地址
#
radius scheme system
server-type extended
radius scheme vpdn //創建radius方案VPDN
server-type standard //基於RFC協議的RADIUS服務器
primary authentication 10.0.0.11 1812 //設置首選radius認證服務器IP地址及端口(默認端口1812)
primary accounting 10.0.0.11 1813 //設置首選radius計費服務器IP地址及端口(默認端口1813)
accounting optional //設置計費方式爲可選計費方式
key authentication vpdn //設置radius認證服務器密鑰
key accounting vpdn //設置radius計費服務器密鑰
timer response-timeout 5 //指定響應定時器超時參數爲5秒
retry 5 //設置報文重發的次數爲5次
user-name-format without-domain //設置送往RADIUS服務器的用戶名的格式爲不加域名
#
domain system
domain vpdn //增加VPDN域
scheme radius-scheme vpdn //設置域認證方案爲radius認證
ip pool 1 172.16.200.100 172.16.200.200 //爲域內PPP用戶分配地址池
#
local-user admin //創建本地用戶admin
password cipher XXXX //爲用戶admin創建密碼並加密爲密文密碼
service-type telnet //指定本地用戶服務類型爲telnet
level 3 //指定用戶優先級爲3(默認爲1.3最高)
#
dhcp server ip-pool 30 //創建DHCP地址池
network 10.0.0.1 mask 255.255.255.0 //爲DHCP地址池設置IP地址和掩碼
gateway-list 192.168.3.1 //爲DHCP地址池設置網關
dns-list 61.134.1.4 218.30.19.40 //爲DHCP地址池設置DNS服務器
#
#
acl number 2000 //設置基本ACL
rule 0 permit //創建規則允許所有IP包通過
#
acl number 3002 //設置高級ACL(此ACL內rule規則爲常用病毒***端口)
rule 10 deny tcp destination-port eq 445
rule 11 deny udp destination-port eq 445
rule 20 deny tcp destination-port eq 135
rule 21 deny udp destination-port eq 135
rule 30 deny tcp destination-port eq 137
rule 31 deny udp destination-port eq netbios-ns
rule 40 deny tcp destination-port eq 138
rule 41 deny udp destination-port eq netbios-dgm
rule 50 deny tcp destination-port eq 139
rule 51 deny udp destination-port eq netbios-ssn
rule 61 deny udp destination-port eq tftp
rule 70 deny tcp destination-port eq 593
rule 80 deny tcp destination-port eq 4444
rule 90 deny tcp destination-port eq 707
rule 100 deny tcp destination-port eq 1433
rule 101 deny udp destination-port eq 1433
rule 110 deny tcp destination-port eq 1434
rule 111 deny udp destination-port eq 1434
rule 120 deny tcp destination-port eq 5554
rule 130 deny tcp destination-port eq 9996
rule 141 deny udp source-port eq bootps
rule 160 permit icmp icmp-type echo
rule 161 permit icmp icmp-type echo-reply
rule 162 permit icmp icmp-type ttl-exceeded
rule 165 deny icmp
rule 999 permit ip
#
interface Virtual-Template1 //創建虛擬接口板1
ppp authentication-mode chap domain vpdn //設置域VPDN的PPP驗證方式爲CHAP
ppp ipcp dns 1.1.1.1 2.2.2.2 //設置DNS參數(如果有內網DNS服務器則將1.1.1.1改爲內網DNS服務器IP地址)
ppp ipcp remote-address forced //強制對端使用本端分配的IP地址
ip address 172.16.200.1 255.255.255.0 //設置需捏接口板的IP地址
remote address pool 1 //設置對端IP地址池
firewall packet-filter 2000 inbound //在入接口應用包過濾
firewall packet-filter 2000 outbound //在出接口應用包過濾 (不設置的話×××只能訪問內網,不能在撥號以後訪問公網)
#
interface Aux0
async mode flow
#
interface Ethernet0/0 //進入外網端口視圖
description WCN_INTERFACE_WAN //爲外網端口添加描述
ip address X.X.X.X 255.255.255.252 //設置外網端口IP地址
firewall packet-filter 3002 inbound //在外網端口入方向應用包過濾規則
firewall packet-filter 3002 outbound //在外網端口出方向應用包過濾規則
nat outbound 2000 //設置地址地址轉換爲easy-ip方式並應用規則2000
nat server protocol tcp global current-interface www inside 192.168.100.11 www //爲內網WEB服務器做端口映射
#
interface Ethernet0/1 //進入內網端口視圖
pppoe-server bind Virtual-Template 1 //在內網端口綁定虛擬端口1
description WCN_INTERFACE_LAN
ip address 10.0.0.1 255.255.255.0 //設置內網IP地址
firewall packet-filter 2000 inbound //在內網端口入方向應用包過濾規則
firewall packet-filter 2000 outbound //在內網端口出方向應用包過濾規則
#
interface Ethernet0/2
#
interface NULL0
#
firewall zone local
set priority 100
#
firewall zone trust //指定信任域
add interface Ethernet0/1 //將內網端口加入信任域
add interface Virtual-Template1 //將虛擬端口1加入信任域
set priority 85
#
firewall zone untrust //指定非信任域
add interface Ethernet0/0 //將外網端口加入非信任域
set priority 5
#
firewall zone DMZ
set priority 50
#
firewall interzone local trust
#
firewall interzone local untrust
#
firewall interzone local DMZ
#
firewall interzone trust untrust
#
firewall interzone trust DMZ
#
firewall interzone DMZ untrust
#
l2tp-group 1 //指定L2TP組1
undo tunnel authentication //取消L2TP隧道驗證
allow l2tp virtual-template 1 //指定本L2TP組使用的通道對端名字和虛模板
#
dhcp server forbidden-ip 10.0.0.1 10.0.0.20 //指定被保留DHCP服務器IP地址
#
ip route-static 0.0.0.0 0.0.0.0 124.115.213.241 preference 60 //將內網所有IP地址的默認路由設置外外網網關
#
undo firewall defend ip-spoofing //取消防火牆IP地址欺騙***防護功能
#
user-interface con 0
user-interface aux 0
user-interface vty 0 4 //進入虛擬用戶終端接口0到4(創建TELNET用戶密碼)
user privilege level 3 //設置虛擬用戶終端優先級
set authentication password cipher XXXX //配置用戶終端接口的認證密碼,並加密爲密文密碼
#
return
[H3C]
=================================================================================================================================
藍色字體標註的爲L2TP-radius配置主要內容
=================================================================================================================================
以下爲Winradius的配置案例()
1 、 Winradius 主界面
2、winradius操作菜單
3、winradius高級菜單
4、winradius設置菜單
=============================================================================================================================
下面開始介紹winradius的使用與設置
- 進入winradius- 設置-系統-系統設置 ,設置NAS密鑰爲防火牆 key authentication vpdn 所設置的密鑰,這裏爲vpdn
認證端口爲默認的 1812 ,計費端口爲默認的 1813 (可自行修改,在防火牆內設置相應的IP與端口即可)
勾選 在系統啓動時自動加載 和 啓動時最小化窗口 。
如圖:
- 進入winradius- 設置- 數據庫-ODBC設置,在winradius安裝文件夾下新建 進入 W inradius .mdb數據庫文件,然後點自動配置ODBC
如圖:
- 進入winradius- 高級-創建radius表。然後 重啓 winradius
如圖:
- 進入 winradius- 設置-計費方法。設置計費方法,(不需要計費的可以不用設置)
- 進入 winradius- 設置- 認證 方法 。設置winradius認證方法,(默認不需要設置)
如圖
如果出現客戶端過度消費(即透支)時,因爲radius不能在認證通過後斷開用戶的連接所以會出現透支行爲,出現這種情況時可以在
winradius- 設置-認證方法 -預付費 中 ,將用戶的預付費設置一個額度,拒絕那些預付金額少於押金的用戶通過認證。
如圖:
- 進入 winradius- 操作-添加帳號 添加radius用戶。(我這裏的測試用戶名是user,密碼是admin)如果需要計費則選擇預付費用戶,並設置預付費金額。
=============================================================================================================================
好了,現在來使用winradius自帶的測試工具 RadiusTest 來測試winradius服務器的假設成功與否。
=================================================================================================================================
成功以後說明winradius 和H3C L2TP的radius服務假設成功。大家可以在客戶機上新建L2TP客戶端才測試winradius服務器和L2TP的radius服務假設成功與否。
下期將放出 H3C L2TP-radius與Tekradius軟件的假設教程和WindowsL2TP客戶端的使用方法與說明