H3C F100-M L2TP Winradius 設置圖文教程

  H3C F100-M L2TP Winradius 設置圖文教程 

[H3C]dis ve

H3C Comware Software

Comware software, Version 3.40, Release 1661

Copyright (c) 2004-2009 Hangzhou H3C Technologies Co., Ltd.

All rights reserved.

Without the owner's prior written consent, no decompiling

nor reverse-engineering shall be allowed.

H3C SecPath F100-M uptime is 4 weeks, 0 day, 8 hours, 5 minutes

 CPU type: Mips IDT RC32438 266MHz

 256M bytes DDR SDRAM Memory

 16M bytes Flash Memory

 Pcb      Version:3.0

 Logic    Version:1.0

 BootROM  Version:1.18

 [SLOT 0] 3FE      (Hardware)3.0, (Driver)2.0, (Cpld)1.0

[H3C]dis cu

#

sysname H3C

#

l2tp enable                //使能L2TP(打開防火牆L2TP功能)

#

firewall packet-filter enable            //使能包過濾防火牆

#

firewall packet-filter default permit     //設置缺省過濾動作爲允許數據包通過

#

nat dns-map www.abc.com X.X.X.X tcp      //爲內網網站服務器設置域名映射

#

firewall statistic system enable         //啓用防火牆流量監控統計功能

#

DNS server 61.134.1.4     //設置首選DNS地址

DNS server 218.30.19.40   //設置備用DNS地址

#

radius scheme system

server-type extended                     

radius scheme vpdn                            //創建radius方案VPDN

server-type standard                         //基於RFC協議的RADIUS服務器

primary authentication 10.0.0.11 1812   //設置首選radius認證服務器IP地址及端口(默認端口1812)

primary accounting 10.0.0.11 1813       //設置首選radius計費服務器IP地址及端口(默認端口1813)

accounting optional                          //設置計費方式爲可選計費方式

key authentication vpdn                      //設置radius認證服務器密鑰

key accounting vpdn                          //設置radius計費服務器密鑰

timer response-timeout 5                     //指定響應定時器超時參數爲5秒

retry 5                                      //設置報文重發的次數爲5次

user-name-format without-domain              //設置送往RADIUS服務器的用戶名的格式爲不加域名

#

domain system

domain vpdn                                   //增加VPDN域

scheme radius-scheme vpdn                    //設置域認證方案爲radius認證

ip pool 1 172.16.200.100 172.16.200.200      //爲域內PPP用戶分配地址池

#

local-user admin             //創建本地用戶admin

password cipher XXXX        //爲用戶admin創建密碼並加密爲密文密碼

service-type telnet         //指定本地用戶服務類型爲telnet

level 3                     //指定用戶優先級爲3(默認爲1.3最高)

#

dhcp server ip-pool 30                    //創建DHCP地址池

network 10.0.0.1 mask 255.255.255.0      //爲DHCP地址池設置IP地址和掩碼

gateway-list 192.168.3.1                 //爲DHCP地址池設置網關   

dns-list 61.134.1.4 218.30.19.40         //爲DHCP地址池設置DNS服務器

#

#

acl number 2000                 //設置基本ACL

rule 0 permit                  //創建規則允許所有IP包通過

#

acl number 3002                //設置高級ACL(此ACL內rule規則爲常用病毒***端口)

rule 10 deny tcp destination-port eq 445

rule 11 deny udp destination-port eq 445

rule 20 deny tcp destination-port eq 135

rule 21 deny udp destination-port eq 135

rule 30 deny tcp destination-port eq 137

rule 31 deny udp destination-port eq netbios-ns

rule 40 deny tcp destination-port eq 138

rule 41 deny udp destination-port eq netbios-dgm

rule 50 deny tcp destination-port eq 139

rule 51 deny udp destination-port eq netbios-ssn

rule 61 deny udp destination-port eq tftp

rule 70 deny tcp destination-port eq 593

rule 80 deny tcp destination-port eq 4444

rule 90 deny tcp destination-port eq 707

rule 100 deny tcp destination-port eq 1433

rule 101 deny udp destination-port eq 1433

rule 110 deny tcp destination-port eq 1434

rule 111 deny udp destination-port eq 1434

rule 120 deny tcp destination-port eq 5554

rule 130 deny tcp destination-port eq 9996

rule 141 deny udp source-port eq bootps

rule 160 permit icmp icmp-type echo

rule 161 permit icmp icmp-type echo-reply

rule 162 permit icmp icmp-type ttl-exceeded

rule 165 deny icmp

rule 999 permit ip

#

interface Virtual-Template1                      //創建虛擬接口板1

ppp authentication-mode chap domain vpdn        //設置域VPDN的PPP驗證方式爲CHAP

ppp ipcp dns  1.1.1.1 2.2.2.2                   //設置DNS參數(如果有內網DNS服務器則將1.1.1.1改爲內網DNS服務器IP地址)

ppp ipcp remote-address forced                  //強制對端使用本端分配的IP地址

ip address 172.16.200.1 255.255.255.0           //設置需捏接口板的IP地址

remote address pool 1                           //設置對端IP地址池

firewall packet-filter 2000 inbound             //在入接口應用包過濾

firewall packet-filter 2000 outbound            //在出接口應用包過濾 (不設置的話×××只能訪問內網,不能在撥號以後訪問公網)

#                                         

interface Aux0

async mode flow

#

interface Ethernet0/0                           //進入外網端口視圖

description WCN_INTERFACE_WAN                  //爲外網端口添加描述

ip address X.X.X.X 255.255.255.252     //設置外網端口IP地址

firewall packet-filter 3002 inbound            //在外網端口入方向應用包過濾規則

firewall packet-filter 3002 outbound           //在外網端口出方向應用包過濾規則

nat outbound 2000                              //設置地址地址轉換爲easy-ip方式並應用規則2000

nat server protocol tcp global current-interface www inside 192.168.100.11 www  //爲內網WEB服務器做端口映射

#

interface Ethernet0/1                       //進入內網端口視圖

pppoe-server bind Virtual-Template 1       //在內網端口綁定虛擬端口1

description WCN_INTERFACE_LAN              

ip address 10.0.0.1 255.255.255.0          //設置內網IP地址  

firewall packet-filter 2000 inbound        //在內網端口入方向應用包過濾規則

firewall packet-filter 2000 outbound       //在內網端口出方向應用包過濾規則

#

interface Ethernet0/2

#

interface NULL0

#

firewall zone local

set priority 100

#

firewall zone trust              //指定信任域

add interface Ethernet0/1       //將內網端口加入信任域

add interface Virtual-Template1 //將虛擬端口1加入信任域

set priority 85

#

firewall zone untrust            //指定非信任域

add interface Ethernet0/0       //將外網端口加入非信任域

set priority 5

#

firewall zone DMZ

set priority 50

#                                         

firewall interzone local trust   

#

firewall interzone local untrust

#

firewall interzone local DMZ

#

firewall interzone trust untrust

#

firewall interzone trust DMZ

#

firewall interzone DMZ untrust

#

l2tp-group 1                     //指定L2TP組1

undo tunnel authentication      //取消L2TP隧道驗證

allow l2tp virtual-template 1   //指定本L2TP組使用的通道對端名字和虛模板

#

dhcp server forbidden-ip 10.0.0.1 10.0.0.20  //指定被保留DHCP服務器IP地址

#

ip route-static 0.0.0.0 0.0.0.0 124.115.213.241 preference 60   //將內網所有IP地址的默認路由設置外外網網關

#

undo firewall defend ip-spoofing   //取消防火牆IP地址欺騙***防護功能

#

user-interface con 0

user-interface aux 0

user-interface vty 0 4             //進入虛擬用戶終端接口0到4(創建TELNET用戶密碼)

user privilege level 3            //設置虛擬用戶終端優先級

set authentication  password cipher XXXX   //配置用戶終端接口的認證密碼,並加密爲密文密碼

#

return

[H3C]

=================================================================================================================================

藍色字體標註的爲L2TP-radius配置主要內容

=================================================================================================================================

以下爲Winradius的配置案例（）

1 、 Winradius 主界面

2、winradius操作菜單

3、winradius高級菜單

4、winradius設置菜單

=============================================================================================================================

                                     下面開始介紹winradius的使用與設置

1. 進入winradius- 設置-系統-系統設置 ，設置NAS密鑰爲防火牆 key authentication vpdn 所設置的密鑰，這裏爲vpdn

認證端口爲默認的 1812 ，計費端口爲默認的 1813 （可自行修改，在防火牆內設置相應的IP與端口即可）

勾選 在系統啓動時自動加載 和 啓動時最小化窗口 。

如圖：

2. 進入winradius- 設置- 數據庫-ODBC設置，在winradius安裝文件夾下新建 進入 W inradius .mdb數據庫文件，然後點自動配置ODBC

如圖：

3. 進入winradius- 高級-創建radius表。然後 重啓 winradius

如圖：

4. 進入 winradius- 設置-計費方法。設置計費方法，（不需要計費的可以不用設置）
5.  

5. 進入 winradius- 設置- 認證 方法 。設置winradius認證方法，（默認不需要設置）

如圖

如果出現客戶端過度消費（即透支）時，因爲radius不能在認證通過後斷開用戶的連接所以會出現透支行爲，出現這種情況時可以在

winradius- 設置-認證方法 -預付費 中 ，將用戶的預付費設置一個額度，拒絕那些預付金額少於押金的用戶通過認證。

如圖：

6. 進入 winradius- 操作-添加帳號 添加radius用戶。（我這裏的測試用戶名是user，密碼是admin）如果需要計費則選擇預付費用戶，並設置預付費金額。

=============================================================================================================================

好了，現在來使用winradius自帶的測試工具 RadiusTest 來測試winradius服務器的假設成功與否。

=================================================================================================================================

成功以後說明winradius 和H3C L2TP的radius服務假設成功。大家可以在客戶機上新建L2TP客戶端才測試winradius服務器和L2TP的radius服務假設成功與否。

下期將放出 H3C L2TP-radius與Tekradius軟件的假設教程和WindowsL2TP客戶端的使用方法與說明