防火墙做LNS侧不校验用户名和密码的配置方案

发布时间:  2014-02-28 浏览次数:  170 下载次数:  0
问题描述
客户使用防火墙做拨号的LNS设备,希望拨号时不对用户和密码进行认证,直接接入网络,如何实现。
告警信息
处理过程
对于客户的要求,可以在防火墙上做如下配置便可以实现:
(1)对于VT口在配置时,不配置认证协议,防火墙作为LNS,在VT口下不配置认证协议时,防火墙不会对用户名、密码校验,具体配置为:
[USG5500-1-Virtual-Template1]dis th
15:39:14  2014/02/26
#
interface Virtual-Template1
alias Virtual-Template1
ip address 192.168.200.1 255.255.255.0
remote address pool 1
//在VT口下不用配置ppp authentication-mode指定认证协议
#
return
此时使用default域下配置的地址池分配给客户端。
[USG5500-1-aaa]dis  th
15:42:35  2014/02/26
#
aaa
local-user admin password cipher %$%$('<d!wKK{%mZw@QS<%/-FG>5%$%$
local-user admin service-type web terminal telnet
local-user admin level 15
ip pool 1 192.168.100.1 192.168.100.100   //default域下的地址池

同时,需要注意的是在PC-------LAC--------LNS组网时,LNS侧需要配置强制LCP重协商。
[USG5500-1-l2tp1]dis th
15:45:45  2014/02/26
#
l2tp-group 1
undo tunnel authentication
mandatory-lcp           //在LAC,LNS这种场景下需要配置lcp重协商
allow l2tp virtual-template 1
根因
建议与总结
在防火墙上可以使用上述配置实现客户拨号时不对用户名和密码进行认证的场景。

END