所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级

NE40E V800R010C00 配置指南 - 用户接入 01

评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
配置L2TP隧道验证方式

配置L2TP隧道验证方式

LAC与LNS的隧道验证通过之后,隧道才能建立成功。

背景信息

当LAC与LNS的隧道建立时,通常使用隧道验证功能保证隧道安全。L2TP隧道支持本地认证、远端(RADIUS)认证和RADIUS强制隧道验证。

请在NE40E上进行如下配置。

说明:
  • 密码需要符合密码复杂度规则:大写、小写、数字、特殊字符中至少有2种,并且长度不能小于8。
  • 为避免高安全风险,配置时请尽量选择密文模式。为保证设备安全,请定期修改密码。

操作步骤

  • 本地认证

    在本地验证模式下,LAC/LNS在验证隧道时不需要隧道名,只使用隧道密码。隧道名用于LNS选择某个L2TP组响应LAC的连接请求,其格式无特殊要求,只需保证LAC配置的隧道名和LNS侧配置的接收对端隧道名保持一致。而在LNS侧无需配置隧道名。

    1. 执行命令system-view,进入系统视图。
    2. 执行命令l2tp-group group-name,进入L2TP组视图。
    3. 执行命令tunnel name tunnel-name [ lns-ip lns-ip-address ],指定隧道本端的名称。
    4. 执行命令tunnel authentication [ strict ],启用隧道验证。

      用户可根据实际需要决定是否在创建隧道连接之前启用隧道验证。为保证隧道安全,建议不要禁用隧道验证。

      隧道验证请求可由LAC或LNS任何一侧发起。只要有一方启用了隧道验证,则隧道建立过程中将进行身份验证,只有两端密码完全一致并且不为空的情况下,隧道才能建立;否则本端将自动将隧道连接断开。若隧道两端都禁止隧道验证,隧道验证的密码一致与否将不起作用。

      tunnel authentication strict命令只在LAC侧的L2TP组下生效,配置后LAC会对远端LNS隧道名和密码同时进行合法性检查,LAC上RADIUS服务器下发的LNS隧道名、密码或本地配置的LNS隧道名、密码跟远端LNS隧道名不一致则检查失败,隧道将无法建立。配置本地严格隧道认证后,根据网络部署,可在RADIUS服务器上配置下发Tunnel-Server-Auth-ID属性,或在LAC侧本地L2TP组下配置LNS隧道名。

    5. 执行命令tunnel password { simple | cipher } password [ lns-ip lns-ip-address ],设置隧道验证的密码。
    6. 执行命令commit,提交配置。
  • 远端(RADIUS)认证

    在远端验证模式下,LAC/LNS把L2TP隧道作为一个用户进行处理,因此要求隧道名的格式为“username@domain”。此时在隧道连接时,LAC/LNS将对端传送过来的用户名和密码发送到AAA(RADIUS)服务器进行验证,AAA服务器上必须配置相应的用户名和密码。

    1. 执行命令system-view,进入系统视图。
    2. 执行命令l2tp-group group-name,进入L2TP组视图。
    3. 执行命令tunnel authentication,启用隧道验证。

      用户可根据实际需要决定是否在创建隧道连接之前启用隧道验证。为保证隧道安全,建议不要禁用隧道验证。

      隧道验证请求可由LAC或LNS任何一侧发起。只要有一方启用了隧道验证,则隧道建立过程中将进行身份验证,只有两端密码完全一致并且不为空的情况下,隧道才能建立;否则本端将自动将隧道连接断开。若隧道两端都禁止隧道验证,隧道验证的密码一致与否将不起作用。

    4. 执行命令tunnel aaa-authentication,启用隧道AAA验证。

      隧道AAA验证是指当NE40E对L2TP隧道进行验证时,不在本地对L2TP隧道进行验证,而是将L2TP隧道名字和密码发送到AAA(RADIUS)服务器进行验证。

    5. 执行命令commit,提交配置。
  • 配置RADIUS强制隧道验证。
    1. 执行命令system-view,进入系统视图。
    2. 执行命令l2tp-group group-name,进入L2TP组视图。
    3. 执行命令tunnel radius-force,配置RADIUS强制隧道验证。

      RADIUS强制隧道验证功能是指是否对隧道进行验证由RADIUS服务器下发的属性决定。如果RADIUS服务器下发的属性中包含了隧道密码,则使用该密码对隧道进行验证;否则不对隧道进行验证。

    4. 执行命令commit,提交配置。
下载文档
更新时间:2018-07-12

文档编号:EDOC1100028564

浏览量:18370

下载量:217

平均得分:
本文档适用于这些产品
相关文档
相关版本
分享
上一页 下一页