【HUAWEI】PPP&PPPoE配合Radius认证配置案例
【背景】
对于在一个大的园区网,要保证接入的安全性和合法性,有许多种手段。对于到端的接入用户,可以使用802.1X。对于移动办公人员,可以使用SSL。可以配合使用IPS、防火墙、上网行为管理等手段。不过,对于网关分布的网络呢?或者说,公司合并,怎么保证接入合法性。首先想到的是v*n,还有吗?现网中,将PPP、PPPoE用于该网络的这种老旧的情景非常少,但如果碰到了呢?这里我们仅仅以技术来讨论该网络。
【设备】
VMware内开启Windows Server 2012 R2
HUAWEI ENSP模拟器 (使用四台AR1220、使用Cloud串接ENSP和VMware)
【拓扑】
【原理1——PPP】
PPP,适用于串行链路,其自带有在数据链路层的认证功能,在链路的建立阶段,使用LCP对链路的合法性进行验证,如果链路的LCP验证通过,则利用IPCP协商链路网络层,若协商失败,则拆除链路。LCP的验证,可以在本地进行,也可以使用AAA,将认证提交给AAA,并且使用Radius认证进行。
【原理2——PPPoE】
该技术是在以太网的链路上,使用PPP进行网络协商。对于服务端,需要建立一个虚拟拨号模板,用该模板模拟PPP链路,然后将该链路绑定于以太网链路上。在该模板上的配置,和PPP链路一致。
-------------------------------------------------------------
【配置过程】
【配置1——Windows端】
步骤1:在Windows Server上安装“网络策略服务器(NPS)”、“Active Directory证书服务”,在NPS上关联验证服务器,也就是需要使用PPP认证的设备。
步骤2:创建用于认证的用户名和用户组
步骤3:配置“连接请求策略
打开NPS,选择“策略”-->“连接请求策略”-->选择“新建”-->打开“新建连接请求策略”向导,按照如下向导配置
备注:在“指定条件”中,选择“添加”,选择“帧协议”,“添加”该帧协议为PPP。使得当进入该Radius服务器的协议类型为PPP时,匹配该策略
备注:我们是在本台服务器上直接添加有关PPP的认证,所以按照默认第一项直接“下一步”
然后按照默认“下一步”完成即可
步骤4:配置“网络策略”
需要注意的是,在“身份验证方法”中选择“未加密的身份验证”。经过测试只能使用pap验证,使用“CHAP”认证,一直认证失败。大概华为的设备和Windows的设备不能正确互传秘钥信息,导致验证失败,这可能是两个厂商的CHAP加密算法不同吧
其他默认即可
【配置2——华为路由器】
步骤1:在R1上的配置
#
radius-server template windows
radius-server shared-key cipher %$%$Qto)Z7GE$!Z8j`D-JA(<X';S%$%$
radius-server authentication 172.16.255.1 1812
undo radius-server user-name domain-included
#
aaa
authentication-scheme huawei
authentication-mode radius
quit
domain huawei
authentication-scheme huawei
radius-server windows
quit
quit
#
interface Serial1/0/0
link-protocol ppp
ppp authentication-mode pap domain huawei
#
interface Virtual-Template1
ppp authentication-mode pap domain huawei
ip address 192.168.3.254 255.255.255.0
#
interface GigabitEthernet0/0/1
pppoe-server bind Virtual-Template 1
#
步骤2:在被验证路由器(R2、R3)配置PPP
interface Serial1/0/0
link-protocol ppp
#注意,此处不需要带入r2的域,因为在R1的配置中,我们已经在配置中指定所有进入的验证用户名带上huawei的域
ppp pap local-user r2 password cipher %$%$FJ6#%'W+o,0:&y!EDU],,%y+%$%$
步骤3:配置被验证端R4的PPPoE
#
interface Dialer0
link-protocol ppp
ppp pap local-user r4 password cipher %$%$E^f60_>:[email protected]&81})|FEXR,'Ja%$%$
ip address 192.168.3.4 255.255.255.0
dialer user r4
dialer bundle 4
dialer-group 4
#
interface GigabitEthernet0/0/0
pppoe-client dial-bundle-number 4
【其他注意事项】
【注意1】认证无法通过:在认证无法通过之时,在验证端会出现如下的debug信息
Feb 15 2019 15:27:24-08:00 R1 %%01IFPDT/4/IF_STATE(l)[3]:Interface Serial1/0/0 has turned into UP state.
[R1]
Feb 15 2019 15:27:30-08:00 R1 %%01PPP/4/PEERNOPAP(l)[4]:On the interface Serial1/0/0, authentication failed and PPP link was closed because PAP was disabled on the peer.
[R1]
Feb 15 2019 15:27:30-08:00 R1 %%01PPP/4/RESULTERR(l)[5]:On the interface Serial1/0/0, LCP negotiation failed because the result cannot be accepted.
该提示在开启串行链路之后,经过LCP认证之时,验证无法通过,此时链路关闭。
【注意2】当被验证端配置正确,在debug信息中会提示物理层先up,然后链路层up,并且进入LCP验证,当验证成功,则PPP IPCP也up,协商网络层。
[R2-Serial1/0/0]
Feb 15 2019 15:32:52-08:00 R2 %%01IFPDT/4/IF_STATE(l)[16]:Interface Serial1/0/0
has turned into UP state.
[R2-Serial1/0/0]
Feb 15 2019 15:32:55-08:00 R2 %%01IFNET/4/LINK_STATE(l)[17]:The line protocol PP
P on the interface Serial1/0/0 has entered the UP state.
[R2-Serial1/0/0]
Feb 15 2019 15:32:55-08:00 R2 %%01IFNET/4/LINK_STATE(l)[18]:The line protocol PP
P IPCP on the interface Serial1/0/0 has entered the UP state.