锐捷网络—VPN功能—XAUTH配置案例—XAUTH采用路由器AAA服务器认证案例

最新推荐文章于 2023-09-26 11:14:20 发布
最新推荐文章于 2023-09-26 11:14:20 发布
阅读量304 收藏
点赞数
分类专栏: 锐捷网络 文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_57099902/article/details/132857588
版权

目录

功能介绍

一、组网需求

二、组网拓扑

三、配置要点

四、配置步骤

五、配置验证

 

功能介绍

目前由于宽带接入的快速发展,广泛的中小商用企业部署IPSec VPN网络,构建远程客户端对公司中心资源访问的应用已极为普通。在部署此类远程访问的IPSec VPN应用时,通常是要设置多个客户端连接到VPN中心网络,网管人员的通常做法是为每一个用户设置不同VPN策略和预置密码用以区分每一个用户,此工作量是巨大的,管理也不方便。因此现在市场上主流的IPSec VPN网关设备提供另外一种解决方案,就是在VPN网关中只要配置一条VPN的策略,就可允许多个如高达1000个远程客户端的同时接入,然后只要对远程客户分发一个相同的策略配置就可以了。这样一来,由于所有远程客户端的VPN配置策略是相同的,对每个远程客户不再进行单独地区别,因此在提高了方便性的同时却又降低了整个网络的安全性。

这样就促使用户需要这样一种技术,就是在VPN网关设备中只需要配置一条策略,但要求每个远程客户在接入时需要提供不同的用户名和口令的身份认证,VPN网关设备可以集中管理远程用户的合法信息。这样就大大减少了网络管理人员的工作负担和保证远程客户接入的安全性,提高了企业的整体工作效率。这个技术就是融合在IPSec VPN里面的XAUTH扩展认证协议,XAUTH为这些需要区分每个用户进行身份验证的应用提供了一种身份认证机制,该机制允许VPN网关使用Radius服务器或者本地数据库记录中的用户信息对用户进行身份认证。

认证方式与预共享认证,数字证书认证同级。按照标准,定义为XAUTH预共享认证,XAUTH数字证书认证,协商第一个报文中携带该信息,和普通IPSEC区别协商过程。

一、组网需求

RSR77作为某金融/政府VPN网关路由器,承担移动办公用户的IPSEC VPN拨入。移动用户通过XAUTH认证技术,接入到VPN网关中。本案例通过介绍通过AAA进行认证+分配IP地址进行配置。

   1、PC使用IPSEC客户端方式拨入到公司内网
   2、由公司汇聚统一分配IP地址
   3、访问限制:tech部门人员拨入后,只能访问server1(10.10.10.1),sale部门人员拨入后,只能访问server2(20.20.20.1)

二、组网拓扑

三、配置要点

1、配置全网基本路由连通性:

2、配置IKE策略:

3、配置pre-share key

4、创建客户端策略组:

5、配置ipsec加密策略:

6、创建动态加密图:

7、创建IPSEC加密图:

8、配置xauth认证形式:

9、接口应用IPSEC加密图:

10、配置X-auth兼容命令(可选 )

四、配置步骤

1、配置全网基本路由连通性

(基本路由配置,这里不详细提供配置)

2、 配置IKE策略:

crypto isakmp mode-detect     //(可选)设备作为中心,如果需要接受多种方式的拨入(有些采用主模式,有些采用积极模式),可以配置该命令。

crypto isakmp policy 1

 encryption sm1     //ipsec客户端只支持SM1国密办加密算法,并配合硬件key使用

 authentication pre-share  //预共享密钥模式

 group 2

3、配置pre-share key:

crypto isakmp key 0 ruijie address 0.0.0.0 0.0.0.0  //预共享密钥为ruijie

4、创建客户端策略组:

crypto isakmp client configuration group ruijie     //客户端设置的策略组组名要和这里配置的一致

 netmask 255.255.255.252

 dns 8.8.8.8//分配给客户端的DNS

 network center 10.10.10.1/32  // 配置允许访问10.10.10.1,由于20段不允许访问,所以不配置。假如没有访问限制需求,此时network命令无需配置,默认方通所有。

5、配置ipsec加密策略:

crypto ipsec transform-set t1 esp-sm1 esp-sha-hmac   //ipsec客户端只支持SM1国密办加密算法,并配合硬件key使用

6、创建动态加密图:

crypto dynamic-map ruijie 1

 set transform-set t1

 reverse-route            //反向路由注入

7、创建IPSEC加密图:

crypto map mymap 1 ipsec-isakmp dynamic ruijie

8、配置xauth认证形式:

aaa new-model

radius-server host x.x.x.x key xxx//指定radius服务器IP地址和key

aaa authentication login ike-acs group radius              //指定radius服务器进行认证

crypto map mymap client authentication list ike-acs   //将认证和ipsec关联,指定xauth的认证形式

9、接口应用IPSEC加密图:

interface GigabitEthernet 2/0/0

  ip address 192.168.51.81 255.255.255.0

  crypto map mymap

10、配置X-auth兼容命令(可选 ):

crypto isakmp no-force-xauth

//如果存在设备和Xauth客户端需要同时拨LNS的情况需要配置该命令:在默认情况下加密映射集启用扩展认证(Xauth认证),那么协商的对端设备必须启用扩展认证才能通过协商。需要同时让未使用扩展认证(非Xauth认证)和使用扩展认证的 IKE 同时协商通过,那么需要配置此命令。RSR30 在3b13p2 才支持,RSR77在3b21以后 支持

五、配置验证

1、在终端设备上ping测试连通性。

2、在RSR77设备上查看IPSEC协商状态

1)show crypto isakmp sa

2)show crypto ipsec sa

你可知这世上再难遇我
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
IPSEC_XAUTH
09-10
IPSEC_XAUTH产生背景、XAUTH在IKE中交互阶段、XAUTH报文字段说明;
搜狐微博XAuth使用举例
luotuoass
07-12 137
搜狐微博XAuth使用举例 xAuth简介 使用xAuth认证方式,您仍然需要了解如何生成OAuth签名。 为了方便桌面应用和移动应用,特别是那些缺乏浏览器支持的应用,xAuth认证为这类应用提供了一种使用用户名和密码来获取OAuth的 Access Token的方式。 采用xAuth认证的桌面应用和移动应用可以跳过oauth/request_token(获取Request Token)以...
XAuth——Android客户端授权认证
Android 是一种内伤
12-29 2324
xAuth认证实际上是OAuth认证的简化版。目前xAuth只对桌面客户端和移动客户端开放申请。Web应用请使用OAuth。xAuth旨在增强客户端的用户体验,减少页面跳转次数。采用xAuth认证的桌面应用和移动应用可以跳过oauth/request_token(获取Request Token)以及oauth/authorize(授权Request Token)两步,只要提供了username
锐捷交换机常用功能配置案例集(V1.0).zip
03-25
锐捷交换机常用功能配置案例
锐捷交换机常用功能配置案例集(V1.0).chm
04-01
锐捷交换机常用功能配置案例集(V1.0)
linux图形界面xauth,Linux中xauth命令起什么作用呢?
weixin_33318722的博客
05-09 1887
摘要:下文讲述Linux中xauth功能说明,如下所示;xauth命令功能:用于显示和编辑连接X服务器认证信息xauth命令的语法格式:xauth [参数]-----常用参数说明-------f:不使用默认的认证文件,而使用指定的认证文件-q:安静模式,不打印未请求的状态信息-v:详细模式,打印指定的各种操作信息-i:忽略认证文件锁定-b:执行任何操作,中断认证文件锁定add:添加认证条目到认...
锐捷防火墙(WEB)——VPN部署场景—VPN技术介绍
君逍遥o
09-21 2153
总公司和分公司各自的内网要能够互相共享资料,且共享资料的流量需要经过各自的出口设备后在Internet上传输,为了保证流量在Internet传输过程中的安全性,希望资料在网络传输中不易被黑客截获破解窃取,保证资料的安全保密,此时您可以在总公司和分公司的网络设备上建立IPSec VPN,它即能实现总公司和分公司之间能够互相访问共享资料,也能对数据传输进行加密,保证了数据的安全性 。
XAUTH认证
redwingz的博客
12-02 2833
以下根据strongswan代码中的testing/tests/swanctl/xauth-rsa/中的测试环境,来看XAuth配置认证流程。扩展认证XAUTH在RSA公开秘钥签名认证(pubkey)之后进行。拓扑结构如下: 拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。 虚拟主机配置 carol的配置文件:/etc/swanctl/swanctl.conf,...
锐捷防火墙(WEB)——VPN部署场景——GRE
最新发布
君逍遥o
09-26 638
如图所示,通过VPN将2个局域网连接起来,实现192.168.0.0/24与192.168.1.0/24两个网段的通信。
锐捷RSR系列路由器——VPN功能——L2TP_VPDN1.0——L2TP 服务器典型配置
君逍遥o
09-01 3292
L2TP强制隧道模式:在强制隧道模式下,LAC端终结来自远程接入客户的呼叫,然后通过中间网络以隧道方式将PPP会话延伸到LNS。这种模式不要求远程接入客户端了解L2TP,远程接入客户只需要使用PPP拨号到LAC即可。3G解决方案就是采用这种模式。
xauth命令 修改x服务器访问授权
01-09
xauth命令用于显示和编辑被用于连接X服务器认证信息。 语法格式:xauth [参数] 常用参数: -f 不使用默认的认证文件,而使用指定的认证文件 -q 安静模式,不打印未请求的状态信息 -v 详细模式,打印指定的各种操作信息 -i 忽略认证文件锁定 -b 执行任何操作,中断认证文件锁定 add 添加认证条目到认证文件中 extract 将指定的设备内容加入到指定的密码文件中 info 显示授权文件相关信息 exit 退出交互模式 list 列出给定的显示设备的内容 merge 合并多个授权文件内容 extract 将指定
锐捷交换机产品典型配置案例集V2.0
07-30
本文档适用于锐捷以下交换机系列产品: S20系列(包括RG-S2026F、RG-S2026G、RG-S2052G) S23系列(包括RG-S2328G、RG-S2352G) S2300G-P系列(包括RG-S2312G-P、RG-S2320G-P) S26系列(包括RG-S2628G、RG-S2652G) S26I系列 (包括RG-S2628G-I、RG-S2652G-I) S26S系列 (RG-S2628G-S、RG-S2652G-S) S26E/P系列 (包括RG-S2628G-E、RG-S2652G-E、RG-S2628G-P、RG-S2652G-P) S29系列 (包括RG-S2924GT/8SFP-XS-P、RG-S2924G、RG-S2927XG、RG-S2951XG) S29E/P系列(包括RG-S2928G-E、RG-S2952G-E、RG-S2928G-12P、RG-S2928G-24P) S29S系列(包括RG-S2928G-S) S3250E系列(包括RG-S3250E-24、RG-S3250E-48) S3760系列(包括RG-S3760-24、RG-S3760-48、RG-S3760-12SFP/GT) S3760E系列(包括RG-S3760E-24、RG-S3760E-48、RG-S3760E-24P、RG-S3760E-48P) S5750-L系列(包括RG-S5750-28GT-L、RG-S5750-52GT-L) S5750-S系列(包括RG-S5750-24GT/8SFP-S、RG-S5750-48GT/4SFP-S) S5750系列 (包括RG-S5750-24GT/12SFP、RG-S5750S-24GT/12SFP、RG-S5750-24SFP/12GT、RG-S5750-48GT/4SFP、RG-S5750S-48GT/4SFP、RG-S5750P-24GT/12SFP、RG-S5750P-48GT/4SFP) S5750-E系列(包括RG-S5750-24GT/8SFP-E、RG-S5750-48GT/4SFP-E、RG-S5750-24SFP/8GT-E、RG-S5750-24GT/8SFP-P、RG-S5750-48GT/4SFP-P) S5760系列(包括RG-S5760-24GT/4SFP、RG-S5760-48GT/4SFP )
锐捷交换机常用功能配置案例集(V1.0)
04-26
注意:如果忘记设备密码,但又希望能将设备恢复出厂设置,可以参考“密码恢复”章节操作后,再进行恢复出厂设置。 非11.X软件平台:可以直接参考“密码恢复--》不保存配置方式密码恢复“操作; ...
锐捷网络入门相关基本命令配置
08-11
【Switch#】configure terminal //由特权模式进入全局配置模式 【Switch(config)#】 4、VLAN模式 【Switch(config)#】vlan 100 //由全局模式进入VLAN模式 【Switch(config-vlan)#】 5、接口模式 【Switch(config)#...
锐捷网络VPN功能—IPSec VPN 常见问题和故障
君逍遥o
09-13 2507
IPSec (IP Security )是一种由IETF设计的端到端的确保IP层通信安全的机制。 IPSec协议可以为IP网络通信提供透明的安全服务,保护TCP/IP通信免遭窃听和篡改,保证数据的完整性和机密性,有效抵御网络攻击。 IPSec不是一个单独的协议,而是一组协议,IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案,已经成为工业标准的网络安全协议。
锐捷RSR系列路由器VPN功能—GRE 功能配置
君逍遥o
09-05 1893
若总公司和分公司各自的内网之间要能够互相共享资料,并且对数据的安全性要求不高,此时您可以在总公司和分公司的网络设备上建立GRE VPN,它即能实现总公司和分公司之间能够直接互相访问资源。
锐捷学习笔记-34(跨域MPLS VPN Option A)
zhaoxx22的博客
07-31 351
锐捷MPLS VPN Option A配置
锐捷网络VPN功能XAUTH认证—客户端的安装
君逍遥o
09-13 1172
支持的客户端类型: 1. 支持windows客户端:“RG-Windows_IPSec_Setup_1.1(1)_Build20131018.exe” 2. 支持Android客户端:“RG_Android_IPSec_Setup_1.1(1)_Build20131018.exe” 3. IOS自带客户端,无需我司提供 客户端软件需要使用“安装包制作程序”制作,可从RTR版本管理系统(仅向锐捷工程师开放)下载。
锐捷网络VPN功能XAUTH配置案例—移动终端XAUTH与3/4G终端混合拨入LNS场景配置案例
君逍遥o
09-13 224
以3G场景为例,某银行客户,RSR77路由器作为LNS,汇聚下联所有离行ATM的3G路由器的L2TP拨号,所有用户全部在汇聚端通过AAA来进行认证和获取IP地址,同时使用IPSEC进行3G路由器业务进行加密。由于客户业务拓展需求,现新增移动终(PAD)通过XAUTH IPSEC 直接拨入汇聚路由器直接访问到内网,并实现加密功能
锐捷路由器串口捆绑配置
04-05
2. 设置主控路由器:选择其中一台锐捷路由器作为主控路由器,通过Web界面或者命令行方式进入路由器配置界面。 3. 配置串口:在主控路由器配置界面中,选择串口捆绑配置,设置串口号、波特率等参数,确保串口正常...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

你可知这世上再难遇我

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值