【HUAWEI】PPP&PPPoE配合Radius认证配置案例

【背景】

对于在一个大的园区网，要保证接入的安全性和合法性，有许多种手段。对于到端的接入用户，可以使用802.1X。对于移动办公人员，可以使用SSL。可以配合使用IPS、防火墙、上网行为管理等手段。不过，对于网关分布的网络呢？或者说，公司合并，怎么保证接入合法性。首先想到的是VPN，还有吗？现网中，将PPP、PPPoE用于该网络的这种老旧的情景非常少，但如果碰到了呢？这里我们仅仅以技术来讨论该网络。

【设备】

VMware内开启Windows Server 2012  R2

HUAWEI ENSP模拟器 （使用四台AR1220、使用Cloud串接ENSP和VMware）

【拓扑】

 

 

 

【原理1——PPP】

PPP，适用于串行链路，其自带有在数据链路层的认证功能，在链路的建立阶段，使用LCP对链路的合法性进行验证，如果链路的LCP验证通过，则利用IPCP协商链路网络层，若协商失败，则拆除链路。LCP的验证，可以在本地进行，也可以使用AAA，将认证提交给AAA，并且使用Radius认证进行。

【原理2——PPPoE】

该技术是在以太网的链路上，使用PPP进行网络协商。对于服务端，需要建立一个虚拟拨号模板，用该模板模拟PPP链路，然后将该链路绑定于以太网链路上。在该模板上的配置，和PPP链路一致。

-------------------------------------------------------------

【配置过程】

【配置1——Windows端】

步骤1：在Windows Server上安装“网络策略服务器（NPS）”、“Active Directory证书服务”，在NPS上关联验证服务器，也就是需要使用PPP认证的设备。

步骤2：创建用于认证的用户名和用户组

步骤3：配置“连接请求策略

打开NPS，选择“策略”-->“连接请求策略”-->选择“新建”-->打开“新建连接请求策略”向导，按照如下向导配置

 

备注：在“指定条件”中，选择“添加”，选择“帧协议”，“添加”该帧协议为PPP。使得当进入该Radius服务器的协议类型为PPP时，匹配该策略

 

备注：我们是在本台服务器上直接添加有关PPP的认证，所以按照默认第一项直接“下一步”

然后按照默认“下一步”完成即可

步骤4：配置“网络策略”

需要注意的是，在“身份验证方法”中选择“未加密的身份验证”。经过测试只能使用pap验证，使用“CHAP”认证，一直认证失败。大概华为的设备和Windows的设备不能正确互传秘钥信息，导致验证失败，这可能是两个厂商的CHAP加密算法不同吧

 

其他默认即可

【配置2——华为路由器】

步骤1：在R1上的配置

#

radius-server template windows

radius-server shared-key cipher %$%$Qto)Z7GE$!Z8j`D-JA(<X';S%$%$

radius-server authentication 172.16.255.1 1812

undo radius-server user-name domain-included

#

aaa

authentication-scheme huawei

authentication-mode radius

quit

domain huawei

authentication-scheme huawei

radius-server windows

quit

quit

#

interface Serial1/0/0

link-protocol ppp

ppp authentication-mode pap domain huawei

#

interface Virtual-Template1

ppp authentication-mode pap domain huawei

ip address 192.168.3.254 255.255.255.0

#

interface GigabitEthernet0/0/1

pppoe-server bind Virtual-Template 1

#

步骤2：在被验证路由器（R2、R3）配置PPP

interface Serial1/0/0

link-protocol ppp

#注意，此处不需要带入r2的域，因为在R1的配置中，我们已经在配置中指定所有进入的验证用户名带上huawei的域

ppp pap local-user r2 password cipher %$%$FJ6#%'W+o,0:&y!EDU],,%y+%$%$

步骤3：配置被验证端R4的PPPoE

#

interface Dialer0

link-protocol ppp

ppp pap local-user r4 password cipher %$%$E^f60_>:a@&81})|FEXR,'Ja%$%$

ip address 192.168.3.4 255.255.255.0

dialer user r4

dialer bundle 4

dialer-group 4

#

interface GigabitEthernet0/0/0

pppoe-client dial-bundle-number 4

【其他注意事项】

【注意1】认证无法通过：在认证无法通过之时，在验证端会出现如下的debug信息

Feb 15 2019 15:27:24-08:00 R1 %%01IFPDT/4/IF_STATE(l)[3]:Interface Serial1/0/0 has turned into UP state.

[R1]

Feb 15 2019 15:27:30-08:00 R1 %%01PPP/4/PEERNOPAP(l)[4]:On the interface Serial1/0/0, authentication failed and PPP link was closed because PAP was disabled on the peer.

[R1]

Feb 15 2019 15:27:30-08:00 R1 %%01PPP/4/RESULTERR(l)[5]:On the interface Serial1/0/0, LCP negotiation failed because the result cannot be accepted.

该提示在开启串行链路之后，经过LCP认证之时，验证无法通过，此时链路关闭。

【注意2】当被验证端配置正确，在debug信息中会提示物理层先up，然后链路层up，并且进入LCP验证，当验证成功，则PPP IPCP也up，协商网络层。

[R2-Serial1/0/0]

Feb 15 2019 15:32:52-08:00 R2 %%01IFPDT/4/IF_STATE(l)[16]:Interface Serial1/0/0

has turned into UP state.

[R2-Serial1/0/0]

Feb 15 2019 15:32:55-08:00 R2 %%01IFNET/4/LINK_STATE(l)[17]:The line protocol PP

P on the interface Serial1/0/0 has entered the UP state.

[R2-Serial1/0/0]

Feb 15 2019 15:32:55-08:00 R2 %%01IFNET/4/LINK_STATE(l)[18]:The line protocol PP

P IPCP on the interface Serial1/0/0 has entered the UP state.