配置Funk RADIUS以驗證Cisco VPN客戶端

簡介

本文檔介紹如何配置VPN 3000集中器和Funk RADIUS伺服器以協同工作來驗證Cisco VPN客戶端。驗證VPN使用者端後，Funk RADIUS伺服器便會向使用者端提供IP位址。

開始之前

慣例

如需文件慣例的詳細資訊，請參閱思科技術提示慣例。

必要條件

本文檔中提供的資訊假定您已在VPN集中器上配置了專用介面和公用介面。

採用元件

本文檔中的資訊基於VPN 3000集中器的所有版本，適用於Cisco VPN 3000客戶端(2.5.x)和Cisco VPN客戶端(3.x)。

此資訊是從特定實驗室環境中的裝置建立的。文中使用到的所有裝置皆從已清除（預設）的組態來啟動。如果您在即時網路中工作，請確保在使用任何命令之前瞭解其潛在影響。

配置VPN 3000集中器

按照以下步驟配置VPN集中器端。

1. 轉至Configuration > System > Servers > Authentication，然後點選Add。對於「伺服器型別」，選擇Internal，然後按一下Add。

2. 轉到Configuration > System > Servers > Authentication，按一下Add，然後配置以下引數。

   • 伺服器型別：選擇RADIUS。

   • 身份驗證伺服器：輸入RADIUS伺服器的IP地址或主機名。

   • 伺服器金鑰：輸入與RADIUS伺服器上的完全相同的字串。

   設定了這些引數後，按一下「Add」。

3. 轉至Configuration > System > Address Management，然後選中Use Address from Authentication Server選項。

4. 轉至Configuration > User Management > Groups，按一下Add，然後配置組標識、DNS和身份驗證的引數。

   • 在Identity頁籤上，設定以下引數。

     • 組名稱（區分大小寫）

     • 密碼（區分大小寫）

   • 在「常規」頁籤上，設定以下引數。

     • 主DNS

     • 輔助DNS

     • 主要WINS

     • 輔助WINS

     注意：連線時，兩個WINS伺服器的IP地址會傳遞到VPN客戶端。

   • 在IPSec頁籤上，設定以下引數。

     • 驗證:選擇RADIUS。

   設定了這些引數後，按一下「Add」。

在3.0及更高版本中，可以為各個組配置單獨的Funk RADIUS伺服器，而不是一個全域性定義且由所有組使用的Funk RADIUS伺服器。任何未配置單個Funk RADIUS伺服器的組都將使用全域性定義的Funk伺服器。

上例定義了一個全域Funk RADIUS伺服器。您還可以選擇為每個組定義單個放克RADIUS伺服器。為此，請轉到Configuration > User Management > Groups，突出顯示一個組，然後選擇Modify Auth Server。

設定RADIUS伺服器

按照以下步驟配置RADIUS伺服器與VPN集中器通訊。有關伺服器的更完整資訊，請參閱Funk軟體或Juniper Networks 。

1. 在RAS Client選單上，按一下Add並配置客戶端名稱、IP地址和make/model的引數。

   • 客戶端名稱：輸入VPN集中器的名稱。

   • IP 位址:輸入與RADIUS伺服器通訊的介面的地址。（RADIUS伺服器將VPN集中器視為RADIUS客戶端。）

   • 製造/型號：輸入VPN 3000 Concentrator。

2. 按一下Edit authentication secret並輸入共用金鑰，然後按一下Save。

3. 在「使用者」選單上，選擇已設定的使用者/組，並為類和框架IP地址新增返回清單屬性。

   • 類：輸入在上面步驟4中配置的組名稱。

   • 已框架的IP地址：輸入VPN集中器的IP地址或池名稱。

4. 停止並重新啟動RADIUS服務。

相關資訊

• RADIUS 支援頁面
• IPSec支援頁面
• Cisco VPN 3000系列集中器支援頁面
• Cisco VPN 3000系列使用者端支援頁面
• 要求建議 (RFC)
• 技術支援與文件 - Cisco Systems