配置 Funk RADIUS 以便认证 Cisco VPN 客户端

简介

本文档说明如何配置VPN 3000集中器和Funk RADIUS服务器以协同对Cisco VPN客户端进行身份验证。在对VPN客户端进行身份验证后，Funk RADIUS服务器会向客户端提供IP地址。

开始使用前 

规则

有关文档规则的详细信息，请参阅 Cisco 技术提示规则。

先决条件

本文档中提供的信息假设您已在VPN集中器上配置了专用接口和公共接口。

使用的组件

本文档中的信息基于VPN 3000集中器的所有版本，并且适用于Cisco VPN 3000客户端(2.5.x)和Cisco VPN客户端(3.x)。

此信息是从特定实验环境中的设备创建的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您是在真实网络上操作，请确保您在使用任何命令前已经了解其潜在影响。

配置 VPN 3000 集中器

按照以下步骤配置VPN集中器端。

1. 转至Configuration > System > Servers > Authentication，然后单击Add。对于“Server Type”，选择“Internal”，然后单击“Add”。

2. 转到Configuration > System > Servers > Authentication，单击Add，并配置以下参数。

   • 服务器类型:选择RADIUS。

   • 身份认证服务器：输入RADIUS服务器的IP地址或主机名。

   • 服务器密钥：输入与RADIUS服务器上的字符串完全相同的字符串。

   配置这些参数后，单击Add。

3. 转到Configuration > System > Address Management，并选中Use Address from Authentication Server的选项。

4. 转到Configuration > User Management > Groups，单击Add，并配置组身份、DNS和身份验证的参数。

   • 在Identity选项卡上，设置以下参数。

     • 组名称（区分大小写）

     • 密码（区分大小写）

   • 在“常规”选项卡上，设置以下参数。

     • 主 DNS

     • 辅助 DNS

     • 主要WINS

     • 辅助WINS

     注意：两台WINS服务器的IP地址在连接时传递到VPN客户端。

   • 在IPSec选项卡上，设置以下参数。

     • 身份验证:选择RADIUS。

   配置这些参数后，单击Add。

在3.0及更高版本中，您可以为单个组配置单个Funk RADIUS服务器，而不是全局定义并由所有组使用的一个Funk RADIUS服务器。未配置单个Funk RADIUS服务器的任何组都将使用全局定义的Funk服务器。

上例定义了一个全局Funk RADIUS服务器。您还可以选择为每个组定义单个Funk RADIUS服务器。为此，请转至Configuration > User Management > Groups，突出显示一个组，然后选择Modify Auth Server。

配置 RADIUS 服务器

按照以下步骤配置RADIUS服务器以与VPN集中器通信。有关服务器的更完整信息，请参阅Funk软件或Juniper Networks 。

1. 在RAS Client菜单上，单击Add并配置客户端名称、IP地址和制造/型号的参数。

   • 客户机名称:输入VPN集中器的名称。

   • IP Address:输入与RADIUS服务器通信的接口的地址。（RADIUS服务器将VPN集中器视为RADIUS客户端。）

   • 制造/型号：输入VPN 3000集中器。

2. 单击Edit authentication secret(编辑身份验证密钥)并输入共享密钥，然后单击Save(保存)。

3. 在“用户”菜单上，选择您已设置的用户/组，并为类和成帧的IP地址添加返回列表属性。

   • 类：输入您在上述步骤4中配置的组名称。

   • 配置的IP地址：输入VPN集中器的IP地址或池名称。

4. 停止并重新启动RADIUS服务。

相关信息

• RADIUS 支持页
• IPSec 支持页面
• Cisco VPN 3000 系列集中器支持页
• Cisco VPN 3000 系列客户端支持页
• 请求注解 (RFC)
• 技术支持和文档 - Cisco Systems