把VPN用户认证转移到外部radius服务器上。这么做的好处有：
1、安全性高，不需要登陆防火墙就可以完成用户管理；
2、管理大量用户方便、可查询、添加、删除
3、可记录VPN用户的登录时间，传送字节数，从而对用户进行统计；
4、可在数据库中添加字段，记录VPN用户的相应中文名及其他信息。
5、节省防火墙的有限内存
radius服务器除了可以对VPN用户进行认证外，还可以对FTP、telnet等用户认证，各位有兴趣可以研究一下。
简单网络结构： 防火墙－3层交换机－linux主机
防火墙内网接口IP：192.168.80.2 ，经过一个3层交换机，linux主机连接在内网ip是：192.168.30.130
一、安装linux服务器
版本：RHAS3 U3
安装时选择定制安装，“服务”中选上“SQL”关于mysql的部分，“开发工具”全选上，其他任选。

二、安装freeradius服务：
版本：freeradius-1.1.1
下载：
1、安装
freeradius需要openssl 库，所以如果系统里没安装的话，请先安装

# tar zxvf freeradius-1.1.1.tar.gz
# cd freeradius-1.1.1
# ./configure 
# make 
# make install 

默认装完后freeradius各相关目录：
配置文件：/usr/local/etc/raddb
执行文件：/sbin/radiusd
dictionary：/usr/local/share/freeradius/dictionary.
在mysql中导入radius表所需sql语句目录：/usr/local/share/doc/freeradius/examples/mysql.sql）

2、配置
1）修改 clients.conf

# vi /usr/local/etc/raddb/clients.conf
在最后增加如下几行：
client 127.0.0.1 { ；增加本地帐户，测试radius是否工作正常
secret = 123456 ；本地连接radius的密码
shortname = localhost
nastype = other
}

client 192.168.80.2 { ；增加防火墙连接radius的接口地址
secret = mymingya ；防火墙连接radius的密码
shortname = sec100f
nastype = other
}

2）修改naslist
# vi /usr/local/etc/raddb/naslist
在最后加入一行：
192.168.80.2 sec100f other ；加入防火墙nas

3）编辑users
# vi /usr/local/etc/raddb/users
在文本最后加入用户rhh： (这个用户是保存在文本文件里的，做测试用)

rhh Auth-Type:=local,User-Password==123456
Service-Type = Framed-User,
Framed-Protocol = PPP,
Framed-IP-Address = 10.0.0.2,
Framed-IP-Netmask = 255.255.255.0

4）启动radiusd，测试radiusd服务：
# /sbin/radiusd –X & (加上&在后台运行，便于下面测试命令执行)
# /sbin/radtest rhh 123456 localhost 0 123456
如果有类似 Access-Accept的字样出现，则表示radius开始工作了。

三、安装配置mysql数据库
版本：mysql-server-3.23.58.1
1、安装
RHA3U3默认不安装mysql-server，而且找遍disk1－4也没有找到这个安装包，只能在红旗4.1安装盘的disk2中找到mysql-server-3.23.58.1.i386.rpm
#rpm –ivh mysql-server-3.23.58.1.i386.rpm
自动创建mysqld服务。
启动：#service mysqld start
停止：#service mysqld stop
重启：#service mysqld restart

2、配置：
启动mysql；更改mysql的root用户密码为“tdrwx”；
#service mysqld start
更改密码的3种方法：
a、命令行更改：#mysqladmin –u root –password “tdrwx”
如果root已经有密码了：#mysqladmin –u root –p password “tdrwx”
b、用set password修改口令：
#mysql –u root –p
mysql> set password for root@localhost=password(tdrwxt);
c、直接修改user表的root用户口令：

#mysql –u root –p
mysql> use mysql; 
mysql> update user set password=password(tdrwx) where user=root; 
mysql> flush privileges;