Radius认证服务器的配置与应用Word下载.docx

Radius认证服务器的配置与应用Word下载.docx

《Radius认证服务器的配置与应用Word下载.docx》由会员分享，可在线阅读，更多相关《Radius认证服务器的配置与应用Word下载.docx（19页珍藏版）》请在冰豆网上搜索。

其中，前者是基于物理端口的，而后者是基于逻辑端口的。

目前，几乎所有的以太网交换机都支持IEEE802.1x协议。

RADIUS服务器

RADIUS（RemoteAuthenticationDialInUserService，远程用户拨号认证服务）服务器提供了三种基本的功能：

认证（Authentication）、授权（Authorization）和审计（Accounting），即提供了3A功能。

其中审计也称为“记账”或“计费”。

RADIUS协议采用了客户机/服务器（C/S）工作模式。

网络接入服务器（NetworkAccessServer，NAS）是RADIUS的客户端，它负责将用户的验证信息传递给指定的RADIUS服务器，然后处理返回的响应。

RADIUS服务器负责接收用户的连接请求，并验证用户身份，然后返回所有必须要配置的信息给客户端用户，也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。

服务器和客户端之间传输的所有数据通过使用共享密钥来验证，客户端和RADIUS服务器之间的用户密码经过加密发送，提供了密码使用的安全性。

基于IEEE802.1x认证系统的组成

一个完整的基于IEEE802.1x的认证系统由认证客户端、认证者和认证服务器3部分（角色）组成。

认证客户端。

认证客户端是最终用户所扮演的角色，一般是个人计算机。

它请求对网络服务的访问，并对认证者的请求报文进行应答。

认证客户端必须运行符合IEEE802.1x客户端标准的软件，目前最典型的就是WindowsXP操作系统自带的IEEE802.1x客户端支持。

另外，一些网络设备制造商也开发了自己的IEEE802.1x客户端软件。

认证者认证者一般为交换机等接入设备。

该设备的职责是根据认证客户端当前的认证状态控制其与网络的连接状态。

扮演认证者角色的设备有两种类型的端口：

受控端口（controlledPort）和非受控端口（uncontrolledPort）。

其中，连接在受控端口的用户只有通过认证才能访问网络资源；

而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。

把用户连接在受控端口上，便可以实现对用户的控制；

非受控端口主要是用来连接认证服务器，以便保证服务器与交换机的正常通讯。

认证服务器认证服务器通常为RADIUS服务器。

认证服务器在认证过程中与认证者配合，为用户提供认证服务。

认证服务器保存了用户名及密码，以及相应的授权信息，一台认证服务器可以对多台认证者提供认证服务，这样就可以实现对用户的集中管理。

认证服务器还负责管理从认证者发来的审计数据。

微软公司的WindowsServer2003操作系统自带有RADIUS服务器组件。

实验拓扑图

安装RADIUS服务器

如果这台计算机是一台WindowsServer2003的独立服务器（未升级成为域控制器，也未加入域），则可以利用SAM来管理用户账户信息；

如果是一台WindowsServer2003域控制器，则利用活动目录数据库来管理用户账户信息。

虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定，但RADIUS服务器提供的认证功能相同。

为便于实验，下面以一台运行WindowsServer2003的独立服务器为例进行介绍，该计算机的IP地址为172.16.2.254。

在"

控制面板"

中双击"

添加或删除程序"

，在弹出的对话框中选择"

添加/删除Windows组件"

在弹出的"

Windows组件向导"

中选择"

网络服务"

组件，单击"

详细信息"

勾选"

Internet验证服务"

子组件，确定，然后单击"

下一步"

进行安装

下的"

管理工具"

中打开"

窗口

创建用户账户

RADIUS服务器安装好之后，需要为所有通过认证才能够访问网络的用户在RADIUS服务器中创建账户。

这样，当用户的计算机连接到启用了端口认证功能的交换机上的端口上时，启用了IEEE802.1x认证功能的客户端计算机需要用户输入正确的账户和密码后，才能够访问网络中的资源。

计算机管理"

，选择"

本地用户和组"

为了方便管理，我们创建一个用户组"

802.1x"

专门用于管理需要经过IEEE802.1x认证的用户账户。

鼠标右键单击"

组"

新建组"

，输入组名后创建组。

在添加用户之前，必须要提前做的是，打开"

-"

本地安全策略"

，依次选择"

账户策略"

密码策略"

，启用"

用可还原的加密来储存密码"

策略项。

否则以后认证的时候将会出现以下错误提示。

接下来我们添加用户账户"

0801010047"

，设置密码"

123"

。

用户"

新用户"

，输入用户名和密码，创建用户。

将用户"

加入到"

用户组中。

鼠标右键单击用户"

属性"

在弹出的对话框中选择"

隶属于"

，然后将其加入"

设置远程访问策略

在RADIUS服务器的”Internet验证服务”窗口中，需要为Cisco2950交换机以及通过该交换机进行认证的用户设置远程访问策略。

具体方法如下：

新建远程访问策略，鼠标右键单击"

远程访问策略"

新建远程访问策略"

选择配置方式，这里我们使用向导模式

选择访问方法，以太网

选择授权方式，将之前添加的"

用户组加入许可列表

选择身份验证方法，"

MD5-质询"

确认设置信息

只保留新建的访问策略，删掉其他的

创建RADIUS客户端

需要说明的是，这里要创建的RADIUS客户端，是指类似于图3中的交换机设备，在实际应用中也可以是VPN服务器、无线AP等，而不是用户端的计算机。

RADIUS服务器只会接受由RADIUS客户端设备发过来的请求，为此需要在RADIUS服务器上来指定RADIUS客户端。

以图3的网络拓扑为例，具体步骤如下：

新建RADIUS客户端。

RADIUS客户端"

新建RADIUS客户端"

设置RADIUS客户端的名称和IP地址。

客户端IP地址即交换机的管理IP地址，我们这里是172.17.2.250，等会说明如何配置。

设置共享密钥和认证方式。

认证方式选择"

RADIUSStandard"

，密钥请记好，等会配置交换机的时候这个密钥要相同。

显示已创建的RADIUS客户端

在交换机上启用认证机制

现在对支持IEEE802.1x认证协议的交换机进行配置，使它能够接授用户端的认证请求，并将请求转发给RADIUS服务器进行认证，最后将认证结果返回给用户端。

在拓扑图中：

RADIUS认证服务器的IP地址为172.17.2.254/24

交换机的管理IP地址为172.16.2.250/24

需要认证的计算机接在交换机的FastEthernet0/5端口上

因此我们实验时只对FastEthernet0/5端口进行认证，其他端口可不进行设置。

具体操作如下：

使用Console口登陆交换机，设置交换机的管理IP地址

Cisco2950>

enable

Cisco2950#configureterminal

Cisco2950（config）#interfacevlan1（配置二层交换机管理接口IP地址）

Cisco2950（config-if）#ipaddress172.17.2.250255.255.255.0

Cisco2950（config-if）#noshutdown

Cisco2950（config-if）#end

Cisco2950#wr

在交换机上启用AAA认证

Cisco2950（config）#aaanew-model（启用AAA认证）

Cisco2950（config）#aaaauthenticationdot1xdefaultgroupradius（启用dot1x认证）

Cisco2950（config）#dot1xsystem-auth-control（启用全局dot1x认证）

指定RADIUS服务器的IP地址和交换机与RADIUS服务器之间的共享密钥

Cisco2950（config）#radius-serverhost172.17.2.254key（设置验证服务器IP及密钥）

Cisco2950（config）#radius-serverretransmit3（设置与RADIUS服务器尝试连接次数为3次）

配置交换机的认证端口，可以使用interfacerange命令批量配置端口，这里我们只对FastEthernet0/5启用IEEE802.1x认证

Cisco2950（config）#interfacefastEthernet0/5

Cisco2950（config-if）#switchportmodeaccess（设置端口模式为access）

Cisco2950（config-if）#dot1xport-controlauto（设置802.1x认证模式为自动）

Cisco2950（config-if）#dot1xtimeoutquiet-period10（设置认证失败重试时间为10秒）

Cisco2950（config-if）#dot1xtimeoutreauth-period30（设置认证失败重连时间为30秒）

Cisco2950（config-if）#dot1xreauthentication（启用802.1x认证）

Cisco2950（config-if）#spanning-treeportfast（开启端口portfast特性）

测试802.1x认证接入

1、将要进行认证接入的计算机接入交换机的FastEthernet0/5端口，设置IP地址为172.17.2.5（随便设置，只要不跟认证服务器IP及交换机管理IP冲突即可）

2、在"

本地连接"

的"

验证"

标签栏中启用IEEE802.1x验证，EAP类型设置为"

，其余选项可不选。

3、如果之前配置没有问题，过一会即可看到托盘菜单弹出要求点击进行验证

4、点击之后会弹出类似锐捷客户端一样的登陆框，要求输入用户名和密码。

这里我们输入之前配置的用户名"

，密码"

，确定。

5、验证成功后可以ping一下172.17.2.254进行验证，同时可以观察到交换机FastEthernet0/5端口指示灯已经由黄色变为绿色。

为保证计算机支持802.1x验证，请确认WirelessConfiguration服务正常开启。

6、可以通过"

中的"

事件查看器"

系统"

子选项观察802.1x的验证日志。

邮件分享新浪微博QQ空间人人网腾讯朋友腾讯微博点点网FacebookTwitter更多

分类:

网络相关

推荐您看看我的其它文章

∙2008年10月17日-- 

熟能生巧:

有感于大学第一次剪头发 

（13）

∙2008年12月11日-- 

C语言自定义交换函数（swap）的使用 

（5）

∙2009年4月7日-- 

使用正则表达式删除/**/型单行注释 

（10）

∙2011年7月5日-- 

NokiaN82手机换屏记 

（0）

∙2008年12月21日-- 

刘墉也来北京师范大学珠海分校了 

（6）

最新最早最热

∙5条评论

∙2条腾讯微博

∙

枫枫起舞

楼主说的很详细，很受用，感谢楼主的提供

2012年12月15日回复顶

何军旺

可是我搭建的时间总是连接不上，是不是需要就是需要cisco的交换机，一般的路由器不能使用么？

我现在用的是ASUS的无线WIFI，上面有radius的认证，是不是这些是不能用的，我一直想搭建个这样的环境给手机使用，希望您有时间的话，可以帮忙解决下，我的联系方式QQ287619892或者邮箱hejunwang01@，非常感谢

2012年10月25日回复顶

o

Mrstone

路由器上的Radius功能要打开，认证方式选择WPA2-企业。

1月17日回复顶

dd

感谢楼主的分享，但是在学习你的实验的同时，发现我老是验证失败，我是按照楼主的一步步来的就是验证的那关老是过不了。

如果楼主有时间加下我QQ369551417，帮我纠正下。

2012年7月7日回复顶举报

tSt

非常感谢，学习啦