Radius认证服务器配置与应用讲解

Radius认证服务器的配置与应用讲解Radius认证服务器的配置与应用讲解Radius认证服务器的配置与应用讲解Radius认证服务器的配置与应用(802.1x)协议是一个基于端口的网络接见控制协议，该协议的认证系统结构中采用了“可控端口”和“不能控端口”的逻辑功能，从而实现认证与业务的分别，保证了网络传输的效率。IEEE802系列局域网（LAN）标准据有着当前局域网应用的主要份额，但是传统的IEEE802系统定义的局域网不供应接入认证，只要用户能接入集线器、交换机等控制设备，用户就可以接见局域网中其他设备上的资源，这是一个安全隐患，同时也不便于实现对局域网接入用户的管理。是一种基于端口的网络接入控制技术，在局域网设备的物理接入级对接入设备（主若是计算机）进行认证和控制。连接在交换机端口上的用户设备若是能经过认证，就可以接见局域网内的资源，也能够接入外面网络（如Internet）；若是不能够经过认证，则无法接见局域网内部的资源，同样也无法接入Internet，相当于物理上断开了连接。IEEE802.1x协议采用现有的可扩展认证协议（ExtensibleAuthenticationProtocol，EAP），它是IETF提出的PPP协议的扩展，最早是为解决基于标准的无线局域网的认证而开发的。诚然定义了基于端口的网络接入控制协议，但是在实质应用中该协议仅适用于接入设备与接入端口间的点到点的连接方式，其中端口能够是物理端口，也能够是逻辑端口。典型的应用方式有两种：一种是以太网交换机的一个物理端口仅连接一个计算机；另一种是基于无线局域网（WLAN）的接入方式。其中，前者是基于物理端口的，此后者是基于逻辑端口的。当前，几乎所有的以太网交换机都支持IEEE协议。RADIUS服务器RADIUS（RemoteAuthenticationDialInUserService，远程用户拨号认证服务）服务器供应了三种基本的功能：认证（Authentication）、授权（Authorization）和审计（Accounting），即供应了3A功能。其中审计也称为“记账”或“计费”。RADIUS协议采用了客户机/服务器（C/S）工作模式。网络接入服务器（NetworkAccessServer，NAS）是RADIUS的客户端，它负责将用户的考据信息传达给指定的RADIUS服务器，此后办理返回的响应。RADIUS服务器负责接收用户的连接央求，并考据用户身份，此后返回所有必定要配置的信息给客户端用户，也能够作为其他RADIUS服务器或其他类认证服务器的代理客户端。服务器和客户端之间传输的所有数据经过使用共享密钥来考据，客户端和RADIUS服务器之间的用户密码经过加密发送，供应了密码使用的安全性。基于认证系统的组成一个完满的基于的认证系统由认证客户端、认证者和认证服务器

3部分（角色）组成。认证客户端。认证客户端是最后用户所扮演的角色，一般是个人计算机。它央求对网络服务的接见，并对认证者的央求报文进行应答。认证客户端必定运行吻合客户端标准的软件，当前最典型的就是WindowsXP操作系统自带的客户端支持。别的，一些网络设备制造商也开发了自己的客户端软件。认证者认证者一般为交换机等接入设备。该设备的职责是依照认证客户端当前的认证状态控制其与网络的连接状态。扮演认证者角色的设备有两各种类的端口：受控端口（controlledPort）和非受控端口uncontrolledPort）。其中，连接在受控端口的用户只有经过认证才能接见网络资源；而连接在非受控端口的用户不用经过认证便能够直接接见网络资源。把用户连接在受控端口上，便能够实现对用户的控制；非受控端口主若是用来连接认证服务器，以便保证服务器与交换机的正常通讯。认证服务器认证服务器平时为RADIUS服务器。认证服务器在认证过程中与认证者配合，为用户提供认证服务。认证服务器保留了用户名及密码，以及相应的授权信息，一台认证服务器能够对多台认证者提供认证服务，这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的审计数据。微软公司的WindowsServer2003操作系统自带有RADIUS服务器组件。实验拓扑图安装RADIUS服务器在"控制面板"中双击"增加或删除程序"，在弹出的对话框中选择"增加/删除Windows组件"在弹出的"Windows组件导游"中选择"网络服务"组件，单击"详细信息"勾选"Internet考据服务"子组件，确定，此后单击"下一步"进行安装在"控制面板"下的"管理工具"中打开"Internet考据服务"窗口创办用户账户RADIUS服务器安装好此后，需要为所有经过认证才能够接见网络的用户在RADIUS服务器中创办账户。这样，当用户的计算机连接到启用了端口认证功能的交换机上的端口上时，启用了认证功能的客户端计算机需要用户输入正确的账户和密码后，才能够接见网络中的资源。在"控制面板"下的"管理工具"中打开"计算机管理"，选择"当地用户和组"为了方便管理，我们创办一个用户组"802.1x"特地用于管理需要经过认证的用户账户。鼠标右键单击"组"，选择"新建组"，输入组名后创办组。在增加用户从前，必定要提前做的是，打开"控制面板"-"管理工具"下的"当地安全策略"，依次选择"账户策略"-"密码策略"，启用"用可还原的加密来储蓄密码"策略项。否则今后认证的时候将会出现以下错误提示。设置远程接见策略在RADIUS服务器的”Internet考据服务”窗口中，需要为Cisco2950交换机以及经过该交换机进行认证的用户设置远程接见策略。详细方法以下：新建远程接见策略，鼠标右键单击"远程接见策略"，选择"新建远程接见策略"选择配置方式，这里我们使用导游模式选择接见方法，以太网选择授权方式，将从前增加的"802.1x"用户组加入同意列表选择身份考据方法，"MD5-质询"确认设置信息只保留新建的接见策略，删掉其他的创办RADIUS客户端需要说明的是，这里要创办的RADIUS客户端，是指近似于图3中的交换机设备，在实质应用中也能够是VPN服务器、无线AP等，而不是用户端的计算机。RADIUS服务器只会接受由RADIUS客户端设备发过来的央求，为此需要在RADIUS服务器上来指定RADIUS客户端。以图3的网络拓扑为例，详细步骤以下：新建RADIUS客户端。鼠标右键单击"RADIUS客户端"，选择"新建RADIUS客户端"设置共享密钥和认证方式。认证方式选择"RADIUSStandard"，密钥请记好，等会配置交换机的时候这个密钥要同样。显示已创办的RADIUS客户端在交换机上启用认证体系现在对支持IEEE802.1x认证协议的交换机进行配置，使它能够接授用户端的认证央求，并将央求转发给RADIUS服务器进行认证，最后将认证结果返回给用户端。在拓扑图中：因此我们实验时只对FastEthernet0/5端口进行认证，其他端口可不进行设置。详细操作以下：使用Console口登陆交换机，设置交换机的管理IP地址在交换机上启用AAA认证Cisco2950#configureterminalCisco2950(config)#aaanew-model(启用AAA认证)Cisco2950(config)#aaaauthenticationdot1xdefaultgroupradius(启用dot1x认证)Cisco2950(config)#dot1xsystem-auth-control(启用全局dot1x认证)指定RADIUS服务器的IP地址和交换机与RADIUS服务器之间的共享密钥配置交换机的认证端口，能够使用interfacerange命令批量配置端口，这里我们只对FastEthernet0/5启用认证Cisco2950(config)#interfacefastEthernet0/5Cisco2950(config-if)#switchportmodeaccess(设置端口模式为access)Cisco2950(config-if)#dot1xport-controlauto(设置802.1x认证模式为自动)Cisco2950(config-if)#dot1xtimeoutquiet-period10(设置认证失败重试时间为10秒)Cisco2950(config-if)#dot1xtimeoutreauth-period30(设置认证失败重连时间为30秒)Cisco2950(config-if)#dot1xreauthentication(启用802.1x认证)Cisco2950(config-if)#spanning-treeportfast(开启端口portfast特点)Cisco2950(config-if)