Radius认证服务器交换机PC的配置与应用

Radius(802.1x)北京师范大学珠海分校-信息技术学院-姜南s效劳器0交换机客户端IEEE802.1x协议IEEE802.1x是一个基于端口的网络访问掌握协议，该协议的认证体系构造中承受了“可控端口”和“不行控端口”的规律功能，从而实现认证与业务的分别，保证了网络传输的效率。IEEE802系列局域网〔LAN〕标准占据着目前局域网IEEE802体系定义的局域网不供给接入认证，只IEEE802.1x假设不能通过认证，则无法访问局域网内部的资源，同样也无法接入Internet，相当于物理上断开了连接。IEEE802.1x 协议承受现有的可扩展认证协议〔ExtensibleAuthentication它是IETFPPPIEEE802.11IEEE802.1x基于无线局域网〔WLAN〕的接入方式。其中，前者是基于物理端口的，而后者是基于规律端口的。目前，几乎全部的以太网交换机都支持IEEE802.1x协议。RADIUSRADIUS〔RemoteAuthenticationDialInUserService 效劳〕效劳器供给了三种根本的功能：认证〔Authentication〕、授权〔Authorization〕和审计〔Accounting〕，即供给了3A为“记账”或“计费”。S/〔S〔RADIUSRADIUSRADIUSRADIUS器之间的用户密码经过加密发送，供给了密码使用的安全性。IEEE802.1x认证系统的组成IEEE802.1x3局部〔角色〕组成。IEEE802.1xWindowsXP操作系统自IEEE802.1xIEEE802.1x受控端口〔controlledPort〕和非受控端口〔uncontrolledPort〕。其中，连换机的正常通讯。RADIUSWindowsServer2003操作系统自带有RADIUS试验拓扑图RADIUS效劳器假设这台计算机是一台WindowsServer2003 的独立效劳〔未升级成为域掌握器，也未参加域〕，则可以利用SAM来治理用户账户信息；假设是一台WindowsServer2003 器则利用活动名目数据库来治理用户账户信息。库治理用户账户信息要比利用SAM来安全稳定但RADIUS效劳器供给的认证功能一样。为便于试验，下面以一台运行WindowsServer2003的独立效劳器为例进展介绍，该计算机的IP地址为172.16.2.254。在“掌握面板“中双击“添加或删除程序“，在弹出的对话框中选择“添加/删除Windows“Windows勾选“Internet在“掌握面板“下的“治理工具“中翻开“Internet创立用户账户RADIUSIEEE802.1x认证功能的客户端计算机需要用户输入正确的账户和密码后，才能够访问网络中的资源。在“掌握面板“下的“治理工具“中翻开“计算机治理“，选择“本地用户和组“为了便利治理，我们创立一个用户组“802.1x“特地用于治理需要经过IEEEx在添加用户之前，必需要提前做的是，翻开“掌握面板“-“治理工具“下的“本地安全策略“，依次选择“账户策略“-“密码策略“，启用“用可复原的加密来储存密码“策略项。否则以后认证的时候将会消灭以下错误提示。“，选择“用户“，输入用户名和密码，创立用户。“802.1x“用户组中。鼠标右键单击用户“0801010047“，选择“属性“。在弹出的对话框中选择“隶属于“，然后将其参加“802.1x“用户组中。设置远程访问策略Cisco2950以及通过该交换机进展认证的用户设置远程访问策略。具体方法如下：建远程访问策略，鼠标右键单击“远程访问策略“，选择“建远程访问策略“选择配置方式，这里我们使用向导模式选择访问方法，以太网“802.1x“用户组参加许可列表“MD5-质询“确认设置信息只保存建的访问策略，删掉其他的RADIUS客户端RADIUS3VPNAPRADIUSRADIUSRADIUSRADIUS3如下：户端“IPIPIP172.17.2.250，等会说明如何配置。设置共享密钥和认证方式。认证方式选择“RADIUSStandard等会配置交换机的时候这个密钥要一样。RADIUS在交换机上启用认证机制IEEE802.1xRADIUS户端。在拓扑图中：RADIUSIP172.17.2.254/24IP172.16.2.250/24FastEthernet0/5FastEthernet0/5具体操作如下：ConsoleIPCisco2950>enableCisco2950(config)#interfacevlan1( IPCisco2950(config-if)#ipaddress172.17.2.250255.255.255.0Cisco2950(config-if)#noshutdownCisco2950#wrAAACisco2950#configureterminalCisco2950(config)#aaanew-modelAAACisco2950(config)#aaaauthenticationdot1xdefaultgroupradius( 启用dot1xCisco2950(config)#dot1xsystem-auth-controldot1xRADIUSIPRADIUSCisco2950(config)#radius-serverhost172.17.2.254keyslyar( IPCisco2950(config)#radius-serverretransmit3( RADIUS3interfacerange命令批量配置端口，这里我FastEthernet0/5IEEE802.1x认证Cisco2950(config)#interfacefastEthernet0/5Cisco2950(config-if)#switchportmodeaccess( 设置端口模式为access)Cisco2950(config-if)#dot1xport-controlauto( Cisco2950(config-if)#dot1xtimeoutquiet-period10( 设置认证失败重试时间为10秒)Cisco2950(config-if)#dot1xtimeoutreauth-period30( 30Cisco2950(config-if)#dot1xreauthentication802.1xCisco2950(config-if)#spanning-treeportfast(开启端口portfastCisco2950#wr802.1x认证接入1FastEthernet0/5IP172.17.2.5IPIP可)2IEEE802.1x验证，EAP“MD5-质询“，其余选项可不选。3、假设之前配置没有问题，过一会即可看到托盘菜单弹出要求点击进展验证里我们输入之前配置的用户名“0801010047“，密码“123“，确定