第15章RADIUS认证服务器的安装与配置实训

《第15章RADIUS认证服务器的安装与配置实训》由会员分享，可在线阅读，更多相关《第15章RADIUS认证服务器的安装与配置实训（40页珍藏版）》请在金锄头文库上搜索。

1、第15章,RADIUS 认证服务器的安装与配置实训,实训目的与实训环境,实训目的了解无线相关基本知识了解802.1X相关基本知识掌握RAIDIUS服务器的安装和配置 实训环境 WindowsServer2003计算机一台运行WindowsXP/WindowsServer2003/Windows7操作系统的PC一台带无线网卡的PC一台普通交换机一台，思科2950交换机一台，TP-Link710N无线路由器一台,无线相关知识介绍,无线通信用的电磁波频谱,几种主要无线协议的频宽和最大传输速率,802.1x认证系统的组成,一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3

2、部分（角色）组成。,认证客户端 认证客户端是最终用户所扮演的角色，一般是运行符合IEEE 802.1x 客户端标准的软件个人计算机。认证者 一般为交换机等接入设备认证服务器 认证服务器通常为RADIUS服务器,RADIUS服务器网络模型如图15.2所示,图15.2,实训步骤,网络配置,RADIUS服务器 是一台运行Windows Server 2003的独立服务器，该计算机的IP地址为192.168.1.254。如果这台计算机是一台Windows Server 2003的独立服务器（未升级成为域控制器，也未加入域），则可以利用SAM来管理用户账户信息；如果是一台Windows Server 2

3、003域控制器，则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定，但RADIUS服务器提供的认证功能相同。交换机为思科2950。AP为支持802.1X的无线路由器，这里使用到了TP-Link 710N。,网络中相关设备的参数如下：,安装RADIUS服务器 1、在“控制面板”中双击“添加或删除程序”，在弹出的对话框中选择“添加/删除Windows组件”，在弹出的“Windows组件向导”中选择“网络服务”组件，如图15.4所示。,图15.4,2、单击“详细信息”，勾选“Internet验证服务”子组件。如图15.5所示。,图15.5,3、然后单

4、击“确定”按钮。按提示点“下一步”安装完毕，最后单击“完成”按钮就完成安装。 图略。,3. RADIUS服务器的配置,1创建用户账户 在桌面上右键“我的电脑”，选“管理”，进入计算机管理面板，选择“本地用户和组”，如图15.6所示。,图15.6,为了方便管理，我们创建一个用户组“802.1x”专门用于管理需要经过IEEE 802.1x认证的用户账户。鼠标右键单击“组”，选择“新建组”，输入组名后创建组。新建的组如图15.7所示。,图15.7,在添加用户之前，还要配置的是，打开“控制面板”“管理工具”“本地安全策略”，依次选择“账户策略”“密码策略”，启用“用可还原的加密来储存密码”策略项。否则

5、以后认证的时候将会出现错误提示。启用的“用可还原的加密来储存密码”策略项如图15.8所示。,图15.8,接下来我们添加用户账户“ 8000130001”，设置密码“1234”。在“计算机管理”“本地用户和组”中鼠标右键单击“用户”，选择“新用户”，输入用户名和密码，创建用户。创建新用户如图15.9所示。,图15.9,图15.10,将用户“ 8000130001”加入到“802.1x”用户组中。鼠标右键单击用户“8000130001”，选择“属性”。在弹出的对话框中选择“隶属于”，然后将其加入“802.1x”用户组中。如图15.10所示。,图15.11,2设置远程访问策略 在“控制面板”下的“管

6、理工具”中打开“Internet验证服务”窗口。如图15.11所示。,图15.12,在RADIUS服务器的“Internet验证服务”窗口中，需要为通过有线接到Cisco2950交换机和通过无线接入到AP的用户设置远程访问策略。具体方法如下： 右键树型目录中的“远程访问策略”，选择“新建远程访问策略”，打开配置向导。选择配置方式，这里我们使用向导模式。输入策略名，这里填写的是“802.1x”，如图15.12所示。,图15.13,单击“下一步”。选择访问方法，有4种，分别是VPN，拨号，无线和以太网。本次实训使用到了以太网和无线。所以，先给接入思科2956交换机的用户配置访问策略，所以选择“以太

7、网”。创建完了再添加一个“无线”用以AP接入，如图15.13所示。,图15.14,单击“下一步”。选择授权方式，将之前添加的“802.1x”用户组加入许可列表。如图15.14所示。,图15.15,点“确定”。“下一步”，选择身份验证方法，这里选择“MD5-质询”。如图15.15所示。,图15.16,确认设置信息，完成新建远程访问策略。 用同样的方法再添加一个名为“AP-1”的远程访问策略，稍微不同的是访问方法为“无线”，身份验证方法选择为“受保护的EAP（PEAP）”。创建好后如图15.16所示。,图15.17,3创建RADIUS客户端 这里创建的RADIUS客户端，是指类似于实训拓扑图15.

8、3中的交换机、AP设备，也可以是VPN服务器等，而不是用户端的计算机。 新建RADIUS客户端。鼠标右键单击“RADIUS客户端”，选择“新建RADIUS客户端”,如图15.17所示。,图15.18,设置RADIUS客户端的名称和IP地址。客户端IP地址即交换机和AP的管理IP地址，我们这里是192.168.1.2和192.168.1.253。新建的思科2950客户端如图15.18所示。,图15.19,点击“ 下一步”，设置共享密钥和认证方式。认证方式选择“RADIUS Standard”，密钥请记好，这里配置成“123456”，在接下来的配置交换机的过程中需要与这个密钥要相同。如图15.19

9、所示。,图15.20,同样方法添加AP客户端，设置共享密钥和认证方式一样，密码也为“123456”。创建好的RADIUS客户端如图15.20所示。,4. 配置RADUIS客户端,1启用交换机上的端口认证。 在本次实训拓扑图中：交换机的管理IP地址为192.168.1.2/24，AP的IP为192.168.1.253/24需要接入网络认证计算机接在交换机的FastEthernet0/1端口上RADIUS认证服务器的IP地址为192.168.1.254/24，此服务器随便接交换机其他端口,因为我们实训时只对FastEthernet0/1端口进行认证，其他端口可不进行设置。如果需要对一批端口开启认证

10、，可使用range批量设置。单一端口开启认证具体操作如下： 1）使用Console口登陆交换机，设置交换机的管理IP地址Cisco2950enableCisco2950#configure terminalCisco2950(config)#interface vlan 1 (配置二层交换机管理接口IP地址)Cisco2950(config-if)#ip address 192.168.1.2 255.255.255.0Cisco2950(config-if)#no shutdownCisco2950(config-if)#end,注：此时实训如有困难，可参照本教材第19章关于交换机配置方法。

11、,2）在交换机上启用AAA认证。配置命令如下：Cisco2950#configure terminalCisco2950(config)#aaa new-model (启用AAA认证)Cisco2950(config)#aaa authentication dot1x default group radius (启用dot1x认证)Cisco2950(config)#dot1x system-auth-control (启用全局dot1x认证)Cisco2950(config)#radius-server host 192.168.1.254 key 123456 (设置验证服务器IP及密钥，

12、在RADIUS服务器配置时设置了密钥为“123456”)Cisco2950(config)#radius-server retransmit 3 (设置与RADIUS服务器尝试连接次数为3次),3）配置交换机的认证端口。可以使用interface range命令批量配置端口，这里我们只对FastEthernet0/1启用IEEE 802.1x认证。配置命令如下：Cisco2950(config)#interface fastEthernet 0/1Cisco2950(config-if)#switchport mode access (设置端口模式为access)Cisco2950(confi

13、g-if)#dot1x port-control auto (设置802.1x认证模式为自动)Cisco2950(config-if)#dot1x timeout quiet-period 10 (设置认证失败重试时间为10秒)Cisco2950(config-if)#dot1x timeout reauth-period 30 (设置认证失败重连时间为30秒)Cisco2950(config-if)#dot1x reauthentication (启用802.1x认证)Cisco2950(config-if)#spanning-tree portfast (开启端口portfast特性)Ci

14、sco2950(config-if)#end,2在AP上启用802.1X 1）按照所选用的AP的配置管理方法，进入到AP的管理界面，本次实训用的是TP-Link的710N，登陆IP设置了192.168.1.253（出厂默认是192.168.1.253）。按照实训的网络拓扑，设置其为“AP”工作模式，不开启DHCP。 2）关键一步，在无线路由中设置无线安全。勾选“WPA/WPA2”，认证类型这里设置为“WPA”，加密算法为“TKIP”，填入Radius服务器的IP：192.168.1.254，Radius密码设置成配置服务器时的同样密码，这里是“123465”，保存。AP配置参考如图15.21所

15、示。,图15.21,测试802.1x认证接入,1有线接入方式认证测试。 1）将要进行认证接入的用户计算机接入交换机的FastEthernet0/1端口，设置IP地址为172.17.2.X(随便设置，只要不跟认证服务器IP及交换机管理IP冲突即可)。 2）在“本地连接”的“验证”标签栏中启用IEEE 802.1x验证，EAP类型设置为“MD5-质询”，其余选项可不选。如图15.22所示。如果没有验证选项卡，请确认Wireless Zero Configuration和Wired AutoConfig服务正常开启，启动方法从桌面右键“我的电脑”“管理”“服务和应用程序”“服务”找到对应的两项服务，

16、启动。,如果之前配置没有问题，过一会即可看到托盘菜单弹出要求点击进行验证，如图15.23所示。,图15.23,图15.22,2无线接入方式认证测试。 1）在无线用户设备上（这里使用了一台笔记本）设置“无线网卡”“本地连接”“属性”来配置无线网卡属性。这里的AP接入点的SSID号为“xuanxuan”。如图15.24所示。,图15.24,选中AP的SSID“xuanxuan”，点“属性”，打开“xuanxuan”的属性“关联”选项卡。因为在AP的802.1X属性参数中设置了WPA-TKIP方式。所以，在“网络身份验证”栏中选“WPA”，“数据加密”栏中选择“TKIP”。关联选项卡配置参数如图15.25所示。,