Radius認證服務(wù)器的配置與應(yīng)用+802.1x

1、 學(xué)習(xí)目標學(xué)習(xí)目標 l 熟悉身份認證的概念 l 熟悉IEEE 802.1x協(xié)議的工作特點 l 掌握基于Windows Server 2003的Radius服務(wù)器的安裝和配置方 法 l 掌握交換機上IEEE 802.1x及相關(guān)協(xié)議的啟用和配置方法 l 掌握Radius認證系統(tǒng)的應(yīng)用和故障排除方法 第第1010講講 RadiusRadius認證服務(wù)器的配置與應(yīng)認證服務(wù)器的配置與應(yīng) 用用 重點難點重點難點 l 掌握基于Windows Server 2003的Radius服務(wù)器的安裝和 配置方法 l 掌握交換機上IEEE 802.1x及相關(guān)協(xié)議的啟用和配置方法 l 掌握Radius認證系統(tǒng)的應(yīng)用和故障

2、排除方法 身份認證是計算機系統(tǒng)的用戶在進入系統(tǒng)或訪問不同保護級別的系統(tǒng)資 源時，系統(tǒng)確認該用戶的身份是否真實、合法和唯一的過程。使用身份認證 的主要目的是防止非授權(quán)用戶進入系統(tǒng)，同時防止非授權(quán)用戶通過非正常操 作訪問受控信息或惡意破壞系統(tǒng)數(shù)據(jù)的完整性。近年來，越來越多的單位通 過身份認證系統(tǒng)加密用戶對網(wǎng)絡(luò)資源的訪問，在眾多的解決方案中，Radius 認證系統(tǒng)的使用最為廣泛。在大量的企業(yè)、政府機關(guān)、高校，通過Radius認 證系統(tǒng)，實現(xiàn)對用戶網(wǎng)絡(luò)訪問身份的認證，以決定某一用戶是否具有上網(wǎng)權(quán) 限，并記錄相關(guān)的信息。本講在簡要介紹身份認證的概念、IEEE 802.x協(xié)議、 Radius認證系統(tǒng)等基礎(chǔ)

3、概念的基礎(chǔ)上，以Windows Server 2003操作系統(tǒng)和 Cisco交換機為例，詳細介紹用戶身份認證系統(tǒng)的安裝、配置、使用和故障排 除方法。 10.1.1 身份認證的概念身份認證的概念 身份認證（身份認證（Authentication）是系統(tǒng)審查用戶身份的過程，從而確定該用戶是）是系統(tǒng)審查用戶身份的過程，從而確定該用戶是 否具有對某種資源的訪問和使用權(quán)限。身份認證通過標識和鑒別用戶的身份，否具有對某種資源的訪問和使用權(quán)限。身份認證通過標識和鑒別用戶的身份， 提供一種判別和確認用戶身份的機制。身份認證需要依賴其他相關(guān)技術(shù)，確提供一種判別和確認用戶身份的機制。身份認證需要依賴其他相關(guān)技術(shù)，

4、確 認系統(tǒng)訪問者的身份和權(quán)限，使計算機和網(wǎng)絡(luò)系統(tǒng)的訪問策略能夠可靠、有認系統(tǒng)訪問者的身份和權(quán)限，使計算機和網(wǎng)絡(luò)系統(tǒng)的訪問策略能夠可靠、有 效地執(zhí)行，防止攻擊者假冒合法用戶獲得資源的訪問權(quán)限，從而保證系統(tǒng)和效地執(zhí)行，防止攻擊者假冒合法用戶獲得資源的訪問權(quán)限，從而保證系統(tǒng)和 數(shù)據(jù)的安全以及授權(quán)訪問者的合法利益。數(shù)據(jù)的安全以及授權(quán)訪問者的合法利益。 計算機網(wǎng)絡(luò)中的身份認證是通過將一個證據(jù)與實體身份綁定來實現(xiàn)的。實體計算機網(wǎng)絡(luò)中的身份認證是通過將一個證據(jù)與實體身份綁定來實現(xiàn)的。實體 可能是用戶、主機、應(yīng)用程序甚至是進程。證據(jù)與身份之間是一一對應(yīng)的關(guān)可能是用戶、主機、應(yīng)用程序甚至是進程。證據(jù)與身份之間是

5、一一對應(yīng)的關(guān) 系，雙方通信過程中，一方實體向另一方實體提供這個證據(jù)證明自已的身份，系，雙方通信過程中，一方實體向另一方實體提供這個證據(jù)證明自已的身份， 另一方通過相應(yīng)的機制來驗證證據(jù)，以確定該實體是否與證據(jù)所顯示的身份另一方通過相應(yīng)的機制來驗證證據(jù)，以確定該實體是否與證據(jù)所顯示的身份 一致。一致。 10.1 身份認證概述身份認證概述 10.1.2 認證、授權(quán)與審計認證、授權(quán)與審計 在計算機網(wǎng)絡(luò)安全領(lǐng)域，將認證、授權(quán)與審計統(tǒng)稱為在計算機網(wǎng)絡(luò)安全領(lǐng)域，將認證、授權(quán)與審計統(tǒng)稱為AAA或或3A，即英文，即英文 Authentication（認證）、（認證）、Authorization（授權(quán)）和（授權(quán)）

6、和Accounting（審計）。（審計）。 1 認證認證 認證是一個解決確定某一個用戶或其他實體是否被允許訪問特定的系統(tǒng)或資認證是一個解決確定某一個用戶或其他實體是否被允許訪問特定的系統(tǒng)或資 源的問題。源的問題。 2 授權(quán)授權(quán) 授權(quán)是指當用戶或?qū)嶓w的身份被確定為合法后，賦予該用戶的系統(tǒng)訪問或資授權(quán)是指當用戶或?qū)嶓w的身份被確定為合法后，賦予該用戶的系統(tǒng)訪問或資 源使用權(quán)限。源使用權(quán)限。 4.2 PKI的概念和組成的概念和組成 3 審計審計 審計也稱為記帳（審計也稱為記帳（Accounting）或?qū)徍?，出于安全考慮，所有用戶的行為都）或?qū)徍?，出于安全考慮，所有用戶的行為都 要留下記錄，以便進行核查

7、。要留下記錄，以便進行核查。 安全性評估（安全性評估（security assessment）是審計操作的進一步擴展。在安全性評）是審計操作的進一步擴展。在安全性評 估中，專業(yè)人員對網(wǎng)絡(luò)中容易受到入侵者攻擊的部分進行內(nèi)部檢查，對網(wǎng)絡(luò)估中，專業(yè)人員對網(wǎng)絡(luò)中容易受到入侵者攻擊的部分進行內(nèi)部檢查，對網(wǎng)絡(luò) 存在的薄弱環(huán)節(jié)進行階段性評估。通過對評估結(jié)果的分析，既可以發(fā)現(xiàn)網(wǎng)絡(luò)存在的薄弱環(huán)節(jié)進行階段性評估。通過對評估結(jié)果的分析，既可以發(fā)現(xiàn)網(wǎng)絡(luò) 中存在的設(shè)計缺陷，也可以為今后的網(wǎng)絡(luò)調(diào)整提供權(quán)威的數(shù)據(jù)支撐。用戶對中存在的設(shè)計缺陷，也可以為今后的網(wǎng)絡(luò)調(diào)整提供權(quán)威的數(shù)據(jù)支撐。用戶對 資源的訪問過程如圖資源的訪問過程

8、如圖1所示所示 圖1 .用戶訪問系統(tǒng)資源的過程 IEEE 802.1x是一個基于端口的網(wǎng)絡(luò)訪問控制協(xié)議，該協(xié)議的認證體系結(jié)構(gòu)中是一個基于端口的網(wǎng)絡(luò)訪問控制協(xié)議，該協(xié)議的認證體系結(jié)構(gòu)中 采用了采用了“可控端口可控端口”和和“不可控端口不可控端口”的邏輯功能，從而實現(xiàn)認證與業(yè)務(wù)的的邏輯功能，從而實現(xiàn)認證與業(yè)務(wù)的 分離，保證了網(wǎng)絡(luò)傳輸?shù)男省７蛛x，保證了網(wǎng)絡(luò)傳輸?shù)男省?IEEE 802系列局域網(wǎng)（系列局域網(wǎng)（LAN）標準占據(jù)著目前局域網(wǎng)應(yīng)用的主要份額，但是）標準占據(jù)著目前局域網(wǎng)應(yīng)用的主要份額，但是 傳統(tǒng)的傳統(tǒng)的IEEE 802體系定義的局域網(wǎng)不提供接入認證，只要用戶能接入集線器、體系定義的局域網(wǎng)不

9、提供接入認證，只要用戶能接入集線器、 交換機等控制設(shè)備，用戶就可以訪問局域網(wǎng)中其他設(shè)備上的資源，這是一個交換機等控制設(shè)備，用戶就可以訪問局域網(wǎng)中其他設(shè)備上的資源，這是一個 安全隱患，同時也不便于實現(xiàn)對局域網(wǎng)接入用戶的管理。安全隱患，同時也不便于實現(xiàn)對局域網(wǎng)接入用戶的管理。IEEE 802.1x是一種是一種 基于端口的網(wǎng)絡(luò)接入控制技術(shù)，在局域網(wǎng)設(shè)備的物理接入級對接入設(shè)備（主基于端口的網(wǎng)絡(luò)接入控制技術(shù)，在局域網(wǎng)設(shè)備的物理接入級對接入設(shè)備（主 要是計算機）進行認證和控制。連接在交換機端口上的用戶設(shè)備如果能通過要是計算機）進行認證和控制。連接在交換機端口上的用戶設(shè)備如果能通過 認證，就可以訪問局域網(wǎng)內(nèi)

10、的資源，也可以接入外部網(wǎng)絡(luò)（如認證，就可以訪問局域網(wǎng)內(nèi)的資源，也可以接入外部網(wǎng)絡(luò)（如Internet）；如）；如 果不能通過認證，則無法訪問局域網(wǎng)內(nèi)部的資源，同樣也無法接入果不能通過認證，則無法訪問局域網(wǎng)內(nèi)部的資源，同樣也無法接入Internet， 相當于物理上斷開了連接。相當于物理上斷開了連接。 10.2 IEEE 802.1x協(xié)議與協(xié)議與RADIUD服務(wù)器服務(wù)器 IEEE 802. 1x協(xié)議采用現(xiàn)有的可擴展認證協(xié)議（協(xié)議采用現(xiàn)有的可擴展認證協(xié)議（Extensible Authentication Protocol，EAP），它是），它是IETF提出的提出的PPP協(xié)議的擴展，最早是為解決基于

11、協(xié)議的擴展，最早是為解決基于 IEEE 802.11標準的無線局域網(wǎng)的認證而開發(fā)的。雖然標準的無線局域網(wǎng)的認證而開發(fā)的。雖然IEEE802.1x定義了基于定義了基于 端口的網(wǎng)絡(luò)接入控制協(xié)議，但是在實際應(yīng)用中該協(xié)議僅適用于接入設(shè)備與接入端口的網(wǎng)絡(luò)接入控制協(xié)議，但是在實際應(yīng)用中該協(xié)議僅適用于接入設(shè)備與接入 端口間的點到點的連接方式，其中端口可以是物理端口，也可以是邏輯端口。端口間的點到點的連接方式，其中端口可以是物理端口，也可以是邏輯端口。 典型的應(yīng)用方式有兩種：一種是以太網(wǎng)交換機的一個物理端口僅連接一個計算典型的應(yīng)用方式有兩種：一種是以太網(wǎng)交換機的一個物理端口僅連接一個計算 機；另一種是基于無線

12、局域網(wǎng)（機；另一種是基于無線局域網(wǎng)（WLAN）的接入方式。其中，前者是基于物理）的接入方式。其中，前者是基于物理 端口的，而后者是基于邏輯端口的。目前，幾乎所有的以太網(wǎng)交換機都支持端口的，而后者是基于邏輯端口的。目前，幾乎所有的以太網(wǎng)交換機都支持 IEEE 802.1x協(xié)議。協(xié)議。 10.2.2 RADIUS服務(wù)器服務(wù)器 RADIUS（Remote Authentication Dial In User Service，遠程用戶撥號認，遠程用戶撥號認 證服務(wù)）服務(wù)器提供了三種基本的功能：認證（證服務(wù)）服務(wù)器提供了三種基本的功能：認證（Authentication）、授權(quán)）、授權(quán) （Author

13、ization）和審計（）和審計（Accounting），即提供了），即提供了3A功能。其中審計也功能。其中審計也 稱為稱為“記賬記賬”或或“計費計費”。 RADIUS協(xié)議采用了客戶機協(xié)議采用了客戶機/服務(wù)器（服務(wù)器（C/S）工作模式。網(wǎng)絡(luò)接入服務(wù)器）工作模式。網(wǎng)絡(luò)接入服務(wù)器 （Network Access Server，NAS）是）是RADIUS的客戶端，它負責將用戶的驗的客戶端，它負責將用戶的驗 證信息傳遞給指定的證信息傳遞給指定的RADIUS服務(wù)器，然后處理返回的響應(yīng)。服務(wù)器，然后處理返回的響應(yīng)。RADIUS服務(wù)器服務(wù)器 負責接收用戶的連接請求，并驗證用戶身份，然后返回所有必須要配置的信

14、負責接收用戶的連接請求，并驗證用戶身份，然后返回所有必須要配置的信 息給客戶端用戶，也可以作為其他息給客戶端用戶，也可以作為其他RADIUS服務(wù)器或其他類認證服務(wù)器的代理服務(wù)器或其他類認證服務(wù)器的代理 客戶端。服務(wù)器和客戶端之間傳輸?shù)乃袛?shù)據(jù)通過使用共享密鑰來驗證，客客戶端。服務(wù)器和客戶端之間傳輸?shù)乃袛?shù)據(jù)通過使用共享密鑰來驗證，客 戶端和戶端和RADIUS服務(wù)器之間的用戶密碼經(jīng)過加密發(fā)送，提供了密碼使用的安全服務(wù)器之間的用戶密碼經(jīng)過加密發(fā)送，提供了密碼使用的安全 性。性。 在如圖在如圖2所示的網(wǎng)絡(luò)中，所示的網(wǎng)絡(luò)中，RADIUS服務(wù)器對服務(wù)器對RADIUS客戶端（圖客戶端（圖2中直接標為中直接

15、標為“客客 戶端戶端”）進行用戶驗證、資源訪問授權(quán)、記賬等操作，）進行用戶驗證、資源訪問授權(quán)、記賬等操作， 圖 2 RADIUS 系統(tǒng)的組成 10.2.3 系統(tǒng)規(guī)劃系統(tǒng)規(guī)劃 為了說明基于為了說明基于IEEE 802.1x與與RADIUS服務(wù)器系統(tǒng)的實現(xiàn)過程，本講專門設(shè)計了一個實服務(wù)器系統(tǒng)的實現(xiàn)過程，本講專門設(shè)計了一個實 驗。本實驗是一個具有較大應(yīng)用價值的綜合實驗：一是本實驗立足目前的網(wǎng)絡(luò)應(yīng)用實際，驗。本實驗是一個具有較大應(yīng)用價值的綜合實驗：一是本實驗立足目前的網(wǎng)絡(luò)應(yīng)用實際， 可以直接在安全要求不太高的網(wǎng)絡(luò)環(huán)境中使用；二是本實驗的實現(xiàn)原理與目前市面上流可以直接在安全要求不太高的網(wǎng)絡(luò)環(huán)境中使用；二

16、是本實驗的實現(xiàn)原理與目前市面上流 行的記費認證系統(tǒng)基本相同，通過本實驗可以幫助讀者了解一些商業(yè)軟件的功能特點；行的記費認證系統(tǒng)基本相同，通過本實驗可以幫助讀者了解一些商業(yè)軟件的功能特點； 三是通過實踐將會加深對本章前面介紹的理論知識的認識。三是通過實踐將會加深對本章前面介紹的理論知識的認識。 圖3 實驗拓撲 10.2.4 基于基于IEEE 802.1x認證系統(tǒng)的組成認證系統(tǒng)的組成 由圖由圖3所示，一個完整的基于所示，一個完整的基于IEEE 802.1x的認證系統(tǒng)由認證客戶端、認證者的認證系統(tǒng)由認證客戶端、認證者 和認證服務(wù)器和認證服務(wù)器3部分（角色）組成。部分（角色）組成。 1認證客戶端。認證

17、客戶端。 認證客戶端是最終用戶所扮演的角色，一般是個人計算機。它請求對網(wǎng)絡(luò)服認證客戶端是最終用戶所扮演的角色，一般是個人計算機。它請求對網(wǎng)絡(luò)服 務(wù)的訪問，并對認證者的請求報文進行應(yīng)答。認證客戶端必須運行符合務(wù)的訪問，并對認證者的請求報文進行應(yīng)答。認證客戶端必須運行符合IEEE 802.1x 客戶端標準的軟件，目前最典型的就是客戶端標準的軟件，目前最典型的就是Windows XP操作系統(tǒng)自帶的操作系統(tǒng)自帶的 IEEE802.1x客戶端支持。另外，一些網(wǎng)絡(luò)設(shè)備制造商也開發(fā)了自己的客戶端支持。另外，一些網(wǎng)絡(luò)設(shè)備制造商也開發(fā)了自己的IEEE 802.1x客戶端軟件。客戶端軟件。 2 認證者認證者 認證

18、者一般為交換機等接入設(shè)備。該設(shè)備的職責是根據(jù)認證客戶端當前的認證狀態(tài)控制其認證者一般為交換機等接入設(shè)備。該設(shè)備的職責是根據(jù)認證客戶端當前的認證狀態(tài)控制其 與網(wǎng)絡(luò)的連接狀態(tài)。與網(wǎng)絡(luò)的連接狀態(tài)。 扮演認證者角色的設(shè)備有兩種類型的端口：受控端口（扮演認證者角色的設(shè)備有兩種類型的端口：受控端口（controlled Port）和非受控端口）和非受控端口 （uncontrolled Port）。其中，連接在受控端口的用戶只有通過認證才能訪問網(wǎng)絡(luò)資源；）。其中，連接在受控端口的用戶只有通過認證才能訪問網(wǎng)絡(luò)資源； 而連接在非受控端口的用戶無須經(jīng)過認證便可以直接訪問網(wǎng)絡(luò)資源。把用戶連接在受控端而連接在非受控端

19、口的用戶無須經(jīng)過認證便可以直接訪問網(wǎng)絡(luò)資源。把用戶連接在受控端 口上，便可以實現(xiàn)對用戶的控制；非受控端口主要是用來連接認證服務(wù)器，以便保證服務(wù)口上，便可以實現(xiàn)對用戶的控制；非受控端口主要是用來連接認證服務(wù)器，以便保證服務(wù) 器與交換機的正常通訊。器與交換機的正常通訊。 3. 認證服務(wù)器認證服務(wù)器 認證服務(wù)器通常為認證服務(wù)器通常為RADIUS服務(wù)器。認證服務(wù)器在認證過程中與認證者配合，為用戶提供服務(wù)器。認證服務(wù)器在認證過程中與認證者配合，為用戶提供 認證服務(wù)。認證服務(wù)器保存了用戶名及密碼，以及相應(yīng)的授權(quán)信息，一臺認證服務(wù)器可以認證服務(wù)。認證服務(wù)器保存了用戶名及密碼，以及相應(yīng)的授權(quán)信息，一臺認證服務(wù)

20、器可以 對多臺認證者提供認證服務(wù)，這樣就可以實現(xiàn)對用戶的集中管理。認證服務(wù)器還負責管理對多臺認證者提供認證服務(wù)，這樣就可以實現(xiàn)對用戶的集中管理。認證服務(wù)器還負責管理 從認證者發(fā)來的審計數(shù)據(jù)。微軟公司的從認證者發(fā)來的審計數(shù)據(jù)。微軟公司的Windows Server 2003操作系統(tǒng)自帶有操作系統(tǒng)自帶有RADIUS服服 務(wù)器組件。務(wù)器組件。 10.3.1 安裝安裝RADIUS服務(wù)器服務(wù)器 如果這臺計算機是一臺如果這臺計算機是一臺Windows Server 2003的獨立服務(wù)器（未升級成為域控制器，也未加的獨立服務(wù)器（未升級成為域控制器，也未加 入域），則可以利用入域），則可以利用SAM來管理用戶

21、賬戶信息；如果是一臺來管理用戶賬戶信息；如果是一臺Windows Server 2003域控制域控制 器，則利用活動目錄數(shù)據(jù)庫來管理用戶賬戶信息。雖然活動目錄數(shù)據(jù)庫管理用戶賬戶信息要器，則利用活動目錄數(shù)據(jù)庫來管理用戶賬戶信息。雖然活動目錄數(shù)據(jù)庫管理用戶賬戶信息要 比利用比利用SAM來安全、穩(wěn)定，但來安全、穩(wěn)定，但RADIUS服務(wù)器提供的認證功能相同。為便于實驗，下面以一服務(wù)器提供的認證功能相同。為便于實驗，下面以一 臺運行臺運行Windows Server 2003的獨立服務(wù)器為例進行介紹，該計算機的的獨立服務(wù)器為例進行介紹，該計算機的IP地址為地址為 172.16.2.10。 10.3 RA

22、DIUS服務(wù)器的安裝與配置服務(wù)器的安裝與配置 圖4 選擇“網(wǎng)絡(luò)服務(wù)”組件 圖5 選取“Internet驗證服務(wù)”子組件 如果用戶要在自己的運行有Windows Server 2003的計算機上對RADIUS服務(wù)器進行遠程管理，可以在本 地計算機上選擇“開始”“運行”，在打開的對話框的文本框中輸入MMC命令，打開“控制臺”窗口， 在該窗口中選擇“文件”“添加/刪除管理單元”“添加”“Internet驗證服務(wù)”“添加”“另 一臺計算機”，在打開的對話框中輸入遠程RADIUS服務(wù)器的IP地址，來創(chuàng)建管理控制臺，通過管理控制 臺對遠程RADIUS服務(wù)器進行管理。 提示：如果讀者是通過域控制器的Acti

23、ve Directory數(shù)據(jù)庫來進行用戶賬戶的管理，則需要建立IAS服務(wù)器 與Active Directory數(shù)據(jù)庫之間的連接，這樣當RADIUS客戶端需要進行身份驗證、授權(quán)或記賬等操作時， 就通過Active Directory數(shù)據(jù)庫來完成。 圖6 “Internet驗證服務(wù)”窗口 10.3.2 創(chuàng)建用戶賬戶創(chuàng)建用戶賬戶 在這一節(jié)中，需要為所有通過認證才能夠訪問網(wǎng)絡(luò)的用戶在在這一節(jié)中，需要為所有通過認證才能夠訪問網(wǎng)絡(luò)的用戶在RADIUS服務(wù)器中創(chuàng)建賬戶。服務(wù)器中創(chuàng)建賬戶。 這樣，當用戶的計算機連接到啟用了端口認證功能的交換機上的端口上時，啟用了這樣，當用戶的計算機連接到啟用了端口認證功能的交

24、換機上的端口上時，啟用了 IEEE 802.1x認證功能的客戶端計算機需要用戶輸入正確的賬戶和密碼后，才能夠訪問認證功能的客戶端計算機需要用戶輸入正確的賬戶和密碼后，才能夠訪問 網(wǎng)絡(luò)中的資源。下面，讀者創(chuàng)建一個測試用的用戶賬戶（如網(wǎng)絡(luò)中的資源。下面，讀者創(chuàng)建一個測試用的用戶賬戶（如wq），并設(shè)置相應(yīng)的密碼。），并設(shè)置相應(yīng)的密碼。 圖7 創(chuàng)建用戶賬戶 圖8 創(chuàng)建組并添加用戶賬戶 另外，選擇另外，選擇“開始開始”“運行運行”，在打開的對話框中輸入組策略編輯器命令，在打開的對話框中輸入組策略編輯器命令 “gpedit.msc”，單擊，單擊“確定確定”按鈕，在出現(xiàn)的對話框中依次選擇按鈕，在出現(xiàn)的對話框

25、中依次選擇“計算機配計算機配 置置”“Windows設(shè)置設(shè)置”“安全設(shè)置安全設(shè)置”“賬戶策略賬戶策略”“密碼策略密碼策略”， 啟用啟用“用可還原的加密來儲存密碼用可還原的加密來儲存密碼”策略項，如圖策略項，如圖9所示。所示。 圖9 啟用“用可還原的加密來儲存密碼”策略項 10.3.3 設(shè)置遠程訪問策略設(shè)置遠程訪問策略 下面，在下面，在RADIUS服務(wù)器的服務(wù)器的“Internet驗證服務(wù)驗證服務(wù)”窗口中，需要為圖窗口中，需要為圖3中的交換機及中的交換機及 通過該交換機進行認證的用戶設(shè)置遠程訪問策略。具體方法如下：通過該交換機進行認證的用戶設(shè)置遠程訪問策略。具體方法如下： 圖10 新建遠程訪問策

26、略 圖11 選擇配置方式 圖12 選擇訪問方法 圖13 選擇授權(quán)方式 圖14 選擇身份驗證方法 圖17 選擇屬性類型 圖18 顯示已添加的策略名稱 圖15 確認設(shè)置信息 圖16 . 只保留新建的遠程訪問策略 圖18 選擇要申請證書的類型 圖19 輸入用戶的詳細信息 圖20 證書申請結(jié)束后的顯示 圖21 顯示未被頒發(fā)的證書名稱 10.3.4 創(chuàng)建創(chuàng)建RADIUS客戶端客戶端 需要說明的是，這里要創(chuàng)建的需要說明的是，這里要創(chuàng)建的RADIUS客戶端，是指類似于圖客戶端，是指類似于圖3中的交換機設(shè)備，在實中的交換機設(shè)備，在實 際應(yīng)用中也可以是際應(yīng)用中也可以是VPN服務(wù)器、無線服務(wù)器、無線AP等，而不是

27、用戶端的計算機。等，而不是用戶端的計算機。 RADIUS服務(wù)器只會接受由服務(wù)器只會接受由RADIUS客戶端設(shè)備發(fā)過來的請求，為此需要在客戶端設(shè)備發(fā)過來的請求，為此需要在RADIUS服服 務(wù)器上來指定務(wù)器上來指定RADIUS客戶端。以圖客戶端。以圖3的網(wǎng)絡(luò)拓撲為例，具體步驟如下：的網(wǎng)絡(luò)拓撲為例，具體步驟如下： 圖 19 新建 RADIUS 客戶端 圖20 設(shè)置 RADIUS客戶端的名稱和IP 地址 圖21 設(shè)置共享密鑰和認證方式 圖22 顯示已創(chuàng)建的RADIUS客戶端 下面，對支持IEEE 802.1x認證協(xié)議的交換機進行配置，使它能夠接授用戶端的認證請求，并將請求 轉(zhuǎn)發(fā)給RADIUS服務(wù)器進行

28、認證，最后將認證結(jié)果返回給用戶端。以圖3所示的網(wǎng)絡(luò)拓撲為例，交換機 的IP地址為172.16.2.11/24，在交換機上只需要對FastEthernet0/1端口進行認證，其他端口可不進行 設(shè)置。所以，在本實驗中圖3中的RADIUS服務(wù)器和應(yīng)用服務(wù)器不要接在認證端口上。具體操作如下： （1）設(shè)置交換機的管理地址。 10.4 交換機（交換機（RADIUS客戶端）的配置客戶端）的配置 在以上命令中，在以上命令中，172.16.2.10為為RADIUS服務(wù)器的服務(wù)器的IP地址，地址，1812是是RADIUS服務(wù)器服務(wù)器 默認的認證端口，默認的認證端口，1813是系統(tǒng)默認的計賬端口。其中，是系統(tǒng)默認的計賬端口。其中，auth-port 1812 acct- port 1813可以省略。可以省略。Key后面的后面的wangqun為交換機與為交換機與RADIUS服務(wù)器之間的共服務(wù)器之間的共 享密鑰（在圖享密鑰（在圖21中