Radius認(rèn)證服務(wù)器配置與應(yīng)用講解

Radius認(rèn)證服務(wù)器的配置與應(yīng)用講解Radius認(rèn)證服務(wù)器的配置與應(yīng)用講解Radius認(rèn)證服務(wù)器的配置與應(yīng)用講解Radius認(rèn)證服務(wù)器的配置與應(yīng)用(802.1x)協(xié)議是一個基于端口的網(wǎng)絡(luò)接見控制協(xié)議，該協(xié)議的認(rèn)證系統(tǒng)結(jié)構(gòu)中采用了“可控端口”和“不能控端口”的邏輯功能，從而實現(xiàn)認(rèn)證與業(yè)務(wù)的分別，保證了網(wǎng)絡(luò)傳輸?shù)男?。IEEE802系列局域網(wǎng)（LAN）標(biāo)準(zhǔn)據(jù)有著當(dāng)前局域網(wǎng)應(yīng)用的主要份額，但是傳統(tǒng)的IEEE802系統(tǒng)定義的局域網(wǎng)不供應(yīng)接入認(rèn)證，只要用戶能接入集線器、交換機等控制設(shè)備，用戶就可以接見局域網(wǎng)中其他設(shè)備上的資源，這是一個安全隱患，同時也不便于實現(xiàn)對局域網(wǎng)接入用戶的管理。是一種基于端口的網(wǎng)絡(luò)接入控制技術(shù)，在局域網(wǎng)設(shè)備的物理接入級對接入設(shè)備（主若是計算機）進行認(rèn)證和控制。連接在交換機端口上的用戶設(shè)備若是能經(jīng)過認(rèn)證，就可以接見局域網(wǎng)內(nèi)的資源，也能夠接入外面網(wǎng)絡(luò)（如Internet）；若是不能夠經(jīng)過認(rèn)證，則無法接見局域網(wǎng)內(nèi)部的資源，同樣也無法接入Internet，相當(dāng)于物理上斷開了連接。IEEE802.1x協(xié)議采用現(xiàn)有的可擴展認(rèn)證協(xié)議（ExtensibleAuthenticationProtocol，EAP），它是IETF提出的PPP協(xié)議的擴展，最早是為解決基于標(biāo)準(zhǔn)的無線局域網(wǎng)的認(rèn)證而開發(fā)的。誠然定義了基于端口的網(wǎng)絡(luò)接入控制協(xié)議，但是在實質(zhì)應(yīng)用中該協(xié)議僅適用于接入設(shè)備與接入端口間的點到點的連接方式，其中端口能夠是物理端口，也能夠是邏輯端口。典型的應(yīng)用方式有兩種：一種是以太網(wǎng)交換機的一個物理端口僅連接一個計算機；另一種是基于無線局域網(wǎng)（WLAN）的接入方式。其中，前者是基于物理端口的，此后者是基于邏輯端口的。當(dāng)前，幾乎所有的以太網(wǎng)交換機都支持IEEE協(xié)議。RADIUS服務(wù)器RADIUS（RemoteAuthenticationDialInUserService，遠(yuǎn)程用戶撥號認(rèn)證服務(wù)）服務(wù)器供應(yīng)了三種基本的功能：認(rèn)證（Authentication）、授權(quán)（Authorization）和審計（Accounting），即供應(yīng)了3A功能。其中審計也稱為“記賬”或“計費”。RADIUS協(xié)議采用了客戶機/服務(wù)器（C/S）工作模式。網(wǎng)絡(luò)接入服務(wù)器（NetworkAccessServer，NAS）是RADIUS的客戶端，它負(fù)責(zé)將用戶的考據(jù)信息傳達(dá)給指定的RADIUS服務(wù)器，此后辦理返回的響應(yīng)。RADIUS服務(wù)器負(fù)責(zé)接收用戶的連接央求，并考據(jù)用戶身份，此后返回所有必定要配置的信息給客戶端用戶，也能夠作為其他RADIUS服務(wù)器或其他類認(rèn)證服務(wù)器的代理客戶端。服務(wù)器和客戶端之間傳輸?shù)乃袛?shù)據(jù)經(jīng)過使用共享密鑰來考據(jù)，客戶端和RADIUS服務(wù)器之間的用戶密碼經(jīng)過加密發(fā)送，供應(yīng)了密碼使用的安全性。基于認(rèn)證系統(tǒng)的組成一個完滿的基于的認(rèn)證系統(tǒng)由認(rèn)證客戶端、認(rèn)證者和認(rèn)證服務(wù)器

3部分（角色）組成。認(rèn)證客戶端。認(rèn)證客戶端是最后用戶所扮演的角色，一般是個人計算機。它央求對網(wǎng)絡(luò)服務(wù)的接見，并對認(rèn)證者的央求報文進行應(yīng)答。認(rèn)證客戶端必定運行吻合客戶端標(biāo)準(zhǔn)的軟件，當(dāng)前最典型的就是WindowsXP操作系統(tǒng)自帶的客戶端支持。別的，一些網(wǎng)絡(luò)設(shè)備制造商也開發(fā)了自己的客戶端軟件。認(rèn)證者認(rèn)證者一般為交換機等接入設(shè)備。該設(shè)備的職責(zé)是依照認(rèn)證客戶端當(dāng)前的認(rèn)證狀態(tài)控制其與網(wǎng)絡(luò)的連接狀態(tài)。扮演認(rèn)證者角色的設(shè)備有兩各種類的端口：受控端口（controlledPort）和非受控端口uncontrolledPort）。其中，連接在受控端口的用戶只有經(jīng)過認(rèn)證才能接見網(wǎng)絡(luò)資源；而連接在非受控端口的用戶不用經(jīng)過認(rèn)證便能夠直接接見網(wǎng)絡(luò)資源。把用戶連接在受控端口上，便能夠?qū)崿F(xiàn)對用戶的控制；非受控端口主若是用來連接認(rèn)證服務(wù)器，以便保證服務(wù)器與交換機的正常通訊。認(rèn)證服務(wù)器認(rèn)證服務(wù)器平時為RADIUS服務(wù)器。認(rèn)證服務(wù)器在認(rèn)證過程中與認(rèn)證者配合，為用戶提供認(rèn)證服務(wù)。認(rèn)證服務(wù)器保留了用戶名及密碼，以及相應(yīng)的授權(quán)信息，一臺認(rèn)證服務(wù)器能夠?qū)Χ嗯_認(rèn)證者提供認(rèn)證服務(wù)，這樣就可以實現(xiàn)對用戶的集中管理。認(rèn)證服務(wù)器還負(fù)責(zé)管理從認(rèn)證者發(fā)來的審計數(shù)據(jù)。微軟公司的WindowsServer2003操作系統(tǒng)自帶有RADIUS服務(wù)器組件。實驗拓?fù)鋱D安裝RADIUS服務(wù)器在"控制面板"中雙擊"增加或刪除程序"，在彈出的對話框中選擇"增加/刪除Windows組件"在彈出的"Windows組件導(dǎo)游"中選擇"網(wǎng)絡(luò)服務(wù)"組件，單擊"詳細(xì)信息"勾選"Internet考據(jù)服務(wù)"子組件，確定，此后單擊"下一步"進行安裝在"控制面板"下的"管理工具"中打開"Internet考據(jù)服務(wù)"窗口創(chuàng)辦用戶賬戶RADIUS服務(wù)器安裝好此后，需要為所有經(jīng)過認(rèn)證才能夠接見網(wǎng)絡(luò)的用戶在RADIUS服務(wù)器中創(chuàng)辦賬戶。這樣，當(dāng)用戶的計算機連接到啟用了端口認(rèn)證功能的交換機上的端口上時，啟用了認(rèn)證功能的客戶端計算機需要用戶輸入正確的賬戶和密碼后，才能夠接見網(wǎng)絡(luò)中的資源。在"控制面板"下的"管理工具"中打開"計算機管理"，選擇"當(dāng)?shù)赜脩艉徒M"為了方便管理，我們創(chuàng)辦一個用戶組"802.1x"特地用于管理需要經(jīng)過認(rèn)證的用戶賬戶。鼠標(biāo)右鍵單擊"組"，選擇"新建組"，輸入組名后創(chuàng)辦組。在增加用戶從前，必定要提前做的是，打開"控制面板"-"管理工具"下的"當(dāng)?shù)匕踩呗?，依次選擇"賬戶策略"-"密碼策略"，啟用"用可還原的加密來儲蓄密碼"策略項。否則今后認(rèn)證的時候?qū)霈F(xiàn)以下錯誤提示。設(shè)置遠(yuǎn)程接見策略在RADIUS服務(wù)器的”Internet考據(jù)服務(wù)”窗口中，需要為Cisco2950交換機以及經(jīng)過該交換機進行認(rèn)證的用戶設(shè)置遠(yuǎn)程接見策略。詳細(xì)方法以下：新建遠(yuǎn)程接見策略，鼠標(biāo)右鍵單擊"遠(yuǎn)程接見策略"，選擇"新建遠(yuǎn)程接見策略"選擇配置方式，這里我們使用導(dǎo)游模式選擇接見方法，以太網(wǎng)選擇授權(quán)方式，將從前增加的"802.1x"用戶組加入同意列表選擇身份考據(jù)方法，"MD5-質(zhì)詢"確認(rèn)設(shè)置信息只保留新建的接見策略，刪掉其他的創(chuàng)辦RADIUS客戶端需要說明的是，這里要創(chuàng)辦的RADIUS客戶端，是指近似于圖3中的交換機設(shè)備，在實質(zhì)應(yīng)用中也能夠是VPN服務(wù)器、無線AP等，而不是用戶端的計算機。RADIUS服務(wù)器只會接受由RADIUS客戶端設(shè)備發(fā)過來的央求，為此需要在RADIUS服務(wù)器上來指定RADIUS客戶端。以圖3的網(wǎng)絡(luò)拓?fù)錇槔?，詳?xì)步驟以下：新建RADIUS客戶端。鼠標(biāo)右鍵單擊"RADIUS客戶端"，選擇"新建RADIUS客戶端"設(shè)置共享密鑰和認(rèn)證方式。認(rèn)證方式選擇"RADIUSStandard"，密鑰請記好，等會配置交換機的時候這個密鑰要同樣。顯示已創(chuàng)辦的RADIUS客戶端在交換機上啟用認(rèn)證體系現(xiàn)在對支持IEEE802.1x認(rèn)證協(xié)議的交換機進行配置，使它能夠接授用戶端的認(rèn)證央求，并將央求轉(zhuǎn)發(fā)給RADIUS服務(wù)器進行認(rèn)證，最后將認(rèn)證結(jié)果返回給用戶端。在拓?fù)鋱D中：因此我們實驗時只對FastEthernet0/5端口進行認(rèn)證，其他端口可不進行設(shè)置。詳細(xì)操作以下：使用Console口登陸交換機，設(shè)置交換機的管理IP地址在交換機上啟用AAA認(rèn)證Cisco2950#configureterminalCisco2950(config)#aaanew-model(啟用AAA認(rèn)證)Cisco2950(config)#aaaauthenticationdot1xdefaultgroupradius(啟用dot1x認(rèn)證)Cisco2950(config)#dot1xsystem-auth-control(啟用全局dot1x認(rèn)證)指定RADIUS服務(wù)器的IP地址和交換機與RADIUS服務(wù)器之間的共享密鑰配置交換機的認(rèn)證端口，能夠使用interfacerange命令批量配置端口，這里我們只對FastEthernet0/5啟用認(rèn)證Cisco2950(config)#interfacefastEthernet0/5Cisco2950(config-if)#switchportmodeaccess(設(shè)置端口模式為access)Cisco2950(config-if)#dot1xport-controlauto(設(shè)置802.1x認(rèn)證模式為自動)Cisco2950(config-if)#dot1xtimeoutquiet-period10(設(shè)置認(rèn)證失敗重試時間為10秒)Cisco2950(config-if)#dot1xtimeoutreauth-period30(設(shè)置認(rèn)證失敗重連時間為30秒)Cisco2950(config-if)#dot1xreauthentication(啟用802.1x認(rèn)證)Cisco2950(config-if)#spanning-treeportfast(開啟端口portfast特點)Cisco2950(config-if)