《RADIUS认证服务器的安装与配置实训.ppt》由会员分享,可在线阅读,更多相关《RADIUS认证服务器的安装与配置实训.ppt(40页珍藏版)》请在三一办公上搜索。
1、第15章,RADIUS 认证服务器的安装与配置实训,实训目的与实训环境,实训目的了解无线相关基本知识了解802.1X相关基本知识掌握RAIDIUS服务器的安装和配置 实训环境 WindowsServer2003计算机一台运行WindowsXP/WindowsServer2003/Windows7操作系统的PC一台带无线网卡的PC一台普通交换机一台,思科2950交换机一台,TP-Link710N无线路由器一台,无线相关知识介绍,无线通信用的电磁波频谱,几种主要无线协议的频宽和最大传输速率,802.1x认证系统的组成,一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3
2、部分(角色)组成。,认证客户端 认证客户端是最终用户所扮演的角色,一般是运行符合IEEE 802.1x 客户端标准的软件个人计算机。认证者 一般为交换机等接入设备认证服务器 认证服务器通常为RADIUS服务器,RADIUS服务器网络模型如图15.2所示,图15.2,实训步骤,网络配置,RADIUS服务器 是一台运行Windows Server 2003的独立服务器,该计算机的IP地址为。如果这台计算机是一台Windows Server 2003的独立服务器(未升级成为域控制器,也未加入域),则可以利用SAM来管理用户账户信息;如果是一台Windows Server 2003域控制器,则利用活动
3、目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定,但RADIUS服务器提供的认证功能相同。交换机为思科2950。AP为支持802.1X的无线路由器,这里使用到了TP-Link 710N。,网络中相关设备的参数如下:,安装RADIUS服务器 1、在“控制面板”中双击“添加或删除程序”,在弹出的对话框中选择“添加/删除Windows组件”,在弹出的“Windows组件向导”中选择“网络服务”组件,如图15.4所示。,图15.4,2、单击“详细信息”,勾选“Internet验证服务”子组件。如图15.5所示。,图15.5,3、然后单击“确定”按钮。按提示点“
4、下一步”安装完毕,最后单击“完成”按钮就完成安装。图略。,3.RADIUS服务器的配置,1创建用户账户 在桌面上右键“我的电脑”,选“管理”,进入计算机管理面板,选择“本地用户和组”,如图15.6所示。,图15.6,为了方便管理,我们创建一个用户组“802.1x”专门用于管理需要经过IEEE 802.1x认证的用户账户。鼠标右键单击“组”,选择“新建组”,输入组名后创建组。新建的组如图15.7所示。,图15.7,在添加用户之前,还要配置的是,打开“控制面板”“管理工具”“本地安全策略”,依次选择“账户策略”“密码策略”,启用“用可还原的加密来储存密码”策略项。否则以后认证的时候将会出现错误提示
5、。启用的“用可还原的加密来储存密码”策略项如图15.8所示。,图15.8,接下来我们添加用户账户“8000130001”,设置密码“1234”。在“计算机管理”“本地用户和组”中鼠标右键单击“用户”,选择“新用户”,输入用户名和密码,创建用户。创建新用户如图15.9所示。,图15.9,图15.10,将用户“8000130001”加入到“802.1x”用户组中。鼠标右键单击用户“8000130001”,选择“属性”。在弹出的对话框中选择“隶属于”,然后将其加入“802.1x”用户组中。如图15.10所示。,图15.11,2设置远程访问策略 在“控制面板”下的“管理工具”中打开“Internet验
6、证服务”窗口。如图15.11所示。,图15.12,在RADIUS服务器的“Internet验证服务”窗口中,需要为通过有线接到Cisco2950交换机和通过无线接入到AP的用户设置远程访问策略。具体方法如下:右键树型目录中的“远程访问策略”,选择“新建远程访问策略”,打开配置向导。选择配置方式,这里我们使用向导模式。输入策略名,这里填写的是“802.1x”,如图15.12所示。,图15.13,单击“下一步”。选择访问方法,有4种,分别是VPN,拨号,无线和以太网。本次实训使用到了以太网和无线。所以,先给接入思科2956交换机的用户配置访问策略,所以选择“以太网”。创建完了再添加一个“无线”用以
7、AP接入,如图15.13所示。,图15.14,单击“下一步”。选择授权方式,将之前添加的“802.1x”用户组加入许可列表。如图15.14所示。,图15.15,点“确定”。“下一步”,选择身份验证方法,这里选择“MD5-质询”。如图15.15所示。,图15.16,确认设置信息,完成新建远程访问策略。用同样的方法再添加一个名为“AP-1”的远程访问策略,稍微不同的是访问方法为“无线”,身份验证方法选择为“受保护的EAP(PEAP)”。创建好后如图15.16所示。,图15.17,3创建RADIUS客户端 这里创建的RADIUS客户端,是指类似于实训拓扑图15.3中的交换机、AP设备,也可以是VPN
8、服务器等,而不是用户端的计算机。新建RADIUS客户端。鼠标右键单击“RADIUS客户端”,选择“新建RADIUS客户端”,如图15.17所示。,图15.18,设置RADIUS客户端的名称和IP地址。客户端IP地址即交换机和AP的管理IP地址,我们这里是和。新建的思科2950客户端如图15.18所示。,图15.19,点击“下一步”,设置共享密钥和认证方式。认证方式选择“RADIUS Standard”,密钥请记好,这里配置成“123456”,在接下来的配置交换机的过程中需要与这个密钥要相同。如图15.19所示。,图15.20,同样方法添加AP客户端,设置共享密钥和认证方式一样,密码也为“123
9、456”。创建好的RADIUS客户端如图15.20所示。,4.配置RADUIS客户端,1启用交换机上的端口认证。在本次实训拓扑图中:交换机的管理IP地址为,AP的IP为需要接入网络认证计算机接在交换机的FastEthernet0/1端口上RADIUS认证服务器的IP地址为,此服务器随便接交换机其他端口,因为我们实训时只对FastEthernet0/1端口进行认证,其他端口可不进行设置。如果需要对一批端口开启认证,可使用range批量设置。单一端口开启认证具体操作如下:1)使用Console口登陆交换机,设置交换机的管理IP地址Cisco2950enableCisco2950#configure
10、 terminalCisco2950(config)#interface vlan 1(配置二层交换机管理接口IP地址)Cisco2950(config-if)#ip address 192.168.1.2 255.255.255.0Cisco2950(config-if)#no shutdownCisco2950(config-if)#end,注:此时实训如有困难,可参照本教材第19章关于交换机配置方法。,2)在交换机上启用AAA认证。配置命令如下:Cisco2950#configure terminalCisco2950(config)#aaa new-model(启用AAA认证)Cisc
11、o2950(config)#aaa authentication dot1x default group radius(启用dot1x认证)Cisco2950(config)#dot1x system-auth-control(启用全局dot1x认证)Cisco2950(config)#radius-server host 192.168.1.254 key 123456(设置验证服务器IP及密钥,在RADIUS服务器配置时设置了密钥为“123456”)Cisco2950(config)#radius-server retransmit 3(设置与RADIUS服务器尝试连接次数为3次),3)配
12、置交换机的认证端口。可以使用interface range命令批量配置端口,这里我们只对FastEthernet0/1启用IEEE 802.1x认证。配置命令如下:Cisco2950(config)#interface fastEthernet 0/1Cisco2950(config-if)#switchport mode access(设置端口模式为access)Cisco2950(config-if)#dot1x port-control auto(设置802.1x认证模式为自动)Cisco2950(config-if)#dot1x timeout quiet-period 10(设置认证
13、失败重试时间为10秒)Cisco2950(config-if)#dot1x timeout reauth-period 30(设置认证失败重连时间为30秒)Cisco2950(config-if)#dot1x reauthentication(启用802.1x认证)Cisco2950(config-if)#spanning-tree portfast(开启端口portfast特性)Cisco2950(config-if)#end,2在AP上启用802.1X 1)按照所选用的AP的配置管理方法,进入到AP的管理界面,本次实训用的是TP-Link的710N,登陆IP设置了(出厂默认是)。按照实训的
14、网络拓扑,设置其为“AP”工作模式,不开启DHCP。2)关键一步,在无线路由中设置无线安全。勾选“WPA/WPA2”,认证类型这里设置为“WPA”,加密算法为“TKIP”,填入Radius服务器的IP:,Radius密码设置成配置服务器时的同样密码,这里是“123465”,保存。AP配置参考如图15.21所示。,图15.21,测试802.1x认证接入,1有线接入方式认证测试。1)将要进行认证接入的用户计算机接入交换机的FastEthernet0/1端口,设置IP地址为172.17.2.X(随便设置,只要不跟认证服务器IP及交换机管理IP冲突即可)。2)在“本地连接”的“验证”标签栏中启用IEE
15、E 802.1x验证,EAP类型设置为“MD5-质询”,其余选项可不选。如图15.22所示。如果没有验证选项卡,请确认Wireless Zero Configuration和Wired AutoConfig服务正常开启,启动方法从桌面右键“我的电脑”“管理”“服务和应用程序”“服务”找到对应的两项服务,启动。,如果之前配置没有问题,过一会即可看到托盘菜单弹出要求点击进行验证,如图15.23所示。,图15.23,图15.22,2无线接入方式认证测试。1)在无线用户设备上(这里使用了一台笔记本)设置“无线网卡”“本地连接”“属性”来配置无线网卡属性。这里的AP接入点的SSID号为“xuanxuan
16、”。如图15.24所示。,图15.24,选中AP的SSID“xuanxuan”,点“属性”,打开“xuanxuan”的属性“关联”选项卡。因为在AP的802.1X属性参数中设置了WPA-TKIP方式。所以,在“网络身份验证”栏中选“WPA”,“数据加密”栏中选择“TKIP”。关联选项卡配置参数如图15.25所示。,图15.25,切换到“验证”勾选选项卡,“启用802.1x验证”,EAP类型选择“受保护的EAP(PEAP)”。验证选项卡配置参数如图15.26所示。,图15.26,点面板上的“属性”,打开“受保护的EAP属性”窗口。在窗口中,不勾选“验证服务器证书”,在“选择验证方法”中选择“受保
17、护的密码(EAP-MSCHAP V2)”,勾选“启用快速重新连接”。受保护的EAP属性窗口中参数配置如图15.27所示。,图15.27,再点击“配置”,打开“EAP MSCHAPv2属性”窗口。不勾选“自动使用Windows登录名和密码”。如图15.28所示。“确定”后保存配置,关掉无线网卡属性窗口。在桌面右下角无线网卡图标上会弹出提示,要求输入其他信息登陆。在跳出的面板中输入用户信息。如图15.29,图15.28,图15.29,最后说一句,在无线用户认证使用WPA这样的方式时,认证服务器上需要安装CA证书,申请安装CA证书请参考相关教程。这里推荐一种临时的方法,就是在服务器上安装“远程管理(html)”。系统会自动安装一个1年有效期的证书,以此来完成实训中的测试。安装方法为:在控制面板中找到“添加/删除Windows组件”“Internet信息服务(IIS)”点详细信息,选择“万维网服务”,再点详细信息,选择“远程管理(html)”确定,完成安装,这样系统自动安装了一个证书。在无线接入测试时,就不会出现认证通不过的现象。,思考与讨论,请思考在构建一个中小型的无线园区网时,无线AP点比较多,应用RADIUS来架设无线认证服务器时,管理的客户端比较多。这样不太方便,请查找相关资料,了解无线控制交换机的使用。胖AP与瘦AP的区别?,
