第15章RADIUS认证服务器的安装与配置实训.ppt

《第15章RADIUS认证服务器的安装与配置实训.ppt》由会员分享，可在线阅读，更多相关《第15章RADIUS认证服务器的安装与配置实训.ppt（39页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、20 五月 2023第第15章章RADIUS认证服认证服务器的安装与配置实训务器的安装与配置实训实训目的与实训环境实训目的与实训环境l实训目的实训目的l了解无线相关基本知识了解无线相关基本知识l了解了解802.1X相关基本知识相关基本知识l掌握掌握RAIDIUS服务器的安装和配置服务器的安装和配置l实训环境实训环境lWindowsServer2003计算机一台计算机一台l运行运行WindowsXP/WindowsServer2003/Windows7操操作系统的作系统的PC一台一台l带无线网卡的带无线网卡的PC一台一台l普通交换机一台，思科普通交换机一台，思科2950交换机一台，交换机一台，T

2、P-Link710N无线无线路由器一台路由器一台无线相关知识介绍无线相关知识介绍l无线通信用的电磁波频谱无线通信用的电磁波频谱l几种主要无线协议的频宽和最大传输速率几种主要无线协议的频宽和最大传输速率协议协议频宽频宽最大传输宰最大传输宰802.11a5.8GHz54Mbit/s802.11b2.4GHz11Mbit/s802.11g2.4GH/5.8GHz2254Mbit/s802.11n2.4GHz300Mbit/sHomeRF2.4GHz10Mbit/sHiperLAN25GHz54Mbit/sIrDA1.5MHz9.6kbit/s4Mbit/sBluetooch2.4GHz720kbit

3、/s1Mbit/s802.162.66GHz2Mbit/s155Mbit/sWi-Fi2.4GHz11Mbit/s802.1x认证系统的组成认证系统的组成l一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分（角色）组成。l认证客户端 认证客户端是最终用户所扮演的角色，一般是运行符合IEEE 802.1x 客户端标准的软件个人计算机。l认证者 一般为交换机等接入设备l认证服务器 认证服务器通常为RADIUS服务器 RADIUS服务器网络模型如图15.2所示图15.2实训步骤实训步骤1.网络配置网络配置 lRADIUS服务器 是一台运行Windows Server

4、 2003的独立服务器，该计算机的IP地址为192.168.1.254。如果这台计算机是一台Windows Server 2003的独立服务器（未升级成为域控制器，也未加入域），则可以利用SAM来管理用户账户信息；如果是一台Windows Server 2003域控制器，则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定，但RADIUS服务器提供的认证功能相同。l交换机为思科2950。lAP为支持802.1X的无线路由器，这里使用到了TP-Link 710N。网络中相关设备的参数如下：网络中相关设备的参数如下：2.安装安装RADIUS服务器服务

5、器 1、在“控制面板”中双击“添加或删除程序”，在弹出的对话框中选择“添加/删除Windows组件”，在弹出的“Windows组件向导”中选择“网络服务”组件，如图15.4所示。图15.42、单击“详细信息”，勾选“Internet验证服务”子组件。如图15.5所示。图15.53、然后单击“确定”按钮。按提示点“下一步”安装完毕，最后单击“完成”按钮就完成安装。图略。3.RADIUS服务器的配置服务器的配置 1创建用户账户 在桌面上右键“我的电脑”，选“管理”，进入计算机管理面板，选择“本地用户和组”，如图15.6所示。图15.6 为了方便管理，我们创建一个用户组“802.1x”专门用于管理需

6、要经过IEEE 802.1x认证的用户账户。鼠标右键单击“组”，选择“新建组”，输入组名后创建组。新建的组如图15.7所示。图15.7在添加用户之前，还要配置的是，打开“控制面板”“管理工具”“本地安全策略”，依次选择“账户策略”“密码策略”，启用“用可还原的加密来储存密码”策略项。否则以后认证的时候将会出现错误提示。启用的“用可还原的加密来储存密码”策略项如图15.8所示。图15.8接下来我们添加用户账户“8000130001”，设置密码“1234”。在“计算机管理”“本地用户和组”中鼠标右键单击“用户”，选择“新用户”，输入用户名和密码，创建用户。创建新用户如图15.9所示。图15.9图1

7、5.10将用户“8000130001”加入到“802.1x”用户组中。鼠标右键单击用户“8000130001”，选择“属性”。在弹出的对话框中选择“隶属于”，然后将其加入“802.1x”用户组中。如图15.10所示。图15.11 2设置远程访问策略 在“控制面板”下的“管理工具”中打开“Internet验证服务”窗口。如图15.11所示。图15.12 在RADIUS服务器的“Internet验证服务”窗口中，需要为通过有线接到Cisco2950交换机和通过无线接入到AP的用户设置远程访问策略。具体方法如下：右键树型目录中的“远程访问策略”，选择“新建远程访问策略”，打开配置向导。选择配置方式，

8、这里我们使用向导模式。输入策略名，这里填写的是“802.1x”，如图15.12所示。图15.13 单击“下一步”。选择访问方法，有4种，分别是VPN，拨号，无线和以太网。本次实训使用到了以太网和无线。所以，先给接入思科2956交换机的用户配置访问策略，所以选择“以太网”。创建完了再添加一个“无线”用以AP接入，如图15.13所示。图15.14 单击“下一步”。选择授权方式，将之前添加的“802.1x”用户组加入许可列表。如图15.14所示。图15.15 点“确定”。“下一步”，选择身份验证方法，这里选择“MD5-质询”。如图15.15所示。图15.16 确认设置信息，完成新建远程访问策略。用同

9、样的方法再添加一个名为“AP-1”的远程访问策略，稍微不同的是访问方法为“无线”，身份验证方法选择为“受保护的EAP（PEAP）”。创建好后如图15.16所示。图15.17 3创建RADIUS客户端 这里创建的RADIUS客户端，是指类似于实训拓扑图15.3中的交换机、AP设备，也可以是VPN服务器等，而不是用户端的计算机。新建RADIUS客户端。鼠标右键单击“RADIUS客户端”，选择“新建RADIUS客户端”,如图15.17所示。图15.18设置RADIUS客户端的名称和IP地址。客户端IP地址即交换机和AP的管理IP地址，我们这里是192.168.1.2和192.168.1.253。新建

10、的思科2950客户端如图15.18所示。图15.19点击“下一步”，设置共享密钥和认证方式。认证方式选择“RADIUS Standard”，密钥请记好，这里配置成“123456”，在接下来的配置交换机的过程中需要与这个密钥要相同。如图15.19所示。图15.20同样方法添加AP客户端，设置共享密钥和认证方式一样，密码也为“123456”。创建好的RADIUS客户端如图15.20所示。4.配置配置RADUIS客户端客户端1启用交换机上的端口认证。在本次实训拓扑图中：l交换机的管理IP地址为192.168.1.2/24，lAP的IP为192.168.1.253/24l需要接入网络认证计算机接在交换

11、机的FastEthernet0/1端口上RADIUS认证服务器的IP地址为192.168.1.254/24，此服务器随便接交换机其他端口 因为我们实训时只对FastEthernet0/1端口进行认证，其他端口可不进行设置。如果需要对一批端口开启认证，可使用range批量设置。单一端口开启认证具体操作如下：1）使用Console口登陆交换机，设置交换机的管理IP地址Cisco2950enableCisco2950#configure terminalCisco2950(config)#interface vlan 1(配置二层交换机管理接口IP地址)Cisco2950(config-if)#ip

12、 address 192.168.1.2 255.255.255.0Cisco2950(config-if)#no shutdownCisco2950(config-if)#end注：此时实训如有困难，可参照本教材第注：此时实训如有困难，可参照本教材第19章关于交换机配置方法。章关于交换机配置方法。2）在交换机上启用AAA认证。配置命令如下：Cisco2950#configure terminalCisco2950(config)#aaa new-model(启用AAA认证)Cisco2950(config)#aaa authentication dot1x default group rad

13、ius(启用dot1x认证)Cisco2950(config)#dot1x system-auth-control(启用全局dot1x认证)Cisco2950(config)#radius-server host 192.168.1.254 key 123456(设置验证服务器IP及密钥，在RADIUS服务器配置时设置了密钥为“123456”)Cisco2950(config)#radius-server retransmit 3(设置与RADIUS服务器尝试连接次数为3次)3）配置交换机的认证端口。可以使用interface range命令批量配置端口，这里我们只对FastEthernet0

14、/1启用IEEE 802.1x认证。配置命令如下：Cisco2950(config)#interface fastEthernet 0/1Cisco2950(config-if)#switchport mode access(设置端口模式为access)Cisco2950(config-if)#dot1x port-control auto(设置802.1x认证模式为自动)Cisco2950(config-if)#dot1x timeout quiet-period 10(设置认证失败重试时间为10秒)Cisco2950(config-if)#dot1x timeout reauth-peri

15、od 30(设置认证失败重连时间为30秒)Cisco2950(config-if)#dot1x reauthentication(启用802.1x认证)Cisco2950(config-if)#spanning-tree portfast(开启端口portfast特性)Cisco2950(config-if)#end2在AP上启用802.1X 1）按照所选用的AP的配置管理方法，进入到AP的管理界面，本次实训用的是TP-Link的710N，登陆IP设置了192.168.1.253（出厂默认是192.168.1.253）。按照实训的网络拓扑，设置其为“AP”工作模式，不开启DHCP。2）关键一步

16、，在无线路由中设置无线安全。勾选“WPA/WPA2”，认证类型这里设置为“WPA”，加密算法为“TKIP”，填入Radius服务器的IP：192.168.1.254，Radius密码设置成配置服务器时的同样密码，这里是“123465”，保存。AP配置参考如图15.21所示。图15.21测试测试802.1x认证接入认证接入 1有线接入方式认证测试。1）将要进行认证接入的用户计算机接入交换机的FastEthernet0/1端口，设置IP地址为172.17.2.X(随便设置，只要不跟认证服务器IP及交换机管理IP冲突即可)。2）在“本地连接”的“验证”标签栏中启用IEEE 802.1x验证，EAP类

17、型设置为“MD5-质询”，其余选项可不选。如图15.22所示。如果没有验证选项卡，请确认Wireless Zero Configuration和Wired AutoConfig服务正常开启，启动方法从桌面右键“我的电脑”“管理”“服务和应用程序”“服务”找到对应的两项服务，启动。如果之前配置没有问题，过一会即可看到托盘菜单弹出要求点击进行验证，如图15.23所示。图15.23图15.222无线接入方式认证测试。1）在无线用户设备上（这里使用了一台笔记本）设置“无线网卡”“本地连接”“属性”来配置无线网卡属性。这里的AP接入点的SSID号为“xuanxuan”。如图15.24所示。图15.24

18、选中AP的SSID“xuanxuan”，点“属性”，打开“xuanxuan”的属性“关联”选项卡。因为在AP的802.1X属性参数中设置了WPA-TKIP方式。所以，在“网络身份验证”栏中选“WPA”，“数据加密”栏中选择“TKIP”。关联选项卡配置参数如图15.25所示。图15.25切换到“验证”勾选选项卡，“启用802.1x验证”，EAP类型选择“受保护的EAP（PEAP）”。验证选项卡配置参数如图15.26所示。图15.26 点面板上的“属性”，打开“受保护的EAP属性”窗口。在窗口中，不勾选“验证服务器证书”，在“选择验证方法”中选择“受保护的密码（EAP-MSCHAP V2）”，勾选

19、“启用快速重新连接”。受保护的EAP属性窗口中参数配置如图15.27所示。图15.27 再点击“配置”，打开“EAP MSCHAPv2属性”窗口。不勾选“自动使用Windows登录名和密码”。如图15.28所示。“确定”后保存配置，关掉无线网卡属性窗口。在桌面右下角无线网卡图标上会弹出提示，要求输入其他信息登陆。在跳出的面板中输入用户信息。如图15.29图15.28图15.29 最后说一句，在无线用户认证使用WPA这样的方式时，认证服务器上需要安装CA证书，申请安装CA证书请参考相关教程。这里推荐一种临时的方法，就是在服务器上安装“远程管理(html)”。系统会自动安装一个1年有效期的证书，以此来完成实训中的测试。安装方法为：在控制面板中找到“添加/删除Windows组件”“Internet信息服务（IIS）”点详细信息，选择“万维网服务”，再点详细信息，选择“远程管理（html）”确定，完成安装，这样系统自动安装了一个证书。在无线接入测试时，就不会出现认证通不过的现象。