802.1X集成Radius认证(doc 8页).doc

802.1X 集成Radius认证 技术文档 目 录1.Radius服务器配置31.1.Internet验证服务配置31.2.组策略配置71.3.查看认证状态81.4.新建访问用户92.Radius客户端配置93.802.1X恳求者配置103.1.恳求者配置103.2.恳求者登录11技术文档1. Radius服务器配置 1.1. Internet验证服务配置通过windows2003的组件安装向导，安装网络服务的Internet验证服务。安装完毕Internet验证服务，请打开管理控制台，在Radius客户端下 新建Radius客户端。在相应的位置输入Radius客户端的IP地址及共享密钥。在远程访问策略下删除原有策略配置，新建一条新的策略。选择 使用向导来设置普通情况下的典型策略访问方法视网络连接方式而定，例如：内部网络测试，选择以太网或无线。给予用户或组的授权访问权限。 选择使用此策略的EAP类型，例如我们选择MD5-质询远程访问策略建立完毕。可以点击属性来查看和编辑访问策略。点击编辑配置文件例如修改身份认证方法，点击 EAP方法确认已经包括需要使用的身份认证方法。1.2. 组策略配置在组策略编辑器内，选择计算机配置-windows设置-安全设置-帐户策略-密码策略，编辑右侧的密码策略，启用：用可还原的加密来存储密码1.3. 查看认证状态在windows事件查看器内，查看通过Internet验证服务验证的状态。1.4. 新建访问用户 新建windows系统帐号，打开用户属性，确认用户具有远程访问权限。 2. Radius客户端配置!aaa new-modelaaa authentication dot1x default group radiusaaa authorization network default group radius!dot1x system-auth-control!interface FastEthernet0/1 switchport mode access dot1x port-control auto dot1x timeout quiet-period 30 dot1x timeout reauth-period 30 dot1x timeout supp-timeout 2 dot1x max-req 10 dot1x guest-vlan 2 dot1x reauthentication spanning-tree portfast!interface Vlan1 ip address 53 no ip route-cache!radius-server host 67 auth-port 1812 acct-port 1813 key q1w2e3r4radius-server retransmit 3!以Cisco Catalyst交换机作为Radius客户端为例。启用AAA认证全局启用dot1X认证在接口模式下，配置FastEthernet0/1使用802.1X配置交换机管理地址。配置Radius服务器地址、通讯端口、协商密钥3. 802.1X恳求者配置 3.1. 恳求者配置选择本地网络适配器，选择属性选择认证页面。启用802.1X认证，并选择EAP类型，例如：以本次实验为例，我们选择MD5-质询。3.2. 恳求者登录本地网络连接提示，点击进入认证页面输入用户名和密码作为验证信息连接成功，本地网络将提示连接成功。说明 本实验以Windows2003作为身份验证服务