接入控制实验系统设计与实现实验指导书.doc

电子科技大学 通信与信息工程 学院实 验 教 材实验名称 接入控制实验系统方案设计与实现电子科技大学教务处制表实验项目：接入控制实验系统方案设计与实现【实验目的】n 掌握PPPoE与RADIUS接入控制系统模型n 掌握PPPoE与RADIUS协议原理n 掌握PPPoE和RADIUS服务器搭建和配置方法n 掌握虚拟机环境下基于PPPoE和RADIUS接入控制系统的测试方法n 掌握基于实验室真实环境，设计、搭建、配置和测试PPPoE和RADIUS接入控制系统的步骤和方法。【实验内容】n 分析PPPoE和RADIUS接入控制系统模型的应用需求n 总结PPPoE和RADIUS接入控制系统的实验原理n 设计PPPoE和RADIUS接入控制系统实验方案和实验拓扑n 规划统一认证用户信息格式，IP地址n 在实验室完成接入控制系统搭建、配置，实现对2种（如ADSL、LAN）接入用户的接入控制。【实验基础】该实验对学生设计能力和软件能力有一定要求，因此，本实验不适宜对全体同学开设，主要开设对象及要求：已选修计算机通信网、局域网与城域网、TCP/IP和接入网技术课程，并具有一定的Linux基础的学生。【实验开设】开设方式：接入网技术课程部分学生创新培养、综合课程设计选题，分组协作完成（6-8人/组。【实验原理】本实验为综合接入应用设计实验，涉及目前运营商常用的PPPOE接入控制方式以及用户认证服务器RAIDUS；涉及以太（LAN）接入、无线局域网（WLAN）接入，以太光网络接入（EPON）等多种接入技术；以下是相关原理的描述。、 接入控制系统自从运营商开始提供互联网接入服务，就产生了接入管理系统。接入管理系统主要是对用户接入过程的管理和控制。用户接入管理系统的核心功能对用户接入进行认证、授权和记账的AAA（Authentication，Authorization，Accounting）管理。而目前运营商通常采用RADIUS服务器实现AAA共能。因此也就形成了以AAA为核心的用户接入控制系统。如图4-1 描述了接入控制系统模型接入控制服务器接入认证服务器接入用户接入 client接入server管理client接入认证协议接入管理协议接入链路协议管理server图41-1 接入控制模型。图4-1 接入控制系统模型接入用户可以是采用各种接入技术的用户，是接入认证的申请者，必须通过用户认证并授权后才能获得IP地址访问网络。n 接入控制服务器向接入认证服务器转发认证信息，根据管理服务器对用户的授权信息，实施对用户进行接入控制，若授权则提供接入服务，否则拒绝为用户提供接入服务。在不同的应用中，接入服务器可能有不同的名称：其一为BAS（Broadband Access Server，宽带接入服务器），适合对宽带接入控制服务器的通称；其二为NAS（Network Access Server，网络接入服务器），通常在窄带接入中使用，如早期的拨号接入服务器；其三为BRAS（Broadband Remote Access Server，宽带远程接入服务器），典型的应用案例实例是DSL（Digital Subscriber Line，数字用户线）接入控制。运营商典型的接入控制服务器是PPPOE服务器以及用于802网络接入控制的802.1X服务器，本实验仅讨论PPPOE服务器。n 接入认证服务器对接入控制服务器转发的用户认证信息进行验证，认证通过则发送授权信息，否则认证不通过，发送拒绝信息。典型的接入认证协议是RADIUS协议，该协议实现AAA功能。、 PPPOE协议与应用PPPOE技术将以太网技术和点到点协议结合在一起，提供一种虚拟拨号接入的方式，即在以太网上传输PPP的数据帧，从而在广播型的多路访问网络中实现PPP基于用户的接入管理功能。PPPOE协议通过与每个用户建立唯一的虚拟连接，为每个建立连接的用户分配一个唯一会话标识符SESSION-ID，用户的所有信息都携带该标识符传输，因此实现了对每个用户的接入控制。（1）PPPOE协议的运行原理PPPOE运行分为两个阶段：发现阶段和PPP会话阶段，发现阶段完成以太网中PPPOE会话的建立，PPP会话阶段则是在建立的PPPOE会话中传输PPP帧。 发现阶段发现阶段的目的是接入主机获得PPPOE服务器的以太网MAC地址，并获取PPPOE服务器为其分配的唯一的会话标识符SESSION-ID。发现阶段分为4个步骤：n 步骤1：主机广播发起分组（PADI），分组的目的地址为以太网的广播地址，PADI分组必须至少包含一个服务器名称类型的标签，向PPPOE服务器提出所要求提供的服务。n 步骤2：PPPOE接入服务器收到在服务范围的PADI分组，发送PPPOE有效发现提供包（PADO）分组，以响应请求，并表明可以向主机提供的服务种类。n 步骤3：主机向所选择的PPPOE 服务器发送PPPOE有效发送请求分组（PADR）送它的PADI分组。n 步骤4：PPPOE服务器收到PADR分组后,发送一个PPPOE有效发现分组确认PADS分组，分组中含有一个唯一的PPPOE会话标识SESSION-ID。当主机收到PADS分组确认后，至此，通信双发都得知对方的MAC地址及会话标识，于是进入进入第2阶段PPP会话阶段。 会话阶段用户主机与接入服务器根据在发现阶段所协商的PPP会话连接进行PPP会话。一旦PPPOE会话开始，PPP数据就可以以任何其他的PPP封装形式发送，此时，所有的帧都是单播的。（2）PPPOE协议的应用图4-11 EPON 接入应用模式示意图主机主机主机PPP会话桥接接入设备B二层网络以太网IP网络PPPOE 服务器RADIUS 服务器图4-2 PPPOE 协议的应用PPPOE协议的通常与RADIUA协议一起构成用户接入控制管理系统，PPPOE接入控制方式可以用户现今所有的IP 接入网用户的接入控制与管理，适合与所有的IP 接入技术（如ADSL；以太接入、EPON接入、WLAN 接入，Cable modem等接入）。在应用中需要特别注意的是在接入用户与PPPOE 服务器之间必须是二层及其以下网络。典型的PPPOE接入控制应用如图4-2所示。 图4-2 PPPOE接入控制模型图4-2中，对于不同的接入技术，其桥接接入设备具体名称不同，如对于ADSL 接入，该设备为DSLAM，对于以太接入，则为以太网交换机，对于WLAN 接入，则为无线AP。所有主机用户的认证信息和数据信息都在与PPPOE服务器的连接会话标识的基础上进行，因此PPPOE 服务器实现了对每个用户的接入控制。、 RADIUS协议与应用RADIUS协议是一种典型的实现AAA 功能的接入认证协议。该协议通常与PPPOE 或802.1X协议形成IP 接入控制系统。如图4-1的接入系统中， 接入认证服务器一般采用RADIUS服务器实现。（1） 协议概述当用户接入网络时，用户通过接入协议将其接入请求信息送交给接入控制服务器（用BAS代表）。但是BAS并不对这些信息进行处理与响应，而是作为RADIUS客户将用户接入请求信息传递给指定的RADIUS认证服务器。RADIUS认证服务器负责接收用户的接入请求，并根据预先设置在用户管理数据库中的用户接入管理信息认证用户，向BAS返回所有为用户提供接入服务所必须的配置信息，即用户授权信息，决定用户可以得到哪些服务。BAS将RADIUS认证服务器响应通过接入协议通知给用户，并为用户提供相应的接入服务。当用户离开网络时，BAS可以将用户对网络资源的使用情况，例如时间、流量等账务信息发送给RADIUS账务服务器。RADIUS账务服务器记录用户的账务信息，作为网络管理和用户管理的参考资料.RADISU 协议没有规定用户与BAS之间的协议，仅规定了BAS 与RADIUS服务器之间的协议及运行过程，但RADIUS协议的运行必须有用户与BAS认证协议的配合。RADIUS协议的运行分为认证/授权过程和记账过程，因此报文也分为认证/授权报文和记账报文，报文被封装在UDP数据报中传送，认证/授权报文使用的UDP端口号是1812，账务报文使用的UDP端口号是1813。（2） 协议运行原理RADIUS协议运行分为两个过程：认证/授权过程、记账过程 认证/授权BAS获得用户的认证信息后，创建一个RADIUS接入请求报文，该报文包含用户名、用户口令、BAS标识、用户接入端口号等信息。其中，用户口令采用MD5算法加密。接入请求报文经网络提交给RADIUS认证服务器。当RADIUS认证服务器收到接入请求报文后，首先要使用共享密钥机制验证发送该报文的BAS。如果BAS不合法，则丢弃该接入请求报文。如果BAS合法，RADIUS认证服务器则根据报文中携带的用户名查询用户数据库。如果RADIUS认证服务器没有查到匹配的用户记录，则向BAS发送一个接入拒绝报文，表示该用户的接入请求无效；如果RADIUS认证服务器查到匹配的用户记录，则可以采取两种不同的认证方式请求/响应方式或质询/响应方式完成后续的用户接入认证和授权操作。n 请求/响应方式请求/响应方式是一种简单的“一问一答”方式.RADIUS认证服务器根据收到的接入请求报文检查接入用户的合法性，将该用户对应的授权信息通过一个接入许可报文或接入拒绝报文回应给BAS。交互示意图如图4-5所示用户BASRADIUS认证服务器用户名，用户口令接入请求报文接入许可/拒绝报文接入认证结果图4-5 RADIUS的请求/响应认证过程示意图n 质询/响应方式质询/响应方式比请求/响应方式复杂，其最大的优点是加强了认证信息的安全性。RADIUS认证服务器收到BAS的接入请求报文后，并不是回应以接入许可或拒绝报文，而是回应一个接入质询报文。该质询报文中携带一个随机产生的质询值，还可以包含一个经由BAS显示给用户的文本消息。BAS收到接入质询报文后，将报文中的质询值和文本消息送给用户，提示用户做出响应。BAS将原接入请求报文中的用户认证信息封装在一个新的接入请求报文，并用用户根据质询值产生的质询响应值替代原请求报文中的用户口令，然后将这个新的接入请求报文送交给RADIUS认证服务器。RADIUS认证服务器用接入许可或接入拒绝报文响应这个新接入请求报文。RADIUS的质询/响应认证方式通常要求用户与BAS间的认证也是质询方式。交互示意图如图4-6所示。用户BASRADIUS认证服务器用户名，用户口令接入请求报文接入许可/拒绝报文接入认证结果接入质询报文质询值，提示消息响应值接入请求报文图4-6 RADIUS的质询/响应认证过程示意图 记账RADIUS的记账操作只涉及BAS和RADIUS账务服务器间的交互。BAS在开始为用户提供服务时，生成一个表示记账开始的记账请求报文送往RADIUS账务服务器，该报文描述了正在提供的服务类型和使用服务的用户。账务服务器会返回一个表明该开始记账请求已经收到的记账响应报文。在服务终止时，BAS产生一个表示记账结束的记账请求报文送往RADIUS账务服务器，该报文描述了已经提供的服务类型和一些统计信息，例如：服务时间、输入/输出的字节数等。RADIUS账务服务器会返回一个表示该结束记账请求已经收到的记账响应报文。图4-7是（a）开始记账、（b）结束记账情况下的RADIUS记账过程。BASRADIUS记帐服务器记帐请求报文开始记帐记帐响应报文BASRADIUS记帐服务器记帐请求报文服务终止结束记帐记帐响应报文接入许可报文（a）开始记帐（b）结束记帐图4-7 RADIUS的记账过程示意图【实验背景与需求分析】 1、实验背景简介现今市场上的硬件PPPOE服务器和RADIUS服务器价格较贵昂贵，故多数学校，组织无力购买硬件PPPOE和RADIUS我校2010年建成的综合接入网实验室仅购置一套,所以急需一种低成本的基于PPPOE和RADIUS的用户接入控制系统方案,通过该接入控制系统对真实的ADSL、LAN等接入用户实施接入控制。该接入控制系统与现实中运营商运行的接入控制系统架构一致，具有很好的社会需求符合型和应用价值。在通信学院已建成的综合接入网实验室，目前已购置一套全真的商用级的接入控制系统，具体包括PPPoE服务器，RADIUS服务器，对实验室中LAN、WLAN、EPON、ADSL等接入用户进行统一的接入控制与认证。能够完成各种接入技术的接入实验。但是由于接入控制系统设备只有一套，且同时控制多种接入用户，因此，对学生开设接入实验时，不可能让学生对接入控制系统设备进行操作，都是事先由教师先配置好，学生实验时只对接入终端设备进行操作完成实验。这就有很大的局限性。1. 本实验设计的目的就是让实验者通过选择开放的服务器软件代码，在PC机上在Liunx操作系统环境下构建PPPoE服务器和RADIUS服务器，并进行系统调试，最终实验一个功能完善（与商用功能相当）接入控制系统，并将此系统用于真实的接入技术实验中。该系统虽然性能不能达到商用系统，但从实验教学方式、培养学生设计和动手能力，以及掌握原理分析问题能力上会取得显著效果。【实验设计要求】1、本实验的目标 采用免费的PPPoE和 RADIUS软件，在PC机Linux系统环境下搭建、配置和调试PPPoE和RADIUS服务器，完成PPPOE和RADIUS接入控制系统的软实现。并在实验室的LAN接入和ADSL接入实验中得到应用。2、实验设计要求 本实验为分组实验，每组6-8人。需要每组成员通力合作，合理分工方能顺利完成实验。具体完成以下设计与实验内容：根据实验目标，设计基于PPPoE和RADIUS的接入控制系统实验方案 及拓扑图；.规划并设计对接入用户的认证方案，包括认证信息的命名、IP地址池规划等；（1） 根据设计方案，设计实验步骤和配置方法；（2） 在虚拟机环境下搭建并配置PPPoE和RADIUS服务器，完成控制系统的连通性测试；（3） 在实验室完成配置，并验证控制系统能够对至少两种（如ADSL、LAN）接入用户的控制。【实验参考建议】 本实验涉及到的知识和内容比较广，对学生的设计能力和相关基础要求较高，而实验时间只用16学时。为了便于学生能够顺利完成该实验，对软件版本的选择、实验过程的先后顺序、以及小组成员分工提出以下建议，供学生参考：1、软件版本推荐 选择合适的软件版本是完成本实验的第一步，也是至关重要的一步。如果软件版本不匹配或不合适，在调试过程中会遇到较大困难。因此，特推荐以下版本的免费软件：操作系统：CENTOS5.6PPPoE服务器/客户端软件：ppp-2.4.4； windows自带RADIUS服务器/客户端软件: freeradius-server-2.1.12；freeradius-client -1.1.82、实验过程顺序建议 鉴于该实验对学生设计能力和软件能力有一定要求，因此，本实验不适宜对全体同学开设，主要开设对象及要求：已选修接入网技术课程，并具有一定的Linux基础的学生。开设方式：综合设计选题方式，分组协作完成（6-8人/组），每次选题4-6组。2、实验需求分析本实验需要在PC机上完成PPPOE和RADIUS接入控制系统的软实现。并在实验室的LAN接入和ADSL接入实验中得到应用。具体过程建议如下：（1)在虚拟机环境实现LAN用户的PPPoE 接入控制方式和 PPPoE+RADIUS接入控制方式。freeradius-server-2.1.12； MySQL-5.5.21-1.linux2.6.i386； Centos5.6 在虚拟机的Linux系统环境下搭建PPPoE服务器，利用Windowns自带的PPPoE客户端软件，实现PPPoE客户与服务器之间的通信。,并完成本地接入控制功能 在虚拟机的Linux系统环境下搭建RADIUS服务器，在Linux环境下搭建 、RADIUS客户端，实现RADIUS客户与服务器之间的通信。 在PPPoE服务器上配置RADIUS客户端软件，实现与RADIUS服务器之间的通信。 在PPPoE客户虚拟拨号，通过RADIUS服务器认证，实现虚拟机环境下的PPPoE和RADIUS的用户接入控制。（2）在实验室环境下，在PC机上Linux系统下搭建PPPoE服务器和RADIUS服务器，并与实验室网络互连(此过程需要先了解实验室网络环境,进行网络拓扑和IP规划，用户账户和口令等的设计），实现对2-3种真实接入用户（如ADSL接入用户、LAN接入用户或WLAN接入用户）的控制。通过认证的用户能够接入IP网络（如校园网）。【实验报告要求】本实验需要在PC机上实现PPPOE和RADIUS接入控制系统的软实现。目前实验室所拥有的接入设备包括ADSL 和 LAN, 所以分别使用LAN+PPPOE的方式和ADSL+PPPOE接入控制的方式来实现.采用在CENTOS系统上搭建PPPOE和RADIUS服务器的方式来替代硬件PPPOE和RADIUS服务器。最后在实验室环境下实现接入控制的测试实验。本实验的实验报告要求包括以下内容：（1） 实验目的（2） 实验内容（3） 实验原理n 要求自行归纳总结本实验的相关实验原理（4） 实验设计 A：虚拟环境下的设计 网络连接简图，地址规划，配置设计等。 B：实验室环境下的设计n 实验拓扑图：要求在拓扑图中对设备、设备接口等进行标识n 用户的统一认证的认证信息、IP地址池等以表格形式提供n 配置方案流程图（5） 实验过程与分析n 实验配置：要求在正文中仅写出过程或流程，不必写出具体命令，具体配置命令或细节通过附件形式列出。n 实验记录：建议通过表格形式列出，不便用表格的请用下划线形式标识记录。n 实验分析（6） 总结及心得体会（7） 对本实验过程及方法、手段的改进建议【实验方案设计】因为实验室资源的有限,所以本实验现在本地虚拟机环境下进行设计, 成功实现功能后,在真实的实验室环境中进行运行测试.虚拟机环境虚拟环境下采用的是LAN+PPPOE接入, PPPOE服务端与RADIUS端采用WLAN的方式互联.实验室环境实验室环境下采用ADSL+PPPOE, LAN + PPPOE. PPPOE与RADIUS采用LAN的方式互联【实验拓扑设计】虚拟机环境下实验拓扑图真实环境实验拓扑图用户认证及IP地址规划本实验是在实验环境中实现一个真实的接入实现系统，因此，对于所有接入的用户都必须经过身份认证（即通过用户名和密码的认证），并获得上校园网的IP地址后才能接入校园网，否则接入控制系统将会拒绝提供接入服务。经过PPPOE服务器进行控制的接入用户，用户认证可以通过PPPOE服务器进行本地认证，也可以通过RADIUS服务器进行远程认证，若采用RADIUS服务器进行远程认证，则在PPPOE服务器上必须开启RADIUS客户端软件。用户认证信息以及IP地址规划如下表虚拟环境实验室环境PPPOE服务器IP06RADIUS服务器IP07-用户IP地址池/24/24登陆用户名uestcuestc登陆密码uestcscieuestcscie【实验配置方案】配置所需设备列表设备类型设备名称接入控制PPPOE（软件）接入验证Radius+mysql（软件）PC机预装了VMware软件的PC机两台路由器TP-Link 541G+设备类型设备名称接入控制PPPOE（软件）接入验证Radius+mysql（软件）PC机（其中PPPOE为双网卡）Centos（系统2台），windows（系统若干台）实验环境网络实验室2、实验配置方案设计PPPOE的本地认证编辑配置pppoe-server-options编辑验证账户Chap-screts 开启路由转发分配地址池并开启pppoe服务器开启NAT转发Radius的认证服务Radius 本地文件认证配置安装radius服务器配置users文件Radius本地文件认证配置流程图启动radiusDebug模式安装MYSQL；添加相关数据库配置clients.conf重启radiusDebug 模式Radius+mysql认证配置流程图Radius 本地数据库认证配置Radius远程数据库认证安装radius-client配置freeradius的clients.conf配置radius客户端的radiusclient.confRadius+mysql+client远程认证配置流程图PPPOE使用Radius认证服务的配置配置PPPOE端，编辑pppoe-server-options添加radius认证模块按radius+mysql远端认证模块进行配置PPPOE+Radius的配置流程图在实际中的接入服务完成上面配置的PPPOE服务器完成配置的Radius服务器用windows进行拨号登陆实际中的接入服务配置流程图【实验步骤与记录】实验准备在两台PC机上安装上Centos5.6系统，另一台PC机上装上windows系统。下载freeradius-server-2.1.12.tar.gz 源码包、MySQL-5.5.21-1.linux2.6.i386.tar安装包、ppp-2.4.4.tar.gz 源码包。配置按实验环境拓扑好网络环境安装，配置，测试PPPOE服务器使用将用户信息记录于本地文件中的方式进行接入验证，详细配置见附表1,配置过程中记录内容如下表表一 PPPOE使用文件认证的记录内容认证方式File加密方式Chap认证用户名uestcscie认证密码uestcscie服务器IP指定分配的IP起始地址和地址数0 ; 10配置Radius服务器3.1 Radius 本地文件认证通过在本地文件中记录用户信息的方式进行认证,详细配置见附录二, 配置过程中记录内容如下表表二 radius本地文件认证配置记录内容必须组件Gcc认证方式File测试账户Steve测试账户密码Testing3.2 Radius 本地数据库认证文件记录的用户量较强大的MYSQL数据库而言是兵山一角，所以采用数据库来存储用户名和密码的方式来进行接入控制的验证，详细配置指令和信息见附录三，配置过程中记录内容如下表表三 radius本地数据库认证配置记录内容必需组件Openssl，mysql-devel认证方式sql 数据库名Radius数据库账号Root数据库密码123456接入用户名Test接入密码Test3.3 Radius 客户端的远程认证配置让网络中的Radius客户端可以通过网络在Radius服务器上进行用户信息的验证，详细配置指令和信息见附录四，配置过程中记录内容如下表表四 Radius客户端远程认证配置记录内容所需软件radius客户端接收连接的IP地址域00/24接入密码testing123Radius服务器IP07Client端IP064、 综合配置PPPOE和Radius实现接入和验证功能实现PPPOE的接入控制和Radius的验证服务，以及MYSQL数据库的强大数据支撑的配置综合运用,详细配置指令及信息见附录五，配置过程中记录内容如下表表五 PPPOE+Radius+MYSQL综合配置记录内容的日志文件位置/var/log/pppd.log5、 实际中接入测试开启PPPOE和Radius服务器，并在测试网络中的windows下使用拨号软件进行拨号，通过PPPOE服务器进行接入控制，Radius服务器进行接入验证，详细配置计划及信息见附录六，配置过程记录的内容如下表表六 实际测试网络中配置记录内容PPPOE服务器IP6Radius服务器IP07WINDOWS客户端IP4【实验结果和现象分析】通过wireshark抓包软件在Radius服务器上进行抓包分析Radius验证过程如下图Access RequestAccess AcceptAccounting-Request Accounting-ResponesRadius 验证过程Windows成功通过了PPPOE的接入控制，获取到了内网的IP地址，并通过PPPOE服务器的NAT转发机制顺利的连上了互联网。【实验总结和心得体会】此次实验并无编程的过程，主要是对基于LINUX系统的服务器软件进行配置。锻炼的是学生的动手性和配置过程中查找问题、解决问题的方式方法。本次实验过程中我主要采取了步步为营的策略进行服务器的配置，首先，将问题分为三个大块，然后再将每个大块分为几个小块，从小块开始配置调试解决问题；然后将这些小块组成大块进行配置、调试；最后，将所有的三个大块和在一起就完成了本次实验。本次通过实践让我知道了PPPOE的接入控制过程和Radius的验证过程，以及我们接入网络的过程有了一定的了解。附录1因为Centos5.6默认安装了ppp和pppoe-server，直接进行配置就行。切换到/etc/ppp目录#cd /etc/ppp编辑pppoe-server-options文件#vi pppoe-server-options#PPP options for the PPPoE server#LIC: GPL#require-paprequire-chap /验证方式chaploginlcp-echo-interval 10lcp-echo-failure 2ms-dns 8 /dns编辑chap验证的用户名和密码。选择pap时就编辑chap-secrets.#vi chap-secrets#Secrets for the authentication using CHAP#clientserversecretIPaddressespwl *pwl1225*puwenlong*pwl1225*开启本地验证#vi optionslocal打开路由转发#echo “1” /proc/sys/net/ipv4/ip_forward启动pppoe-server#/usr/sbin/pppoe-server I eth1 L R 0 N 10开启NAT转发#iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE附录2安装必需的软件#yum install gcc#yum install gcc-c+#yum install gcc-g77#yum install flex autoconf zlib curl zlib-devel curl-devel bzip2 bzip2-devel ncurses-devel libjpeg-devel libpng-devel libtiff-devel freetype-devel pam-devel#yum install openssl-devel将freeradius-server-2.1.12.tar.gz 放到/usr/local目录#mv /tmp/freeradius-server-2.1.12.tar.gz /usr/local/切换到/use/local目录#cd /usr/local解压freeradius-server-2.1.12.tar.gz包#tar zxvf freeradius-server-2.1.12.tar.gz 进入freeradius-server-2.1.12目录#cd freeradius-server-2.1.12编译安装freeradius-server-2.1.12#./configure#make & make install进入radius配置目录#cd /usr/local/etc/raddb编辑users文件，并添加内容#vi userssteve Cleartext-Password := testing Service-Type = Framed-User, Framed-Protocol = PPP, Framed-IP-Address = 3, Framed-IP-Netmask = , Framed-Routing = Broadcast-Listen, Framed-Filter-Id = std.ppp, Framed-MTU = 1500, Framed-Compression = Van-Jacobsen-TCP-IP进入radius debug模式#radius X另外开启一个终端，键入下面命令#/usr/local/bin/radtest steve testing localhost 1812 testing123看到 Access-Accept 之类的字样就表示radius安装成功了。附录3将下载的MySQL-5.5.21-1.linux2.6.i386.tar 放到/usr/local目录,并解压#cd ./ tar xzf MySQL-5.5.21-1.linux2.6.i386.tar /usr/local#tar xzf MySQL-5.5.21-1.linux2.6.i386.tar安装mysq的lrpm包#rpm -ivh MySQL-server-5.5.21-1.linux2.6.i386.rpm#rpm -ivh MySQL-client-5.5.21-1.linux2.6.i386.rpm#rpm -ivh MySQL-devel-5.5.21-1.linux2.6.i386.rpm启动mysql服务#service mysql start更改mysql管理账户root的密码为123456#/usr/bin/mysqladmin -u root password 123456进入MYSQL, 创建数据库radius后推出数据库。#mysql -u root -p123456mysqlcreat database radius;mysqlexit; 进入usr/local/etc/raddb/sql/mysql下，把数据库表导入到数据库中#mysql -u root -p radius use radius;建立组信息：mysql insert into radgroupreply (groupname,attribute,op,value) values (user,Auth-Type,:=,Local);Query OK, 1 row affected (0.01 sec)mysql insert into radgroupreply (groupname,attribute,op,value) values (user,Service-Type,:=,Framed-User);Query OK, 1 row affected (0.00 sec)mysql insert into radgroupreply (groupname,attribute,op,value) values (user,Framed-IP-Address,:=,55);Query OK, 1 row affected (0.00 sec)mysql insert into radgroupreply (groupname,attribute,op,value) values (user,Framed-IP-Netmask,:=,);Query OK, 1 row affected (0.01 sec)建立用户信息：mysql insert into radcheck (username,attribute,op,value) values (test,User-Password,:=,test);Query OK, 1 row affected (0.00 sec)将用户加入组中：mysql insert into usergroup (username,groupname) values (test,user);Query OK, 1 row affected (0.01 sec)退出数据库mysqlexit; 加入rlm_sql_mysql的相关库文件#cd src/modules/rlm_sql/drivers/rlm_sql_mysql/#./configure -with-mysql-dir=/usr/share/mysql/ -with-mysql-lib-dir=/usr/lib/mysql/lib/#make;make install#cp -a /usr/local/lib/rlm_sql_mysql* /usr/lib关闭防火墙#/etc/init.d/iptables stop测试radius，如果显示信息中Access-Aceept字样则freeradius+MYSQL安装配置成功。#radiusd X#radtest test test localhost 0 testing123Sending Access-Request of id 222 to port 1812User-Name = testUser-Password = testNAS-IP-Address = NAS-Port = 0rad_recv: Access-Accept packet from host port 1812, id=222, length=38Service-Type = Framed-UserFramed-IP-Address = 55Framed-IP-Netmask = 附录四Radius服务器端配置修改客户端/usr/local/etc/raddb/clients.conf#vi /usr/local/etc/raddb/clients.confclient 00/24 secret = testing123 shortname = puwenlongRadius客户端的配置获取radius客户端的相关配置文件，进行远程认证#tar xvfz ppp-2.4.4.tar.gz #cd ppp-2.4.4 #cd pppd/plugins/radius/etc/ #cp * /etc/ppp/radiuds/编辑radius客户端的radiusclient.conf 文件#vi /usr/local/etc/radiusclient/radiusclient.confauth_orderradius,locallogin_tries4login_timeout60nologin /etc/nologinauthserver 07acctserver 07servers/etc/ppp/radius/serversdictionary/etc/ppp/radius/dictionarylogin_radius/usr/local/sbin/login.radiusseqfile/var/run/radius.seqdefault_realmradius_timeout10radius_retries3login_local/bin/login配置server文件，填入远端radius服务器的地址和接入密码#vi /etc/ppp/radius/servers#Server Name or Client/Server pairKey#-#hardlyasecret# don