实训4-3Radius认证服务器的配置

1、第1章 交换机平安配置 实训4-3：Radius认证效力器的配置学时 .本次课要点学习目的重点难点.实训目的掌握安装RADIUS效力器掌握远程访问战略的配置掌握RADIUS客户端的创建学会在交换机上配置AAA认证，并能查看配置结果学会在客户端建立802.1x认证接入.实训背景 某企业要求用户在衔接到网络之前需求输入用户名和密码，只需合法用户才干衔接到企业网络，防止非法用户窃取企业信息或对网络进展攻击。 802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备经过接入端口访问局域网或广域网。在获得交换机或局域网提供的各种业务之前，802.1x对衔接到交

2、换机端口上的用户/设备进展认证。在认证经过之前，802.1x只允许EAPoL基于局域网的扩展认证协议数据经过设备衔接的交换机端口；认证经过以后，正常的数据可以顺利地经过以太网端口。.实训拓扑.实训设备设备数量服务器（安装windows2000/2003操作系统）2台计算机（安装windows操作系统）1台交换机1台.实训步骤1.安装RADIUS效力器2.修正密码战略3.创建用户账户4.设置远程访问战略5.创建RADIUS客户端6.在交换机上启用认证机制7.测试802.1x认证接入8.在交换机上查询配置结果.1.安装RADIUS效力器.1.安装RADIUS效力器假设这台计算机是一台Windows

3、 Server 2003的独立效力器未晋级成为域控制器，也未参与域，那么可以利用SAM来管理用户账户信息；假设是一台Windows Server 2003域控制器，那么利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来平安、稳定，但RADIUS效力器提供的认证功能一样。为便于实训，下面以一台运转Windows Server 2003的独立效力器为例进展引见，该计算机的IP地址为192.168.1.200。.1.安装RADIUS效力器1选择【开场】 【控制面板】 【添加或删除程序】菜单，在翻开的对话框中选择“添加/删除Windows组件，如所示。.1.安装R

4、ADIUS效力器2选择“网络效力组件，单击 按钮，翻开“网络效力对话框，如所示。.1.安装RADIUS效力器3选中“Internet验证效力子组件，单击 按钮，然后单击 按钮进展安装，如所示。4选择【开场】 【管理工具】 【Internet验证效力】菜单，显示“Internet验证效力窗口，如所示。.2.修正密码战略.2.修正密码战略1选择【开场】 【管理工具】 【本地平安战略】菜单，翻开“本地平安设置窗口，依次选择“账户战略 “密码战略，启用“用可复原的加密来储存密码战略项，如所示。 .3.创建用户账户.3.创建用户账户RADIUS效力器安装好之后，需求为一切经过认证才可以访问网络的用户在R

5、ADIUS效力器中创建账户。这样，当用户的计算机衔接到启用了端口认证功能的交换机上的端口上时，启用了IEEE 802.1x认证功能的客户端计算机需求用户输入正确的账户和密码后，才可以访问网络中的资源。.3.创建用户账户1选择【开场】【管理工具】【计算机管理】菜单，翻开“计算机管理窗口，为了方便管理，我们创建一个用户组“8021x专门用于管理需求经过IEEE 802.1x认证的用户账户。选择【计算机管理本地】【系统工具】【本地用户和组】【组】，右击“组，选择【新建组】菜单，输入组名，如所示。.3.创建用户账户2右击“用户，选择【新用户】菜单，输入用户名和密码，如所示。.3.创建用户账户3右击用户

6、“tongjun，选择【属性】菜单，翻开“属性对话框。选择“隶属于标签，单击 按钮，然后将其参与802.1x用户组中，结果如所示。.4.设置远程访问战略.4.设置远程访问战略在RADIUS效力器的“Internet验证效力窗口中，需求为交换机以及经过该交换机进展认证的用户设置远程访问战略。详细方法如下：1选择【开场】【管理工具】【Internet验证效力】菜单，右击“远程访问战略，选择【新建远程访问战略】菜单，如所示。.4.设置远程访问战略2在“战略配置方法窗口，选择配置方式为“运用导游方式，输入“战略名，如所示.4.设置远程访问战略3在“访问方法窗口，选择访问方法为“以太网，如所示。.4.设

7、置远程访问战略4在“用户或组访问窗口，选择授权方式，将之前添加的802.1x用户组参与答应列表，如所示。.4.设置远程访问战略5在“身份验证方法窗口，选择身份验证方法为“MD5-质询，如所示。.4.设置远程访问战略6确认设置，单击 按钮，完成战略的配置，如所示。.4.设置远程访问战略7在“Internet验证效力窗口，删掉其它的战略，只保管新建的访问战略，如所示。.5.创建RADIUS客户端.5.创建RADIUS客户端RADIUS客户端，是指本实训中的交换机设备，在实践运用中也可以是VPN效力器、无线AP等，而不是用户端的计算机。RADIUS效力器只会接受由RADIUS客户端设备发过来的恳求，

8、为此需求在RADIUS效力器上来指定RADIUS客户端。1在“Internet验证效力窗口，右击“RADIUS客户端，选择【新建RADIUS客户端】菜单，如所示。.5.创建RADIUS客户端2在“称号和地址窗口，设置RADIUS客户端的称号和IP地址。客户端IP地址即交换机的管理IP地址，我们这里是192.168.1.254，如所示。.5.创建RADIUS客户端3在“其他信息窗口，设置共享密钥和认证方式。认证方式选择“RADIUS Standard，要记住密钥，后面配置交换机的密钥要坚持一致，如所示。.5.创建RADIUS客户端4配置完成后，在“Internet验证效力窗口，会显示已创建的RA

9、DIUS客户端，如所示。.6.在交换机上启用认证机制.6.在交换机上启用认证机制1在交换机上启用AAA认证SW (config)#aaa new-model (启用AAA认证)SW (config)# aaa authentication dot1x ruijie group radius (启用dot1x认证)SW (config)# dot1x authentication ruijieSW (config)#interface vlan 1 SW (config-if)#ip address 192.168.1.254 255.255.255.0 SW (config-if)#exit

10、.6.在交换机上启用认证机制2指定RADIUS效力器的IP地址和交换机与RADIUS效力器之间的共享密钥，此处配置的密钥要与RADIUS效力器上配置的一致。SW(config)#radius-server host 192.168.1.200SW(config)#radius-server key cqcet3启用 F0/24 端口的 802.1x认证 SW(config)#interface fastEthernet 0/3 SW(config-if)#dot1x port-control auto .7.测试802.1x认证接入.7.测试802.1x认证接入1将要进展认证接入的计算机接入交

11、换机的FastEthernet0/3端口，设置IP地址为192.168.1.1(随意设置，只需不跟认证效力器IP及交换机管理IP冲突即可)2为保证计算机支持802.1x验证，请确认“Wireless Configuration效力正常开启，如所示。.7.测试802.1x认证接入3右击桌面上的“网上邻居，选择【属性】菜单，进入“网络衔接窗口，如所示。.7.测试802.1x认证接入4右击“本地衔接，选择【属性】菜单，在翻开的窗口中选择“身份验证标签，选中“启用IEEE 802.1x验证，EAP类型设置为“MD5-质询，如所示。.7.测试802.1x认证接入5单击 按钮，过一会即可看到义务栏右侧的托盘信息，如所示。.7.测试802.1x认证接入6单击该信息提示，翻开“输入凭据窗口，要求输入用户名和密码。这里我们输入之前配置的用户名和密码，单击 按钮。.7.测试802.1x认证接入7验证胜利后可以ping通效力器，同时可以察看到交换机FastEthernet0/3端口指示灯曾经由黄色变为绿色。8选择【开场】【管理工具】【事件查看器】菜单，选择“系统，双击右侧的事件，可找到802.1x的验证日志，如所示。.8.在交换机上查询配置结果.8.在交换机上查询配置结果1查询radius效力器，显示效力器的信息。R