Radius认证服务器的配置与应用

Radius认证效劳器的配置与应用(802.lx)

环境：Windows2022Radius效劳器+Cisco2950交换机+WindowsXP/2022客户端

IEEE802.1X协议

IEEE802.lx是一个基于端口的网络访问掌握协议，该协议的认证体系构造中承受了''可控端口"和',不行

控端口”的规律功能，从而实现认证与业务的分别，保证了网络传输的效率。IEEE802系列局域网(LAN)标

准占据着目前局域网应用的主要份额，但是传统的IEEE802体系定义的局域网不供给接入认证，只要用

户能接入集线器、交换机等掌攫设备，用户就可以访问局域网中其他设备上的资源，这是•个安全隐患，同时

也不便于实现对局域网接入用户的治理。IEEE802.1X是一种基于端口的网络接入掌握技术，在局域网设

备的物理接入级对接入设备(主要是计算机)进展认证和掌握。连接在交换机端口上的用户设备假设能通

过认证，就可以访问局域网内的资源，也可以接入外部网络(如Internet)：假设不能通过认证，则无法

访问局域网内部的资源，同样也无法接入Internet,相当于物理上断开了连接。

IEEE802.lx协议承受现有的可扩展认证协议(ExtensibleAuthenticationProtocol,EAP),它是

IETF提出的PPP协议的扩展，最早是为解决基于IEEE802.11标准的无线局域网的认证而开发的。虽然

IEEE802.1X定义了基于端口的网络接入掌握协议，但是在实际应用中该协议仅适用于接入设备与接入端

口间的点到点的连接方式，其中端口可以是物理端口，也可以是规律端口。典型的应用方式有两种：一种

是以太网交换机的一个物理端口仅连接一个计算机；另一种是基于无线局域网(WLAN)的接入方式。其

中，前者是基于物理端口的，而后者是基于规律端口的。目前，几乎全部的以太网交换机都支持IEEE

802.lx协议。

RADIUS效劳器

RADIUS(RemoteAuthenticationDialInUserService,远程用户拨号认证效劳)效劳器供给了三

种根本的功能：认证(Authentication).授权(Authorization)和审计(Accounting),即供给了

3A功能。其中审计也称为''记账"或''计费

RADIUS协议承受「客户机/效劳器：QS)工作模式。网络接入效劳器(NetworkAccessServer.NAS)

是RADIUS的客户端，它负责将用户的验证信息传递给指定的RADIUS效劳器，然后处理返回的响应。

RADIUS效劳器负责接收用户的连接恳求，并验证用户身份，然后返回全部必需要配置的信息给客户端用

户，也可以作为其他RADIUS效劳器或其他类认证效劳器的代理客户端。效劳器和客户端之间传输的全部

数据通过使用共享密钥来验证，客户端和RADIUS效劳器之间的用户密码经过加密发送，供给了密码使用

的安全性。

基于IEEE802.1X认证系统的组成

一个完整的基于IEEE802.lx的认证系统由认证客户端、认证者和认证效劳器3局部(角色)组成。

认证客户端。认证客户端是最终用户所粉演的角色，一般是个人计算机。它恳求对网络效劳的切问，并对

认证者的恳求报文进展应答。认证客户端必需运行符合IEEE802.1X客户端标准的软件，目前最典型的

就是WindowsXP操作系统自带的正EE802.1X客户端支持。另外，•些网络设备制造商也开发了自己

的IEEE802.1X客户端软件,

认证者认证者一般为交换机等接入设备。该设备的职责是依据认证客户端当前的认证状态掌握其与网络的

连接状态。扮演认证者角色的设备有两种类型的端口：受控端口(controlledPort)和非受控端口

(uncontrolledPort).其中，连接在受控端口的用户只有通过认证才能访问网络资源：而连接在非受控

端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上，便可以实现对用户的掌握；非

受控端口主要是用来连接认证效劳器，以便保证效劳器与交换机的正常通讯。

认证效劳器认证效劳器通常为RADIUS效劳器。认证效劳器在认证过程中与认证者协作，为用户供给认证

效劳。认证效劳器保存了用户名及密码，以及相应的授权信息，一台认证效劳器可以对多台认证者供给认

证效劳，这样就可以实现对用户的集中治理。认证效劳器还负责治理从认证者发来的审计数据。微软公司

的WindowsServer2022操作系统自带有RADIUS效劳器组件。

试验拓扑图

使用802.lx

协议的计算机

172.17.2.5/24

安装RADIUS效劳器

假设这台计算机是一台WindowsServer2022的独立效劳器（未升级成为域掌握器，也未参加域：，则

可以利用SAM来治理用户账户信息；假设是一台WindowsServer2022域掌握器，则利用活动名目数

据库来治理用户账户信息。虽然活动名目数据库治理用户账户信息要比利用SAM来安全、稳定，但RADIUS效

劳器供给的认证功能一样。为便于试验，下面以一台运行WindowsServer2022的独立效劳器为例进展

介绍，该计第机的IP地址为54。

在''掌握面板”中双击"添加或删除程序“，在弹出的对话框中选择“添加/删除Windows组件“

网瑞军务凶

要添加或册1除某个组件，洋单击旁边的复选椎.灰色椎表示只会安装该娼件的一

部分,要查看组件内容，诘单击“详细信息”。

网络服务的子组件©:

描法;VTN联网用户的身份验证、授权和记帐。IAS支持RADIUS

所需磁盘空间:21MB详细信息⑪.」

可用磁盘空间:6338.9MB----------------------

确定|取消|

在“掌握面板”下的“治理工具”中翻开“Internet验证效劳“窗口

创立用户账户

RADIUS效劳器安装好之后，需要为全部通过认证才能够访问网络的用户在RADIUS效劳器中创立账户。

这样，当用户的计算机连接到启用了端口认证功能的交换机上的端口上时，启用了IEEE802.lx认证功

能的客户端计算机需要用户输入正确的账户和密码后，才能够访问网络中的资源。

在“掌握面板”卜.的“治理工具”中翻开“计算机治理"，选择“本地用户和组“

为了便利治理，我们创立一个用户组“802.lx“特地用于治理镭要经过IEEE802.lx认证的用户账户。

鼠标右键单击“组”，选择”建组”，输入组名后创立组。

在添加用户之前，必需要提前做的是，翻开“掌握面板"治理工具''下的"本地安全策略”，依次选

择“账户策略”密码策略“，启用”用可复原的加密来储存密码”策略项。

器本坳安全”置二101区

文件⑻操作⑹查看⑦帮助卸

①土旧的乂Gff的|国隹）

僮安全设置策略安全设置

1-2幡尸策咯；得密码必须符合爱杂性要求巳禁用

□3密码策略邻码长度最小值0个字符

用3帐户线定策略密码最长使用期限42天

141J本地第喀里］密码最短使用期限0天

图」公钥策晒毂强制密码历史0个记住的密码

网」软件限制策略用可还原的加密来储存峦码已总用

W电IP安全策略，荏：Li1

U1J

否则以后认证的时候将会消灭以下错误提示。

接卜来我们添加用户账户“0801010047“，设置密码“123鼠标右键单击”用户选择”用户

“，输入用户名和密码，创立用户。

将用户**0801010047”参加到“802.lx”用户组中。鼠标右键单击用户"0801010047”，选择

“属性在弹出的对话框中选择“隶属于“，然后将其参加“802.1X“用户组中。

设置远程访问策略

在RADIUS效劳器的"Internet验证效劳”窗口中，需要为Cisco2950交换机以及通过该交换机进展认证

的用户设置远程访问策略。具体方法如下：

建远程访问策略，鼠标右键单击”远程访问策略”，选择“建远程访问策略”

/Internet验证展务

文件更）操作Q）查看&）福

+I廊I图|像国|而"

勤；irW；；里由良寥乐谑5T"

3RADIUS蓼户端

,■■■-CJ远程访问记录

汴狎汴谕倬*

新建远程击问策略’9

新建区）

刷新区）

帮助区）

选择配置方式，这里我们使用向导模式

选择访问方法，以太网

选择授权方式，将之前添加的“802.lx"用户组参加许可列表

选择身份验证方法，“MD5-质询

确认设置信息

只保存建的访问策略，删抻其他的

创立RADIUS客户端

需要说明的是，这里要创立的RADIUS客户端，是指类似于图3中的交换机设备，在实际应用中也可以是

VPN效劳器、无线AP等，而不是用户端的计算机。RADIUS效劳器只会承受由RADIUS客户端设备发

过来的恳求，为此需要在RADIUS效劳器上来指定RADIUS客户端。以图3的网络拓扑为例，具体步骤

如下:

建RADIUS客户端。鼠标右键单击“RADIUS客户端"，选择"建RADIUS客户端“

>Internet验证展务

文件9操作®查看9帮助如

仁，I囱也［cjj@哈|图由

Internet版证服务体地）好记的名称

RAITT昨3T户流

此视图中没有可温

新建蚁DI底客户端©

国」

设置RADIUS客户端的名称和IP地址。客户端IP地址即交换机的治理IP地址，我们这里足50,

等会说明如何配置。

设置共享密钥和认证方式。认证方式选择“RADIUSStandard”，密钥请记好，等会配置交换机的时

候这个密钥要•样。

显示已创立的RADIUS客户端

在交换机上启用认证机制

RADIUS服务器应用服务器（WW、FTP等）

172.17.2.254/24172.17.2.100/24

使用802.1K

协议的计肆机

172.17.2.5/24

现在对支持IEEE802.1X认证协议的交换机进展配置，使它能够接授用户端的认证恳求，并将恳求转发

给RADIUS效劳器进展认证，最终将认证结果返回给用户端。在拓扑图中：

RADIUS认证效劳器的IP地址为54/24

交换机的治理IP地址为50/24

需要认证的计算机接在交换机的FastEthernetO/5端口上

因此我们试验时只对FastEthernetO/5端图进展认证，其他端匚可不进展设置。具体操作如下：

使用Console口登陆交换机，设苴交换机的治理IP地址

Cisco2950>enable

Cisco2950#configureterminal

Cisco2950(config)#interfacevlan1(配苴二层交换机治理接口IP地址)

Cisco2950(config-if)#ipaddress50

Cisco2950(config-if)#noshutdown

Cisco2950(config-if)#end

Cisco2950#wr

在交换机上启用AAA认证

Cisco2950#configureterminal

Cisco2950(config)#aaanew-model(启用AAA认证)

Cisco2950(config)#aaaauthenticationdotlxdefaultgroupradius(启用dotlx认证)

Cisco2950(config)#dotlxsystem-auth-control(启用全局dotlx认证)

指定RADIUS效劳器的IP地址和交换机与RADIUS效劳器之间的共享密钥

Cisco2950(config)#radius-serverhost54keyslyar(设置验证效劳器IP及密用)

Cisco2950(config)#radius-serverretransmit3(设置“RADIUS效劳器尝试连接次数为3次)

配置交换机的认证端口，可以使用interfacerange命令批量配置端口，这里我们只对FastEthernetO/5

启用IEEE802.lx认证

Cisco2950(config)#interfacefastEthernet0/5

Cisco2950(config-if)#switchportmodeaccess(设置端口模式为access)

Cisco2950(config-if)#dotlxport-controlauto(设置802.lx认证模式为自动)

Cisco2950(config-if)#dotlxtimeoutquiet-period10(设置认证失败重试时间为10秒)

Cisco2950(config-if)#dotlxtimeoutreauth-period30(设置认证失败重连时间为30秒)

Cisco2950(config-lf)#dotlxreauthentication(启用802.lx认iiE)

Cisco2950(config-if)#spanning-treeportfast(开启端口portfast特性)

Cisco2950(config-if)#end

Cisco2950#wr

测试802.lx认证接入

1、将要进展认证接入的计算机接入交换机的FastEthernetO/5端口，设置.