第15章RADIUS认证服务器的安装与配置实训

第15章RADIUS认证服务器的安装与配置实训实训目的与实训环境实训目的了解无线相关基本知识了解802.1X相关基本知识掌握RAIDIUS服务器的安装和配置实训环境WindowsServer2003计算机一台运行WindowsXP/WindowsServer2003/Windows7操作系统的PC一台带无线网卡的PC一台普通交换机一台，思科2950交换机一台，TP-Link710N无线路由器一台无线相关知识介绍无线通信用的电磁波频谱几种主要无线协议的频宽和最大传输速率协议频宽最大传输宰802.11a5.8GHz54Mbit/s802.11b2.4GHz11Mbit/s802.11g2.4GH/5.8GHz22～54Mbit/s802.11n2.4GHz300Mbit/sHomeRF2.4GHz10Mbit/sHiperLAN25GHz54Mbit/sIrDA1.5MHz9.6kbit/s～4Mbit/sBluetooch2.4GHz720kbit/s～1Mbit/s802.162.66GHz2Mbit/s～155Mbit/sWi-Fi2.4GHz11Mbit/s802.1x认证系统的组成一个完整的基于IEEE802.1x的认证系统由认证客户端、认证者和认证服务器3部分（角色）组成。认证客户端认证客户端是最终用户所扮演的角色，一般是运行符合IEEE802.1x客户端标准的软件个人计算机。认证者一般为交换机等接入设备认证服务器认证服务器通常为RADIUS服务器RADIUS服务器网络模型如图15.2所示图15.2实训步骤1.网络配置RADIUS服务器IP:192.168.1.254/24RADUIS客户端思科2950…………Fastethernet0/1端口IP:192.168.1.2/24TP710N无线路由IP:192.168.1.253/24RADIUS服务器是一台运行WindowsServer2003的独立服务器，该计算机的IP地址为192.168.1.254。如果这台计算机是一台WindowsServer2003的独立服务器（未升级成为域控制器，也未加入域），则可以利用SAM来管理用户账户信息；如果是一台WindowsServer2003域控制器，则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定，但RADIUS服务器提供的认证功能相同。交换机为思科2950。AP为支持802.1X的无线路由器，这里使用到了TP-Link710N。网络中相关设备的参数如下：2.安装RADIUS服务器1、在“控制面板”中双击“添加或删除程序”，在弹出的对话框中选择“添加/删除Windows组件”，在弹出的“Windows组件向导”中选择“网络服务”组件，如图15.4所示。图15.42、单击“详细信息”，勾选“Internet验证服务”子组件。如图15.5所示。图15.53、然后单击“确定”按钮。按提示点“下一步”安装完毕，最后单击“完成”按钮就完成安装。图略。3.RADIUS服务器的配置1．创建用户账户在桌面上右键“我的电脑”，选“管理”，进入计算机管理面板，选择“本地用户和组”，如图15.6所示。图15.6为了方便管理，我们创建一个用户组“802.1x”专门用于管理需要经过IEEE802.1x认证的用户账户。鼠标右键单击“组”，选择“新建组”，输入组名后创建组。新建的组如图15.7所示。图15.7在添加用户之前，还要配置的是，打开“控制面板”→“管理工具”→“本地安全策略”，依次选择“账户策略”→“密码策略”，启用“用可还原的加密来储存密码”策略项。否则以后认证的时候将会出现错误提示。启用的“用可还原的加密来储存密码”策略项如图15.8所示。图15.8接下来我们添加用户账户“8000130001”，设置密码“1234”。在“计算机管理”→“本地用户和组”中鼠标右键单击“用户”，选择“新用户”，输入用户名和密码，创建用户。创建新用户如图15.9所示。图15.9图15.10将用户“8000130001”加入到“802.1x”用户组中。鼠标右键单击用户“8000130001”，选择“属性”。在弹出的对话框中选择“隶属于”，然后将其加入“802.1x”用户组中。如图15.10所示。图15.112．设置远程访问策略在“控制面板”下的“管理工具”中打开“Internet验证服务”窗口。如图15.11所示。图15.12在RADIUS服务器的“Internet验证服务”窗口中，需要为通过有线接到Cisco2950交换机和通过无线接入到AP的用户设置远程访问策略。具体方法如下：右键树型目录中的“远程访问策略”，选择“新建远程访问策略”，打开配置向导。选择配置方式，这里我们使用向导模式。输入策略名，这里填写的是“802.1x”，如图15.12所示。图15.13单击“下一步”。选择访问方法，有4种，分别是VPN，拨号，无线和以太网。本次实训使用到了以太网和无线。所以，先给接入思科2956交换机的用户配置访问策略，所以选择“以太网”。创建完了再添加一个“无线”用以AP接入，如图15.13所示。图15.14单击“下一步”。选择授权方式，将之前添加的“802.1x”用户组加入许可列表。如图15.14所示。图15.15点“确定”。“下一步”，选择身份验证方法，这里选择“MD5-质询”。如图15.15所示。图15.16确认设置信息，完成新建远程访问策略。用同样的方法再添加一个名为“AP-1”的远程访问策略，稍微不同的是访问方法为“无线”，身份验证方法选择为“受保护的EAP（PEAP）”。创建好后如图15.16所示。图15.173．创建RADIUS客户端这里创建的RADIUS客户端，是指类似于实训拓扑图15.3中的交换机、AP设备，也可以是VPN服务器等，而不是用户端的计算机。新建RADIUS客户端。鼠标右键单击“RADIUS客户端”，选择“新建RADIUS客户端”,如图15.17所示。图15.18设置RADIUS客户端的名称和IP地址。客户端IP地址即交换机和AP的管理IP地址，我们这里是192.168.1.2和192.168.1.253。新建的思科2950客户端如图15.18所示。图15.19点击“下一步”，设置共享密钥和认证方式。认证方式选择“RADIUSStandard”，密钥请记好，这里配置成“123456”，在接下来的配置交换机的过程中需要与这个密钥要相同。如图15.19所示。图15.20同样方法添加AP客户端，设置共享密钥和认证方式一样，密码也为“123456”。创建好的RADIUS客户端如图15.20所示。4.配置RADUIS客户端1．启用交换机上的端口认证。在本次实训拓扑图中：交换机的管理IP地址为192.168.1.2/24，AP的IP为192.168.1.253/24需要接入网络认证计算机接在交换机的FastEthernet0/1端口上RADIUS认证服务器的IP地址为192.168.1.254/24，此服务器随便接交换机其他端口RADIUS服务器IP:192.168.1.254/24RADUIS客户端思科2950…………Fastethernet0/1端口IP:192.168.1.2/24TP710N无线路由IP:192.168.1.253/24因为我们实训时只对FastEthernet0/1端口进行认证，其他端口可不进行设置。如果需要对一批端口开启认证，可使用range批量设置。单一端口开启认证具体操作如下：1）使用Console口登陆交换机，设置交换机的管理IP地址Cisco2950enableCisco2950#configureterminalCisco2950(config)#interfacevlan1(配置二层交换机管理接口IP地址)Cisco2950(config-if)#ipaddress192.168.1.2255.255.255.0Cisco2950(config-if)#noshutdownCisco2950(config-if)#end注：此时实训如有困难，可参照本教材第19章关于交换机配置方法。2）在交换机上启用AAA认证。配置命令如下：Cisco2950#configureterminalCisco2950(config)#aaanew-model(启用AAA认证)Cisco2950(config)#aaaauthenticationdot1xdefaultgroupradius(启用dot1x认证)Cisco2950(config)#dot1xsystem-auth-control(启用全局dot1x认证)Cisco2950(config)#radius-serverhost192.168.1.254key123456(设置验证服务器IP及密钥，在RADIUS服务器配置时设置了密钥为“123456”)Cisco2950(config)#radius-serverretransmit3(设置与RADIUS服务器尝试连接次数为3次)3）配置交换机的认证端口。可以使用interfacerange命令批量配置端口，这里我们只对FastEthernet0/1启用IEEE802.1x认证。配置命令如下：Cisco2950(config)#interfacefastEthernet0/1Cisco2950(config-if)#switchportmodeaccess(设置端口模式为access)Cisco2950(config-if)#dot1xport-controlauto(设置802.1x认证模式为自动)Cisco2950(config-if)#dot1xtimeoutquiet-period10(设置认证失败重试时间为10秒)Cisco2950(config-if)#dot1xtimeoutreauth-period30(设置认证失败重连时间为30秒)Cisco2950(config-if)#dot1xreauthentication(启用802.1x认证)Cisco2950(config-if)#spanning-treeportfast(开启端口portfast特性)Cisco2950(config-if)#end2．在AP上启用802.1X1）按照所选用的AP的配置管理方法，进入到AP的管理界面，本次实训用的是TP-Link的710N，登陆IP设置了192.168.1.253（出厂默认是192.168.1.253）。按照实训的网络拓扑，设置其为“AP”工作模式，不开启DHCP。2）关键一步，在无线路由中设置无线安全。勾选“WPA/WPA2”，认证类型这里设置为“WPA”，加密算法为“TKIP”，填入Radius服务器的IP：192.168.1.254，Radius密码设置成配置服务器时的同样密码，这里是“123465”，保存。AP配置参考如图15.21所示。图15.21测试802.1x认证接入1．有线接入方式认证测试。1）将要进行认证接入的用户计算机接入交换机的FastEthernet0/1端口，设置IP地址为172.17.2.X(随便设置，只要不跟认证服务器IP及交换机管理IP冲突即可)。2）在“本地连接”的“验证”标签栏中启用IEEE802.1x验证，EAP类型设置为“MD5-质询”，其余选项可不选。如图15.22所示。如果没有验证选项卡，请确认WirelessZeroConfiguration和WiredAutoConfig服务正常开启，启动方法从桌面右键“我的电脑”→“管理”→“服务和应用程序”→“服务”找到对应的两项服务，启动。如果之前配置没有问题，过一会即可看到托盘菜单弹出要求点击进行验证，如图15.23所示。图15.23图15.222．无线接入方式认证测试。1）在无线用户设备上（这里使用了一台笔记本）设置“无线网卡”→“本地连接”→“属性”来配置无线网卡属性。这里的AP接入点的SSID号为“xu