资源预览内容
第1页 / 共40页
第2页 / 共40页
第3页 / 共40页
第4页 / 共40页
第5页 / 共40页
第6页 / 共40页
第7页 / 共40页
第8页 / 共40页
第9页 / 共40页
第10页 / 共40页
亲,该文档总共40页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述
第第15章章RADIUS 认证服务器的安装与认证服务器的安装与配置实训配置实训实训目的与实训环境实训目的与实训环境l实训目的实训目的l了解无线相关基本知识l了解802.1X相关基本知识l掌握RAIDIUS服务器的安装和配置l实训环境实训环境 lWindowsServer2003计算机一台l运行WindowsXP/WindowsServer2003/Windows7操作系统的PC一台l带无线网卡的PC一台l普通交换机一台,思科2950交换机一台,TP-Link710N无线路由器一台无线相关知识介绍无线相关知识介绍l无线通信用的电磁波频谱无线通信用的电磁波频谱l几种主要无线协议的频宽和最大传输速率几种主要无线协议的频宽和最大传输速率协议协议频宽频宽最大传输宰最大传输宰802.11a5.8GHz54Mbit/s802.11b2.4GHz11Mbit/s802.11g2.4GH/5.8GHz2254Mbit/s802.11n2.4GHz300Mbit/sHomeRF2.4GHz10Mbit/sHiperLAN25GHz54Mbit/sIrDA1.5MHz9.6kbit/s4Mbit/sBluetooch2.4GHz720kbit/s1Mbit/s802.162.66GHz2Mbit/s155Mbit/sWi-Fi2.4GHz11Mbit/s802.1x认证系统的组成认证系统的组成l一个完整的基于IEEE802.1x的认证系统由认证客户端、认证者和认证服务器3部分(角色)组成。l认证客户端认证客户端是最终用户所扮演的角色,一般是运行符合IEEE802.1x客户端标准的软件个人计算机。l认证者一般为交换机等接入设备l认证服务器认证服务器通常为RADIUS服务器RADIUS服务器网络模型如图15.2所示图15.2实训步骤实训步骤1.网络配置网络配置lRADIUS服务器是一台运行WindowsServer2003的独立服务器,该计算机的IP地址为192.168.1.254。如果这台计算机是一台WindowsServer2003的独立服务器(未升级成为域控制器,也未加入域),则可以利用SAM来管理用户账户信息;如果是一台WindowsServer2003域控制器,则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定,但RADIUS服务器提供的认证功能相同。l交换机为思科2950。lAP为支持802.1X的无线路由器,这里使用到了TP-Link710N。网络中相关设备的参数如下:网络中相关设备的参数如下:2.安装安装RADIUS服务器服务器1、在“控制面板”中双击“添加或删除程序”,在弹出的对话框中选择“添加/删除Windows组件”,在弹出的“Windows组件向导”中选择“网络服务”组件,如图15.4所示。图15.42、单击“详细信息”,勾选“Internet验证服务”子组件。如图15.5所示。图15.53、然后单击“确定”按钮。按提示点“下一步”安装完毕,最后单击“完成”按钮就完成安装。图略。3. RADIUS服务器的配置服务器的配置1创建用户账户在桌面上右键“我的电脑”,选“管理”,进入计算机管理面板,选择“本地用户和组”,如图15.6所示。图15.6为了方便管理,我们创建一个用户组“802.1x”专门用于管理需要经过IEEE802.1x认证的用户账户。鼠标右键单击“组”,选择“新建组”,输入组名后创建组。新建的组如图15.7所示。图15.7在添加用户之前,还要配置的是,打开“控制面板”“管理工具”“本地安全策略”,依次选择“账户策略”“密码策略”,启用“用可还原的加密来储存密码”策略项。否则以后认证的时候将会出现错误提示。启用的“用可还原的加密来储存密码”策略项如图15.8所示。图15.8接下来我们添加用户账户“8000130001”,设置密码“1234”。在“计算机管理”“本地用户和组”中鼠标右键单击“用户”,选择“新用户”,输入用户名和密码,创建用户。创建新用户如图15.9所示。图15.9图15.10将用户“8000130001”加入到“802.1x”用户组中。鼠标右键单击用户“8000130001”,选择“属性”。在弹出的对话框中选择“隶属于”,然后将其加入“802.1x”用户组中。如图15.10所示。图15.112设置远程访问策略在“控制面板”下的“管理工具”中打开“Internet验证服务”窗口。如图15.11所示。图15.12在RADIUS服务器的“Internet验证服务”窗口中,需要为通过有线接到Cisco2950交换机和通过无线接入到AP的用户设置远程访问策略。具体方法如下:右键树型目录中的“远程访问策略”,选择“新建远程访问策略”,打开配置向导。选择配置方式,这里我们使用向导模式。输入策略名,这里填写的是“802.1x”,如图15.12所示。图15.13单击“下一步”。选择访问方法,有4种,分别是VPN,拨号,无线和以太网。本次实训使用到了以太网和无线。所以,先给接入思科2956交换机的用户配置访问策略,所以选择“以太网”。创建完了再添加一个“无线”用以AP接入,如图15.13所示。图15.14单击“下一步”。选择授权方式,将之前添加的“802.1x”用户组加入许可列表。如图15.14所示。图15.15点“确定”。“下一步”,选择身份验证方法,这里选择“MD5-质询”。如图15.15所示。图15.16确认设置信息,完成新建远程访问策略。用同样的方法再添加一个名为“AP-1”的远程访问策略,稍微不同的是访问方法为“无线”,身份验证方法选择为“受保护的EAP(PEAP)”。创建好后如图15.16所示。图15.173创建RADIUS客户端这里创建的RADIUS客户端,是指类似于实训拓扑图15.3中的交换机、AP设备,也可以是VPN服务器等,而不是用户端的计算机。新建RADIUS客户端。鼠标右键单击“RADIUS客户端”,选择“新建RADIUS客户端”,如图15.17所示。图15.18设置RADIUS客户端的名称和IP地址。客户端IP地址即交换机和AP的管理IP地址,我们这里是192.168.1.2和192.168.1.253。新建的思科2950客户端如图15.18所示。图15.19点击“下一步”,设置共享密钥和认证方式。认证方式选择“RADIUSStandard”,密钥请记好,这里配置成“123456”,在接下来的配置交换机的过程中需要与这个密钥要相同。如图15.19所示。图15.20同样方法添加AP客户端,设置共享密钥和认证方式一样,密码也为“123456”。创建好的RADIUS客户端如图15.20所示。4. 配置配置RADUIS客户端客户端1启用交换机上的端口认证。在本次实训拓扑图中:l交换机的管理IP地址为192.168.1.2/24,lAP的IP为192.168.1.253/24l需要接入网络认证计算机接在交换机的FastEthernet0/1端口上RADIUS认证服务器的IP地址为192.168.1.254/24,此服务器随便接交换机其他端口因为我们实训时只对FastEthernet0/1端口进行认证,其他端口可不进行设置。如果需要对一批端口开启认证,可使用range批量设置。单一端口开启认证具体操作如下:1)使用Console口登陆交换机,设置交换机的管理IP地址Cisco2950enableCisco2950#configureterminalCisco2950(config)#interfacevlan1(配置二层交换机管理接口IP地址)Cisco2950(config-if)#ipaddress192.168.1.2255.255.255.0Cisco2950(config-if)#noshutdownCisco2950(config-if)#end注:此时实训如有困难,可参照本教材第注:此时实训如有困难,可参照本教材第19章关于交换机配置方法。章关于交换机配置方法。2)在交换机上启用AAA认证。配置命令如下:Cisco2950#configureterminalCisco2950(config)#aaanew-model(启用AAA认证)Cisco2950(config)#aaaauthenticationdot1xdefaultgroupradius(启用dot1x认证)Cisco2950(config)#dot1xsystem-auth-control(启用全局dot1x认证)Cisco2950(config)#radius-serverhost192.168.1.254key123456(设置验证服务器IP及密钥,在RADIUS服务器配置时设置了密钥为“123456”)Cisco2950(config)#radius-serverretransmit3(设置与RADIUS服务器尝试连接次数为3次)3)配置交换机的认证端口。可以使用interfacerange命令批量配置端口,这里我们只对FastEthernet0/1启用IEEE802.1x认证。配置命令如下:Cisco2950(config)#interfacefastEthernet0/1Cisco2950(config-if)#switchportmodeaccess(设置端口模式为access)Cisco2950(config-if)#dot1xport-controlauto(设置802.1x认证模式为自动)Cisco2950(config-if)#dot1xtimeoutquiet-period10(设置认证失败重试时间为10秒)Cisco2950(config-if)#dot1xtimeoutreauth-period30(设置认证失败重连时间为30秒)Cisco2950(config-if)#dot1xreauthentication(启用802.1x认证)Cisco2950(config-if)#spanning-treeportfast(开启端口portfast特性)Cisco2950(config-if)#end2在AP上启用802.1X1)按照所选用的AP的配置管理方法,进入到AP的管理界面,本次实训用的是TP-Link的710N,登陆IP设置了192.168.1.253(出厂默认是192.168.1.253)。按照实训的网络拓扑,设置其为“AP”工作模式,不开启DHCP。2)关键一步,在无线路由中设置无线安全。勾选“WPA/WPA2”,认证类型这里设置为“WPA”,加密算法为“TKIP”,填入Radius服务器的IP:192.168.1.254,Radius密码设置成配置服务器时的同样密码,这里是“123465”,保存。AP配置参考如图15.21所示。图15.21测试测试802.1x认证接入认证接入1有线接入方式认证测试。1)将要进行认证接入的用户计算机接入交换机的FastEthernet0/1端口,设置IP地址为172.17.2.X(随便设置,只要不跟认证服务器IP及交换机管理IP冲突即可)。2)在“本地连接”的“验证”标签栏中启用IEEE802.1x验证,EAP类型设置为“MD5-质询”,其余选项可不选。如图15.22所示。如果没有验证选项卡,请确认WirelessZeroConfiguration和WiredAutoConfig服务正常开启,启动方法从桌面右键“我的电脑”“管理”“服务和应用程序”“服务”找到对应的两项服务,启动。如果之前配置没有问题,过一会即可看到托盘菜单弹出要求点击进行验证,如图15.23所示。图15.23图15.222无线接入方式认证测试。1)在无线用户设备上(这里使用了一台笔记本)设置“无线网卡”“本地连接”“属性”来配置无线网卡属性。这里的AP接入点的SSID号为“xuanxuan”。如图15.24所示。图15.24选中AP的SSID“xuanxuan”,点“属性”,打开“xuanxuan”的属性“关联”选项卡。因为在AP的802.1X属性参数中设置了WPA-TKIP方式。所以,在“网络身份验证”栏中选“WPA”,“数据加密”栏中选择“TKIP”。关联选项卡配置参数如图15.25所示。图15.25切换到“验证”勾选选项卡,“启用802.1x验证”,EAP类型选择“受保护的EAP(PEAP)”。验证选项卡配置参数如图15.26所示。图15.26点面板上的“属性”,打开“受保护的EAP属性”窗口。在窗口中,不勾选“验证服务器证书”,在“选择验证方法”中选择“受保护的密码(EAP-MSCHAPV2)”,勾选“启用快速重新连接”。受保护的EAP属性窗口中参数配置如图15.27所示。图15.27再点击“配置”,打开“EAPMSCHAPv2属性”窗口。不勾选“自动使用Windows登录名和密码”。如图15.28所示。“确定”后保存配置,关掉无线网卡属性窗口。在桌面右下角无线网卡图标上会弹出提示,要求输入其他信息登陆。在跳出的面板中输入用户信息。如图15.29图15.28图15.29最后说一句,在无线用户认证使用WPA这样的方式时,认证服务器上需要安装CA证书,申请安装CA证书请参考相关教程。这里推荐一种临时的方法,就是在服务器上安装“远程管理(html)”。系统会自动安装一个1年有效期的证书,以此来完成实训中的测试。安装方法为:在控制面板中找到“添加/删除Windows组件”“Internet信息服务(IIS)”点详细信息,选择“万维网服务”,再点详细信息,选择“远程管理(html)”确定,完成安装,这样系统自动安装了一个证书。在无线接入测试时,就不会出现认证通不过的现象。思考与讨论思考与讨论l请思考在构建一个中小型的无线园区网时,无请思考在构建一个中小型的无线园区网时,无线线AP点比较多,应用点比较多,应用RADIUS来架设无线认证来架设无线认证服务器时,管理的客户端比较多。这样不太方服务器时,管理的客户端比较多。这样不太方便,请查找相关资料,了解无线控制交换机的便,请查找相关资料,了解无线控制交换机的使用。使用。l胖胖AP与瘦与瘦AP的区别?的区别?
收藏 下载该资源
网站客服QQ:2055934822
金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号