欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久

Radius認證服務(wù)器的配置與應用(802.1x)

作者：北京師范大學(xué)珠海分校 - 信息技術(shù)學(xué)院 - 姜南

環(huán)境：Windows 2003 Radius服務(wù)器+Cisco 2950交換機+Windows XP/2003客戶(hù)端

IEEE 802.1x協(xié)議

IEEE 802.1x是一個(gè)基于端口的網(wǎng)絡(luò )訪(fǎng)問(wèn)控制協(xié)議，該協(xié)議的認證體系結構中采用了“可控端口”和“不可控端口”的邏輯功能，從而實(shí)現認證與業(yè)務(wù)的分離，保證了網(wǎng)絡(luò )傳輸的效率。IEEE 802系列局域網(wǎng)（LAN）標準占據著(zhù)目前局域網(wǎng)應用的主要份額，但是傳統的IEEE 802體系定義的局域網(wǎng)不提供接入認證，只要用戶(hù)能接入集線(xiàn)器、交換機等控制設備，用戶(hù)就可以訪(fǎng)問(wèn)局域網(wǎng)中其他設備上的資源，這是一個(gè)安全隱患，同時(shí)也不便于實(shí)現對局域網(wǎng)接入用戶(hù)的管理。IEEE 802.1x是一種基于端口的網(wǎng)絡(luò )接入控制技術(shù)，在局域網(wǎng)設備的物理接入級對接入設備（主要是計算機）進(jìn)行認證和控制。連接在交換機端口上的用戶(hù)設備如果能通過(guò)認證，就可以訪(fǎng)問(wèn)局域網(wǎng)內的資源，也可以接入外部網(wǎng)絡(luò )（如Internet）；如果不能通過(guò)認證，則無(wú)法訪(fǎng)問(wèn)局域網(wǎng)內部的資源，同樣也無(wú)法接入Internet，相當于物理上斷開(kāi)了連接。

IEEE 802. 1x協(xié)議采用現有的可擴展認證協(xié)議（Extensible Authentication Protocol，EAP），它是IETF提出的PPP協(xié)議的擴展，最早是為解決基于IEEE 802.11標準的無(wú)線(xiàn)局域網(wǎng)的認證而開(kāi)發(fā)的。雖然IEEE802.1x定義了基于端口的網(wǎng)絡(luò )接入控制協(xié)議，但是在實(shí)際應用中該協(xié)議僅適用于接入設備與接入端口間的點(diǎn)到點(diǎn)的連接方式，其中端口可以是物理端口，也可以是邏輯端口。典型的應用方式有兩種：一種是以太網(wǎng)交換機的一個(gè)物理端口僅連接一個(gè)計算機；另一種是基于無(wú)線(xiàn)局域網(wǎng)（WLAN）的接入方式。其中，前者是基于物理端口的，而后者是基于邏輯端口的。目前，幾乎所有的以太網(wǎng)交換機都支持IEEE 802.1x協(xié)議。

RADIUS服務(wù)器

RADIUS（Remote Authentication Dial In User Service，遠程用戶(hù)撥號認證服務(wù)）服務(wù)器提供了三種基本的功能：認證（Authentication）、授權（Authorization）和審計（Accounting），即提供了3A功能。其中審計也稱(chēng)為“記賬”或“計費”。

RADIUS協(xié)議采用了客戶(hù)機/服務(wù)器（C/S）工作模式。網(wǎng)絡(luò )接入服務(wù)器（Network Access Server，NAS）是RADIUS的客戶(hù)端，它負責將用戶(hù)的驗證信息傳遞給指定的RADIUS服務(wù)器，然后處理返回的響應。RADIUS服務(wù)器負責接收用戶(hù)的連接請求，并驗證用戶(hù)身份，然后返回所有必須要配置的信息給客戶(hù)端用戶(hù)，也可以作為其他RADIUS服務(wù)器或其他類(lèi)認證服務(wù)器的代理客戶(hù)端。服務(wù)器和客戶(hù)端之間傳輸的所有數據通過(guò)使用共享密鑰來(lái)驗證，客戶(hù)端和RADIUS服務(wù)器之間的用戶(hù)密碼經(jīng)過(guò)加密發(fā)送，提供了密碼使用的安全性。

基于IEEE 802.1x認證系統的組成

一個(gè)完整的基于IEEE 802.1x的認證系統由認證客戶(hù)端、認證者和認證服務(wù)器3部分（角色）組成。

認證客戶(hù)端。認證客戶(hù)端是最終用戶(hù)所扮演的角色，一般是個(gè)人計算機。它請求對網(wǎng)絡(luò )服務(wù)的訪(fǎng)問(wèn)，并對認證者的請求報文進(jìn)行應答。認證客戶(hù)端必須運行符合IEEE 802.1x 客戶(hù)端標準的軟件，目前最典型的就是Windows XP操作系統自帶的IEEE802.1x客戶(hù)端支持。另外，一些網(wǎng)絡(luò )設備制造商也開(kāi)發(fā)了自己的IEEE 802.1x客戶(hù)端軟件。

認證者認證者一般為交換機等接入設備。該設備的職責是根據認證客戶(hù)端當前的認證狀態(tài)控制其與網(wǎng)絡(luò )的連接狀態(tài)。扮演認證者角色的設備有兩種類(lèi)型的端口：受控端口（controlled Port）和非受控端口（uncontrolled Port）。其中，連接在受控端口的用戶(hù)只有通過(guò)認證才能訪(fǎng)問(wèn)網(wǎng)絡(luò )資源；而連接在非受控端口的用戶(hù)無(wú)須經(jīng)過(guò)認證便可以直接訪(fǎng)問(wèn)網(wǎng)絡(luò )資源。把用戶(hù)連接在受控端口上，便可以實(shí)現對用戶(hù)的控制；非受控端口主要是用來(lái)連接認證服務(wù)器，以便保證服務(wù)器與交換機的正常通訊。

認證服務(wù)器認證服務(wù)器通常為RADIUS服務(wù)器。認證服務(wù)器在認證過(guò)程中與認證者配合，為用戶(hù)提供認證服務(wù)。認證服務(wù)器保存了用戶(hù)名及密碼，以及相應的授權信息，一臺認證服務(wù)器可以對多臺認證者提供認證服務(wù)，這樣就可以實(shí)現對用戶(hù)的集中管理。認證服務(wù)器還負責管理從認證者發(fā)來(lái)的審計數據。微軟公司的Windows Server 2003操作系統自帶有RADIUS服務(wù)器組件。

實(shí)驗拓撲圖

安裝RADIUS服務(wù)器

如果這臺計算機是一臺Windows Server 2003的獨立服務(wù)器（未升級成為域控制器，也未加入域），則可以利用SAM來(lái)管理用戶(hù)賬戶(hù)信息；如果是一臺Windows Server 2003域控制器，則利用活動(dòng)目錄數據庫來(lái)管理用戶(hù)賬戶(hù)信息。雖然活動(dòng)目錄數據庫管理用戶(hù)賬戶(hù)信息要比利用SAM來(lái)安全、穩定，但RADIUS服務(wù)器提供的認證功能相同。為便于實(shí)驗，下面以一臺運行Windows Server 2003的獨立服務(wù)器為例進(jìn)行介紹，該計算機的IP地址為172.16.2.254。

在"控制面板"中雙擊"添加或刪除程序"，在彈出的對話(huà)框中選擇"添加/刪除Windows組件"

在彈出的"Windows組件向導"中選擇"網(wǎng)絡(luò )服務(wù)"組件，單擊"詳細信息"

勾選"Internet驗證服務(wù)"子組件，確定，然后單擊"下一步"進(jìn)行安裝

在"控制面板"下的"管理工具"中打開(kāi)"Internet驗證服務(wù)"窗口

創(chuàng )建用戶(hù)賬戶(hù)

RADIUS服務(wù)器安裝好之后，需要為所有通過(guò)認證才能夠訪(fǎng)問(wèn)網(wǎng)絡(luò )的用戶(hù)在RADIUS服務(wù)器中創(chuàng )建賬戶(hù)。這樣，當用戶(hù)的計算機連接到啟用了端口認證功能的交換機上的端口上時(shí)，啟用了IEEE 802.1x認證功能的客戶(hù)端計算機需要用戶(hù)輸入正確的賬戶(hù)和密碼后，才能夠訪(fǎng)問(wèn)網(wǎng)絡(luò )中的資源。

在"控制面板"下的"管理工具"中打開(kāi)"計算機管理"，選擇"本地用戶(hù)和組"

為了方便管理，我們創(chuàng )建一個(gè)用戶(hù)組"802.1x"專(zhuān)門(mén)用于管理需要經(jīng)過(guò)IEEE 802.1x認證的用戶(hù)賬戶(hù)。鼠標右鍵單擊"組"，選擇"新建組"，輸入組名后創(chuàng )建組。

在添加用戶(hù)之前，必須要提前做的是，打開(kāi)"控制面板"-"管理工具"下的"本地安全策略"，依次選擇"賬戶(hù)策略"-"密碼策略"，啟用"用可還原的加密來(lái)儲存密碼"策略項。

否則以后認證的時(shí)候將會(huì )出現以下錯誤提示。

接下來(lái)我們添加用戶(hù)賬戶(hù)"0801010047"，設置密碼"123"。鼠標右鍵單擊"用戶(hù)"，選擇"新用戶(hù)"，輸入用戶(hù)名和密碼，創(chuàng )建用戶(hù)。

將用戶(hù)"0801010047"加入到"802.1x"用戶(hù)組中。鼠標右鍵單擊用戶(hù)"0801010047"，選擇"屬性"。在彈出的對話(huà)框中選擇"隸屬于"，然后將其加入"802.1x"用戶(hù)組中。

設置遠程訪(fǎng)問(wèn)策略

在RADIUS服務(wù)器的”Internet驗證服務(wù)”窗口中，需要為Cisco2950交換機以及通過(guò)該交換機進(jìn)行認證的用戶(hù)設置遠程訪(fǎng)問(wèn)策略。具體方法如下：

新建遠程訪(fǎng)問(wèn)策略，鼠標右鍵單擊"遠程訪(fǎng)問(wèn)策略"，選擇"新建遠程訪(fǎng)問(wèn)策略"

選擇配置方式，這里我們使用向導模式

選擇訪(fǎng)問(wèn)方法，以太網(wǎng)

選擇授權方式，將之前添加的"802.1x"用戶(hù)組加入許可列表

選擇身份驗證方法，"MD5-質(zhì)詢(xún)"

確認設置信息

只保留新建的訪(fǎng)問(wèn)策略，刪掉其他的

創(chuàng )建RADIUS客戶(hù)端

需要說(shuō)明的是，這里要創(chuàng )建的RADIUS客戶(hù)端，是指類(lèi)似于圖3中的交換機設備，在實(shí)際應用中也可以是VPN服務(wù)器、無(wú)線(xiàn)AP等，而不是用戶(hù)端的計算機。RADIUS服務(wù)器只會(huì )接受由RADIUS客戶(hù)端設備發(fā)過(guò)來(lái)的請求，為此需要在RADIUS服務(wù)器上來(lái)指定RADIUS客戶(hù)端。以圖3的網(wǎng)絡(luò )拓撲為例，具體步驟如下：

新建RADIUS客戶(hù)端。鼠標右鍵單擊"RADIUS客戶(hù)端"，選擇"新建RADIUS客戶(hù)端"

設置RADIUS客戶(hù)端的名稱(chēng)和IP地址?？蛻?hù)端IP地址即交換機的管理IP地址，我們這里是172.17.2.250，等會(huì )說(shuō)明如何配置。

設置共享密鑰和認證方式。認證方式選擇"RADIUS Standard"，密鑰請記好，等會(huì )配置交換機的時(shí)候這個(gè)密鑰要相同。

顯示已創(chuàng )建的RADIUS客戶(hù)端

在交換機上啟用認證機制

現在對支持IEEE 802.1x認證協(xié)議的交換機進(jìn)行配置，使它能夠接授用戶(hù)端的認證請求，并將請求轉發(fā)給RADIUS服務(wù)器進(jìn)行認證，最后將認證結果返回給用戶(hù)端。在拓撲圖中：

RADIUS認證服務(wù)器的IP地址為172.17.2.254/24
交換機的管理IP地址為172.16.2.250/24
需要認證的計算機接在交換機的FastEthernet0/5端口上

因此我們實(shí)驗時(shí)只對FastEthernet0/5端口進(jìn)行認證，其他端口可不進(jìn)行設置。具體操作如下：

使用Console口登陸交換機，設置交換機的管理IP地址

Cisco2950>enable
Cisco2950#configure terminal
Cisco2950(config)#interface vlan 1 (配置二層交換機管理接口IP地址)
Cisco2950(config-if)#ip address 172.17.2.250 255.255.255.0
Cisco2950(config-if)#no shutdown
Cisco2950(config-if)#end
Cisco2950#wr

在交換機上啟用AAA認證

Cisco2950#configure terminal
Cisco2950(config)#aaa new-model (啟用AAA認證)
Cisco2950(config)#aaa authentication dot1x default group radius (啟用dot1x認證)
Cisco2950(config)#dot1x system-auth-control (啟用全局dot1x認證)

指定RADIUS服務(wù)器的IP地址和交換機與RADIUS服務(wù)器之間的共享密鑰

Cisco2950(config)#radius-server host 172.17.2.254 key slyar.com (設置驗證服務(wù)器IP及密鑰)
Cisco2950(config)#radius-server retransmit 3 (設置與RADIUS服務(wù)器嘗試連接次數為3次)

配置交換機的認證端口，可以使用interface range命令批量配置端口，這里我們只對FastEthernet0/5啟用IEEE 802.1x認證

Cisco2950(config)#interface fastEthernet 0/5
Cisco2950(config-if)#switchport mode access (設置端口模式為access)
Cisco2950(config-if)#dot1x port-control auto (設置802.1x認證模式為自動(dòng))
Cisco2950(config-if)#dot1x timeout quiet-period 10 (設置認證失敗重試時(shí)間為10秒)
Cisco2950(config-if)#dot1x timeout reauth-period 30 (設置認證失敗重連時(shí)間為30秒)
Cisco2950(config-if)#dot1x reauthentication (啟用802.1x認證)
Cisco2950(config-if)#spanning-tree portfast (開(kāi)啟端口portfast特性)
Cisco2950(config-if)#end
Cisco2950#wr

測試802.1x認證接入

1、將要進(jìn)行認證接入的計算機接入交換機的FastEthernet0/5端口，設置IP地址為172.17.2.5(隨便設置，只要不跟認證服務(wù)器IP及交換機管理IP沖突即可)

2、在"本地連接"的"驗證"標簽欄中啟用IEEE 802.1x驗證，EAP類(lèi)型設置為"MD5-質(zhì)詢(xún)"，其余選項可不選。

3、如果之前配置沒(méi)有問(wèn)題，過(guò)一會(huì )即可看到托盤(pán)菜單彈出要求點(diǎn)擊進(jìn)行驗證

4、點(diǎn)擊之后會(huì )彈出類(lèi)似銳捷客戶(hù)端一樣的登陸框，要求輸入用戶(hù)名和密碼。這里我們輸入之前配置的用戶(hù)名"0801010047"，密碼"123"，確定。

5、驗證成功后可以ping一下172.17.2.254進(jìn)行驗證，同時(shí)可以觀(guān)察到交換機FastEthernet0/5端口指示燈已經(jīng)由黃色變?yōu)榫G色。

為保證計算機支持802.1x驗證，請確認Wireless Configuration服務(wù)正常開(kāi)啟。

6、可以通過(guò)"控制面板"-"管理工具"中的"事件查看器"-"系統"子選項觀(guān)察802.1x的驗證日志。