路由器搭建RADIUS伺服器
『壹』 搭建windows下RADIUS伺服器方怎麼做啊
哈哈,今天剛解決了這個問題,跟樓主分享一下答案。用Windows自帶的IAS(Internet驗證服務)即可,不用AD支持,可以本機驗證。這個東西支持RADIUS,但是本身不提供記賬功能,需要再外聯第三方伺服器。不過就是有的驗證方法(PEAP等),需要你弄一個數字證書。這個也好辦,裝個IIS,然後用IIS Toolkit,裡面有一個selfssl,自認證證書,設置即可。 我做的是AP+RADIUS認證,不知道你要用什麼方面的?
『貳』 【思科實驗】配置802.1x遠端認證
拓撲圖
規凱友格
適用於所有版本、所有形態的AR路由器。
組網需求
PC通過Router訪問網路。為了保證網路的安全性,要求在用戶接入網路時進行802.1x認證。認證盯老槐伺服器為兩台Radius伺服器,IP為10.10.10.1/24伺服器作為主認證伺服器,IP為10.10.10.2/24的伺服器為備用認證伺服器。當主用伺服器不可用時,Router可以實現最快3s內切換到備用伺服器。
操作步驟
1.Router上的配置
2.驗證配置結果
RADIUS伺服器添加用戶 user1@huawei ,密碼 Huawei@2012 ,共享密鑰與路由器含森保持一致配置為 radius 。客戶端認證成功後,執行display access-user可以查看 Username 欄位里有用戶名為 user1@huawei ,並且相應 Status 欄位顯示為 Success 。
配置注意事項
·路由器與RADIUS伺服器上認證埠的值需要保持一致。
·路由器和RADIUS伺服器上共享密鑰需要保持一致。
·路由器與RADIUS伺服器間需要路由可達
『叄』 使用RADIUS認證伺服器控制無線網路接入。
可以用WIN2003做一個RADIUS認證伺服器,AP方面用什麼都可以,只要不是雜牌子的都行,我用DLINK和思科的試過,都可以,電腦保存密碼以後就很方便,每次打開WIFI就可以直接連入無線,我們是為了減少MAC地址綁定的工作量才使用RADIUS去域控制器進行用戶名和密碼的驗證的,下面是我自己的配置筆記,文件太多沒法上傳到這里啊,我做好RADIUS伺服器以後在各種操作系統里建立好連接,導出以後寫腳本發給所有員工,執行導入就可以了,平滑割接。
Enterprise WLAN profile deployment with .bat script 為大量用戶批量安裝的腳本.docx
IAS訪問失敗日誌.txt
IAS訪問成功日誌.txt
import_win7.bat
netsh命令.txt
PEAP_FreeRADIUS_LDAP_DEBIAN_SARGE_CISCO_AP1200_WinXP_WPA2_AES_HOWTO_V3.pdf
win7.rar
win7_wpa.htm
win7_wpa_files
WIN7安裝腳本
WinXP安裝腳本
WPA2 Enterprise Win7 Client Setup.docx
使用DLINK無線路由器配置WPA2.doc
使用思科1240AG加WIN7進行WPA2連接
辦公網AP共享密碼.txt
安裝過程.txt
無線網路安全指南:IAS RADIUS實現無線網路驗證.pdf
生成證書命令.txt
『肆』 無線路由器WPA加密的radius伺服器ip怎麼設置
1.鎖定交換機埠
對於交換機的每告敗一個乙太網埠,採用MAC地址表(MAC-address-table)的方式對埠進行鎖定。只有網路管理員在MAC地址表中指定的網卡的MAC地址才能通過該埠與森老網路連接,其他的網卡地址不能通過該埠訪問網路。
2.應用ARP綁定IP地址和MAC地址
ARP(Address Resolution Protocol)即地址解析協議,這個協議是將IP地址與網路物理地址一一對應的協議。
3. 用PPPoE協議進行用戶認證
對於盜用者使用第二種方法同時修改IP地址和MAC地址時,可以使用PPPoE協議進行用戶認證。現在有很多基於PPPoE協議的軟體,在ADSL的寬頻網中廣泛使用。PPPoE全稱是Point to Point Protocol over Ethernet(基於區域網的點對點通訊協議),這個協議是為了滿足越來越多的寬頻上網設備和網路之間的通訊而最新制定襪春顫開發的標准,它基於兩個廣泛接受的標准,即乙太網和PPP點對點撥號協議。
AP是密碼身份驗證協議,它使用原文(不加密)密碼,是一種最簡單的身份驗證協議。如果網路的接入不能用更安全的驗證方式,一般就使用PAP。
『伍』 軟路由怎麼搭建伺服器
cisco思科是全世界領先且頂尖的通訊廠商,出產的路由器功能也是很出色的,那麼你知道軟路由怎麼搭建伺服器嗎?下面是我整理的一些關於軟路由怎麼搭建伺服器的相關資料,供你參考。
什麼是軟路由?
軟路由是指利用 台式機 或伺服器配合軟體形成路由解決方案,主要靠軟體的設置,達成路由器的功能;而硬路由則是以特有的硬設備,包括處理器、電源供應、嵌入式軟體,提供設定的路由器功能。
軟體路由器並不復雜,非常簡單,會用普通操作PC就可以安裝軟體路由,顧名思義就是系統軟體設置完成路由功能
根據使用的操作不同可以分為基於windows平台和基於Linux/bsd平台開發的軟體路由器,基於Windows平台的軟體防火牆比較常見的有ISA Server、Winroute Firewall、小草上網行為管理軟路由等,這些軟體有些是商業化的,通常根據授權用戶數不同收費而不同,購買正版的軟體防火牆的費用對許多中小型企業來說無疑是一筆不小的開支,小草上網行為管理軟路由是目前有限的基於windows平台而且又主打免費的一款軟路由軟體;而基於Unix/Linux平台的軟體防火牆大家一般接觸較少,受益於開放源碼運行,目前基於Unix/Linux平台的軟體防火牆如雨後春筍般不斷推出,這些軟體防火牆大多是免費的,常見的有海蜘蛛、ikuai8、RouterOS、m0n0Wall、SmoothWall、Ipcop、CoyoteLinux[1] 等,這些系統共有的特點是一般對硬體要求較低,甚至只需要一台486電腦,一張軟盤,兩塊網卡就可以安裝出一台非常專業的軟體防火牆,這對很多有淘汰下來的低檔電腦的朋友來說,意味著拿一台淘汰的電腦,安裝一套免費的防火牆軟體,不花一分錢就 DIY 出一台專業的防火牆,而且這些系統自身也包含了NAT功能,同時可以實現寬頻共享,這意味著這台免費的防火牆其實也是一台出色的寬頻路由器,這是多麼令人激動的事情,不過就目前來看這類免費的軟路由通常為了生存下去或因過多 廣告 的插入導致用戶的不滿。
軟路由搭建伺服器的 方法 :
1.工作組情況下的身份驗證使用本地計算機來完成的;域環境下的身份驗證是由DC來完成的,因此伺服器也必須加入到域中成為域成員,不要把DC和伺服器搭建在一台伺服器,還有就是客戶進行連接是不用輸入域名。
2.遠程訪問服務(Remote Access Service,RAS)允許客戶機通過撥號連接或虛擬專用連接登陸的網路。
3.Windows Server 2003遠程訪問服務提供了兩種遠程登陸的方式:撥號網路、虛擬專用網。
4.撥號網路的組件:撥號網路客戶端、遠程訪問伺服器、wan結構、遠程訪問協議、lan協議。
5.Vpn組件:客戶端(可能是計算機和路由器)、伺服器、隧道、連接、隧道協議(pptp和L2tp)、傳輸互聯網路。
6.遠程訪問伺服器的屬性包括常規、安全、ip、ppp和日誌。
7.在客戶端建立連接時要輸入伺服器的ip地址,輸入的是伺服器的外網地址。
8.常用的撥號方式:PPTP、L2TP。
9.身份驗證的方法:智能卡(EAP伺服器與客戶端必須全有智能卡)、CHAP1、CHAP2.
10.相同的帳戶可以在不同的計算機上同時登陸,但是他們所用的埠是不同的。
11.PPTP和L2TP的埠默認是128個,但是可以自己修改。
12.伺服器可以隨時斷開與客戶的連接。
13.在伺服器上應用遠程訪問策略可以是連接更加安全,策略包括條件、許可權和配置文件。
14.遠程訪問的許可權:允許訪問、拒絕訪問、通過遠程訪問策略控制訪問。
15.回撥選項:不回撥(由撥叫方付費)、有呼叫方設置(由伺服器端付費)、總是回撥到(由伺服器端付費,更安全)。
16.只有提升域的安全級別才能夠採用“通過遠程訪問策略”來驗證許可權,第一次提升域功能級別要重啟計算機。
17.遠程訪問策略的配置文件包括:撥入限制、ip、多重鏈接、身份驗證(PAP、CHAP、MS-CHAP、MS-CHAP v2、EAP)、加密(無加密、基本加密、增強加密、最強加密)、高級。
18.Windows默認的遠程訪問策略是不能刪除的,如果刪除即使不用遠程訪問策略也不能訪問。
19.遠程訪問的排錯:檢查硬體是否正常、遠程訪問服務是否啟動、如果服務啟動,檢查伺服器的配置、用戶帳戶的撥入屬性配置是否正確、遠程訪問策略是否正確、客戶端配置是否正確。
20.常見故障及解決方法:
1>在客戶機撥入時,顯示“本帳戶沒有撥入許可權”。
可能的原因:用戶帳戶撥入屬性中設置拒絕許可權、遠程訪問策略的條件不滿足、遠程訪問策略中配置拒絕訪問的許可權、沒有遠程訪問策略。
2>在客戶機撥入時,總是彈出對話框提示重新輸入用戶名和密碼。
可能的原因:密碼輸入錯誤、用戶名輸入錯誤。
3>在客戶機撥入時,顯示身份驗證協議問題。
可能原因:客戶端域遠程訪問伺服器的身份驗證方式不匹配。
『陸』 radius伺服器ip設置
Radius伺服器是一種證書伺服器,簡單點說就是當一台終端訪問網路的時候,需要Radius伺服器發給這個終端一個證書,從而保證網路的安全。
『柒』 如何搭建Radius伺服器
RADIUS(Remote Authentication Dial In User Service,遠程用戶撥號認證服務)伺服器提供了三種基本的功能:認證(Authentication)、授權(Authorization)和審計(Accounting),即提供了3A功能。其中審計也稱為「記賬」或「計費」。
RADIUS協議採用了客戶機/伺服器(C/S)工作模式。網路接入伺服器(Network Access Server,NAS)是RADIUS的客戶端,它負責將用戶的驗證信息傳遞給指定的RADIUS伺服器,然後處理返回的響應。
搭建Radius伺服器的方法:
用戶接入NAS,NAS向RADIUS伺服器使用Access-Require數據包提交用戶信息,包括用戶名、密碼等相關信息,其中用戶密碼是經過MD5加密的,雙方使用共享密鑰,這個密鑰不經過網路傳播;RADIUS伺服器對用戶名和密碼的合法性進行檢驗,必要時可以提出一個Challenge,要求進一步對用戶認證,也可以對NAS進行類似的認證;如果合法,給NAS返回Access-Accept數據包,允許用戶進行下一步工作,否則返回Access-Reject數據包,拒絕用戶訪問;如果允許訪問,NAS向RADIUS伺服器提出計費請求Account- Require,RADIUS伺服器響應Account-Accept,對用戶的計費開始,同時用戶可以進行自己的相關操作。
RADIUS還支持代理和漫遊功能。簡單地說,代理就是一台伺服器,可以作為其他RADIUS伺服器的代理,負責轉發RADIUS認證和計費數據包。所謂漫遊功能,就是代理的一個具體實現,這樣可以讓用戶通過本來和其無關的RADIUS伺服器進行認證,用戶到非歸屬運營商所在地也可以得到服務,也可以實現虛擬運營。
RADIUS伺服器和NAS伺服器通過UDP協議進行通信,RADIUS伺服器的1812埠負責認證,1813埠負責計費工作。採用UDP的基本考慮是因為NAS和RADIUS伺服器大多在同一個區域網中,使用UDP更加快捷方便,而且UDP是無連接的,會減輕RADIUS的壓力,也更安全。
RADIUS協議還規定了重傳機制。如果NAS向某個RADIUS伺服器提交請求沒有收到返回信息,那麼可以要求備份RADIUS伺服器重傳。由於有多個備份RADIUS伺服器,因此NAS進行重傳的時候,可以採用輪詢的方法。如果備份RADIUS伺服器的密鑰和以前RADIUS伺服器的密鑰不同,則需要重新進行認證。