路由器搭建RADIUS服务器
‘壹’ 搭建windows下RADIUS服务器方怎么做啊
哈哈,今天刚解决了这个问题,跟楼主分享一下答案。用Windows自带的IAS(Internet验证服务)即可,不用AD支持,可以本机验证。这个东西支持RADIUS,但是本身不提供记账功能,需要再外联第三方服务器。不过就是有的验证方法(PEAP等),需要你弄一个数字证书。这个也好办,装个IIS,然后用IIS Toolkit,里面有一个selfssl,自认证证书,设置即可。 我做的是AP+RADIUS认证,不知道你要用什么方面的?
‘贰’ 【思科实验】配置802.1x远端认证
拓扑图
规凯友格
适用于所有版本、所有形态的AR路由器。
组网需求
PC通过Router访问网络。为了保证网络的安全性,要求在用户接入网络时进行802.1x认证。认证盯老槐服务器为两台Radius服务器,IP为10.10.10.1/24服务器作为主认证服务器,IP为10.10.10.2/24的服务器为备用认证服务器。当主用服务器不可用时,Router可以实现最快3s内切换到备用服务器。
操作步骤
1.Router上的配置
2.验证配置结果
RADIUS服务器添加用户 user1@huawei ,密码 Huawei@2012 ,共享密钥与路由器含森保持一致配置为 radius 。客户端认证成功后,执行display access-user可以查看 Username 字段里有用户名为 user1@huawei ,并且相应 Status 字段显示为 Success 。
配置注意事项
·路由器与RADIUS服务器上认证端口的值需要保持一致。
·路由器和RADIUS服务器上共享密钥需要保持一致。
·路由器与RADIUS服务器间需要路由可达
‘叁’ 使用RADIUS认证服务器控制无线网络接入。
可以用WIN2003做一个RADIUS认证服务器,AP方面用什么都可以,只要不是杂牌子的都行,我用DLINK和思科的试过,都可以,电脑保存密码以后就很方便,每次打开WIFI就可以直接连入无线,我们是为了减少MAC地址绑定的工作量才使用RADIUS去域控制器进行用户名和密码的验证的,下面是我自己的配置笔记,文件太多没法上传到这里啊,我做好RADIUS服务器以后在各种操作系统里建立好连接,导出以后写脚本发给所有员工,执行导入就可以了,平滑割接。
Enterprise WLAN profile deployment with .bat script 为大量用户批量安装的脚本.docx
IAS访问失败日志.txt
IAS访问成功日志.txt
import_win7.bat
netsh命令.txt
PEAP_FreeRADIUS_LDAP_DEBIAN_SARGE_CISCO_AP1200_WinXP_WPA2_AES_HOWTO_V3.pdf
win7.rar
win7_wpa.htm
win7_wpa_files
WIN7安装脚本
WinXP安装脚本
WPA2 Enterprise Win7 Client Setup.docx
使用DLINK无线路由器配置WPA2.doc
使用思科1240AG加WIN7进行WPA2连接
办公网AP共享密码.txt
安装过程.txt
无线网络安全指南:IAS RADIUS实现无线网络验证.pdf
生成证书命令.txt
‘肆’ 无线路由器WPA加密的radius服务器ip怎么设置
1.锁定交换机端口
对于交换机的每告败一个以太网端口,采用MAC地址表(MAC-address-table)的方式对端口进行锁定。只有网络管理员在MAC地址表中指定的网卡的MAC地址才能通过该端口与森老网络连接,其他的网卡地址不能通过该端口访问网络。
2.应用ARP绑定IP地址和MAC地址
ARP(Address Resolution Protocol)即地址解析协议,这个协议是将IP地址与网络物理地址一一对应的协议。
3. 用PPPoE协议进行用户认证
对于盗用者使用第二种方法同时修改IP地址和MAC地址时,可以使用PPPoE协议进行用户认证。现在有很多基于PPPoE协议的软件,在ADSL的宽带网中广泛使用。PPPoE全称是Point to Point Protocol over Ethernet(基于局域网的点对点通讯协议),这个协议是为了满足越来越多的宽带上网设备和网络之间的通讯而最新制定袜春颤开发的标准,它基于两个广泛接受的标准,即以太网和PPP点对点拨号协议。
AP是密码身份验证协议,它使用原文(不加密)密码,是一种最简单的身份验证协议。如果网络的接入不能用更安全的验证方式,一般就使用PAP。
‘伍’ 软路由怎么搭建服务器
cisco思科是全世界领先且顶尖的通讯厂商,出产的路由器功能也是很出色的,那么你知道软路由怎么搭建服务器吗?下面是我整理的一些关于软路由怎么搭建服务器的相关资料,供你参考。
什么是软路由?
软路由是指利用 台式机 或服务器配合软件形成路由解决方案,主要靠软件的设置,达成路由器的功能;而硬路由则是以特有的硬设备,包括处理器、电源供应、嵌入式软件,提供设定的路由器功能。
软件路由器并不复杂,非常简单,会用普通操作PC就可以安装软件路由,顾名思义就是系统软件设置完成路由功能
根据使用的操作不同可以分为基于windows平台和基于Linux/bsd平台开发的软件路由器,基于Windows平台的软件防火墙比较常见的有ISA Server、Winroute Firewall、小草上网行为管理软路由等,这些软件有些是商业化的,通常根据授权用户数不同收费而不同,购买正版的软件防火墙的费用对许多中小型企业来说无疑是一笔不小的开支,小草上网行为管理软路由是目前有限的基于windows平台而且又主打免费的一款软路由软件;而基于Unix/Linux平台的软件防火墙大家一般接触较少,受益于开放源码运行,目前基于Unix/Linux平台的软件防火墙如雨后春笋般不断推出,这些软件防火墙大多是免费的,常见的有海蜘蛛、ikuai8、RouterOS、m0n0Wall、SmoothWall、Ipcop、CoyoteLinux[1] 等,这些系统共有的特点是一般对硬件要求较低,甚至只需要一台486电脑,一张软盘,两块网卡就可以安装出一台非常专业的软件防火墙,这对很多有淘汰下来的低档电脑的朋友来说,意味着拿一台淘汰的电脑,安装一套免费的防火墙软件,不花一分钱就 DIY 出一台专业的防火墙,而且这些系统自身也包含了NAT功能,同时可以实现宽带共享,这意味着这台免费的防火墙其实也是一台出色的宽带路由器,这是多么令人激动的事情,不过就目前来看这类免费的软路由通常为了生存下去或因过多 广告 的插入导致用户的不满。
软路由搭建服务器的 方法 :
1.工作组情况下的身份验证使用本地计算机来完成的;域环境下的身份验证是由DC来完成的,因此服务器也必须加入到域中成为域成员,不要把DC和服务器搭建在一台服务器,还有就是客户进行连接是不用输入域名。
2.远程访问服务(Remote Access Service,RAS)允许客户机通过拨号连接或虚拟专用连接登陆的网络。
3.Windows Server 2003远程访问服务提供了两种远程登陆的方式:拨号网络、虚拟专用网。
4.拨号网络的组件:拨号网络客户端、远程访问服务器、wan结构、远程访问协议、lan协议。
5.Vpn组件:客户端(可能是计算机和路由器)、服务器、隧道、连接、隧道协议(pptp和L2tp)、传输互联网络。
6.远程访问服务器的属性包括常规、安全、ip、ppp和日志。
7.在客户端建立连接时要输入服务器的ip地址,输入的是服务器的外网地址。
8.常用的拨号方式:PPTP、L2TP。
9.身份验证的方法:智能卡(EAP服务器与客户端必须全有智能卡)、CHAP1、CHAP2.
10.相同的帐户可以在不同的计算机上同时登陆,但是他们所用的端口是不同的。
11.PPTP和L2TP的端口默认是128个,但是可以自己修改。
12.服务器可以随时断开与客户的连接。
13.在服务器上应用远程访问策略可以是连接更加安全,策略包括条件、权限和配置文件。
14.远程访问的权限:允许访问、拒绝访问、通过远程访问策略控制访问。
15.回拨选项:不回拨(由拨叫方付费)、有呼叫方设置(由服务器端付费)、总是回拨到(由服务器端付费,更安全)。
16.只有提升域的安全级别才能够采用“通过远程访问策略”来验证权限,第一次提升域功能级别要重启计算机。
17.远程访问策略的配置文件包括:拨入限制、ip、多重链接、身份验证(PAP、CHAP、MS-CHAP、MS-CHAP v2、EAP)、加密(无加密、基本加密、增强加密、最强加密)、高级。
18.Windows默认的远程访问策略是不能删除的,如果删除即使不用远程访问策略也不能访问。
19.远程访问的排错:检查硬件是否正常、远程访问服务是否启动、如果服务启动,检查服务器的配置、用户帐户的拨入属性配置是否正确、远程访问策略是否正确、客户端配置是否正确。
20.常见故障及解决方法:
1>在客户机拨入时,显示“本帐户没有拨入权限”。
可能的原因:用户帐户拨入属性中设置拒绝权限、远程访问策略的条件不满足、远程访问策略中配置拒绝访问的权限、没有远程访问策略。
2>在客户机拨入时,总是弹出对话框提示重新输入用户名和密码。
可能的原因:密码输入错误、用户名输入错误。
3>在客户机拨入时,显示身份验证协议问题。
可能原因:客户端域远程访问服务器的身份验证方式不匹配。
‘陆’ radius服务器ip设置
Radius服务器是一种证书服务器,简单点说就是当一台终端访问网络的时候,需要Radius服务器发给这个终端一个证书,从而保证网络的安全。
‘柒’ 如何搭建Radius服务器
RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证服务)服务器提供了三种基本的功能:认证(Authentication)、授权(Authorization)和审计(Accounting),即提供了3A功能。其中审计也称为“记账”或“计费”。
RADIUS协议采用了客户机/服务器(C/S)工作模式。网络接入服务器(Network Access Server,NAS)是RADIUS的客户端,它负责将用户的验证信息传递给指定的RADIUS服务器,然后处理返回的响应。
搭建Radius服务器的方法:
用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account- Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。
RADIUS还支持代理和漫游功能。简单地说,代理就是一台服务器,可以作为其他RADIUS服务器的代理,负责转发RADIUS认证和计费数据包。所谓漫游功能,就是代理的一个具体实现,这样可以让用户通过本来和其无关的RADIUS服务器进行认证,用户到非归属运营商所在地也可以得到服务,也可以实现虚拟运营。
RADIUS服务器和NAS服务器通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中,使用UDP更加快捷方便,而且UDP是无连接的,会减轻RADIUS的压力,也更安全。
RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息,那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器,因此NAS进行重传的时候,可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同,则需要重新进行认证。