radius作用

Radius作用

Radius服务器能用来管理使用串口和调制解调器的大量分散用户。当用户想要通过某个网络(如电话网)与NAS建立连接从而获得访问其他网络的权利(或取得使用某些网络资源的权利)时，NAS起到了过问用户(或这个连接)的作用。NAS负责把用户的鉴别，授权，记账信息传递给Radius服务器。Radius协议规定了NAS与Radius服务器之间如何传递用户信息和记账信息，即两者之间的通信规则。Radius服务器负责接收用户的连接请求，完成鉴别，并把传递服务给用户所需的配置信息返回给NAS。用户获得授权后，在其正常上线、在线和下线过程中，Radius服务器完成对用户账号计费的功能。

RADIUS协议的认证端口号为1812（1645端口由于冲突已经不再使用），计费端口号为1813或（1646端口由于冲突已经不再使用）。RADIUS通过建立一个唯一的用户数据库，存储用户名，用户的密码来进行鉴别、存储传递给用户的服务类型以及相应的配置信息来完成授权。RADIUS协议具有很好的扩展性。RADIUS包是由包头和一定数目的属性(Attribute)构成的。新属性的增加不会影响到现有协议的实现。通常的NAS厂家在生产NAS时，还同时开发与之配套的Radius服务器。为了提供一些功能，常常要定义一些非标准的(RFC上没有定义过的)属性。

我们可以以Telnet,SSH,Web或者console口等不同的方式登录交换机,获得普通或者特权模式的访问权限 在网络设备众多,对网络安全要求较高的企业里,仅仅使用交换机本地数

据库的帐号,密码认证功能已经满足不了用户的要求,客户往往希望能够采用集中,多重的认证方式 这样也能在提高安全度的前提下减轻IT管理负担。RADIUS服务就是其中之一。

这里我们以一个客户的需求作为例子：客户原来的WIN2003域控制器同时也是RADIUS认证服务器，启用了WIN2003自带的IAS（Internet Authentication Service）服务，对LAN里

所有思科交换机作统一的登录认证。现在新购买了DELL34XX交换机，希望实现以下功能：

1．无论是通过console口还是通过telnet,登录用户必须首先通过IAS认证，只有该域中的成员才能有权限访问交换机；

2．登录的用户只能获得普通模式的访问权限，客户会针对telnet或console登录在交换机上设置特权模式的密码，通过IAS认证的用户还必须输入正确密码才能获得查看、修改配

置的权限。

我们根据客户的要求搭建如下一个简单的环境，以全新安装的方式作测试：

第一部分：配置交换机

1给交换机配置管理IP：

interface vlan 1

ip address 19216821 2552552550

2在全局配置模式下，配置radius 服务器IP地址及key,注意，这个密钥用于RADIUS Client和Server之间的通信验证，“key”的设置必须和IAS上“share secret”的设置完全相

同。然后配置用户登录及进入特权模式的认证方式，我们定义了“login“的认证方式为：先尝试radius,如果radius server down,再尝试Local；进入特权模式“enable”的认证

方式为本地交换机上设置的密码认证。“priv”及“test”是自定义的文件名，以便下一步将其绑定在对应的接口上：

radius-server host 1921682100 auth-port 1812

radius-server key abcdabcd

aaa authentication enable priv line

aaa authentication login test radius local

3进入接口配置模式，将相应的配置文件绑定在对应接口上，并且设置好进入特权模式的密码：

line telnet

login authentication test

enable authentication priv

password e10adc3949ba59abbe56e057f20f883e encrypted

line console

login authentication test

enable authentication priv

password 50ec7f0e57fcc436db275c710a5ef127 encrypted

最后别忘记设置一个本地的管理员帐号及密码,以便在RADIUS服务器Down后也能管理交换机：

username admin password 21232f297a57a5a743894a0e4a801fc3 level 15 encrypted

#如果需要在登录WEB页面进行RADIUS认证，使用下面命令:

console(config)# ip https authentication radius local

第二部分：在WIN2003域控制器上安装配置IAS服务：

1．打开控制面板――》添加删除程序――》添加删除windows组件，找到networking services,点击“details”,选择”internet authentication services”,确定，插入

WIN2003源盘进行安装：

2 完成后安装后，我们需要将其注册到AD中（如果是工作组环境，则IAS认证本地用户或组）。打开IAS,点击Action，选择“register server in Active Directory”:

3系统提示为了启用IAS认证，必须允许IAS Server读取AD里用户的Dial－In属性，点击OK：

4．系统必须将该IAS注册到RAS/IAS servers group里，点击OK，打开域控的AD用户计算机控制台，在Users里我们可以看到这台名为DELL的IAS已经是其成员了：

5．同时，我们必须开启那些需要通过IAS认证的域中用户的“remote access”权限，这里的用户$enab15$是一个需要手工建立的特殊帐号，用于需要通过IAS进行进入特权模式认

证时，使用该默认帐号：

6．完成后打开IAS，鼠标右击”RADIUS Client”，选择新建一个client,这个Client指的是申请认证服务的设备，这里即是5324交换机，输入一个名称及其管理IP：

7．Client－Vendor选择“RADIUS Standard”,再输入“share secret”,这个密钥用于RADIUS Client和Server之间的通信验证，所以必须和在交换机上用“radius-server key

XXXXXXXX”设置的密码完全相同，然后点击完成：

8右击“remote access policy”,给5324新建一个访问策略,这里需要注意，可以建立多个策略，系统会按顺序匹配，一旦发现满足条件的，则将忽略掉其以下的策略：

9．选择“setup a custom policy”, 输入policy的名称，下一步：

10．接下来定义访问策略的条件，点击“add”，这里选择“NAS－IP－Address”，即该策略只给满足设定的IP地址的设备使用，我们输入5324的IP地址，下一步：

11．选择“grant remote access” ,下一步：

12．点击下一步完成。

13．鼠标右击刚刚建立的策略，打开属性：

14．点击“edit profile”,从中我们可以选择认证方式，这里选择不加密认证：

15．选择“Encryption”,确保所有选项均已选上：

16．点击“advanced”选项，点击“add”，添加认证过程中的“属性“值，注意如果其中已经有了其他不需要的属性设置，请全部删除后再添加所需的值，否则可能达不到预定效

果：

17．如果我们需要赋予经过认证的客户以“管理员（即特权模式）”权限登录交换机，有两种方法：第一，可以添加“service-type”,Attribute value选择“administrative”

：

第二，添加“Cisco-AV-Pair”,再点击”add”,设置属性值：

在“Attribute value”栏里输入“shell:priv-lvl=15”, “15”即代表了管理员权限，这里因为我们只能赋予登录的用户普通模式的访问权限，所以设为“1”，点击OK完成设置

：

18．这样完成所有配置，接下来用Telnet登录交换机测试即可如果认证失败，需要查看系统日志及交换机的日志，看看具体原因：

1、8021X认证是RADIUS协议的一种认证方式。主要解决以太网内认证和安全方面的问题。

2、8021X为典型的Client/Server结构，有三个部分，终端、RADIUS客户端和RADIUS服务器。

3、8021X认证流程。

  用户上线流程：

  ①用户发起认证请求，向RADIUS客户端发送账号和密码。

  ②RADIUS客户端根据获取到的账号和密码，向RADIUS服务器发送认证请求（access-request），其中密码在共享密钥的参与下进行加密处理。

  ③RADIUS服务器对账号和密码进行认证。如果认证成功，RADIUS服务器向RADIUS客户端发送认证接收报文（access-accept）;如果认证失败，则返回认证拒绝报文（access-reject）。由于RADIUS协议合并了认证和授权的过程，因此认证接受报文中也包含了用户的授权信息。

  ④RADIUS客户端根据接受到的认证结果接入或拒绝用户。如果允许用户接入，则RADIUS客户端向

RADIUS服务器发送计费开始请求报文（Accounting-request）。

  ⑤RADIUS服务器返回计费开始响应报文（accounting-response）,并开始计费。

  ⑥用户根据授权开始访问网络资源。

  用户主动下线流程：

  ①用户执行注销操作，请求下线。

  ②RADIUS客户端收到用户下线请求后向RADIUS服务器发送计费停止请求报文（accounting-request）。

  ③RADIUS服务器返回计费结束响应报文（accounting-response）,并停止计费。

  ④用户访问结束。

  在iMaster NCE-Campus上强制用户下线流程：

  ①RADIUS服务器接收到强制下线请求后向RADIUS客户端发送下线通知报文DM（disconnect message）-request，该报文中包含session id、账号和终端IP地址等信息。

  ②RADIUS客户端根据DM-request报文中的信息查找在线用户列表，将符合条件的用户下线，并向RADIUS服务器发送下线成功响应报文DM-ACK。

  ③RADIUS客户端向RADIUS服务器发送计费停止请求报文（accounting-request）。

  ④RADIUS服务器返回计费结束响应报文（accounting-response），并停止计费。

  ⑤用户访问结束。