路由器Radius服务器IP怎么设置

配置路由和远程访问来使用 RADIUS 身份验证和记帐的另一种方法是，通过“路由和远程访问服务器安装向导”来配置，此向导在执行路由和远程访问服务的初始配置时运行。

用PPPoE协议进行用户认证 ：

对于盗用者使用第二种方法同时修改IP地址和MAC地址时，可以使用PPPoE协议进行用户认证。现在有很多基于PPPoE协议的软件，在ADSL的宽带网中广泛使用。PPPoE全称是Point to Point Protocol over Ethernet（基于局域网的点对点通讯协议），这个协议是为了满足越来越多的宽带上网设备和网络之间的通讯而最新制定开发的标准，它基于两个广泛接受的标准，即以太网和PPP点对点拨号协议。对运营商来说，在现有局域网基础上不必花费巨资来做大面积改造，使得PPPoE 在宽带接入服务中比其他协议更具有优势，因此逐渐成为宽带上网的最佳选择。 PPPoE的实质是以太网和拨号网络之间的一个中继协议，它兼有以太网的快速性和PPP协议拨号的简易性以及用户验证和IP分配等优势。在ADSL宽带网的实际应用中，PPPoE利用以太网的工作原理，将ADSL Modem的10BASE－T接口与内部以太网络互联，PPPoE接入利用在网络侧和ADSL Modem之间建立一条PVC（永久虚电路）就可以完成以太网上多用户的共同接入，实际组网方式简单易行，大大降低了网络的复杂程度。 

在客户端，其设置和拨号上网方式一样，安装虚拟拨号软件，通过虚拟拨号的方式完成。在客户机接入网络后，由PPP服务器或RADIUS服务器来进行认证，其使用的验证协议有两种：PAP和CHAP。 

PAP是密码身份验证协议，它使用原文（不加密）密码，是一种最简单的身份验证协议。如果网络的接入不能用更安全的验证方式，一般就使用PAP。

配置路由和远程访问来使用 RADIUS 身份验证和记帐的另一种方法是，通过“路由和远程访问服务器安装向导”来配置，此向导在执行路由和远程访问服务的初始配置时运行。

用PPPoE协议进行用户认证 ：

对于盗用者使用第二种方法同时修改IP地址和MAC地址时，可以使用PPPoE协议进行用户认证。现在有很多基于PPPoE协议的软件，在ADSL的宽带网中广泛使用。PPPoE全称是Point to Point Protocol over Ethernet（基于局域网的点对点通讯协议），这个协议是为了满足越来越多的宽带上网设备和网络之间的通讯而最新制定开发的标准，它基于两个广泛接受的标准，即以太网和PPP点对点拨号协议。对运营商来说，在现有局域网基础上不必花费巨资来做大面积改造，使得PPPoE 在宽带接入服务中比其他协议更具有优势，因此逐渐成为宽带上网的最佳选择。 PPPoE的实质是以太网和拨号网络之间的一个中继协议，它兼有以太网的快速性和PPP协议拨号的简易性以及用户验证和IP分配等优势。在ADSL宽带网的实际应用中，PPPoE利用以太网的工作原理，将ADSL Modem的10BASE－T接口与内部以太网络互联，PPPoE接入利用在网络侧和ADSL Modem之间建立一条PVC（永久虚电路）就可以完成以太网上多用户的共同接入，实际组网方式简单易行，大大降低了网络的复杂程度。 

在客户端，其设置和拨号上网方式一样，安装虚拟拨号软件，通过虚拟拨号的方式完成。在客户机接入网络后，由PPP服务器或RADIUS服务器来进行认证，其使用的验证协议有两种：PAP和CHAP。 

PAP是密码身份验证协议，它使用原文（不加密）密码，是一种最简单的身份验证协议。如果网络的接入不能用更安全的验证方式，一般就使用PAP。

1、设置radius

设置-->数据库

自动配置ODBC

设置-->系统

密钥、认证端口、计费端口

设置结果如下：

密钥：123

认证端口：1812

计费端口：1813

设置-->认证方法

安全-->拒绝具有相同用户名的并发用户接入（这样，要是相同用户名的并发用户接入时就提示691错误）

所有设置完要重新运行winradiusexe才生效的

添加用户：aaa和bbb

现在我们来测试一下radius是否生效了，运行RadiusTestexe

2、设置routerOS的radius

radius-->add

service：ppp

address：19216888100 （填的是radius服务器的ip地址）

secret：123 （填的是radius服务器的密钥）

authentication port：1812 （填的是radius服务器的认证端口号）

accounting port：1813 （填的是radius服务器的计费端口号）

3、修改ppp的secret使支持AAA，这样ppp就可用使用radius进行认证了

ppp-->secret，AAA-->set

勾选上use radius

4、测试

用一帐户进行pppoe测试，一切正常

用另一帐户进行***测试，不可以，742错误，远程计算机不支持所要求的数据加密类型

我们可以以Telnet,SSH,Web或者console口等不同的方式登录交换机,获得普通或者特权模式的访问权限 在网络设备众多,对网络安全要求较高的企业里,仅仅使用交换机本地数

据库的帐号,密码认证功能已经满足不了用户的要求,客户往往希望能够采用集中,多重的认证方式 这样也能在提高安全度的前提下减轻IT管理负担。RADIUS服务就是其中之一。

这里我们以一个客户的需求作为例子：客户原来的WIN2003域控制器同时也是RADIUS认证服务器，启用了WIN2003自带的IAS（Internet Authentication Service）服务，对LAN里

所有思科交换机作统一的登录认证。现在新购买了DELL34XX交换机，希望实现以下功能：

1．无论是通过console口还是通过telnet,登录用户必须首先通过IAS认证，只有该域中的成员才能有权限访问交换机；

2．登录的用户只能获得普通模式的访问权限，客户会针对telnet或console登录在交换机上设置特权模式的密码，通过IAS认证的用户还必须输入正确密码才能获得查看、修改配

置的权限。

我们根据客户的要求搭建如下一个简单的环境，以全新安装的方式作测试：

第一部分：配置交换机

1给交换机配置管理IP：

interface vlan 1

ip address 19216821 2552552550

2在全局配置模式下，配置radius 服务器IP地址及key,注意，这个密钥用于RADIUS Client和Server之间的通信验证，“key”的设置必须和IAS上“share secret”的设置完全相

同。然后配置用户登录及进入特权模式的认证方式，我们定义了“login“的认证方式为：先尝试radius,如果radius server down,再尝试Local；进入特权模式“enable”的认证

方式为本地交换机上设置的密码认证。“priv”及“test”是自定义的文件名，以便下一步将其绑定在对应的接口上：

radius-server host 1921682100 auth-port 1812

radius-server key abcdabcd

aaa authentication enable priv line

aaa authentication login test radius local

3进入接口配置模式，将相应的配置文件绑定在对应接口上，并且设置好进入特权模式的密码：

line telnet

login authentication test

enable authentication priv

password e10adc3949ba59abbe56e057f20f883e encrypted

line console

login authentication test

enable authentication priv

password 50ec7f0e57fcc436db275c710a5ef127 encrypted

最后别忘记设置一个本地的管理员帐号及密码,以便在RADIUS服务器Down后也能管理交换机：

username admin password 21232f297a57a5a743894a0e4a801fc3 level 15 encrypted

#如果需要在登录WEB页面进行RADIUS认证，使用下面命令:

console(config)# ip https authentication radius local