远程主机怎样连接radius服务器

在"控制面板"中双击"添加或删除程序"，

1

在弹出的"Windows组件向导"中选择"网络

2

勾选"Internet验证服务"子组件，确定，

3

在"控制面板"下的"管理工具"中打开"Int

4

创建用户账户在"控制面板"下的"管理工

5

为了方便管理，我们创建一个用户组"802

6

在添加用户之前，必须要提前做的是，打

7

否则以后认证的时候将会出现以下错误提

当架设完一台Radius认证服务器后，如果没有用于Radius认证的设备来做测试，就不知道Radius是否架设成功。这时可以使用NTRadPing来测试架设的Radius是否可用。

RADIUS是英文(Remote Authentication Dial In User Service)的缩写，是网络远程接入设备的客户和包含用户认证与配置信息的服务器之间信息交换的标准客户/服务器模式。它包含有关用户的专门简档，如：用户名、接入口令、接入权限等。这是保持远程接入网络的集中认证、授权、记费和审查的得到接受的标准。

RADIUS认证系统包含三个方面：认证部分、客户协议以及记费部分,其中：

RADIUS 认证部分一般安装在网络中的某台服务器上，即RADIUS认证服务器；

客户协议运行在远程接入设备上，如：远程接入服务器或者路由器。这些RADIUS客户把认证请求发送给RADIUS认证服务器，并按照服务器发回的响应做出行动；

RADIUS记费部分收集统计数据，并可以生成有关与网络建立的拨入会话的报告。

RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证服务）服务器提供了三种基本的功能：认证（Authentication）、授权（Authorization）和审计（Accounting），即提供了3A功能。其中审计也称为“记账”或“计费”。

RADIUS协议采用了客户机/服务器（C/S）工作模式。网络接入服务器（Network Access Server，NAS）是RADIUS的客户端，它负责将用户的验证信息传递给指定的RADIUS服务器，然后处理返回的响应。RADIUS服务器负责接收用户的连接请求，并验证用户身份，然后返回所有必须要配置的信息给客户端用户，也可以作为其他RADIUS服务器或其他类认证服务器的代理客户端。服务器和客户端之间传输的所有数据通过使用共享密钥来验证，客户端和RADIUS服务器之间的用户密码经过加密发送，提供了密码使用的安全性。如果这台计算机是一台Windows Server 2003的独立服务器（未升级成为域控制器，也未加入域），则可以利用SAM来管理用户账户信息；如果是一台Windows Server 2003域控制器，则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定，但RADIUS服务器提供的认证功能相同。为便于实验，下面以一台运行Windows Server 2003的独立服务器为例进行介绍，该计算机的IP地址为172162254。

在"控制面板"中双击"添加或删除程序"，在弹出的对话框中选择"添加/删除Windows组件"

在弹出的"Windows组件向导"中选择"网络服务"组件，单击"详细信息"

勾选"Internet验证服务"子组件，确定，然后单击"下一步"进行安装

在"控制面板"下的"管理工具"中打开"Internet验证服务"窗口

创建用户账户在"控制面板"下的"管理工具"中打开"计算机管理"，选择"本地用户和组"

为了方便管理，创建一个用户组"8021x"专门用于管理需要经过IEEE 8021x认证的用户账户。鼠标右键单击"组"，选择"新建组"，输入组名后创建组。

在添加用户之前，必须要提前做的是，打开"控制面板"-"管理工具"下的"本地安全策略"，依次选择"账户策略"-"密码策略"，启用"用可还原的加密来储存密码"策略项。

否则以后认证的时候将会出现以下错误提示。

接下来添加用户账户"0801010047"，设置密码"123"。鼠标右键单击"用户"，选择"新用户"，输入用户名和密码，创建用户

将用户"0801010047"加入到"8021x"用户组中。鼠标右键单击用户"0801010047"，选择"属性"。在弹出的对话框中选择"隶属于"，然后将其加入"8021x"用户组中。

设置远程访问策略,新建远程访问策略，鼠标右键单击"远程访问策略"，选择"新建远程访问策略"

选择配置方式，这里我们使用向导模式

选择访问方法，以太网

选择授权方式，将之前添加的"8021x"用户组加入许可列表

选择身份验证方法，"MD5-质询"

确认设置信息

只保留新建的访问策略，删掉其他的。

设置ip需要三步：

1．锁定交换机端口。

对于交换机的每一个以太网端口，采用MAC地址表（MAC-address-table）的方式对端口进行锁定。只有网络管理员在MAC地址表中指定的网卡的MAC地址才能通过该端口与网络连接，其他的网卡地址不能通过该端口访问网络。

我们可以在计算机上先运行ping命令，然后用arp-a命令就可以看到网络用户相应的IP地址对应的MAC地址，这样就使MAC地址和物理顺序对应起来，使得一根网线、一个端口对应一个MAC地址。

这种方法比较适合于单幢大楼的宽带用户，在每一层楼或每个单元放置一台交换机，对交换机的每一个以太网端口进行限定，让每个用户单独占用一个端口，如果有人盗用了IP地址也将无济于事。下面用一段程序，举例说明指定交换机的e0/9口对应MAC地址083c00000002，只有这个MAC地址可以通过该端口访问网络。 

2．应用ARP绑定IP地址和MAC地址

ARP（Address Resolution Protocol）即地址解析协议，这个协议是将IP地址与网络物理地址一一对应的协议。每台计算机的网卡的MAC地址都是唯一的。

在三层交换机和路由器中有一张称为ARP的表，用来支持在IP地址和MAC地址之间的一一对应关系，它提供两者的相互转换，具体说就是将网络层地址解析为数据链路层的地址。 

我们可以在ARP表里将合法用户的IP地址和网卡的MAC地址进行绑定。当有人盗用IP地址时，尽管盗用者修改了IP地址，但由于网卡的MAC地址和ARP表中对应的MAC地址不一致，那么也不能访问网络。

3 用PPPoE协议进行用户认证 。

对于盗用者使用第二种方法同时修改IP地址和MAC地址时，可以使用PPPoE协议进行用户认证。现在有很多基于PPPoE协议的软件，在ADSL的宽带网中广泛使用。PPPoE全称是Point to Point Protocol over Ethernet（基于局域网的点对点通讯协议），这个协议是为了满足越来越多的宽带上网设备和网络之间的通讯而最新制定开发的标准，它基于两个广泛接受的标准，即以太网和PPP点对点拨号协议。

对运营商来说，在现有局域网基础上不必花费巨资来做大面积改造，使得PPPoE 在宽带接入服务中比其他协议更具有优势，因此逐渐成为宽带上网的最佳选择。 

PPPoE的实质是以太网和拨号网络之间的一个中继协议，它兼有以太网的快速性和PPP协议拨号的简易性以及用户验证和IP分配等优势。

在ADSL宽带网的实际应用中，PPPoE利用以太网的工作原理，将ADSL Modem的10BASE－T接口与内部以太网络互联，PPPoE接入利用在网络侧和ADSL Modem之间建立一条PVC（永久虚电路）就可以完成以太网上多用户的共同接入，实际组网方式简单易行，大大降低了网络的复杂程度。

在客户端，其设置和拨号上网方式一样，安装虚拟拨号软件，通过虚拟拨号的方式完成。在客户机接入网络后，由PPP服务器或RADIUS服务器来进行认证，其使用的验证协议有两种：PAP和CHAP。

PAP是密码身份验证协议，它使用原文（不加密）密码，是一种最简单的身份验证协议。如果络的接入不能用更安全的验证方式，一般就使用PAP。

1、8021X认证是RADIUS协议的一种认证方式。主要解决以太网内认证和安全方面的问题。

2、8021X为典型的Client/Server结构，有三个部分，终端、RADIUS客户端和RADIUS服务器。

3、8021X认证流程。

  用户上线流程：

  ①用户发起认证请求，向RADIUS客户端发送账号和密码。

  ②RADIUS客户端根据获取到的账号和密码，向RADIUS服务器发送认证请求（access-request），其中密码在共享密钥的参与下进行加密处理。

  ③RADIUS服务器对账号和密码进行认证。如果认证成功，RADIUS服务器向RADIUS客户端发送认证接收报文（access-accept）;如果认证失败，则返回认证拒绝报文（access-reject）。由于RADIUS协议合并了认证和授权的过程，因此认证接受报文中也包含了用户的授权信息。

  ④RADIUS客户端根据接受到的认证结果接入或拒绝用户。如果允许用户接入，则RADIUS客户端向

RADIUS服务器发送计费开始请求报文（Accounting-request）。

  ⑤RADIUS服务器返回计费开始响应报文（accounting-response）,并开始计费。

  ⑥用户根据授权开始访问网络资源。

  用户主动下线流程：

  ①用户执行注销操作，请求下线。

  ②RADIUS客户端收到用户下线请求后向RADIUS服务器发送计费停止请求报文（accounting-request）。

  ③RADIUS服务器返回计费结束响应报文（accounting-response）,并停止计费。

  ④用户访问结束。

  在iMaster NCE-Campus上强制用户下线流程：

  ①RADIUS服务器接收到强制下线请求后向RADIUS客户端发送下线通知报文DM（disconnect message）-request，该报文中包含session id、账号和终端IP地址等信息。

  ②RADIUS客户端根据DM-request报文中的信息查找在线用户列表，将符合条件的用户下线，并向RADIUS服务器发送下线成功响应报文DM-ACK。

  ③RADIUS客户端向RADIUS服务器发送计费停止请求报文（accounting-request）。

  ④RADIUS服务器返回计费结束响应报文（accounting-response），并停止计费。

  ⑤用户访问结束。

APN的英文全称是Access Point Name，中文全称叫接入点，是在通过手机上网时必须配置的一个参数，它决定了手机通过哪种接入方式来访问网络。

1手机默认上网配置一般用于WAP浏览,所以APN接入点普遍默认设置成CMWAP,名称一般叫“移动梦网”(中国移动的品牌),CMNET的接入配置名称一般叫“GPRS连接互联网”之类的。

2专线APN传输方式，根据企业对网络安全的特殊要求,采用了多种安全措施,通过一条2M 专线接入移动公司GPRS网络,双方互联路由器之间采用私有IP地址进行广域连接,在GGSN与移动公司互联路由器之间采用GRE隧道，为客户分配专用的APN,普通用户不得申请该APN，用于GPRS专网的SIM卡仅开通该专用APN,限制使用其他APN。

3 客户可自建一套RADIUS服务器和DHCP服务器，GGSN向RADIUS服务器提供用户主叫号码，采用主叫号码和用户账号相结合的认证方式。用户通过认证后由DHCP服务器分配企业内部的静态IP地址。 

4业务流程 GPRS专网系统终端上网登录服务器平台的流程，用户发出GPRS登录请求,请求中包括由移动公司为GPRS专网系统专门分配的专网APN，根据请求中的APN,SGSN向DNS服务器发出查询请求,找到与企业服务器平台连接的GGSN,并将用户请求通过GTP隧道封装送给GGSN;

5GGSN将用户认证信息(包括手机号码、用户账号、密码等)通过专线送至Radius进行认证; Radius认证服务器看到手机号等认证信息,确认是合法用户发来的请求,向DHCP服务器请求分配用户地址。 Radius认证通过后,由Radius向GGSN发送携带用户地址的确认信息，用户得到了IP地址,就可以携带数据包，对GPRS专网系统信息查询和业务处理平台进行访问。

6APN的技术 从运营商角度看，APN就是一个逻辑名字，APN一般都部署在GGSN设备上或者逻辑连接到GGSN上，用户使用GPRS上网时，都通过GGSN代理出去到外部网络。

7因此APN、设计、过滤、统计等等,就成为一个对GPRS计费，GPRS资费有重要参考价值的参数之一。

随着信息化的快速发展，对国家、组织、公司或个人来说至关重要的信息越来越多的通过网络来进行存储、传输和处理，为获取这些关键信息的各种网络犯罪也相应急剧上升。当前，网络安全在某种意义上已经成为一个事关国家安全，社会经济稳定的重大问题，得到越来越多的重视。

在网络安全中，身份认证技术作为第一道，甚至是最重要的一道防线，有着重要地位，可靠的身份认证技术可以确保信息只被正确的“人”所访问。身份认证技术提供了关于某个人或某个事物身份的保证，这意味着当某人（或某事）声称具有一个特别的身份时，认证技术将提供某种方法来证实这一声明是正确的。

图1-1

常见的网络接入身份认证技术主要有三种：

通过前期给分享的文章《思科ISE对公司访客进行Portal认证（基于HTTPS协议）》，大家应该对WebAuth认证很熟悉了。今天跟大家聊聊如何利用MAC认证方式为网络设备做接入认证。下一期文章将为大家分享，如何使用8021x认证方式做网络接入认证。

MAC认证是网络接入控制方案（NAC）中的一种，它是基于接口和MAC地址对用户的网络访问权限进行控制的认证方法，并且不需要用户安装任何客户端软件。通过MAC认证能够实现保护企业内网的安全性的目的。MAC认证无需用户终端安装客户端，但是却需要在服务器上登记MAC地址，如果为每台终端设备做接入MAC地址记录。工作量非常大。所以通常，MAC认证一般适用于打印机、传真机等哑终端接入认证的场景。

1 使用不同用户名格式的MAC地址认证

目前设备支持两种方式的MAC地址认证，通过RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器进行远程认证和在接入设备上进行本地认证。

根据设备最终用于验证用户身份的用户名格式和内容的不同，可以将MAC地址认证使用的用户帐户格式分为两种类型：

2 MAC地址两种认证类型介绍

21 RADIUS服务器认证方式进行MAC地址认证（本文将以RADIUS服务器方式为例为大家介绍）

当选用RADIUS服务器认证方式进行MAC地址认证时，设备作为RADIUS客户端，与RADIUS服务器配合完成MAC地址认证操作：

22 本地认证方式进行MAC地址认证

当选用本地认证方式进行MAC地址认证时，直接在设备上完成对用户的认证。需要在设备上配置本地用户名和密码：

Part 2 - 实验配置

一 实验拓扑

图2-1

二 实验需求

三 配置逻辑

图2-2 华为交换机的配置逻辑

表1 思科ISE的配置逻辑

四 实验设备及注意事项

五 数据规划

表2交换机接口和VLAN规划

表3 网络设备IP地址规划

表4交换机业务数据规划

六 实验步骤

Step 1 - 交换机VLAN配置。

2 按照VLAN规划，将接口加入对应的VLAN。

Step 2 - Cisco ISE，业务服务器，终端IP地址配置略。

Step 3 - 交换机侧配置。

Step 4 - 配置ISE。

打开Internet Explorer浏览器，在地址栏输入ISE的访问地址，单击“Enter”。输入ISE管理员账号和密码登录ISE。

可以用WIN2003做一个RADIUS认证服务器，AP方面用什么都可以，只要不是杂牌子的都行，我用DLINK和思科的试过，都可以，电脑保存密码以后就很方便，每次打开WIFI就可以直接连入无线，我们是为了减少MAC地址绑定的工作量才使用RADIUS去域控制器进行用户名和密码的验证的，下面是我自己的配置笔记，文件太多没法上传到这里啊，我做好RADIUS服务器以后在各种操作系统里建立好连接，导出以后写脚本发给所有员工，执行导入就可以了，平滑割接。

Enterprise WLAN profile deployment with bat script 为大量用户批量安装的脚本docx

IAS访问失败日志txt

IAS访问成功日志txt

import_win7bat

netsh命令txt

PEAP_FreeRADIUS_LDAP_DEBIAN_SARGE_CISCO_AP1200_WinXP_WPA2_AES_HOWTO_V3pdf

win7rar

win7_wpahtm

win7_wpa_files

WIN7安装脚本

WinXP安装脚本

WPA2 Enterprise Win7 Client Setupdocx

使用DLINK无线路由器配置WPA2doc

使用思科1240AG加WIN7进行WPA2连接

办公网AP共享密码txt

安装过程txt

无线网络安全指南：IAS RADIUS实现无线网络验证pdf

生成证书命令txt