《网络运维管理》/实验18:实现用户上网认证 实验十八:实现用户上网认证 实验简介 在园区网中使用防火墙配置用户认证,实现客户端身份的验证。安装 RADIUS认证服务器,在 防火墙上配置基于 RADIUS服务器进行用户认证。 、实验目的 1、掌握用户认证的配置方式; 2、掌握 RADIUS认证服务器的安装与配置; 3、掌握在防火墙上配置 RADIUS实现服务器认证的方式 三、实验类型 验证性 四、实验理论 在防火墙部署用户管理与认证,将IP地址识别为用户,为网络行为控制和网络权限分配提供 了基于用户的管理维度,实现精细化的管理。 基于用户进行策略的可视化制定,提高策略的易用性。 解决了P地址动态变化带来的策略控制问题。 1、用户 用户指的是访问网络资源的主体,表示“谁”在进行访问,是网络访问行为的重要标识。在防 火墙上,用户包括上网用户和接入用户。 (1)上网用户 内部网络中访问网络资源的主体。上网用户可以直接通过防火墙访问网络资源 (2)接入用户 外部网络中访问网络资源的主体。接入用户需要先通过 SSL VPN、L2TPⅤPN或 IPSec vpn方 式接入到防火墙,然后才能访问内部的网络资源 2、认证 防火墙通过认证来验证访问者的身份、确保身份合法有效。防火墙访问者进行认证的方式包括 本地认证、服务器认证、单点登录。 本地认证:接入用户将标识其身份的用户名和密码发送给防火墙,在防火墙上上存储了用户名 和密码,验证过程在防火墙上进行。 服务器认证:接入用户将标识其身份的用户名和密码发送给防火墙,防火墙上没有存储用户名 和密码,防火墙将用户名和密码发送至第三方认证服务器,验证过程在认证服务器上进行 单点登录:访问者将标识其身份的用户名和密码发送给第三方认证服务器,认证通过后,第三 方认证服务器将访问者的身份信息发送给防火墙,防火墙只记录访问者的身份信息不参与认证过程
《网络运维管理》/实验 18:实现用户上网认证 1 实验十八:实现用户上网认证 一、实验简介 在园区网中使用防火墙配置用户认证,实现客户端身份的验证。安装 RADIUS 认证服务器,在 防火墙上配置基于 RADIUS 服务器进行用户认证。 二、实验目的 1、掌握用户认证的配置方式; 2、掌握 RADIUS 认证服务器的安装与配置; 3、掌握在防火墙上配置 RADIUS 实现服务器认证的方式。 三、实验类型 验证性 四、实验理论 在防火墙部署用户管理与认证,将 IP 地址识别为用户,为网络行为控制和网络权限分配提供 了基于用户的管理维度,实现精细化的管理。 基于用户进行策略的可视化制定,提高策略的易用性。 解决了 IP 地址动态变化带来的策略控制问题。 1、用户 用户指的是访问网络资源的主体,表示“谁”在进行访问,是网络访问行为的重要标识。在防 火墙上,用户包括上网用户和接入用户。 (1)上网用户 内部网络中访问网络资源的主体。上网用户可以直接通过防火墙访问网络资源。 (2)接入用户 外部网络中访问网络资源的主体。接入用户需要先通过 SSL VPN、L2TP VPN 或 IPSec VPN 方 式接入到防火墙,然后才能访问内部的网络资源。 2、认证 防火墙通过认证来验证访问者的身份、确保身份合法有效。防火墙访问者进行认证的方式包括: 本地认证、服务器认证、单点登录。 本地认证:接入用户将标识其身份的用户名和密码发送给防火墙,在防火墙上上存储了用户名 和密码,验证过程在防火墙上进行。 服务器认证:接入用户将标识其身份的用户名和密码发送给防火墙,防火墙上没有存储用户名 和密码,防火墙将用户名和密码发送至第三方认证服务器,验证过程在认证服务器上进行。 单点登录:访问者将标识其身份的用户名和密码发送给第三方认证服务器,认证通过后,第三 方认证服务器将访问者的身份信息发送给防火墙,防火墙只记录访问者的身份信息不参与认证过程
《网络运维管理》/实验18:实现用户上网认证 3、 RADIUS RADIUS( Remote Authentication Dial In User Service,远程用户拨号认证系统),协议定义了基 于UDP的 RADIUS报文格式及其传输机制,并规定UDP端口1812、1813分别作为认证、计费端 RADIUS服务器通常需要维护三个数据库 Users、 Clients、 Dictionary。 Users:用于存储用户信息,如用户名、口令以及使用的协议、P地址等配置信息 Clients:用于存储 RADIUS客户端的信息,如接入设备的共享密钥、IP地址等。 Dictionary:用于存储 RADIUS协议中的属性和属性值含义的信息。 (1) RADIUS认证报文 报文名称 报文说明 认证请求报文,是 RADIUS报文交互过程中的第一个报文,携带用户的认证 Access-Request 信息(例如:用户名、密码等)。认证请求报文由 RADIUS客户端发送给 RADIUS服务器, RADIUS服务器根据该报文中携带的认证信息判断是否允许 接入。 「认证接受报文,是服务器对客户端发送的 Access-Request报文的响应报文。如 Access-Accept果 Access-Request报文认证通过,则发送该类型报文。客户端收到此报文后, 认证用户才能认证通过并被赋予相应的权限 认证拒绝报文,是服务器对客户端的 Access-Request报文的拒绝响应报文。如 Access-Reject果 Access-Request报文即认证失败,则 RADIUS服务器返回 Access-Reject报 文,用户认证失败 认证挑战报文。EAP认证时, RADIUS服务器接收到 Access-Request报文中携 带的用户名信息后,会随机生成一个MD5挑战字,同时将此挑战字通过 Access-Challenge报文发送给客户端。客户端使用该挑战字对用户密码进行加 Access-challeng密处理后,将新的用户密码信息通过 Access-Request报文发送给 RADIUS服务 器。 RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码 信息进行对比,如果相同,则该用户为合法用户。 (2) RADIUS计费报文 报文名称 报文说明 计费开始请求报文。如果客户端使用 RADIUS模式进行计费,客户端会在用 Request( Start) 户开始访问网络资源时,向服务器发送计费开始请求报文 计费开始响应报文。服务器接收并成功记录计费开始请求报文后,需要回应 Response( Start) 个计费开始响应报文 实时计費请求报文。为避免计费服务器无法收到计费停止请求报文而继续对 Request(Interim-该用户计费,可以在客户端上配置实时计费功能。客户端定时向服务器发送 实时计费报文,减少计费误差。 实时计费响应报文。服务器接收并成功记录实时计费请求报文后,需要回应 Response(Interim 个实时计费响应报文 update) 计费结束请求报文。当用户断开连接时或接入服务器断开连接时,客户端 服务器发送计费结束请求报文,其中包括用户上网所使用的网络资源的统计 Request(Stop) 信息(上网时长、进/出的字节数等),请求服务器停止计费。 Accounting- Accounting- Response(Stop)计费结束响应报文。服务器接收计费停止请求报 Response( Stop)文后,需要回应一个计费停止响应报文。 (3) RADIUS授权报文
《网络运维管理》/实验 18:实现用户上网认证 2 3、RADIUS RADIUS(Remote Authentication Dial In User Service,远程用户拨号认证系统),协议定义了基 于 UDP 的 RADIUS 报文格式及其传输机制,并规定 UDP 端口 1812、1813 分别作为认证、计费端 口。 RADIUS 服务器通常需要维护三个数据库 Users、Clients、Dictionary。 Users:用于存储用户信息,如用户名、口令以及使用的协议、IP 地址等配置信息; Clients:用于存储 RADIUS 客户端的信息,如接入设备的共享密钥、IP 地址等。 Dictionary:用于存储 RADIUS 协议中的属性和属性值含义的信息。 (1)RADIUS 认证报文 报文名称 报文说明 Access-Request 认证请求报文,是 RADIUS 报文交互过程中的第一个报文,携带用户的认证 信息(例如:用户名、密码等)。认证请求报文由 RADIUS 客户端发送给 RADIUS 服务器,RADIUS 服务器根据该报文中携带的认证信息判断是否允许 接入。 Access-Accept 认证接受报文,是服务器对客户端发送的 Access-Request 报文的响应报文。如 果 Access-Request 报文认证通过,则发送该类型报文。客户端收到此报文后, 认证用户才能认证通过并被赋予相应的权限。 Access-Reject 认证拒绝报文,是服务器对客户端的 Access-Request 报文的拒绝响应报文。如 果 Access-Request 报文即认证失败,则 RADIUS 服务器返回 Access-Reject 报 文,用户认证失败。 Access-Challenge 认证挑战报文。EAP 认证时,RADIUS 服务器接收到 Access-Request 报文中携 带的用户名信息后,会随机生成一个 MD5 挑战字,同时将此挑战字通过 Access-Challenge 报文发送给客户端。客户端使用该挑战字对用户密码进行加 密处理后,将新的用户密码信息通过 Access-Request 报文发送给 RADIUS 服务 器。RADIUS 服务器将收到的已加密的密码信息和本地经过加密运算后的密码 信息进行对比,如果相同,则该用户为合法用户。 (2)RADIUS 计费报文 报文名称 报文说明 AccountingRequest(Start) 计费开始请求报文。如果客户端使用 RADIUS 模式进行计费,客户端会在用 户开始访问网络资源时,向服务器发送计费开始请求报文。 AccountingResponse(Start) 计费开始响应报文。服务器接收并成功记录计费开始请求报文后,需要回应 一个计费开始响应报文。 AccountingRequest(Interimupdate) 实时计费请求报文。为避免计费服务器无法收到计费停止请求报文而继续对 该用户计费,可以在客户端上配置实时计费功能。客户端定时向服务器发送 实时计费报文,减少计费误差。 AccountingResponse(Interimupdate) 实时计费响应报文。服务器接收并成功记录实时计费请求报文后,需要回应 一个实时计费响应报文。 AccountingRequest(Stop) 计费结束请求报文。当用户断开连接时或接入服务器断开连接时,客户端向 服务器发送计费结束请求报文,其中包括用户上网所使用的网络资源的统计 信息(上网时长、进/出的字节数等),请求服务器停止计费。 AccountingResponse(Stop) Accounting-Response(Stop) 计费结束响应报文。服务器接收计费停止请求报 文后,需要回应一个计费停止响应报文。 (3)RADIUS 授权报文
《网络运维管理》/实验18:实现用户上网认证 3 报文名称 报文说明 动态授权请求报文。当管理员需要更改某个在线用户的权限时,可以通过服 CoA-Request 务器发送一个动态授权请求报文给客户端,使客户端修改在线用户的权限。 动态授权请求接受报文。如果客户端成功更改了用户的权限,则客户端回应 COA-ACK 动态授权请求接受报文给服务器 COA-NAK 动态授权请求拒绝报文。如果客户端未成功更改用户的权限,则客户端回应 动态授权请求拒绝报文给服务器。 用户离线请求报文。当管理员需要让某个在线的用户下线时,可以通过服务 DM-Request 器发送一个用户离线请求报文给客户端,使客户端终结用户的连接 用户离线请求接受报文。如果客户端已经切断了用户的连接,则客户端回应 DM-ACK 用户离线请求接受报文给服务器。 用户离线请求拒绝报文。如果客户端无法切断用户的连接,则客户端回应用 DM-NAK 户离线请求拒绝报文给服务器。 五、实验规划 本实验是在一台实体计算机上,通过 eNSP仿真软件完成 实体计算机的操作系统为 Windows7/10; l、网络拓扑规划 本实验的在实验17的园区网的基础上开展,配置防火墙进行认证。 2、规划网络地址方案 根据对网络环境的设计,实验中所用到的网络为实体机所在网络。其网络参数(例如IP地址 范围、默认网关等)可以从网络管理员处获得(可能是动态获得,也可能是静态设置),具体情况 要根据实验环境的实际情况而定
《网络运维管理》/实验 18:实现用户上网认证 3 报文名称 报文说明 CoA-Request 动态授权请求报文。当管理员需要更改某个在线用户的权限时,可以通过服 务器发送一个动态授权请求报文给客户端,使客户端修改在线用户的权限。 CoA-ACK 动态授权请求接受报文。如果客户端成功更改了用户的权限,则客户端回应 动态授权请求接受报文给服务器。 CoA-NAK 动态授权请求拒绝报文。如果客户端未成功更改用户的权限,则客户端回应 动态授权请求拒绝报文给服务器。 DM-Request 用户离线请求报文。当管理员需要让某个在线的用户下线时,可以通过服务 器发送一个用户离线请求报文给客户端,使客户端终结用户的连接。 DM-ACK 用户离线请求接受报文。如果客户端已经切断了用户的连接,则客户端回应 用户离线请求接受报文给服务器。。 DM-NAK 用户离线请求拒绝报文。如果客户端无法切断用户的连接,则客户端回应用 户离线请求拒绝报文给服务器。 五、实验规划 本实验是在一台实体计算机上,通过 eNSP 仿真软件完成; 实体计算机的操作系统为 Windows7/10; 1、网络拓扑规划 本实验的在实验 17 的园区网的基础上开展,配置防火墙进行认证。 2、规划网络地址方案 根据对网络环境的设计,实验中所用到的网络为实体机所在网络。其网络参数(例如 IP 地址 范围、默认网关等)可以从网络管理员处获得(可能是动态获得,也可能是静态设置),具体情况 要根据实验环境的实际情况而定
《网络运维管理》/实验18:实现用户上网认证 任务一:使用本地认证 任务描述: 在eNSP仿真软件中防火墙开启本地认证。 步骤1:开启本地认证 访问防火墙,在导航中选择“对象”,如图18-1-1所示 USG6000V1 囚自"品 图18-1-1防火墙“对象”操作 点击左侧导航中“用户”中的“认证策略”,如图18-1-2所示 A用户 认证域 s认证策略 匙认证选项 用户导入 2在线用户 图18-1-2防火墙用户认证策略 在防火墙上配置认证策略,默认的认证策略为“不认证”,修改策略将认证策略设置为 Portal认证,如图18-1-3所示。 修改认证策暗 defaull Thisis the default rule 请选择或输入标签 原安全区域 目的安全区域 原地址地区 an x 服务(2 认证动作 Poa认证免认证○不认证OO匿名认证 Pota认证模板 取消 图18-1-3修改认证策略
《网络运维管理》/实验 18:实现用户上网认证 4 任务一:使用本地认证 任务描述: 在 eNSP 仿真软件中防火墙开启本地认证。 步骤 1:开启本地认证 访问防火墙,在导航中选择“对象”,如图 18-1-1 所示。 点击左侧导航中“用户”中的“认证策略”,如图 18-1-2 所示。 在防火墙上配置认证策略,默认的认证策略为“不认证”,修改策略将认证策略设置为 Portal 认证,如图 18-1-3 所示。 图 18-1-1 防火墙“对象”操作 图 18-1-2 防火墙用户认证策略 图 18-1-3 修改认证策略
《网络运维管理》/实验18:实现用户上网认证 配置完成后,结果如图18-1-4所示 the der.l rula 图18-1-4配置结果 步骤2:开启认证后测试通信 开启认证后,从192.168640/21地址使用PNG访问1721664023网络段的地址。将测试 结果填入下表。 序号 来源地址 测试结果 192.168.64.10 172.16.64.211 192.168.64.10 172.1664.212 234 192.168.64.10 172.1664.213 192.168.64.10 172.16.64.214 步骤3:配置用户 在左侧 default中,添加test组并添加一个用户test,如图18-1-5所示。 用户 户/用户组废全组管理列表 中新建·8删·批里修改國复制导出蹋基于组织结构管理用户 a/default □ Atest 簧1页共1页1)1每页显示条数50 图18-1-5添加用户
《网络运维管理》/实验 18:实现用户上网认证 5 配置完成后,结果如图 18-1-4 所示。 步骤 2:开启认证后测试通信 开启认证后,从 192.168.64.0/21 地址使用 PING 访问 172.16.64.0/23 网络段的地址。将测试 结果填入下表。 序号 来源地址 目的 测试结果 1 192.168.64.10 172.16.64.211 2 192.168.64.10 172.16.64.212 3 192.168.64.10 172.16.64.213 4 192.168.64.10 172.16.64.214 步骤 3:配置用户 在左侧 default 中,添加 test 组并添加一个用户 test,如图 18-1-5 所示。 图 18-1-4 配置结果 图 18-1-5 添加用户
《网络运维管理》/实验18:实现用户上网认证 步骤4:查看 Portal访问地址 点击防火墙管理页面中的认证选项,点击本地 Portal认证,如图18-1-6所示。从页面中可以 看到访问方式为HTPS,端口为8887 全需本地Pu自定义Po资定制 本地Pdta证 关无本地Pora证功帽 重定向认证方式 认证口 1026-50000 v启用 增次数限制 10分钟 认证冲突设置 不允许同一号雪登时,如果认证时发现已经在其他上登录。则 ○登录失败,示已在他登 认证过后转设置 跳转平还使用的web面 应用 图18-1-6本地 Portal认证 步骤5:配置本机虚拟网卡路由策略 在本机虚拟网卡上配置IP地址192.16864200,通过云设备接入网络。 并在本机添加路由策略 route add172.1664.0mask255.255.2540192.168.64254 route add100.2.0mask255.255255252192.168.64.254 步骤6:访问认证地址 访问防火墙认证地址htps/10.0.21:8887 此处为了保证能够正常使用,请使用正浏览器访问。 步骤7:输入用户名密码 访问页面中输入用户名、密码,如图18-1-7所示。 提示:在您使用网络之前,需要进行身份验证 MAC地址绑定认 户,请使用浏[器并 能会导致认证失教 请输入用户名 短入密码 图18-1-7防火墙登录页面
《网络运维管理》/实验 18:实现用户上网认证 6 步骤 4:查看 Portal 访问地址 点击防火墙管理页面中的认证选项,点击本地 Portal 认证,如图 18-1-6 所示。从页面中可以 看到访问方式为 HTTPS,端口为 8887。 步骤 5:配置本机虚拟网卡路由策略 在本机虚拟网卡上配置 IP 地址 192.168.64.200,通过云设备接入网络。 并在本机添加路由策略: route add 172.16.64.0 mask 255.255.254.0 192.168.64.254 route add 10.0.2.0 mask 255.255.255.252 192.168.64.254 步骤 6:访问认证地址 访问防火墙认证地址 https://10.0.2.1:8887。 此处为了保证能够正常使用,请使用 IE 浏览器访问。 步骤 7:输入用户名密码 访问页面中输入用户名、密码,如图 18-1-7 所示。 图 18-1-6 本地 Portal 认证 图 18-1-7 防火墙登录页面
《网络运维管理》/实验18:实现用户上网认证 步骤8:登录后用户可修改密码 修改密码,如图18-1-8所示。 修改密码 图18-1-8认证用户修改密码 步骤9:登录后重新进行通信测试 登录成功后,从192.168640/21地址使用PNG访问1721664023网络段的地址。将测试 结果填入下表 源 目的 172.16.64.211 192.16864.200 172.16.64.212 192.16864.200 172.1664.213 192.168.64.200 1721664214 192.168.64.10 172.1664.211 192.168.64.10 172.16.64.212 92.168.64.10 172.16.64.213 192.168.64.10 172.16.64.214
《网络运维管理》/实验 18:实现用户上网认证 7 步骤 8:登录后用户可修改密码 修改密码,如图 18-1-8 所示。 步骤 9:登录后重新进行通信测试 登录成功后,从 192.168.64.0/21 地址使用 PING 访问 172.16.64.0/23 网络段的地址。将测试 结果填入下表。 序号 来源地址 目的 测试结果 1 192.168.64.200 172.16.64.211 2 192.168.64.200 172.16.64.212 3 192.168.64.200 172.16.64.213 4 192.168.64.200 172.16.64.214 5 192.168.64.10 172.16.64.211 6 192.168.64.10 172.16.64.212 7 192.168.64.10 172.16.64.213 8 192.168.64.10 172.16.64.214 图 18-1-8 认证用户修改密码
《网络运维管理》/实验18:实现用户上网认证 8 任务二:搭建 RADIUS服务器 任务描述: 通过 Virtualbox虛拟机创建一台Cent0S操作系统的虚拟机,并在虛拟 机中使用 FreeRADIus实现 RADIUS服务器。 步骤1:安装虚拟机 在 VirtualBox中安装一台 Centos7操作系统的虚拟机。具体操作略。 步骤2:配置操作系统防火墙 关闭操作系统防火墙,并禁止防火墙自动启动 #systemctl stop firewall systemctl disable firewall 步骤3:配置 selinux 关闭 selinux,并修改配置文件letc/ selinux/config,将 SELINUX= enforing修改为 SELINUX=disabled 步骤4:安装EPEL源 #yum install epel-release 步骤5:安装 FreeRaDIus软件 /安装 FreeRADIUS软件和工具包 #yum -y install freeradius freeradius-utils 步骤6:启动 FreeRaDIUs,并添加为自动启动 启动 FreeRADIUS,并将其设置为开机自动启动 systemctl start radiusd service systemctl enable radiusd service 步骤7:添加一个测试用户 修改认证文件,在文件/ etc/radde/ mods-confi/ files/ authorize的最上方增加一个用户配置,用户 名为“ testuser”,密码为“abcd#1234”,配置内容为 testuser Cleartext -Password:="abcd#1234 步骤8:重启 RADIUS服务 重启服务,使修改过的配置生效 systemctl restart radiusd service
《网络运维管理》/实验 18:实现用户上网认证 8 任务二:搭建 RADIUS 服务器 任务描述: 通过 VirtualBox 虚拟机创建一台 CentOS 操作系统的虚拟机,并在虚拟 机中使用 FreeRADIUS 实现 RADIUS 服务器。 步骤 1:安装虚拟机 在 VirtualBox 中安装一台 CentOS 7 操作系统的虚拟机。具体操作略。 步骤 2:配置操作系统防火墙 关闭操作系统防火墙,并禁止防火墙自动启动。 #systemctl stop firewalld #systemctl disable firewalld 步骤 3:配置 selinux 关 闭 selinux , 并 修 改 配 置 文 件 /etc/selinux/config , 将 SELINUX=enforing 修改为 SELINUX=disabled。 步骤 4:安装 EPEL 源 #yum install epel-release 步骤 5:安装 FreeRADIUS 软件 //安装 FreeRADIUS 软件和工具包 #yum -y install freeradius freeradius-utils 步骤 6:启动 FreeRADIUS,并添加为自动启动 启动 FreeRADIUS,并将其设置为开机自动启动。 #systemctl start radiusd.service #systemctl enable radiusd.service 步骤 7:添加一个测试用户 修改认证文件,在文件/etc/raddb/mods-config/files/authorize 的最上方增加一个用户配置,用户 名为“testuser”,密码为“abcd#1234”,配置内容为: testuser Cleartext-Password := "abcd#1234" 步骤 8:重启 RADIUS 服务 重启服务,使修改过的配置生效。 #systemctl restart radiusd.service
《网络运维管理》/实验18:实现用户上网认证 步骤9:测试服务生效 执行 radtest{ username}{ password}{ hostname}0{ radius secret}命令测试配置是否生效,服务 是否正常。{ username}表示用户名,{ password}表示密码,{ hostname}表示客户端地址,{ radius secret} 表示密钥,默认为 testing23 #radtest testuser abcd#1234 127.0.0.1 0 testing 123 Sent Access-Request Id 75 from 0.0.0.0: 53630 to 127.0.0.1: 1812 length 78 User-Password = abcd#1234 NAS-IP-Address 172.16 64.20 NAS-Port=o Cleartext-Password ="abcd#1234 Received Access-Accept Id 75 from 127.0.0.1: 1812 to 0.0.0.0: 0 length 20 查看到内容返回 Access-Accept表示服务生效并正常
《网络运维管理》/实验 18:实现用户上网认证 9 步骤 9:测试服务生效 执行 radtest {username} {password} {hostname} 0 {radius_secret}命令测试配置是否生效,服务 是否正常。{username}表示用户名,{password}表示密码,{hostname}表示客户端地址,{ radius_secret } 表示密钥,默认为 testing123。 #radtest testuser abcd#1234 127.0.0.1 0 testing123 Sent Access-Request Id 75 from 0.0.0.0:53630 to 127.0.0.1:1812 length 78 User-Name = "testuser" User-Password = "abcd#1234" NAS-IP-Address = 172.16.64.20 NAS-Port = 0 Message-Authenticator = 0x00 Cleartext-Password = "abcd#1234" Received Access-Accept Id 75 from 127.0.0.1:1812 to 0.0.0.0:0 length 20 查看到内容返回 Access-Accept 表示服务生效并正常
《网络运维管理》实验18:实现用户上网认证10 任务三:在防火墙上配置 RADIUS服务器实现认证 任务描述: 在eNSP仿真软件中防火墙配置 RADIUS服务器,并通过 RADIUS实现用户 认证 步骤1:将 RADIUS服务器部署在eNSP仿真网络中 将任务二中安装的 RADIUS服务器部署在εNSP仿真网络的管理区域,地址为172.166420 注意将虚拟机的网卡设置为仅主机模式。具体操作略 步骤2:配置 RADIUS服务器并接入防火墙AFW-1 修改 RADIUS服务器的配置文件 letc/raddb/clients. conf,其中客户端地址为防火墙A-FW-l的地 址100255.100,密钥为: secret255100,允许 RADIUS支持的所有协议。重启服务 systemctl restart radiusd service使配置生效 client A-FW-1 t ipaddr=10.0.255.100 et secret255100 proto = 步骤3:配置A-FW-1的 loopback接囗 配置 lookback接口,并配置网络在OSPF增加网络地址通告 [A-FW-1]interface LoopBack 0 [A-FW-1- LoopBack] lip address10.0.255.100255.255.255.255 [A-FW-1-LoopBacko]quit [A-FW-1 ]ospf 1 [A-FW-1-ospf-1]area 1 [A-FW-1-ospf-1-area-0.0.0.1] network10.0.255.1000.0.0.0 步骤4:同时配置本地 Windows系统增加静态路由 增加静态路由,允许192.168.64.0/21访问100.255.100的地址。 oute add10.0.255.100mask255.255.255.255192.168.64.254 步骤5:配置防火墙,添加 RADIUS服务器 点击左侧导航中“认证服务器”中的“ RADIUS”,如图18-3-1所示
《网络运维管理》/实验 18:实现用户上网认证 10 任务三:在防火墙上配置 RADIUS 服务器实现认证 任务描述: 在 eNSP 仿真软件中防火墙配置 RADIUS 服务器,并通过 RADIUS 实现用户 认证。 步骤 1:将 RADIUS 服务器部署在 eNSP 仿真网络中 将任务二中安装的 RADIUS 服务器部署在 eNSP 仿真网络的管理区域,地址为 172.16.64.20, 注意将虚拟机的网卡设置为仅主机模式。具体操作略。 步骤 2:配置 RADIUS 服务器并接入防火墙 A-FW-1 修改 RADIUS 服务器的配置文件/etc/raddb/clients.conf,其中客户端地址为防火墙 A-FW-1 的地 址 10.0.255.100,密钥为:secret255100,允许 RADIUS 支持的所有协议。重启服务 systemctl restart radiusd.service 使配置生效。 client A-FW-1 { ipaddr = 10.0.255.100 secret = secret255100 proto = * } 步骤 3:配置 A-FW-1 的 loopback 接口 配置 lookback 接口,并配置网络在 OSPF 增加网络地址通告。 [A-FW-1]interface LoopBack 0 [A-FW-1-LoopBack0]ip address 10.0.255.100 255.255.255.255 [A-FW-1-LoopBack0]quit [A-FW-1]ospf 1 [A-FW-1-ospf-1]area 1 [A-FW-1-ospf-1-area-0.0.0.1]network 10.0.255.100 0.0.0.0 步骤 4:同时配置本地 Windows 系统增加静态路由 增加静态路由,允许 192.168.64.0/21 访问 10.0.255.100 的地址。 route add 10.0.255.100 mask 255.255.255.255 192.168.64.254 步骤 5:配置防火墙,添加 RADIUS 服务器 点击左侧导航中“认证服务器”中的“RADIUS”,如图 18-3-1 所示