3.。配置CHAP认证(RADIUS认证方式)
radius认证服务器配置
基于IEEE 802.1x认证系统的组成 一个完整的基于IEEE 802.1x的认证系统由认证客户端、认证者和认证服务器3部分(角色)组成。 认证客户端。认证客户端是最终用户所扮演的角色,一般是个人计算机。它请求对网络服务的访问,并对认证者的请求报文进行应答。认证客户端必须运行符合IEEE 802.1x 客户端标准的软件,目前最典型的就是Windows XP操作系统自带的IEEE802.1x客户端支持。另外,一些网络设备制造商也开发了自己的IEEE 802.1x客户端软件。 认证者认证者一般为交换机等接入设备。该设备的职责是根据认证客户端当前的认证状态控制其与网络的连接状态。扮演认证者角色的设备有两种类型的端口:受控端口(controlled Port)和非受控端口(uncontrolled Port)。其中,连接在受控端口的用户只有通过认证才能访问网络资源;而连接在非受控端口的用户无须经过认证便可以直接访问网络资源。把用户连接在受控端口上,便可以实现对用户的控制;非受控端口主要是用来连接认证服务器,以便保证服务器与交换机的正常通讯。 认证服务器认证服务器通常为RADIUS服务器。认证服务器在认证过程中与认证者配合,为用户提供认证服务。认证服务器保存了用户名及密码,以及相应的授权信息,一台认证服务器可以对多台认证者提供认证服务,这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的审计数据。微软公司的Windows Server 2003操作系统自带有RADIUS 服务器组件。 实验拓扑图 安装RADIUS服务器:如果这台计算机是一台Windows Server 2003的独立服务器(未升级成为域控制器,也未加入域),则可以利用SAM来管理用户账户信息;如果是一台Windows Server 2003域控制器,则利用活动目录数据库来管理用户账户信息。虽然活动目录数据库管理用户账户信息要比利用SAM来安全、稳定,但RADIUS服务器提供的认证功
实验17 路由器接口PPP 协议封装和PAP、CHAP 验证配置(改写).pdf
实验19路由器接口PPP协议封装和PAP、CHAP验证配置 【背景知识】 教材1.7.4及4.4.4-4.4.5内容。掌握PPP协议的封装结构及PAP、CHAP的认证原理和认 证过程,掌握PAP和CHAP认证的区别。 PAP CHAP 认证时由用户发起认证时由服务器发起 用户名、密码明文传送用 MD5 算法加密传送 次数无限,直至认证成功或线路关闭为止次数有限(一般为 3 次) 认证通过后不再进行验证认证通过后定时再验证 安全性低安全性很高 【实验拓扑】 图8-23给出了实验线路连接,实验时使用Cisco Packet Tracer5.2完成拓扑结构搭建。 注意连接线路时,不要使用Packet Tracer中的自动选择线缆类型方式进行连接,而要自己 选择合适的线缆进行连接,否则拓扑连接容易出错。 图8-23实验19线路连接图 【实验内容】 (1) 选择两台C2811 路由器,分别关闭电源后添加WIC-2T 模块,添加位置为插槽0/接口适 配器0(提示:在4个插槽中右下角的位置)。开启电源之后使用Serial 电缆将两台路由器 的Serial0/0/0 接口进行连接,连接时使得C2811B 为DCE 端、C2811A 为DTE 端,即选择 带时钟标记的串行线先连C2811B,然后再连C2811A。 电源开关, 用鼠标点击 图8.22 WIC-2T 模块安装位置可开关 【提示1】图8.22所示界面,可以单击某台路由器的图标,然后在弹出的框中选择“Physical” 选项卡,接着在左侧一栏中选择WIC-2T,最后按住鼠标左键不变拖动到对应的适配器即可。 【提示2】在选择线缆时,用串行线旁边带时钟符号的线先连接C2811B,那么C2811B即为DCE 端,线另外一头所连接的路由器C2811A就是DTE;反之,亦成立。 1
RADIUS服务器进行MAC验证
RADIUS服务器进行MAC验证,配置nat,使无线接入端连接外网 一、实验目的:通过Radius服务器的mac验证和路由器上的 nat配置,使得在局域网内的无线设备可以上网。 二、实验拓扑图: 三、使用的设备列表: S3610交换机3台 AR28路由器1台 AP无线路由器1台 AC无线控制器1台 Radius服务器1台 四、具体的配置:
步骤一:在AC上设置用户和做mac地址绑定,以及设计无线网
PPP中的pap和chap认证
PPP中的pap和chap认证 写在前面:今天看了victoryan兄弟的chap认证实验,想起来以前帮忙同学解决了一个关于pap和chap认证的问题,现在就把ppp中的pap和chap认证做一个总结。 实验等级:Aassistant 实验拓扑: 实验说明:PPP中的认证方式有pap和chap两种,这两种认证既可以单独使用也可以结合使用。并且既可以进行单向认证也可以进行双向认证。 pap是通过验证远端的用户名和密码是否匹配来进行验证chap则是发送一个挑战包,然后远端通过自己的数据库的用户名和密码利用md5进行计算后返还一个数值,然后在发送方验证这个数值是否和自己计算出来的数值是否一致进行验证 基本配置: R1: ! hostname R1----------------------------------------------------------设置主机名为“R1” ! interface Serial1/0 ip address 1.1.1.1 255.255.255.0 encapsulation ppp-------------------------------------------------设置封装为ppp R2: hostname R2 ! interface Serial1/0 ip address 1.1.1.2 255.255.255.0 encapsulation ppp 通过上面的配置,在没有启用任何认证的情况下,链路是通的。 配置步骤:
1.在两台路由器上进行pap认证: 如果我们进行单项认证的话配置应该如下 R1为认证的服务器端,需要建立本地口令数据库,并且开始pap认证。 R1(config)#username R2 password gairuhe------------------------建立本地口令数据库R1(config)#int s1/0 R1(config-if)#ppp authentication pap--------------------------------要求进行PAP认证在这样的配置下,我们可以看到链路已经down了: R1(config-if)# *Aug 23 16:45:12.639: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to down R2为认证的客户端,需要发送用户名和密码来匹配服务器端的口令数据库此时我们在R2上加上如下的配置: R2(config)#int s1/0 R2(config-if)#ppp pap sent-username R2 password gairuhe------发送用户名和密码 R2(config-if)# *Aug 23 16:47:48.635: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up 此时链路已经起来,我们仅在R1上做了认证,而在R2上没有进行认证。这就是pap的单向认证。 Pap的双向认证: Pap的双向认证其实就是将两端同时都配置为认证服务器端和认证客户端。在上面实验的基础上,我们只要将R2配置成服务器端,将R1配置成客户端即可。 R2(config)#username R1 password gairuhe R2(config)#int s1/0 R2(config-if)#ppp authentication pap R2(config-if)# *Aug 23 16:52:29.843: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to down R1(config-if)#int s1/0 R1(config-if)#ppp pap sen R1(config-if)#ppp pap sent-username R1 password gairuhe R1(config-if)# *Aug 23 16:53:08.343: %LINEPROTO-5-UPDOWN: Line protocol on Interface Ser ial1/0, changed state to up
实验14.3 PPP之CHAP认证
实验14.3 PPP之CHAP认证 一、实验需求 (1)路由器串口通过PPP进行地址协商获取IP地址; (2)路由器之间改成CHAP认证,以建立PPP链路。 二、实验拓扑 图1 配置CHAP单向认证实验 三、实验步骤 (1)请根据实验拓扑图,配置各个路由器的主机名(主机名格式:如R1-zhangsan)和接口IP地址,R2的接口IP采用PPP协商获取,请给出R1、R2的配置截图。 与实验14.2配置相同,图略 (2)在R2上查看接口是否获取到IP地址,并观察接口状态,再截图。与实验14.2配置相同,图略 (3)在当前未做认证的情况下,通过R1 ping R2,检验PPP链路是否能正常通信,请给出ping结果的截图。 与实验14.2配置相同,图略 //能通则正常,反之则不正常。 (4)在R1上配置论证数据库,并在R1的串口启用chap认证,然后在R2的串口配置用于验证的用户名和需要发送的密码,请给出R1和R2的配置截图。
(5)在R1上对PPP链路进行抓包,启动wireshark后,shutdown R1的串口,然后执行undo shutdown命令启用R1的串口,再到wireshark上查看抓到的CHAP包,找出并标识出用于CHAP认证的用户名和密码,最后对包含CHAP认证账号信息的包进行截图。
(6)在当前已做CHAP认证的情况下,通过R1 ping R2,检验PPP链路是否能正常通信,请给出ping结果的截图。 //能通则说明CHAP认证成功,反之则说明PPP链路认证失败。 说明:本实验是CHAP单向认证,如果要作CHAP双向认证,则每个路由器既作为主认证方,又作为被认证方。在本实验的基础上对R2配置AAA认证账户,并在串口下启用CHAP认证;在R1的串口下配置用于认证的账号信息即可。
pap和chap认证
PAP认证和CHAP认证概述 一、PAP认证协议(PasswordAuthenticationProtocol,口令认证协议): PAP认证过程非常简单,二次握手机制。 使用明文格式发送用户名和密码。 发起方为被认证方,可以做无限次的尝试(暴力破解)。 只在链路建立的阶段进行PAP认证,一旦链路建立成功将不再进行认证检测。 目前在PPPOE拨号环境中用的比较常见。 PAP认证过程: PAP认证过程图 首先被认证方向主认证方发送认证请求(包含用户名和密码),主认证方接到认证请求,再根据被认证方发送来的用户名去到自己的数据库认证用户名密码是否正确,如果密码正确,PAP认证通过,如果用户名密码错误,PAP认证未通过。 二、CHAP认证协议(ChallengeHandshakeAuthenticationProtocol,质询握手认证协议) CHAP认证过程比较复杂,三次握手机制。
使用密文格式发送CHAP认证信息。 由认证方发起CHAP认证,有效避免暴力破解。 在链路建立成功后具有再次认证检测机制。 目前在企业网的远程接入环境中用的比较常见。 CHAP认证过程: CHAP认证第一步:主认证方发送挑战信息【01(此报文为认证请求)、id(此认证的序列号)、随机数据、主认证方认证用户名】,被认证方接收到挑战信息,根据接收到主认证方的认证用户名到自己本地的数据库中查找对应的密码(如果没有设密码就用默认的密码),查到密码再结合主认证方发来的id和随机数据根据MD5算法算出一个Hash值。 CHAP认证过程图: CHAP认证第二步:被认证方回复认证请求,认证请求里面包括【02(此报文为CHAP 认证响应报文)、id(与认证请求中的id相同)、Hash值、被认证方的认证用户名】,主认证方处理挑战的响应信息,根据被认证方发来的认证用户名,主认证方在本地数据库中查找被认证方对应的密码(口令)结合id找到先前保存的随机数据和id根据MD5算法算出一个Hash值,与被认证方得到的Hash值做比较,如果一致,则认
配置采用RADIUS协议进行认证
配置采用RADIUS协议进行认证、计费和授权示例 组网需求 如图1所示,用户通过RouterA访问网络,用户同处于huawei域。RouterB作为目的网络接入服务器。用户首先需要穿越RouterA和RouterB所在的网络,然后通过服务器的远端认证才能通过RouterB访问目的网络。在RouterB上的远端认证方式如下: ?用RADIUS服务器对接入用户进行认证、计费。 ?RADIUS服务器129.7.66.66/24作为主用认证服务器和计费服务器,RADIUS服务器129.7.66.67/24作为备用认证服务器和计费服务器,认证端口号缺省为1812,计费端口号缺省为1813。 图1 采用RADIUS协议对用户进行认证和计费组网图 配置思路 用如下的思路配置采用RADIUS协议对用户进行认证和计费。 1.配置RADIUS服务器模板。 2.配置认证方案、计费方案。 3.在域下应用RADIUS服务器模板、认证方案和计费方案。 数据准备 为完成此配置举例,需要准备如下数据: ?用户所属的域名 ?RADIUS服务器模板名 ?认证方案名、认证模式、计费方案名、计费模式 ?主用和备用RADIUS服务器的IP地址、认证端口号、计费端口号 ?RADIUS服务器密钥和重传次数 说明: 以下配置均在RouterB上进行。 操作步骤
1.配置接口的IP地址和路由,使用户和服务器之间路由可达。 2.配置RADIUS服务器模板 # 配置RADIUS服务器模板shiva。
linux--ISCSI和CHAP认证
ISCSI映射和CHAP验证 一、TARGET端 1、安装iscsitarget安装包 创建好需要映射的分区,lvdisplay查看逻辑分区,记录分区路径。 2、配置iscsi,并映射分区 编辑etc/iet/ietd.conf文件, [root@unaryhost iet]# vi /etc/iet/ietd.conf 添加配置内容, 其中unaryhost.uarydomain是计算机名,isctest是自定义标识符 配置完成,启动服务[root@unaryhost iet]# /etc/init.d/iscsi-target start
在win2008可以看到连接的iscsi盘 3、CHAP验证配置 CHAP验证有两种,一种是针对discovery的,即如果不符合验证的用户名和密码,则initiator端便无法通过"-m discovery"发现指定主机上的任何一个target。 另一种是针对node login的,即果不符合验证的用户名和密码,则initiator 端编无法通过--login登录指定主机上的某一个target。 (1)配置discovery验证 格式IncomingUser [name] [password] Discovery验证为全局参数,所以必须放在第一个Target之前 此处的name是initiator的名字,也可以自定义字符串。 编辑/etc/iet/iet.conf,添加验证参数 (2)配置login验证 格式IncomingUser [name] [password]
由于是正对login的验证,所以参数放在需要验证的Target后面 配置完成,重新启动iscsi服务生效。 [root@unaryhost iet]# /etc/init.d/iscsi-target restart 二、initiator端 linux 1、安装iscsi-initiator-utils-.rpm包 安装完毕,启动进程/etc/init.d/iscsid 2、发现target 格式:iscsiadm -m discovery -t sendtargets -p
PPP协议的PAP和CHAP认证
PPP协议的PAP和CHAP认证 实验人: 实验名称:PPP协议的PAP和CHAP认证 实验目的:掌握PPP协议的PAP和CHAP认证的配置方法 实验原理: PAP认证: 用小凡搭建如图实验环境,然后配置各路由器的S0/0端口IP和PPP封装协议,再配置PAP认证,当只配置R1PAP认证时,不能ping通对方(192.168.1.2),再配置R2的发送PAP认证信息时,即可ping通(单向);在R1和R2上,分别配置PAP认证和发送PAP认证信息,此时,即可ping通R2(192.168.1.2),即实验成功!(双向) CHAP认证:
用小凡搭建如图实验环境,然后配置各路由器的S0/0端口IP和PPP封装协议,再配置CHAP认证,当只配置R1 CHAP认证时,不能ping通对方(192.168.1.2),再配置R2的发送CHAP 认证信息时,即可ping通(单向);在R1和R2上,分别配置CHAP认证和发送CHAP认证信息,此时,即可ping通R2(192.168.1.2),即实验成功(双向认证) 自动协商IP地址: 在R1上,配置分配IP地址(端口下,命令peer default ip address 192.168.1.100),然后在R2上,配置自动协商IP地址(在端口下,命令ip add negotiated),此时在R2可以获得192.168.1.100的IP地址,即实验成功! 头部压缩: 在R1和R2上,配置头部压缩功能,再ping 192.168.1.2,使其用数据流,用show compress 命令查看压缩情况,即实验成功!实验过程: PAP单向认证:
Radius与IAS的运作流程
Radius与IAS的运作流程 Radius是一种C/S的通讯协议,它使Radius客户端可以将验证用户身份、授权与记帐等工作转给Radius服务器来运行;或是转给Radius代理服务器,然后再由它转给另外一台Radius服务器。 您可以利用Windows Server 2003内的IAS,来架设Radius服务器或是Radius 代理服务器。 IAS可以让Windows Server 2003扮演Radius服务器,而其Radius客户端可以是远程访问服务器、VPN服务器或无线接入点等存取服务器。 IAS服务器扮演Radius服务器的角色,它可以替Radius客户端来运行验证用户身份、授权与记帐的工作。其运作流程如下: 1、远程访问服务器、VPN服务器或无线接入点等存取服务器接收来自 客户端的连接请求。 2、存取服务器会转而请求IAS RADIUS服务器来运行验证、授权与记 帐的工作。 3、IAS RADIUS服务器会检查用户的帐户名称与密码是否正确,并且 利用用户的帐户设置与远程访问策略内的设置,来决定用户是否有 权限来连接。 4、若用户有权限来连接,它会通知存取服务器,再由存取服务器让客 户端来开始连接。同时存取服务器也会通知IAS RADIUS服务器将 此次的连接请求记录下来。 IAS RADIUS服务器在检查用户身份与帐户设置时,它可以从以下所列的用户帐户数据库中得到这些信息: IAS RADIUS服务器的本机安全性,也就是SAM Windows nt 4 的域用户帐户数据库 Active Directory数据库 后两者要求IAS RADIUS服务器必须是域的成员,此时它所读取的帐户可以是所属域内的帐户,或是有双向信任关系的其它域内的帐户。 若未将验证、授权与记帐的工作转给RADIUS服务器,则每一台远程访问服务器或VPN服务器必须自己运行这些工作,因此每一台远程访问服务器或VPN服务器都需要有自己的远程访问策略与远程访问记录文件,如此将增加维护这些信息的负担。 在将验证、授权与记帐的工作转给RADIUS服务器后,您只需要维护位于RADIUS服务器内的远程访问策略与远程访问记录文件即可,此时的远程访问服务器或VPN服务器都不再需要远程访问策略与远程访问记录文件了。 安装IAS服务器 控制面板---添加/删除windows组件---网络服务---Internet验证服务让IAS服务器读取Active Directory内的用户帐户 如果用户是利用Active Directory内的用户帐户来连接,则IAS服务器必须向DC 询问用户帐户的信息,才能够决定用户是否有权限连接,不过您必须事先将IAS 服务器注册到Active Directory内。请先到IAS服务器上,利用具有域系统管理员身份的帐户来登录,然后选择以下几种注册方法之一: 利用“Internet验证服务”主控制窗口
认证方式pap chap协议解读
1. 前言 PAP和CHAP协议是目前的在PPP(MODEM或ADSL拨号)中普遍使用的认证协议,CHAP 在RFC1994中定义,是一种挑战响应式协议,双方共享的口令信息不用在通信中传输;PAP 在RFC1334中定义,是一种简单的明文用户名/口令认证方式。 2. PAP PAP全称为:Password Authentication Protocol(口令认证协议),是PPP中的基本认证协议。PAP就是普通的口令认证,要求将密钥信息在通信信道中明文传输,因此容易被sniffer监听而泄漏。 PAP协商选项格式: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Authentication-Protocol | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 对于PAP,参数为: Type = 3,Length = 4,Authentication-Protocol = 0xc023(PAP) PAP数据包格式: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Data ... +-+-+-+-+ Code:1字节,表示PAP包的类型 1 认证请求 2 认证确认 3 认证失败 Identifier:ID号,1字节,辅助匹配请求和回应 Length:2字节,表示整个PAP数据的长度,包括Code, Identifier, Length和 Data字段。 Data:可能是0字节或多个字节,具体格式由Code字段决定,成功或失败类型包中长度可能为0。 对于认证请求(Code = 1)类型,PAP包格式为: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length |
Cisco RADIUS认证系统
RADIUS是一种分布的,客户端/服务器系统,实现安全网络,反对未经验证的访问。在cisco实施中,RADIUS客户端运行在cisco 路由器上上,发送认证请求到中心RADIUS服务器,服务器上包含了所有用户认证和网络服务访问的信息。 RADIUS是一种完全开放的协议,分布源码格式,这样,任何安全系统和厂商都可以用。 cisco支持在其AAA安全范例中支持RADIUS。RADIUS可以和在其它AAA安全协议共用,如TACACS+,Kerberos,以及本地用户名查找。 CISCO所有的平台都支持RADIUS,但是RADIUS支持的特性只能运行在cisco指定的平台上。 RADIUS协议已经被广泛实施在各种各样的需要高级别安全且需要网络远程访问的网络环境。 在以下安全访问环境需要使用RADIUS: +当多厂商访问服务器网络,都支持RADIUS。例如,几个不同厂家的访问服务器只使用基于RADIUS的安全数据库,在基于ip的网络有多 个厂商的访问服务器,通过RADIUS服务器来验证拨号用户,进而定制使用kerberos安全系统。 +当某应用程序支持RADIUS协议守护网络安全环境,就像在一个使用smart card门禁控制系统的那样的访问环境。某个案例中,RADIUS
被用在Enigma安全卡来验证用户和准予网络资源使用权限。 +当网络已经使用了RADIUS。你可以添加具有RADIUS支持的cisco路由器到你的网络中,这个可以成为你想过渡到TACACS+服务器的 第一步。 +当网络中一个用户仅能访问一种服务。使用RADIUS,你可以控制用户访问单个主机,进行单个服务,如telnet,或者单个协议,如ppp。 例如当一个用户登录进来,RADIUS授权这个用户只能以10.2.3.4这个地址运行ppp,而且还得和ACL相匹配。 +当网络需要资源记账。你可以使用RADIUS记账,独立于RADIUS 认证和授权,RADIUS记账功能允许数据服务始与终,记录会话之中所使 用的标志资源(如,时间,包,字节,等等)。ISP可能使用免费版本的基于RADIUS访问控制和记账软件来进行特定安全和金额统计。+当网络希望支持预认证。在你的网络中使用RADIUS服务,你可以配置AAA预认证和设定预认证profiles。预认证服务的开启提供更好的管理端口来使用它们已经存在的RADIUS解决方案,更优化的管理使用、共享资源,进而提供不懂服务级别的协定。RADIUS不适合以下网络安全情形: ~多协议访问环境,Radius不支持以下协议: *AppleTalk Remote Access (ARA)苹果远程访问。
浅谈Radius服务器的功能原理及交互过程
浅谈Radius服务器的功能原理及交互过程 RADIUS是一个英文缩写,其具体含义是Remote Authentication Dial In User Service,中文意思是“远端用户拨入验证服务”,是一个AAA协议,即集authentication(认证)、authorization(授权)、accounting(计费)三种服务于一体的一种网络传输协议。文章将从Radius服务器的功能原理及交互过程对其进行介绍。 标签:协议;UDP;NAS;客户端 Radius是一种C/S结构的可扩展协议,它是以Attribute-Length-Value向量进行工作的,其协议认证机制也非常灵活,当用户提供用户名和原始密码时,Radius 可支持点对点协议PPP、密码认证协议PAP、提问握手认证协议CHAP及其他认证机制。NAS设备可以是它的客户端,任何运行该软件的计算机都可以成为Radius的客户端。目前,该服务器应用于各类宽带上网业务。 1 Radius服务器的功能原理 (1)宽带用户拨号上网时接入NAS,NAS设备使用“访问请求”数据包向Radius服务器提交用户的请求信息,该信息包括用户名、密码等。用户的密码会经过MD5加密,双方会使用不会通过网络进行传播的“共享密钥”。同时,Radius 服务器会对用户名和密码的合法性进行检验,提出质疑时,就会要求进一步对用户、对NAS设备进行验证。如果验证不通过,就会返回“拒绝访问”的数据包,以此来拒绝用户的访问;验证合法,就会给NAS设备返回“接受访问”的数据包,即用户通过了认证。允许访问时,NAS设备会向Radius服务器提出“计费请求”,Radius服务器响应“接受计费”的请求,开始对用户计费,用户从此刻开始了上网。 (2)“重传机制”是Radius协议的特色功能之一。一般情况下,Radius服务器分为主备用设备,这项功能是为NAS设备向主用Radius服务器提交请求却没有收到返回信息时而准备的,备用的Radius服务器会进行重传,如果备用Radius 服务器的密钥和主用Radius服务器的密钥不相同时,是需要重新进行认证的。NAS设备进行重传的时候,对于有多个备用Radius服务器的网络,一般采用轮询的方法。 (3)NAS设备和Radius服务器之间的通信协议是“UDP协议”,Radius服务器有1812和1813端口,其中1812端口是认证端口,1813端口是计费端口。因为NAS设备和Radius服务器大多数是在同一个局域网中,采用UDP协议进行通信则更加快捷方便,而且无连接的UDP协议会减轻Radius服务器的压力,增加安全性。 (4)漫游和代理也是Radius服务器的功能之一。“漫游”功能是代理的一个具体实现,作为Radius服务器的代理,负责转发Radius认证和计费的数据包,这样用户可以通过本来和其无关的Radius服务器进行认证,即用户可以在非归
CHAP单向验证举例
CHAP单向验证举例 1. 组网需求 在图中,要求设备Router A用CHAP方式验证设备Router B。 2. 配置方法一(验证方配置用户名时以CHAP方式认证对端) (1) 配置Router A # 为Router B创建本地用户。
26 配置和检验 PAP 身份验证与 CHAP 身份验证
实验26配置和检验PAP 身份验证与CHAP 身份验证 目标: ●使用PAP 和CHAP 配置PPP 身份验证。 ●使用show 和debug 命令检验连通性。 背景/准备工作 参照拓扑图,搭建一个类似的网络。本实验可使用具有一个串行接口的任何路由器。例如,可以使用800、1600、1700、1800、2500、2600 或2800 系列路由器或其任意组合。 本实验的说明信息同样适用于其它路由器;但命令语法可能会有所差异。根据路由器的型号,接口标识可能也不同。例如,有些路由器上的Serial0 可能是Serial0/0 或Serial0/0/0,而Ethernet0 可能是FastEthernet0/0。本实验的说明信息同样适用于使用Serial 0/0/0 接口表示方法的路由器。如果使用不同的路由器,请相应使用串行接口的正确表示方法。 本实验需要以下资源: ●具有串行连接的两台路由器 ●两台基于Windows 的计算机,每台都装有终端仿真程序 ●至少一根RJ-45 转DB-9 连接器控制台电缆,用于配置路由器 ●一根两段式(DTE/DCE) 串行电缆 步骤 1:连接设备 按照拓扑图所示,使用串行电缆连接Router 1 和Router 2 两台路由器的Serial 0/0/0 接口。 步骤 2:在 Router 1 上执行基本配置 a. 将PC 连接到该路由器的控制台端口,使用终端仿真程序执行配置。 b. 在Router 1 上,按照地址表中的规定配置主机名和IP 地址,保存配置。 步骤 3:在 Router 2 上执行基本配置
在Router 2 上,按照地址表中的规定配置主机名和IP 地址,保存配置。 步骤 4:在 R1 和 R2 上配置 PPP 封装 在两台路由器的接口Serial 0/0 配置模式提示符后输入encapsulation ppp,将封装类型更改为PPP。 R1(config-if)#encapsulation ppp R2(config-if)#encapsulation ppp 步骤 5:在 R1 和 R2 上检验 PPP 封装 在R1 和R2 上输入命令show interfaces serial 0/0/0,检验PPP 封装。 R1#show interfaces serial 0/0/0 R2#show interfaces serial 0/0/0 R1 是否使用PPP 封装?______是____ R2 是否使用PPP 封装?_____是_____ 步骤 6:检验串行连接是否工作正常 从R1 Ping R2,检查两台路由器之间是否存在连接。 R1#ping 192.168.15.2 R2#ping 192.168.15.1 从R1 是否能ping 通R2 路由器的串行接口?_____能_____ 从R2 是否能ping 通R1 路由器的串行接口?____能______ 如果上述任意一个问题的答案为否定,则检查路由器的配置纠正错误。重新执行ping 操作直到全部成功。 步骤 7:在 R1 上使用 PAP 配置 PPP 身份验证 a. 在R1 路由器上配置用户名和口令。用户名必须与另一台路由器的主机名相同。口令和用户名都区分大小写。在路由器上定义远程路由器预期使用使用的用户名和口令。在Cisco 路由器上,两台路由器的加密口令必须相同。 R1(config)#username R2 password cisco R1(config)#interface serial 0/0/0 R1(config-if)#ppp authentication pap b. Cisco IOS 的11.1 版或更高版本中默认禁用PAP,因此必须在接口上启用PAP。在Serial 0/0/0 接口配置模式提示符后,启用该接口上的PAP。 R1(config-if)#ppp pap sent-username R1 password cisco 步骤 8:检验串行连接是否工作正常 Ping R2 的串行接口,检验串行连接是否工作正常。 是否会成功?___否______ 原因是什么?_______因为R2上还没有配PAP,所以无法通过验证并连通___________。 步骤 9:在 R2 上使用 PAP 配置 PPP 身份验证 a. 在R2 路由器上配置用户名和口令。用户名和口令必须与另一台路由器的主机名和口令相同。口令和用户名都区分大小写。在路由器上定义远程路由器预期使用使用的用户名和口令。
Radius工作原理与Radius认证服务
Radius工作原理与Radius认证服务 Radius工作原理 RADIUS原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。 RADIUS是一种C/S结构的协议,它的客户端最初就是NAS服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。 RADIUS的基本工作原理:用户接入NAS,NAS向RADIUS服务器使用Access-Require 数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。 RADIUS还支持代理和漫游功能。简单地说,代理就是一台服务器,可以作为其他RADIUS服务器的代理,负责转发RADIUS认证和计费数据包。所谓漫游功能,就是代理的一个具体实现,这样可以让用户通过本来和其无关的RADIUS服务器进行认证。 RADIUS服务器和NAS服务器通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中,使用UDP更加快捷方便。 RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息,那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器,因此NAS进行重传的时候,可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同,则需要重新进行认证 ========================================================== Radius认证服务 RADIUS是一种分布的,客户端/服务器系统,实现安全网络,反对未经验证的访问。在cisco 实施中,RADIUS客户端运行在cisco路由 器上上,发送认证请求到中心RADIUS服务器,服务器上包含了所有用户认证和网络服务访问的信息。 RADIUS是一种完全开放的协议,分布源码格式,这样,任何安全系统和厂商都可以用。cisco 支持在其AAA安全范例中支持RADIUS。RADIUS可以和在其它AAA 安全协议共用,如TACACS+,Kerberos,以及本地用户名查找。CISCO所有的平台都支持RADIUS,但是RADIUS支持的特性只能运行在cisco指定的平台上。RADIUS协议已经被广泛实施在各种各样的需要高级别安全且需要网络远程访问的网络环境。
相关文档
- Radius工作原理与Radius认证服务
- (1)RADIUS协议特点及登陆过程
- 使用 RADIUS 身份验证
- 无线技术之RADIUS认证
- 交换机配置Radius认证
- Radius认证服务器的配置与应用讲解
- 用户认证协议RADIUS介绍
- radius认证过程
- 无线技术之RADIUS认证
- RADIUS认证技术介绍
- RADIUS服务器配置
- ROS配置RADIUS认证的方法
- radius认证服务器配置
- Cisco RADIUS认证系统
- ACS与AD结合的Radius的认证
- RADIUS认证
- 配置Radius认证服务器方法
- FREERADIUS验证配置手册
- ssh登录使用radius服务器认证配置方法
- radius协议详解