|
特別說明:以下內(nèi)容是20年出的第一版無線課程內(nèi)容��,第二版是24年新寫的���,感興趣的可以可以看看 【80篇完結(jié)】華為AC+AP無線組網(wǎng)實戰(zhàn)課程第二版(528集 時長67小時40分鐘)
華為模擬器eNSP 1.3.00.100����,很多朋友找不到!這里全都有~附帶防火墻����、CE全部鏡像包以及與華三HCL共存方法 上一章節(jié)我們學(xué)習了MAC地址的認證流程,并且講解了一個本地認證的案例�����,這次主要來講解通過外部認證服務(wù)器如何進行認證。 
新知識點擴展 在之前的介紹里面�,我們了解到了如果使用外部認證的時候就會用到一個認證服務(wù)器,認證服務(wù)器都用了一種協(xié)議就是Radius協(xié)議(包括思科����、H3C、華為自己的認證服務(wù)器都采用了標準協(xié)議)���,在實驗之前我們來了解下這個Radius協(xié)議�。 1�、什么是Radius RADIUS是一種分布式的、客戶端/服務(wù)器結(jié)構(gòu)的信息交互協(xié)議����,常應(yīng)用在既要求較高安全性、又允許遠程用戶訪問的各種網(wǎng)絡(luò)環(huán)境中�。RADIUS報文采用的是UDP端口1812、1813分別作為默認的認證���、計費端口�����。 2��、Radius能實現(xiàn)什么 RADIUS最初僅是針對撥號用戶的AAA協(xié)議���,后來隨著接入方式的多樣化出現(xiàn),RADIUS也適應(yīng)多種接入方式��。它通過認證授權(quán)來提供接入服務(wù)���,通過計費來收集���、記錄用戶對網(wǎng)絡(luò)資源的使用。 RADIUS協(xié)議的主要特征如下: 客戶端/服務(wù)器模式:通常接入交換機�����、AC�、出口路由器作為客戶端,然后跟認證服務(wù)器進行交互 安全的消息交互機制:利用共享秘鑰來加解密中間交互的數(shù)據(jù)�����。(兩遍配置相同的秘鑰) 良好的擴展性:有新的協(xié)議出現(xiàn)��,可以直接通過屬性值來擴展,而不需要重新來定義協(xié)議�,擴展性非常好。(包括廠家可以定義屬于自己的私有屬性����,來支持更多的功能)
3、Radius的交互流程 
1���、當用戶接入網(wǎng)絡(luò)(不管有線無線)�,輸入認證信息(比如用戶名密碼)給Radius客戶端(交換機��、AC等設(shè)備) 2�����、Radius客戶端收到以后���,會開始跟服務(wù)器進行交互信息�����,內(nèi)容是把用戶發(fā)送過來的認證信息請求給服務(wù)器處理�����。 3�����、Radius服務(wù)器收到后���,對用戶的認證信息進行檢驗(1)如果用戶身份通過,會向Radius客戶端返回認證接受報文�����,并且如果有授權(quán)的情況下�����,會把授權(quán)信息一起推送給Radius客戶端(因為Radius協(xié)議認證跟授權(quán)是在一起的�,所以只要認證通過,那么對應(yīng)的授權(quán)就會下發(fā)) (2)如果用戶身份沒有通過�,會向Radius客戶端返回認證拒絕報文,拒絕用戶接入網(wǎng)絡(luò)����。 4、Radius客戶端根據(jù)收到的報文通知用戶認證是否成功�。 5�、(可選)如果用戶允許通過�,開啟了計費的情況下則向服務(wù)器發(fā)送計費開始請求報文。 6���、(可選)Radius服務(wù)器收到后�,響應(yīng)這個報文���,并且開始計費��。 7�、用戶開始可以正式訪問網(wǎng)絡(luò)資源 關(guān)于5~6��、8~9����、11~12都是關(guān)于計費的,也是可選的����,如果沒有開啟計費功能,那么對應(yīng)的步驟會省略掉����,計費的的交互過程主要是保證客戶的計費不會出現(xiàn)偏差�����,以及能夠正確的開始與結(jié)束����。 4���、如果服務(wù)器出現(xiàn)問題怎么辦? 了解了這么多�����,認證服務(wù)器是充當一個非常重要的角色�����,一旦服務(wù)器出現(xiàn)問題�,所有用戶都會無法進行認證,這個時候就需要一種功能�,來定時的查看服務(wù)器的狀態(tài),這種功能就是服務(wù)器狀態(tài)探測�����。 服務(wù)器探測功能能夠提供在服務(wù)器DOWN掉后,啟用一個用戶“逃生”功能�,能夠讓用戶訪問指定的網(wǎng)絡(luò)權(quán)限。 1���、服務(wù)器狀態(tài)了解 
這里主要了解下服務(wù)器變成DOWN的一些因素 ·RADIUS服務(wù)器最大無響應(yīng)時長(max-unresponsive-interval的取值) ·RADIUS請求報文發(fā)送的次數(shù) ·RADIUS請求報文發(fā)送的時間間隔 ·RADIUS服務(wù)器的探測周期 ·RADIUS服務(wù)器探測周期循環(huán)次數(shù) ·RADIUS服務(wù)器在每個探測周期內(nèi)連續(xù)無響應(yīng)最大次數(shù) 服務(wù)器DOWN后對用戶的處理���,RADIUS服務(wù)器的狀態(tài)恢復(fù)為Up后,對于802.1X認證用戶和MAC認證用戶�,用戶會退出逃生授權(quán)并進行重認證;對于Portal認證用戶����,用戶會進入預(yù)連接授權(quán),在用戶訪問網(wǎng)絡(luò)資源時����,才會觸發(fā)重定向到Portal服務(wù)器進行認證。 服務(wù)器從DOWN變成UP的幾個因素 ·Radius客戶端發(fā)送的報文得到服務(wù)器的響應(yīng)了 ·Radius客戶端開啟的自動探測功能得到服務(wù)器的響應(yīng) 2���、服務(wù)器的主備與負載均衡 對于服務(wù)器的重要性�,我們還可以選擇多臺服務(wù)器同時進行服務(wù)����,在Radius客戶端上面我們可以選擇不同的機制 1���、默認機制,主備方式 
根據(jù)配置的權(quán)重來選擇優(yōu)先選擇哪臺服務(wù)器進行交互����,當主出現(xiàn)問題后切換到備用。 2����、負載均衡算法 
我們可以啟用負載均衡(手動開啟)然后根據(jù)權(quán)重比例來分配到對應(yīng)的服務(wù)器,來實現(xiàn)資源利用�。 MAC地址基于服務(wù)器認證案例 
環(huán)境跟本地認證還是一樣的��,就是多了一個認證服務(wù)器���,地址是192.168.1.250��,AC的地址是192.168.1.254用來跟服務(wù)器對接(服務(wù)器不一定要在一個網(wǎng)段的�,三層可達即可)���,而且這次由于是在外部服務(wù)器認證�����,配置需要多一個服務(wù)器模板�。 1、基礎(chǔ)配置就省略了 2���、按照配置流程來 
(1)配置接入模板 [AC6005]mac-access-profile name mac :采用默認格式即可��,就是不帶任何符號 (2)配置認證模板中的服務(wù)器模板 [AC6005]radius-server template mac :新建一個radius模板叫做MAC [AC6005-radius-mac]radius-server authentication 192.168.1.250 1812 :指定認證服務(wù)器的地址是192.168.1.250�����,并且端口是1812 [AC6005-radius-mac]radius-server user-name original:向服務(wù)器發(fā)送用戶名的時候不改變信息��,保持原樣 [AC6005-radius-mac]undo radius-server user-name domain-included:向服務(wù)器發(fā)送用戶名的時候不包含域信息����,這個功能比較常見����,比如我們的域是MAC,那么用戶名默認會是XXXX-XXXX-XXXX@mac���,如果這個用戶名直接包含域名發(fā)送給服務(wù)器��,但服務(wù)器那邊創(chuàng)建的是XXXX-XXXX-XXXX則會匹配不上����,所以一般情況下我們會去掉域信息。 [AC6005-radius-mac]radius-server shared-key cipher ccieh3c.com :客戶端與服務(wù)器共同定義一個共享密鑰 (3)服務(wù)器端配置 
首先我們打開計算機管理���,找到本地用戶和組���,然后創(chuàng)建一個新的組比如MAC 
創(chuàng)建完確定即可 
添加MAC為用戶名與密碼 
提示的是密碼不滿足策略要求,記得在本地認證的場景中也出現(xiàn)了這個情況��,解決辦法是用了一個統(tǒng)一密碼����,服務(wù)器中也可以用這種方法解決,還一種是把服務(wù)器的密碼策略要求給關(guān)閉���。
WIN+R,輸入gpedit.msc
在打開的本地組策略編輯器依次打開計算機配置→Windows 設(shè)置→安全設(shè)置→賬戶策略→密碼策略
禁用掉
這個時候在創(chuàng)建就OK了�����,并且給它屬于MAC組
配置下radius客戶端��,這里客戶端就是AC,我們新建
屬于名字AC����,AC地址192.168.1.254,秘鑰是ccieh3c.com��,然后確定
到網(wǎng)絡(luò)策略里面����,新建一個
添加用戶組,當然還可以基于很多參數(shù)
下一步
這里勾選PAP與CHAP即可�����,因為MAC認證只支持這兩種方式
這里默認即可
這里暫時默認��,做授權(quán)的地方���,可以下發(fā)VLAN���,下發(fā)ACL等
完成 這個時候就有一個非常有用的探測命令來驗證下是否跟radius服務(wù)器通了。
先ping測試連通性(注意服務(wù)器防火墻是否關(guān)閉��,否則也會不通) test-aaa 548998FC5E4B 548998FC5E4B radius-template mac :可以直接test-aaa�����,然后輸入用戶名密碼,后面跟radius模板就可以跟radius服務(wù)器進行通信
得到的結(jié)果是認證失敗�����,可能是用戶名密碼或者秘鑰錯誤���。 這個時候又到了一個有用的排錯環(huán)節(jié)了��,我們打開服務(wù)器的計算機管理���,找到---window日志---安全
審核失敗,類型為network policy server的����,我們可以打開看
這里出現(xiàn)了兩個提示,第一個身份驗證類型是MD5-CHAP的�����,第二種是用戶憑據(jù)不匹配
在此檢查之前的用戶名�,發(fā)現(xiàn)第3跟4位輸入反了����,我們修改下��。
發(fā)現(xiàn)重新認證還是提示這個�����,我們再次來看服務(wù)器
提示是沒有開啟可逆加密的密碼�����,導(dǎo)致失敗了�,這個時候需要關(guān)閉這個功能���。
在打開的本地組策略編輯器依次打開計算機配置→Windows 設(shè)置→安全設(shè)置→賬戶策略→密碼策略��,里面有一個還原加密存儲密碼的是禁用的����,我們開啟下���。 注意��,開啟了還不行����,還的把密碼重新輸入一次,生成可還原的����。
重置下密碼
還是提示失敗,日志里面顯示還是映射不到現(xiàn)有賬戶�����,我們可以從日志里面看出來服務(wù)器收到的用戶信息是基于大寫的(我們在輸入的時候是大寫)而數(shù)據(jù)庫創(chuàng)建是基于小寫的���,所以會失敗�。
改成小寫后就提示認證成功了��,這個就是第一次接觸認證服務(wù)器會遇到的一些問題����,一直卡在測試階段了,其實還有一個參數(shù)可以測試�����,不需要這么麻煩。
我們可以在認證模板的后面跟一個PAP認證����,就可以直接認證了�����,默認情況下不跟參數(shù)就是CHAP���。
(4)配置認證模板之認證方案 [AC6005]aaa [AC6005-aaa]authentication-scheme mac [AC6005-aaa-authen-mac]authentication-mode radius 記得我們在做本地的時候����,方式是為local���,這里就要是radius外部方式 (5)配置認證模板���,關(guān)聯(lián)之前的配置 [AC6005]authentication-profile name mac [AC6005-authentication-profile-mac]authentication-scheme mac [AC6005-authentication-profile-mac]mac-access-profile mac [AC6005-authentication-profile-mac]radius-server mac (6)調(diào)用在VAP里面 [AC6005]wlan [AC6005-wlan-view]vap-profile name office [AC6005-wlan-vap-prof-office]authentication-profile mac [AC6005-wlan-view]vap-profile name Partners [AC6005-wlan-vap-prof-Partners]authentication-profile mac (7)實際測試
已經(jīng)在數(shù)據(jù)庫連接的 可以連接上去。
沒有的怎么都不行���。 display aaa online-fail-record all display station online-fail-record all
2個排錯命令都提示是radius認證失敗給拒絕接入了��。
服務(wù)器這邊有兩個日志�,一個成功 一個失敗的
成功的用戶��,客戶端是從AC6005過來,用的無線協(xié)議����,并且采用PAP認證(因為默認MAC使用PAP認證)
而失敗的則是提示用戶名不存在。
創(chuàng)建用戶名密碼 加入組�����,我們再來測試
可以看到是基于MAC認證接入并且是基于Radius模板的�����。 關(guān)于認證總結(jié) 在整個流程中最容易出現(xiàn)的問題就在于radius客戶端(AC)與服務(wù)器之間的交互了���,這里總結(jié)幾個容易忽略的地方�。 1�、當AC與服務(wù)器都搭建完成后,先ping測試下到服務(wù)器的連通性��,基本通信都不行��,后面就沒法進行(服務(wù)器注意個人防火墻關(guān)閉了) 2��、當AC指定了radius服務(wù)器,NPS服務(wù)器指定了客戶端后���,可以創(chuàng)建一個用戶名密碼作為測試 建議使用PAP����,命令test-aaa 用戶名 密碼 radius模板 PAP���。(注意網(wǎng)絡(luò)策略里面先建的策略要允許PAP與CHAP協(xié)議) 3、如果默認沒跟PAP參數(shù)就是用的CHAP�����,CHAP在Windows里面默認是不行的����,需要開啟可逆功能,而且?guī)ぬ柮艽a要設(shè)置一樣的時候�,在安全策略里面把密碼策略給關(guān)閉 4、在遇到客戶端接入不成功的情況下��,我們要利用AC的查看命令 display aaa online-fail-record all display station online-fail-record all 包括Windows服務(wù)器的日志都能給出提示出現(xiàn)在哪個環(huán)節(jié)���。 5�、用戶名密碼創(chuàng)建的時候一定要細心,否則會認證失敗�,找到用戶信息。(Windows日志主要安全里面---任務(wù)類別是Network policy server這個)
其他實用工具獲?�。?/strong> 后續(xù)有新的網(wǎng)工實用工具分享�,都會在騰訊文檔,進行歸納匯總(方便大家獲?��。?/span>
|
