交換   路由   NAT   MPLS   VPN   VLan   VoIP   IPv6   ATM
 武漢電腦網 >> 網絡技術 >> 技術專題 >> VPN >> 正文 > 在ISA中利用Radius服務器搭建VPN服務器

在ISA中利用Radius服務器搭建VPN服務器


作者:like    文章來源:net.pcsoto.com    點擊數:    更新時間:2011-11-30          ★★★

前面我們介紹的幾種VPN都是在域環境下利用ISA2006 server實現的。今天我們來介紹一下不在域環境下使用VPN,這種方法是需要一個服務器-------VPN配合使用的身份驗證服務器:Radius服務器。

  RADIUS:Remote AuthenticATIon Dial In User Service,遠程用戶撥號認證系統由RFC2865,RFC2866定義,是目前應用最廣泛的AAA協議。

  RADIUS是一種C/S結構的協議,它的客戶端最初就是NAS(Net Access Server)服務器,現在任何運行RADIUS客戶端軟件的計算機都可以成為RADIUS的客戶端。RADIUS協議認證機制靈活,可以采用PAP、 CHAP或者Unix登錄認證等多種方式。RADIUS是一種可擴展的協議,它進行的全部工作都是基于Attribute-Length-Value的向量進行的。RADIUS也支持廠商擴充廠家專有屬性。

  由于RADIUS協議簡單明確,可擴充,因此得到了廣泛應用,包括普通電話上網、ADSL上網、小區寬帶上網、IP電話、VPDN(Virtual Private Dialup Networks,基于撥號用戶的虛擬專用撥號網業務)、移動電話預付費等業務。最近IEEE提出了802.1x標準,這是一種基于端口的標準,用于對無線網絡的接入認證,在認證時也采用RADIUS協議。

  radius 服務器對用戶的認證過程通常需要利用nas 等設備的代理認證功能,radius 客戶端和radius 服務器之間通過共享密鑰認證相互間交互的消息,用戶密碼采用密文方式在網絡上傳輸,增強了安全性。radius 協議合并了認證和授權過程,即響應報文中攜帶了授權信息。

  基本交互步驟如下:

  (1) 用戶輸入用戶名和口令;

  (2) radius 客戶端根據獲取的用戶名和口令,向radius 服務器發送認證請求包(access-request)。

  (3) radius 服務器將該用戶信息與users 數據庫信息進行對比分析,如果認證成功,則將用戶的權限信息以認證響應包(access-accept)發送給radius 客戶端;如果認證失敗,則返回access-reject 響應包。

  (4) radius 客戶端根據接收到的認證結果接入/拒絕用戶。如果可以接入用戶,則radius 客戶端向radius 服務器發送計費開始請求包(accounting-request),status-type 取值為start;

  (5) radius 服務器返回計費開始響應包(accounting-response);

  (6) radius 客戶端向radius 服務器發送計費停止請求包(accounting-request),status-type 取值為stop;

  (7) radius 服務器返回計費結束響應包(accounting-response)。

  大致的拓撲如下:beijing為ISA服務器,Radius客戶端,Istanbul為外網的測試機。Florence為內網的域控制器、Radius服務器。

  圖片看不清楚?請點擊這里查看原圖(大圖)。

  一、安裝Radius服務器

  首先我們讓域控制器做Radius服務器,在域控制器上打開控制面板選擇“網絡服務”中的“Interent驗證服務”,來安裝Radius服務器

  二、配置Radius服務器

  安裝完成后我們來配置一下Radius服務器,如圖在Florence上打開Interent驗證服務

  右擊“新建Radius客戶端”

  圖片看不清楚?請點擊這里查看原圖(大圖)。

  輸入一個名稱以及客戶端的IP地址,因為我們以ISA服務器為客戶端,所以這輸入ISA服務器內網網卡的IP地址。

  因為這是微軟的軟件,所以供應商選擇“Microsoft”。設置Radius服務器和客戶端的共享密碼。Radius服務器和客戶端依靠這個密碼進行身份驗證。就是Radius服務器生成一個隨機字符串,然后用這個共享口令加密,接著Radius服務器會把加密后的密文傳給客戶端,要求客戶端對密文解密后再回傳給服務器,如果客戶端回送的內容和原始的隨機字符串一樣,那客戶端就通過了身份驗證。輸入完畢后點擊“完成”完成客戶端的創建。

  接下來我們啟用Radius服務器的遠程訪問記錄,來看看客戶端是怎么連接到Radius服務器的,點擊“遠程訪問記錄”中的“本地文件”屬性

[1] [2] 下一頁


本文導航
  • 下一篇文章: 沒有了
PCSOTO首頁 | 廣告服務 | 人員招聘( 月) | 站點地圖 | 聯系方式 | RSS訂閱 | 友情鏈接 | 技術論壇 | 網址 | PCSOTO技術QQ群:61805201
本站所有資源均來自網絡,版權歸原作者所有!如有侵犯作者版權,請及時通知本站刊正。歡迎您的任何建議、意見、批評和鼓勵!
Copyright © 2008 - PCSOTO.COM. All rights reserved. 武漢電腦網 版權所有.
26选5开奖查询