思科路由器配合域内Radius服务器完成用户身份认证（一）

思科路由器配合域内Radius服务器完成用户身份认证（一）

情况详情:

企业有一个领域自然环境。无线路由器Wan的详细地址是:a.b.c.d，局域网的详细地址是:192.168.30.1，其他服务器的ip如下图所示，其中***网络服务器必须有两个网口，第二个网口的详细地址是172.16.0.1。根据192.1，应用NAT转换。登录应用***的手机客户端的具体IP地址为10.0.0.1—10.0.0.100。为了更好的方便管理，完成帐号的单点登录，构建了Radius网络服务器。在这里，我们将详细介绍如何使用Cisco路由器与域中的Radius网络服务器合作，对***客户进行身份认证。

路由器设置:

在登录路由器时，首先应该允许192.168.30子网根据NAT转换访问外网，并投影要应用于域内***业务项的1723端口号。

1.定义允许的浏览目录。

路由器(配置)#访问列表1许可192.168.30.00.0.0.255

2.建立一个名为realking的NAT详细地址池。由于只有一个公共地址，所以开始和结束与完成的详细地址相同。

路由器(配置)#ipnat池realkinga.b.c.da.b.c.d网络掩码255.255.255.0

3.设置PAT和overload为load，没有这个指令外网地址的IP地址端口号不能复用。

路由器(configif)#IPNAT内部源列表1池实际过载

如果只有一个公网IP详细地址，详细地址池名称也可以应用到网点，即:

路由器(configif)#ipnat内部源列表1接口f0/1过载

4.特定入站位置(intranet套接字)

路由器(配置)#intf0/1

路由器(configif)#内部ipnat

5.特定出站方向(外部网络地址的套接字)

路由器(配置)#intf0/0

路由器(configif)#ipnat外部

6.无线路由器上***网络服务器的开放端口映射。

路由器(配置)#IPNATinside 源静态tcp192.168.30.51723a.b.c.d1723

***端口设置:

1.在服务器防火墙中打开路由器和远程登录端口号。

2.除了角色选择和远程登录之外，还应该在角色服务项目中启用路由器，但是默认设置为未启用。

3.从虚拟服务器控制面板的特殊工具中查找路由器远程控制和浏览，并选择***和NAT。

4.特定远程控制***登录客户的IP地址段

5.选择并使用Radius网络服务器

6.键入Radius网络服务器的FQDN或IP地址以及共享资源密钥(该密钥应该与Radius网络服务器上的密钥相同)

Radius端口设置

1.从服务器角色安装Internet对策和浏览服务

2.从虚拟服务器控制面板的专用工具中找到互联网策略服务器，创建一个新的Radius手机客户端，添加***网络服务器。这里的共享资源键与***网络服务器上设置的共享资源键一致。

3.根据指导意见，配备***要求和上网对策。

4.选择虚拟专用网络链接。

5.添加步骤2中设置的***web服务器。

6.选择身份验证方法，并建议启用CHAP真实身份验证。XP系统软件的默认设置是CHAP身份验证。

7.设置允许浏览的用户组，并保持默认设置直到结束。

手机客户端设置

1.建立新的***连接

2.输入外网地址的IP地址，域客户和登录密码(注意域客户允许拨入的管理权限)。

3.连接时选择绕过。

4.寻找***连接，选择协议为PPTP，然后再次连接正常浏览一切。

5.此时，您已经看到***web服务器上根据域帐户登录的***客户。