Winodws 网络策略服务器与华为、华三、思科网络设备的结合

本文介绍了如何将Windows Server NPS与华为、华三、思科的网络设备结合,利用RADIUS协议进行认证、授权和记账。详细阐述了NPS的RADIUS客户端配置、连接请求策略设置以及网络策略配置,包括添加供应商特定属性以适应不同设备需求。文中提到,NPS是基于Windows Server AD域管理成员安装,并提供了配置步骤和注意事项。
摘要由CSDN通过智能技术生成

Winodws NPS与华为、华三、思科网络设备的结合

此次内容适合对radius有了解的同学,对初学者不太友好

关于Radius

  • RADIUS是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP(User Datagram Protocol)的RADIUS报文格式及其传输机制,并规定目的UDP端口号1812、1813分别作为默认的认证、计费端口号。
  • RADIUS最初仅是针对拨号用户的AAA协议,后来随着用户接入方式的多样化发展,RADIUS也适应多种用户接入方式,如以太网接入等。它通过认证授权来提供接入服务,通过计费来收集、记录用户对网络资源的使用。
  • RADIUS协议的主要特征:客户端/服务器模式/安全的消息交互机制/良好的扩展性

以上引述华为官网文档

分享主要内容:良好的扩展性

  • RADIUS报文是由报文头和一定数目的属性(Attribute)构成,新属性的加入不会破坏协议的原有实现。

Windows Server NPS具体配置:

  • 基于Windows Sever 的网络策略服务器(NPS)

    NPS 允许使用以下功能集中配置和管理网络访问身份验证、授权和记帐:

    • RADIUS 服务器。 NPS 为无线、身份验证交换机、远程访问拨号和虚拟专用网络 (VPN) 连接执行集中式身份验证、授权和记帐。 将 NPS 用作 RADIUS 服务器时,可以将无线访问点和 VPN 服务器等网络访问服务器配置为 NPS 中的 RADIUS 客户端。 也可以配置有关使用 NPS 对连接请求进行授权的网络策略,并且可以配置 RADIUS 记帐,以便 NPS 将记帐信息记录到本地硬盘上或 Microsoft SQL Server 数据库中的日志文件。
    • RADIUS 代理。 将 NPS 用作 RADIUS 代理时,可以配置连接请求策略,通知 NPS 要将哪些连接请求转发到其他 RADIUS 服务器,以及要将连接请求转发到哪些 RADIUS 服务器。 也可以配置 NPS,以转发将由远程 RADIUS 服务器组中的一台或多台计算机记录的记帐数据。
    • RADIUS 记帐。 你可以配置 NPS,以将事件记录到本地日志文件或 Microsoft SQL Server 的本地或远程实例。
  • NPS Radius认证、授权华三、华为、思科设备

    这里仅插入少量具体操作截图,其余作文字描述,以Windows server 2012 AD域管理成员为例

    • NPS的Raidus客户端配置&连接请求策略

      1. 在服务管理器→仪表板处点击工具,打开网络策略服务器;

      2. 点击左侧Radius客户端和服务器,新建radisu客户端

      3. 填入友好的名称、地址(这里需要填写交换机发送radius报文源ip)、共享机密

      4. 完成以上设置后,点击左侧策略、新建连接请求策略,输入策略名,网络访问服务器的类型保持默认:未指定;

      5. 下一步:指定条件:

        有非常多的条件可添加,因为只要匹配中连接请求策略的其中一个,便会继续往下匹配网络策略,所以这个选择可以多样性的

        • 添加服务器类型:Login(其他选项中)#也可选择添加 NAS 标识符/NAS IPv4地址
      6. 身份验证:在此服务器上对请求进行身份验证

        NPS是基于Windows Sever AD下进行安装的,故在本AD内进行身份验证

      7. 指定身份验证方法:

        1. 不勾选改写网络策略身份验证设置

        选项下方说明了,使用这些身份设置,而不是网络策略中的约束(即条件)和身份设置;若☑️了,则要求匹配到这个连接请求策略的Radius客户端必须遵循该策略的认证方法

    • NPS的网络策略配置

      1. 新建网络策略,填入策略名、勾选策略已启用、选择授予访问权限、网络访问服务器的类型依旧选择未指定

      2. 下一步,添加条件:你的用户组

        • 建议选择用户组,指定棣属于该用户组下的用户方可授权和认证网络设备登录
      3. 下一步,约束:只✔️未加密的身份验证(PAP)

        前两个认证选择网络设备都不支持(据我了解),若要使用CHAP,需要在创建AD域用户时,勾选使用可逆加密存储密码;至于Raidus客户端在传输radius报文时,是否是加密呢?答案:是机密的,即便使用PAP认证方式,详情参看Radius RFC 2865

      4. 下一步,设置,关键步骤:

        Vendor-Specaific属性是提供给各个厂家所自定义使用的,如何利用厂家给出的radius属性呢?我会再下方开一个小专栏进行说明。

        • 以H3C为例:
          1. 供应商特定,添加,选择自定义,选择Vendor-Specaific进行添加**;**

          2. 供应商特定的属性信息:

            1. 选择输入供应商代码:25506
            2. 选择:是(Y),它符合;
            3. 供应商分配的属性号:210,属性格式:字符串,属性值:shell:role=level-15

            属性值可根据厂家产品文档获得

            • 完成添加后:

            在这里插入图片描述

  • Radius属性值的获取:

    Radius属性值,在查看国产厂商文档时,分为两类,Radius属性/Radius扩展属性;前者是代表,Radius标准属性,属性值可由厂家提供的属性进行定义;后者表示由厂家自定义,厂家定义属性号&属性值

    1. H3C 供应商ID 25506 Radius属性值&扩展属性值:
      • Radius属性值:

    在这里插入图片描述

      - Radius扩展属性:
    
         ![在这里插入图片描述](https://img-blog.csdnimg.cn/20210323154016647.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3dlaXhpbl80Mjk2NjE4MA==,size_16,color_FFFFFF,t_70#pic_center)
    
    1. 华为 供应商ID 2011 Radius属性值&扩展属性值:

      • Radius属性值:

        在这里插入图片描述

      • Radius扩展属性:
        在这里插入图片描述

    2. 思科 供应商ID 9

      NPS下发思科授权时,选择供应商时,直接选择Cisco,选择Cisco-AV-Pair 进行添加

    Cisco ISE进行radius属性授权时,也可效仿这样的设置,在Cisco ISE policy 授权策略中,可添加下发授权radius值,可选类型极多,包含Aruba、Juniper等国外厂商的radius属性,具体radius用法可自行查找对应的厂商资料,用法大同小异。

  • 验证结果:

    以H3C举例:

    #通过debug信息可以验证
    debugging radius packet user Your_UserName
    terminal monitor
    terminal  debugging
    #尝试使用radius 登录设备 debug msg 
    Created response timeout timer successfully
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值