背景介绍:

公司有一个域环境,路由器Wan地址为:a.b.c.d,Lan地址为:192.168.30.1,其余服务器地址如图所示,其中***服务器需要2块网卡,第2块网卡的地址为172.16.0.1使用NAT转换通过192.168.30.5访问外网,给使用***登陆的客户端指定IP地址为10.0.0.1—10.0.0.100,为了方便管理,实现账号的单一登陆,搭建了Radius服务器,下面就来介绍如何使用思科路由器配合域内Radius服务器完成***用户身份认证。

wKiom1WTrgGCa8IoAAFdJVfKmuI966.jpg

路由器设置:

登陆路由器,首先要允许192.168.30网段通过NAT转换访问外网,并且对域内***服务要使用的1723端口进行映射。

1.定义允许的访问列表

routerconfig#access-list 1 permit192.168.30.0 0.0.0.255   

2.创建1个名为realking的NAT地址池,因为只有1个公网地址,所以起始和结束地址一样

routerconfig#ip nat pool realking a.b.c.d a.b.c.d netmask255.255.255.0  

3.设置PAT,overload为过载,不加该命令公网的IP地址端口无法复用,

routerconfigif#ip natinside source list 1 pool realking overload     

如果只有一个公网IP地址的时候可以使用地址池名字也可以使用出接口,即:

routerconfigif#ip nat inside source list 1 interface f0/1 overload

4.指定入站方向(内网接口)

routerconfig#int f0/1

routerconfigif#ip nat inside

5.指定出站方向(公网的接口)

routerconfig#int f0/0

routerconfigif#ip nat outside

6.在路由器上给***服务器开端口映射

routerconfig# ip nat inside source static tcp 192.168.30.5 1723 a.b.c.d 1723

***服务器设置:

1.在防火墙打开路由和远程访问端口

wKiom1WTuK7SM6pSAAFxM-mTAsw040.jpg

2.添加角色选择远程访问,在角色服务里要勾选路由,默认不勾选

wKioL1WTtO-TEZ23AAIVilsjoQs762.jpg

3.从服务器管理面板的工具中找到路由远程和访问,选择***和NAT

wKiom1WTvBeB0UMFAANPfWf59-4100.jpg

4.指定远程***登陆用户的IP地址段

wKioL1WTvdyiafWmAAIesHsv3Z8417.jpg

5.选择与Radius服务器一起工作

wKiom1WTvBiAPg6eAAJ-vzIGric966.jpg

6.输入Radius服务器的FQDN或者IP地址及共享密钥(该密钥要与Radius服务器上的一致)

wKiom1WTvBiBq_OOAAHGbkJ8sok283.jpg

Radius服务器设置

1.从服务器角色里安装网络策略和访问服务

wKiom1WTvlXxYA_9AAJbOmmihAg000.jpg

2.从服务器管理面板的工具中找到网络策略服务器,新建Radius客户端,将***服务器添加进来,此处的共享密钥和***服务器上设置的共享密钥保持一致

wKioL1WTv83TyIC1AANIBvcdlAI896.jpg

3.通过向导,配置***请求和网络策略

wKiom1Wd04LDB_ZPAAK25FUahvY303.jpg

4.选择虚拟专用网络链接

wKioL1Wd1Z6hSklQAAILPeuN1Lk465.jpg

5.将第2步设置的***服务器添加进来

wKiom1Wd0-6iW09sAAGgZkdB7ck636.jpg

6.选择身份验证的方法,建议勾选CHAP身份验,XP系统默认使用的是CHAP验证

wKioL1Wd1gfBNK4HAAHZxAs-vec154.jpg

7.设置允许访问的用户组,之后一直保持默认选项直到结束

wKiom1Wd1J_Coqb7AAFnXNPZhoM916.jpg

客户端设置

1.创建1个新的***链接

wKioL1WTxM7xs3EKAAKMlccGtIg315.jpg

2.输入公网的IP地址和域用户及密码(注意域用户又允许拨入的权限)

wKiom1WTwwqwxGr3AAFjpqZBMWE617.jpg

3.链接时选择跳过

wKiom1WTwwviVDMYAADja0LR4rU595.jpg

4.找到***链接,将协议选成PPTP,再次链接就可以正常访问了

wKioL1WTxM-zFe3jAAGsZlrc34k252.jpg

5.此时你在***服务器上会看到,通过域账户登陆进来的***用户了

wKioL1WTxcrSvn5UAAF5W66RL0w338.jpg