河南中医药大学：《网络运维管理》实验指导【2019级信管】网络运维管理-实验18-实现用户上网认证

《网络运维管理》/实验18:实现用户上网认证 实验十八:实现用户上网认证 实验简介 在园区网中使用防火墙配置用户认证,实现客户端身份的验证。安装 RADIUS认证服务器,在 防火墙上配置基于 RADIUS服务器进行用户认证。 、实验目的 1、掌握用户认证的配置方式; 2、掌握 RADIUS认证服务器的安装与配置; 3、掌握在防火墙上配置 RADIUS实现服务器认证的方式 三、实验类型 验证性 四、实验理论 在防火墙部署用户管理与认证,将IP地址识别为用户,为网络行为控制和网络权限分配提供 了基于用户的管理维度,实现精细化的管理。 基于用户进行策略的可视化制定,提高策略的易用性。 解决了P地址动态变化带来的策略控制问题。 1、用户 用户指的是访问网络资源的主体,表示“谁”在进行访问,是网络访问行为的重要标识。在防 火墙上,用户包括上网用户和接入用户。 (1)上网用户 内部网络中访问网络资源的主体。上网用户可以直接通过防火墙访问网络资源 (2)接入用户 外部网络中访问网络资源的主体。接入用户需要先通过 SSL VPN、L2TPⅤPN或 IPSec vpn方 式接入到防火墙,然后才能访问内部的网络资源 2、认证 防火墙通过认证来验证访问者的身份、确保身份合法有效。防火墙访问者进行认证的方式包括 本地认证、服务器认证、单点登录。 本地认证:接入用户将标识其身份的用户名和密码发送给防火墙,在防火墙上上存储了用户名 和密码,验证过程在防火墙上进行。 服务器认证:接入用户将标识其身份的用户名和密码发送给防火墙,防火墙上没有存储用户名 和密码,防火墙将用户名和密码发送至第三方认证服务器,验证过程在认证服务器上进行 单点登录:访问者将标识其身份的用户名和密码发送给第三方认证服务器,认证通过后,第三 方认证服务器将访问者的身份信息发送给防火墙,防火墙只记录访问者的身份信息不参与认证过程

《网络运维管理》/实验 18：实现用户上网认证 1 实验十八：实现用户上网认证 一、实验简介 在园区网中使用防火墙配置用户认证，实现客户端身份的验证。安装 RADIUS 认证服务器，在 防火墙上配置基于 RADIUS 服务器进行用户认证。 二、实验目的 1、掌握用户认证的配置方式； 2、掌握 RADIUS 认证服务器的安装与配置； 3、掌握在防火墙上配置 RADIUS 实现服务器认证的方式。 三、实验类型 验证性 四、实验理论 在防火墙部署用户管理与认证，将 IP 地址识别为用户，为网络行为控制和网络权限分配提供 了基于用户的管理维度，实现精细化的管理。 基于用户进行策略的可视化制定，提高策略的易用性。 解决了 IP 地址动态变化带来的策略控制问题。 1、用户 用户指的是访问网络资源的主体，表示“谁”在进行访问，是网络访问行为的重要标识。在防 火墙上，用户包括上网用户和接入用户。 （1）上网用户 内部网络中访问网络资源的主体。上网用户可以直接通过防火墙访问网络资源。 （2）接入用户 外部网络中访问网络资源的主体。接入用户需要先通过 SSL VPN、L2TP VPN 或 IPSec VPN 方 式接入到防火墙，然后才能访问内部的网络资源。 2、认证 防火墙通过认证来验证访问者的身份、确保身份合法有效。防火墙访问者进行认证的方式包括： 本地认证、服务器认证、单点登录。 本地认证：接入用户将标识其身份的用户名和密码发送给防火墙，在防火墙上上存储了用户名 和密码，验证过程在防火墙上进行。 服务器认证：接入用户将标识其身份的用户名和密码发送给防火墙，防火墙上没有存储用户名 和密码，防火墙将用户名和密码发送至第三方认证服务器，验证过程在认证服务器上进行。 单点登录：访问者将标识其身份的用户名和密码发送给第三方认证服务器，认证通过后，第三 方认证服务器将访问者的身份信息发送给防火墙，防火墙只记录访问者的身份信息不参与认证过程

《网络运维管理》/实验18:实现用户上网认证 3、 RADIUS RADIUS( Remote Authentication Dial In User Service,远程用户拨号认证系统),协议定义了基 于UDP的 RADIUS报文格式及其传输机制,并规定UDP端口1812、1813分别作为认证、计费端 RADIUS服务器通常需要维护三个数据库 Users、 Clients、 Dictionary。 Users:用于存储用户信息,如用户名、口令以及使用的协议、P地址等配置信息 Clients:用于存储 RADIUS客户端的信息,如接入设备的共享密钥、IP地址等。 Dictionary:用于存储 RADIUS协议中的属性和属性值含义的信息。 (1) RADIUS认证报文 报文名称 报文说明 认证请求报文,是 RADIUS报文交互过程中的第一个报文,携带用户的认证 Access-Request 信息(例如:用户名、密码等)。认证请求报文由 RADIUS客户端发送给 RADIUS服务器, RADIUS服务器根据该报文中携带的认证信息判断是否允许 接入。 「认证接受报文,是服务器对客户端发送的 Access-Request报文的响应报文。如 Access-Accept果 Access-Request报文认证通过,则发送该类型报文。客户端收到此报文后, 认证用户才能认证通过并被赋予相应的权限 认证拒绝报文,是服务器对客户端的 Access-Request报文的拒绝响应报文。如 Access-Reject果 Access-Request报文即认证失败,则 RADIUS服务器返回 Access-Reject报 文,用户认证失败 认证挑战报文。EAP认证时, RADIUS服务器接收到 Access-Request报文中携 带的用户名信息后,会随机生成一个MD5挑战字,同时将此挑战字通过 Access-Challenge报文发送给客户端。客户端使用该挑战字对用户密码进行加 Access-challeng密处理后,将新的用户密码信息通过 Access-Request报文发送给 RADIUS服务 器。 RADIUS服务器将收到的已加密的密码信息和本地经过加密运算后的密码 信息进行对比,如果相同,则该用户为合法用户。 (2) RADIUS计费报文 报文名称 报文说明 计费开始请求报文。如果客户端使用 RADIUS模式进行计费,客户端会在用 Request( Start) 户开始访问网络资源时,向服务器发送计费开始请求报文 计费开始响应报文。服务器接收并成功记录计费开始请求报文后,需要回应 Response( Start) 个计费开始响应报文 实时计費请求报文。为避免计费服务器无法收到计费停止请求报文而继续对 Request(Interim-该用户计费,可以在客户端上配置实时计费功能。客户端定时向服务器发送 实时计费报文,减少计费误差。 实时计费响应报文。服务器接收并成功记录实时计费请求报文后,需要回应 Response(Interim 个实时计费响应报文 update) 计费结束请求报文。当用户断开连接时或接入服务器断开连接时,客户端 服务器发送计费结束请求报文,其中包括用户上网所使用的网络资源的统计 Request(Stop) 信息(上网时长、进/出的字节数等),请求服务器停止计费。 Accounting- Accounting- Response(Stop)计费结束响应报文。服务器接收计费停止请求报 Response( Stop)文后,需要回应一个计费停止响应报文。 (3) RADIUS授权报文

《网络运维管理》/实验 18：实现用户上网认证 2 3、RADIUS RADIUS（Remote Authentication Dial In User Service，远程用户拨号认证系统），协议定义了基 于 UDP 的 RADIUS 报文格式及其传输机制，并规定 UDP 端口 1812、1813 分别作为认证、计费端 口。 RADIUS 服务器通常需要维护三个数据库 Users、Clients、Dictionary。 Users：用于存储用户信息，如用户名、口令以及使用的协议、IP 地址等配置信息； Clients：用于存储 RADIUS 客户端的信息，如接入设备的共享密钥、IP 地址等。 Dictionary：用于存储 RADIUS 协议中的属性和属性值含义的信息。 （1）RADIUS 认证报文 报文名称 报文说明 Access-Request 认证请求报文，是 RADIUS 报文交互过程中的第一个报文，携带用户的认证 信息（例如：用户名、密码等）。认证请求报文由 RADIUS 客户端发送给 RADIUS 服务器，RADIUS 服务器根据该报文中携带的认证信息判断是否允许 接入。 Access-Accept 认证接受报文，是服务器对客户端发送的 Access-Request 报文的响应报文。如 果 Access-Request 报文认证通过，则发送该类型报文。客户端收到此报文后， 认证用户才能认证通过并被赋予相应的权限。 Access-Reject 认证拒绝报文，是服务器对客户端的 Access-Request 报文的拒绝响应报文。如 果 Access-Request 报文即认证失败，则 RADIUS 服务器返回 Access-Reject 报 文，用户认证失败。 Access-Challenge 认证挑战报文。EAP 认证时，RADIUS 服务器接收到 Access-Request 报文中携 带的用户名信息后，会随机生成一个 MD5 挑战字，同时将此挑战字通过 Access-Challenge 报文发送给客户端。客户端使用该挑战字对用户密码进行加 密处理后，将新的用户密码信息通过 Access-Request 报文发送给 RADIUS 服务 器。RADIUS 服务器将收到的已加密的密码信息和本地经过加密运算后的密码 信息进行对比，如果相同，则该用户为合法用户。 （2）RADIUS 计费报文 报文名称 报文说明 Accounting￾Request(Start) 计费开始请求报文。如果客户端使用 RADIUS 模式进行计费，客户端会在用 户开始访问网络资源时，向服务器发送计费开始请求报文。 Accounting￾Response(Start) 计费开始响应报文。服务器接收并成功记录计费开始请求报文后，需要回应 一个计费开始响应报文。 Accounting￾Request(Interim￾update) 实时计费请求报文。为避免计费服务器无法收到计费停止请求报文而继续对 该用户计费，可以在客户端上配置实时计费功能。客户端定时向服务器发送 实时计费报文，减少计费误差。 Accounting￾Response(Interim￾update) 实时计费响应报文。服务器接收并成功记录实时计费请求报文后，需要回应 一个实时计费响应报文。 Accounting￾Request(Stop) 计费结束请求报文。当用户断开连接时或接入服务器断开连接时，客户端向 服务器发送计费结束请求报文，其中包括用户上网所使用的网络资源的统计 信息（上网时长、进/出的字节数等），请求服务器停止计费。 Accounting￾Response(Stop) Accounting-Response(Stop) 计费结束响应报文。服务器接收计费停止请求报 文后，需要回应一个计费停止响应报文。 （3）RADIUS 授权报文

《网络运维管理》/实验18:实现用户上网认证 3 报文名称 报文说明 动态授权请求报文。当管理员需要更改某个在线用户的权限时,可以通过服 CoA-Request 务器发送一个动态授权请求报文给客户端,使客户端修改在线用户的权限。 动态授权请求接受报文。如果客户端成功更改了用户的权限,则客户端回应 COA-ACK 动态授权请求接受报文给服务器 COA-NAK 动态授权请求拒绝报文。如果客户端未成功更改用户的权限,则客户端回应 动态授权请求拒绝报文给服务器。 用户离线请求报文。当管理员需要让某个在线的用户下线时,可以通过服务 DM-Request 器发送一个用户离线请求报文给客户端,使客户端终结用户的连接 用户离线请求接受报文。如果客户端已经切断了用户的连接,则客户端回应 DM-ACK 用户离线请求接受报文给服务器。 用户离线请求拒绝报文。如果客户端无法切断用户的连接,则客户端回应用 DM-NAK 户离线请求拒绝报文给服务器。 五、实验规划 本实验是在一台实体计算机上,通过 eNSP仿真软件完成 实体计算机的操作系统为 Windows7/10; l、网络拓扑规划 本实验的在实验17的园区网的基础上开展,配置防火墙进行认证。 2、规划网络地址方案 根据对网络环境的设计,实验中所用到的网络为实体机所在网络。其网络参数(例如IP地址 范围、默认网关等)可以从网络管理员处获得(可能是动态获得,也可能是静态设置),具体情况 要根据实验环境的实际情况而定

《网络运维管理》/实验 18：实现用户上网认证 3 报文名称 报文说明 CoA-Request 动态授权请求报文。当管理员需要更改某个在线用户的权限时，可以通过服 务器发送一个动态授权请求报文给客户端，使客户端修改在线用户的权限。 CoA-ACK 动态授权请求接受报文。如果客户端成功更改了用户的权限，则客户端回应 动态授权请求接受报文给服务器。 CoA-NAK 动态授权请求拒绝报文。如果客户端未成功更改用户的权限，则客户端回应 动态授权请求拒绝报文给服务器。 DM-Request 用户离线请求报文。当管理员需要让某个在线的用户下线时，可以通过服务 器发送一个用户离线请求报文给客户端，使客户端终结用户的连接。 DM-ACK 用户离线请求接受报文。如果客户端已经切断了用户的连接，则客户端回应 用户离线请求接受报文给服务器。。 DM-NAK 用户离线请求拒绝报文。如果客户端无法切断用户的连接，则客户端回应用 户离线请求拒绝报文给服务器。 五、实验规划 本实验是在一台实体计算机上，通过 eNSP 仿真软件完成； 实体计算机的操作系统为 Windows7/10； 1、网络拓扑规划 本实验的在实验 17 的园区网的基础上开展，配置防火墙进行认证。 2、规划网络地址方案 根据对网络环境的设计，实验中所用到的网络为实体机所在网络。其网络参数（例如 IP 地址 范围、默认网关等）可以从网络管理员处获得（可能是动态获得，也可能是静态设置），具体情况 要根据实验环境的实际情况而定

《网络运维管理》/实验18:实现用户上网认证 任务一:使用本地认证 任务描述: 在eNSP仿真软件中防火墙开启本地认证。 步骤1:开启本地认证 访问防火墙,在导航中选择“对象”,如图18-1-1所示 USG6000V1 囚自"品 图18-1-1防火墙“对象”操作 点击左侧导航中“用户”中的“认证策略”,如图18-1-2所示 A用户 认证域 s认证策略 匙认证选项 用户导入 2在线用户 图18-1-2防火墙用户认证策略 在防火墙上配置认证策略,默认的认证策略为“不认证”,修改策略将认证策略设置为 Portal认证,如图18-1-3所示。 修改认证策暗 defaull Thisis the default rule 请选择或输入标签 原安全区域 目的安全区域 原地址地区 an x 服务(2 认证动作 Poa认证免认证○不认证OO匿名认证 Pota认证模板 取消 图18-1-3修改认证策略

《网络运维管理》/实验 18：实现用户上网认证 4 任务一：使用本地认证 任务描述： 在 eNSP 仿真软件中防火墙开启本地认证。 步骤 1：开启本地认证 访问防火墙，在导航中选择“对象”，如图 18-1-1 所示。 点击左侧导航中“用户”中的“认证策略”，如图 18-1-2 所示。 在防火墙上配置认证策略，默认的认证策略为“不认证”，修改策略将认证策略设置为 Portal 认证，如图 18-1-3 所示。 图 18-1-1 防火墙“对象”操作 图 18-1-2 防火墙用户认证策略 图 18-1-3 修改认证策略

《网络运维管理》/实验18:实现用户上网认证 配置完成后,结果如图18-1-4所示 the der.l rula 图18-1-4配置结果 步骤2:开启认证后测试通信 开启认证后,从192.168640/21地址使用PNG访问1721664023网络段的地址。将测试 结果填入下表。 序号 来源地址 测试结果 192.168.64.10 172.16.64.211 192.168.64.10 172.1664.212 234 192.168.64.10 172.1664.213 192.168.64.10 172.16.64.214 步骤3:配置用户 在左侧 default中,添加test组并添加一个用户test,如图18-1-5所示。 用户 户/用户组废全组管理列表 中新建·8删·批里修改國复制导出蹋基于组织结构管理用户 a/default □ Atest 簧1页共1页1)1每页显示条数50 图18-1-5添加用户

《网络运维管理》/实验 18：实现用户上网认证 5 配置完成后，结果如图 18-1-4 所示。 步骤 2：开启认证后测试通信 开启认证后，从 192.168.64.0/21 地址使用 PING 访问 172.16.64.0/23 网络段的地址。将测试 结果填入下表。 序号 来源地址 目的 测试结果 1 192.168.64.10 172.16.64.211 2 192.168.64.10 172.16.64.212 3 192.168.64.10 172.16.64.213 4 192.168.64.10 172.16.64.214 步骤 3：配置用户 在左侧 default 中，添加 test 组并添加一个用户 test，如图 18-1-5 所示。 图 18-1-4 配置结果 图 18-1-5 添加用户