使用radius来集中管理ras-vpn服务器

《使用radius来集中管理ras-vpn服务器》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、使用RADIUS来集中管理RAS-VPN服务器RADIUS称为远程验证拨入用户服务，如果拥有不止一个RAS服务器，则可以使用RADIUS服务器来集中管理这些RAS服务器，如进行验证、授权、计费和审计。本实验的工作原理：1、VPN客户端像VPN服务器（即RADIUS客户端）发送建立连接请求2、VPN服务器（即RADIUS客户端）将来自VPN客户端的请求转发给RADIUS服务器3、RADIUS对来自VPN服务器的请求进行验证，并且存储帐户信息4、RADIUS服务器告诉RADIUS客户端（即VPN服务器）是接受还是拒绝来自VPN客

2、户端的请求实验验步骤：第一，在DC上安装INTERNET验证服务，RIDUS需要该服务的支持（DC域控制器的安装省略。域为dc.com） 拓展知识：关于windows身份验证和RADIUS身份验证当使用Windows验证时，如果VPN服务器是独立服务器，则使用本地账户（SAM）来验证VPN客户，并通过本地配置来决定是否授权VPN客户的拨入；如果VPN服务器是域成员服务器，则使用活动目录数据库来验证VPN客户，并通过域用户拨入属性（所有属于此域的VPN服务器共享）或者VPN服务器的本地远程访问策略来决定是否允许VPN客户的拨入

3、。每个VPN服务器使用自己独立的配置或者共享域用户拨入属性的配置。如果使用RADIUS进行身份验证，那么VPN服务器将VPN客户提交的身份验证信息发送至RADIUS服务器进行验证，由RADIUS服务器来决定是否授权VPN客户的访问。多个VPN服务器可以配置为使用一个RADIUS服务器，这是一种集中管理的身份验证、授权、记账方式。在Windows服务器中同样提供了RADIUS服务器组件（二）、把VPNsrv加入到dc.com域中（步骤省略）在VPN上启用RAS服务。还有一种方法是不要把VPN加入到域中，客户端也可以在RADIU

4、S上进行身份的验证，有兴趣的朋友可以自己试一下。拓展介绍：关于RAS服务远程访问服务提供了两种接入的方式：拨号连接和VPN连接。现在主要采用VPN连接的方式，因为通过虚拟专网的方式费用会较低，效率高，实现一定的身份认证和机密性。VPN使用以下的技术来保证安全性：隧道技术（Tunneling）、加解密技术（Encryption&Decryption）、密钥管理技术（KeyManagement）、使用者与设备身份认证技术（Authentication）。 首先要打开远程访问策略的控制台界面配置并启动路由和远程访问进入配置向导的界

5、面，选择远程访问（拨号或VPN）这里的本地连接要选择公网的网卡，即和客户端相连的那块网卡IP地址本例采用手动指定的方式，如果有DHCP服务器，也可以使用自动。下图中的地址范围是公司内部网络的私网地址，不要和公网的地址搞混淆了。设置成和RADIUS服务器一起工作，如果过选择否，那么将在VPN上做身份验证，而不会到RADIUS服务器上。第三、在DC上新建RADIUS客户端，并且在DC上新建一个帐户bbb,作为远程客户端登录的帐户一会，我在客户端做验证的时候，用到的是域帐户。客户端的IP地址是VPN服务器即RADIUS客户端的内网

6、卡的IP地址。第四、在VPN服务器上确认一下身份验证的方式为RADIUS下面两张图中的端口号要注意，如果client不能正常访问，那么端口也是要检查的，看看端口是不是出现了问题。第五、在DC上新增一个用户bbb，作为客户端验证用户使用下图中的“通过远程访问策略控制访问”的单选按钮是灰色不可用的，原因是因为：该机器处于域环境且属于混合模式，必须提升域功能级别为windowsserver2003本机模式。并且域功能的提升是单向的，只能升级不能降级。第六、在客户端上新建连接，进行验证这里面填写的IP地址是VPN服务器的外网卡的IP

7、地址。至此，该拓展试验的主要步骤均以配置完成。在客户端验证：输入用户bbb，密码123abc,可以正常登录，注意bbb是域用户帐户。实验总结：1、要把VPNsrv加入到域中。客户端在RADIUS上接受验证。2、给用户的拨入权限。3、注意RADIUS验证和RADIUS记账的端口号。4、不要把域用户和VPN本地帐户混淆了。