前面我们介绍的几种VPN都是在域环境下利用ISA2006 server实现的。今天我 们来介绍一下不在域环境下使用VPN,这种方法是需要一个服务器-------VPN配合 使用的身份验证服务器:Radius服务器。
RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证 系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。
RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server )服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端 。RADIUS协议认证机制灵活,可以采用PAP、 CHAP或者Unix登录认证等多种方式 。RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length- Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。
由于RADIUS协议简单明确,可扩充,因此得到了广泛应用,包括普通电话上网 、ADSL上网、小区宽带上网、IP电话、VPDN(Virtual Private Dialup Networks ,基于拨号用户的虚拟专用拨号网业务)、移动电话预付费等业务。最近IEEE提 出了802.1x标准,这是一种基于端口的标准,用于对无线网络的接入认证,在认 证时也采用RADIUS协议。
radius 服务器对用户的认证过程通常需要利用nas 等设备的代理认证功能, radius 客户端和radius 服务器之间通过共享密钥认证相互间交互的消息,用户 密码采用密文方式在网络上传输,增强了安全性。radius 协议合并了认证和授权 过程,即响应报文中携带了授权信息。
基本交互步骤如下:
(1) 用户输入用户名和口令;
(2) radius 客户端根据获取的用户名和口令,向radius 服务器发送认证请求 包(access-request)。
(3) radius 服务器将该用户信息与users 数据库信息进行对比分析,如果认 证成功,则将用户的权限信息以认证响应包(access-accept)发送给radius 客 户端;如果认证失败,则返回access-reject 响应包。
(4) radius 客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户 ,则radius 客户端向radius 服务器发送计费开始请求包(accounting-request ),status-type 取值为start;
(5) radius 服务器返回计费开始响应包(accounting-response);
(6) radius 客户端向radius 服务器发送计费停止请求包(accounting- request),status-type 取值为stop;
(7) radius 服务器返回计费结束响应包(accounting-response)。
大致的拓扑如下:beijing为ISA服务器,Radius客户端,Istanbul为外网的测 试机。Florence为内网的域控制器、Radius服务器。
一、安装Radius服务器
首先我们让域控制器做Radius服务器,在域控制器上打开控制面板选择“网络 服务”中的“Interent验证服务”,来安装Radius服务器