思科路由器配合域内Radius服务器完成用户身份认证（一）

背景介绍：

公司有一个域环境，路由器Wan地址为：a.b.c.d，Lan地址为：192.168.30.1，其余服务器地址如图所示，其中***服务器需要2块网卡，第2块网卡的地址为172.16.0.1使用NAT转换通过192.168.30.5访问外网，给使用***登陆的客户端指定IP地址为10.0.0.1—10.0.0.100，为了方便管理，实现账号的单一登陆，搭建了Radius服务器，下面就来介绍如何使用思科路由器配合域内Radius服务器完成***用户身份认证。

路由器设置：

登陆路由器，首先要允许192.168.30网段通过NAT转换访问外网，并且对域内***服务要使用的1723端口进行映射。

1.定义允许的访问列表

router（config）#access-list 1 permit192.168.30.0 0.0.0.255   

2.创建1个名为realking的NAT地址池，因为只有1个公网地址，所以起始和结束地址一样

router（config）#ip nat pool realking a.b.c.d a.b.c.d netmask255.255.255.0  

3.设置PAT，overload为过载，不加该命令公网的IP地址端口无法复用，

router（configif）#ip natinside source list 1 pool realking overload     

如果只有一个公网IP地址的时候可以使用地址池名字也可以使用出接口，即：

router（configif）#ip nat inside source list 1 interface f0/1 overload

4.指定入站方向（内网接口）

router（config）#int f0/1

router（configif）#ip nat inside

5.指定出站方向（公网的接口）

router（config）#int f0/0

router（configif）#ip nat outside

6.在路由器上给***服务器开端口映射

router（config）# ip nat inside source static tcp 192.168.30.5 1723 a.b.c.d 1723

***服务器设置：

1.在防火墙打开路由和远程访问端口

2.添加角色选择远程访问，在角色服务里要勾选路由，默认不勾选

3.从服务器管理面板的工具中找到路由远程和访问，选择***和NAT

4.指定远程***登陆用户的IP地址段

5.选择与Radius服务器一起工作

6.输入Radius服务器的FQDN或者IP地址及共享密钥（该密钥要与Radius服务器上的一致）

Radius服务器设置

1.从服务器角色里安装网络策略和访问服务

2.从服务器管理面板的工具中找到网络策略服务器，新建Radius客户端，将***服务器添加进来，此处的共享密钥和***服务器上设置的共享密钥保持一致

3.通过向导，配置***请求和网络策略

4.选择虚拟专用网络链接

5.将第2步设置的***服务器添加进来

6.选择身份验证的方法，建议勾选CHAP身份验，XP系统默认使用的是CHAP验证

7.设置允许访问的用户组，之后一直保持默认选项直到结束

客户端设置

1.创建1个新的***链接

2.输入公网的IP地址和域用户及密码（注意域用户又允许拨入的权限）

3.链接时选择跳过

4.找到***链接，将协议选成PPTP，再次链接就可以正常访问了

5.此时你在***服务器上会看到，通过域账户登陆进来的***用户了