方案概述
文檔目的
《XX校區***和RADIUS部署設計方案》是關於本次項目規劃的設計方案,它包括對XX校區***和RADIUS服務器的所屬環境和具體的實施步驟。
項目背景
XX校區內網不能被外網訪問,鑑於學校人員能夠在學校之外安全訪問學校內網資源,更好的促進學校的教學,所以搭建了基於在Windows 2008下的***服務,可以很安全、方便地讓教員和學生們隨時隨地訪問學校資源,使XX校區教學達到更加優化。
方案制定目標
本方案在制定過程中,將充分利用現有網絡結構和網絡設備,根據需求,合理設計網絡結構,確保網絡的的可靠性、可用性與健壯性。在制定過程中,充分考慮的情況如下:
l對訪問內網人員做了規劃,基於一班開通一個***賬戶;
l通過成熟的***技術實現任何時候任何地點的安全接入。
本文檔使用人員
本文檔主要爲XX校區網絡整體規劃提供參考,爲XX校區的網絡管理員、項目實施人員以及技術支持提供指導意見。
***網絡規劃
***規劃
***網絡規劃拓撲圖如下:
在原有的網絡環境下,添加***和RADIUS服務器,由於***服務器在內部網絡中搭建起來的,所以在思科的3560交換機上配置一個端口映射,使得***的內網地址通過端口映射可以通過外網進行正常的數據通信。
***實施過程
首先在管理工具裏打開路由和遠程訪問,選擇配置並啓用路由和遠程訪問,下一步,配置選擇自定義配置,
下一步,然後選擇***訪問
下一步,完成。然後出現“路由和遠程訪問服務已經安裝,要開始服務嗎?”的提示,選擇“啓動服務”,啓動***服務。
然後在路由和遠程訪問的服務器上右擊在菜單中選擇屬性,選中IPV4標籤
IP地址指派中選擇靜態地址池,單擊“添加”按鈕,在起始地址和結束地址上分別填入適當的地址,該範圍必須要在本地局域網使用的網段內,如本地局域網使用得網絡地址是192.168.1.0,那樣的話就在這裏起始地址可以填入192.168.1.20,結束地址填入,192.168.1.50,這樣撥入的地址就會自動獲取從192.168.1.20開始到192.168.1.50結束的地址,如果不在一個網段那就無法連接上本地網絡的其他計算機了,只能連接上***服務器。
下一步在IP路由選擇中右擊“常規”,選擇“新增路由協議”,選擇“NAT”,
添加成功後右擊“NAT”選擇新增接口,接口中選擇“內部”
接口類型選擇“專用接口連接到專用網絡”,
由於***通過RADIUS身份驗證連接的,所以在“***—SERVER(本地)屬性”裏點擊“安全”選項,在“身份驗證提供程序”中選擇“RADIUS身份驗證”;
點擊配置,填寫如下數據:
這樣***服務器就部署完成了。
RADIUS實施過程
開始運行----nps.msc打開網絡策略管理控制檯
點擊本地---配置nap服務器
選擇新建radius客戶端--填入***服務器的ip--與共享密鑰
選擇“連接請求策略”,右擊選擇“新建”,網絡訪問服務器的類型選擇“遠程訪問服務器(***-Dial up)”;
選擇條件選擇“時間和日期限制”,條件如下:
限制好時間後後,把它的處理順序上移到1。然後編輯網組織策略,如下:
然後在RADIUS服務器上用戶
這樣RADIUS服務器就部署完成了。
測試***服務
在客戶機,比如WIN7下建立***撥號連接,輸入***服務器映射的公網地址,用RADIUS服務器建立的用戶登錄,就可以登錄成功。第一次登錄較慢,需要很多驗證,可以耐心等待一下登陸成功,如下所示:
可以看,數據通過***通道走的。