实战配置Windows Server 2008 R2 Radius服务 与Cisco 2960 实现 802.1x认证
实验拓扑
1.Radius服务器 安装 dc 域名 wjl.com ,和ca 安装步骤不再详解
2.安装完ca之后,打开MMC 添加计算机证书,查看个人-证书里面有没有ca颁发给计算机的证书,如果没有则需要自己申请一个
点击 个人-证书-申请新证书
申请完成之后
3.安装网络策略服务
接着选择第二项,选择CA服务器
然后选择第一项 使用SSL加密,选择我们刚才申请的计算机证书 OK
4.配置Radius客户端
(1)新建Radius客户端,
(2)新建策略
指定Raidus客户端
添加用户组,用于认证用
完成
5.新建用户和组
(1)新建用户wjl和组AAA
(2)隶属于AAA
(3)勾选 使用可逆加密存储密码
6.客户端申请用户证书安装
7.交换机配置
Cisco2960(config)#int vlan 1 (配置二层交换机管理接口IP地址)
Cisco2960(config-if)#ip add 192.168.100.254 255.255.255.0
Cisco2960(config-if)#no sh
Cisco2960(config-if)#end
Cisco2960#wr
Cisco2960(config-if)#ip add 192.168.100.254 255.255.255.0
Cisco2960(config-if)#no sh
Cisco2960(config-if)#end
Cisco2960#wr
在交换机上启用AAA认证
Cisco2960#configure terminal
Cisco2960(config)#aaa new-model (启用AAA认证)
Cisco2960(config)#aaa authentication dot1x default group radius (启用dot1x认证)
Cisco2960(config)#dot1x system-auth-control (启用全局dot1x认证)
Cisco2960(config)#aaa new-model (启用AAA认证)
Cisco2960(config)#aaa authentication dot1x default group radius (启用dot1x认证)
Cisco2960(config)#dot1x system-auth-control (启用全局dot1x认证)
Cisco2960(config)#radius-server host 192.168.100.1 key 123456 (设置验证服务器IP及密钥)
Cisco2960(config)#radius-server retransmit 3 (设置与RADIUS服务器尝试连接次数为3次)
Cisco2960(config)#radius-server retransmit 3 (设置与RADIUS服务器尝试连接次数为3次)
配置认证端口
Cisco2960(config)#interface fastEthernet 0/2
Cisco2960(config-if)#switchport mode access (设置端口模式为access)
Cisco2960(config-if)#dot1x port-control auto (设置802.1x认证模式为自动)
Cisco2960(config-if)#dot1x timeout quiet-period 10 (设置认证失败重试时间为10秒)
Cisco2960(config-if)#dot1x timeout reauth-period 3600 (认证计时器,无论失败或成功重连时间--1小时后重连)
Cisco2960(config-if)#dot1x reauthentication (启用802.1x认证)
Cisco2960(config-if)#spanning-tree portfast (开启端口portfast特性)
Cisco2960(config-if)#end
Cisco2960#wr
Cisco2960(config-if)#switchport mode access (设置端口模式为access)
Cisco2960(config-if)#dot1x port-control auto (设置802.1x认证模式为自动)
Cisco2960(config-if)#dot1x timeout quiet-period 10 (设置认证失败重试时间为10秒)
Cisco2960(config-if)#dot1x timeout reauth-period 3600 (认证计时器,无论失败或成功重连时间--1小时后重连)
Cisco2960(config-if)#dot1x reauthentication (启用802.1x认证)
Cisco2960(config-if)#spanning-tree portfast (开启端口portfast特性)
Cisco2960(config-if)#end
Cisco2960#wr
7.测试
勾选申请的证书
连接成功
转载于:https://blog.51cto.com/hostmaoo/1175761