Windows Server 2008 R2Cisco2960 配置Radius服务实现802.1x认证实战

实战配置Windows Server 2008 R2 Radius服务与Cisco 2960 实现 802.1x认证

实验拓扑

1.Radius服务器安装 dc 域名 wjl.com ，和ca 安装步骤不再详解

2.安装完ca之后，打开MMC 添加计算机证书，查看个人-证书里面有没有ca颁发给计算机的证书，如果没有则需要自己申请一个

点击个人-证书-申请新证书

申请完成之后

3.安装网络策略服务

接着选择第二项，选择CA服务器

然后选择第一项使用SSL加密，选择我们刚才申请的计算机证书 OK

4.配置Radius客户端

（1）新建Radius客户端，

（2）新建策略

指定Raidus客户端

添加用户组，用于认证用

完成

5.新建用户和组

（1）新建用户wjl和组AAA

（2）隶属于AAA

（3）勾选使用可逆加密存储密码

6.客户端申请用户证书安装

7.交换机配置

Cisco2960(config)#int vlan 1 (配置二层交换机管理接口IP地址)
Cisco2960(config-if)#ip add 192.168.100.254 255.255.255.0
Cisco2960(config-if)#no sh
Cisco2960(config-if)#end
Cisco2960#wr

在交换机上启用AAA认证

Cisco2960#configure terminal
Cisco2960(config)#aaa new-model (启用AAA认证)
Cisco2960(config)#aaa authentication dot1x default group radius (启用dot1x认证)
Cisco2960(config)#dot1x system-auth-control (启用全局dot1x认证)

Cisco2960(config)#radius-server host 192.168.100.1 key 123456 (设置验证服务器IP及密钥)
Cisco2960(config)#radius-server retransmit 3 (设置与RADIUS服务器尝试连接次数为3次)

配置认证端口

Cisco2960(config)#interface fastEthernet 0/2
Cisco2960(config-if)#switchport mode access (设置端口模式为access)
Cisco2960(config-if)#dot1x port-control auto (设置802.1x认证模式为自动)
Cisco2960(config-if)#dot1x timeout quiet-period 10 (设置认证失败重试时间为10秒)
Cisco2960(config-if)#dot1x timeout reauth-period 3600 (认证计时器，无论失败或成功重连时间--1小时后重连)
Cisco2960(config-if)#dot1x reauthentication (启用802.1x认证)
Cisco2960(config-if)#spanning-tree portfast (开启端口portfast特性)
Cisco2960(config-if)#end
Cisco2960#wr

7.测试