Windows Server 2008 R2&Cisco2960 配置Radius服務 實現802.1x認證 實戰

 

實戰配置Windows Server 2008 R2 Radius服務 與Cisco 2960 實現 802.1x認證

 

實驗拓撲

 

1.Radius服務器 安裝 dc  域名 wjl.com ，和ca  安裝步驟不再詳解

2.安裝完ca之後，打開MMC 添加計算機證書，查看個人-證書裏面有沒有ca頒發給計算機的證書，如果沒有則需要自己申請一個

 

點擊 個人-證書-申請新證書

申請完成之後

 

3.安裝網絡策略服務

 

接着選擇第二項，選擇CA服務器

 

然後選擇第一項 使用SSL加密，選擇我們剛纔申請的計算機證書 OK
 

4.配置Radius客戶端
 

（1）新建Radius客戶端，

（2）新建策略

 

指定Raidus客戶端

添加用戶組，用於認證用

 

完成

5.新建用戶和組

 

（1）新建用戶wjl和組AAA

（2）隸屬於AAA

（3）勾選 使用可逆加密存儲密碼
 

 

6.客戶端申請用戶證書安裝
 

7.交換機配置
 

Cisco2960(config)#int vlan 1 (配置二層交換機管理接口IP地址)
Cisco2960(config-if)#ip add 192.168.100.254 255.255.255.0
Cisco2960(config-if)#no sh
Cisco2960(config-if)#end
Cisco2960#wr

在交換機上啓用AAA認證

Cisco2960#configure terminal
Cisco2960(config)#aaa new-model (啓用AAA認證)
Cisco2960(config)#aaa authentication dot1x default group radius (啓用dot1x認證)
Cisco2960(config)#dot1x system-auth-control (啓用全局dot1x認證)
 

Cisco2960(config)#radius-server host 192.168.100.1 key 123456 (設置驗證服務器IP及密鑰)
Cisco2960(config)#radius-server retransmit 3 (設置與RADIUS服務器嘗試連接次數爲3次)

 

配置認證端口
 

Cisco2960(config)#interface fastEthernet 0/2
Cisco2960(config-if)#switchport mode access (設置端口模式爲access)
Cisco2960(config-if)#dot1x port-control auto (設置802.1x認證模式爲自動)
Cisco2960(config-if)#dot1x timeout quiet-period 10 (設置認證失敗重試時間爲10秒)
Cisco2960(config-if)#dot1x timeout reauth-period 3600 (認證計時器，無論失敗或成功重連時間--1小時後重連)
Cisco2960(config-if)#dot1x reauthentication (啓用802.1x認證)
Cisco2960(config-if)#spanning-tree portfast (開啓端口portfast特性)
Cisco2960(config-if)#end
Cisco2960#wr

7.測試

勾選申請的證書

連接成功