ES交换机结合radius服务器对终端用户进行认证

1、Radius服务器和终端电脑都连接到ES交换机上面，ES的0/1口连接上联路由器，ES的0/5口连接终端PC机，ES的0/7口连接radius服务器，这里的radius服务器使用windows2003搭建的IAS，radius服务器地址：10.10.100.200；交换机地址：10.10.100.150Windows2003服务器中安装DNS,AD,CA,IAS等组件根据上面的拓扑环境，测试PC通过了windows域的认证以后，自动在交换机端口上进行802.1X认证，认证通过以后，PC被交换机自动分配到了V20里面，从而可以接入到互联网中。

3、选择企业CA

5、然后下一步，完成CA的安装接下来安装IAS服务点击确定，下一步，完成安装

7、点击添加/删除管理单元添加证书，选择计算机账户，然后点击确定完成

9、建立域用户账户在用户属性，拨入选项中选择允许访问

11、客户端供应商这里选择的是“RADIUS Standard”,“共享机密”指的是IAS服务器和交换机上设置的预共享密钥。只有双菱诎逭幂方密钥相同时，IAS服务器才会接受RADIUS客户端传来的验证、授权和记账请求。此处密钥区分大小写。

13、选择用户组

15、右键选择lan access属性点击编辑配置文件

17、在高级中选择添加在windows server2003服务器上面的工作都全部完成，接下来，配置交换机，进入交换机配置模式radius accountingmode开启radius计费模式radius server hostauth 10.10.100.200radius验证服务器的IP地址radius server keyauth 10.10.100.200回车后会出现配置密码选项，该密码是和radius服务器添加的交换机与共享密码必须一致radius serverprimary10.10.100.200配置主radius服务器，如果有备份radius服务器可以添加备份radius服务器radius serverattribute 4 10.10.100.200配置radius属性radius server hostacct 10.10.100.200配置radius的计费服务器radius server keyacct 10.10.100.200回车后会出现配置密码选项，该密码和radius服务器上面的密码一致然后全局下面配置：aaa authentication dot1x default radius，配置AAA验证模式是dot1xdot1xsystem-auth-control全局开启dot1x验证模式interface 0/7dot1x port-controlforce-authorized改配置不会对接入设备进行dot1x认证interface0/5dot1x port-controlauto在连接终端电脑的接口上面启用dot1x命令，改命令是默认配置，配置好后，在查看配置的时候不会出现在interface 0/1口上面配置dot1xport-control force-authorized上联路由器交换机配置完毕，接下来进行终端电脑的配置首先将计算机加入域iubnt.com中使用在域中建立的账户ubnt登录计算机

19、证书安装好后，在服务中开启验证服务，进入网卡进行配置

21、点击配置选择证书lan，点击确定