本文转自netyourlife
其实还是基于802.1x cisco 有两款专门这样的产品 有钱的单位可以直接购买 没钱的还是基于802.1x ba 
主要是AD+802.1
2.      设备配置:   
A.Cisco Catalyst 3750-24TS交换机,Version 12.1(19)EA1d
B.一台Windows 2003 Server SP1服务器做为AD Server
C.一台Windows 2000 Server SP4服务器做为ACS Server和CA Server
D.一台Windows 2003 Server SP1工作站做为终端接入设备
E.Cisco Secure ACS for Windows version 3.3.1

二.  AD及CA安装:

          AD&CA安装(在此不做介绍),装CA的SERVER要在登入AD后再安装CA服务.

三.  AD配置:

1.      创建OU.

2.      在OU下建GROUP,比如:NETGroup,SYSGroup等

3.      再创建User,把对应的User加入到各自的Group中,便于管理,在ACS中也需要,在ACS配置中再介绍.

四.  ACS的安装与配置.

1.      ACS的安装:
A.     安装ACS的SERVER必须登入到AD中.
B.     ACS软件安装很简单,下一步下一步,到完成.
C.     还需安装Java的插件.
2.      ACS的配置:
A.     在ACS服务器上申请证书:在ACS服务器浏览器上键 [url]http://192.168.68.19/certsrv[/url]进入证书WEB申请页面,登录用户采用域管理用户账号.选择“Request a certificate→Advanced request→Submit a certificate request to this CA using a form”,
接下来Certificate Template处选择“Web Server”,Name:处填入“TSGNET”,KeyOptions:下的Key Size:填入“1024”,同时勾选“Mark keys as exportable”及“Use localmachine store”两个选项,然后submit.出现安全警告时均选择“Yes”,进行到最后会有CertificateInstalled的提示信息,安装即 可.

B.     进行ACS证书的配置:进入ACS的配置接口选择System Configuration→ACS Certificate Setup→Install ACS Certificate进入如下图片,填写申请的“TSGNET” 证书,再Submit.
按提示重启ACS服务,出现如下图片即OK:

C.      配置ACS所信任的CA:
选择System Configuration→ACS Certificate Setup→Install ACS   Certificate→Edit Certificate Trust List”,选择AD Server上的根证书做为信任证书,如下图所示:

D.    重启ACS服务并进行PEAP设置:
选择“System Configuration→Global Authentication Setup”,勾选“AllowEAP-MSCHAPv2”及“Allow EAP-GTC”选项,同时勾选“Allow MS-CHAP Version 1Authentication”&“Allow MS-CHAP Version 2 Authentication”选项,如下图所示:
E.     配置AAA Client:
选择“Network Configuration→Add Entry”,在“AAAClient”处输入交换机的主机名,“AAA Client IPAddress”处输入C3750的管理IP地址,在“Key”处输入RADIUS认证密钥tsgacs,“AuthenticateUsing”处 选择“RADIUS(IETF)”,再Submit+Restart,如下图所示:
F.      配置外部用户数据库:
选择“External User Databases→Database Configuration→WindowsDatabase→Create New Configuration”,建一个Database的名称PCEBGIT.COM,Submit,如下图:

不粘了 太长呵呵
[url]http://bbs.cnw.com.cn/redirect.php?fid=64&tid=66116&goto=nextoldset[/url]