Catalyst的端口Web认证不能用Windows的IAS（radius）认证

    交换机的端口认证很多地方采用IEEE 802.1x，看见思科说有基于web的认证，于是尝试一下，终于以失败告终，究其原因，没有ACS，而是用的Windows的IAS的RADIUS方式，交换机请求的东西，IAS无法给予。

    我都配置出请求认证的画面了，就是认证失败，但是在windows里面看记录是给予了许可，debug思科交换机，发现是缺认证用户的设定文件，其实是最重要的是缺ACL许可，这个ACL许可需要从RADIUS上下载，虽然在windows2008里面有IPv4的访问许可项目，但是看来是不能和思科的东西匹配，或者RADIUS没有送给思科交换机，虽然交换机请求了，或许微软的Radius的高手能搞定。

    总结一下成功和失败。

 

首先要配置RADIUS

要启用RADIUS首先要把AAA认证打开

aaa new-model

然后配一个默认的radius组

aaa authentication login default group radius

启用web认证的aaa方式

aaa authorization auth-proxy default group radius

打开设备跟踪

ip device tracking

配置web认证名为rule的策略，在后面接口调用

ip admission name rule proxy http inactivity-time 60

接口配置

interface GigabitEthernet1/0/19

 switchport access vlan 11
 switchport mode access
 ip access-group 100 in

 ip admission rule

这里的rule就是上面做的策略

这里的acl100是必须配置的，用了阻断访问用的，但是必须让其通过dhcp，dns等必要的通信，不然没反映的，不会把要访问的页面转换成认证画面

access-list 100 permit udp any host 255.255.255.255 eq bootps

access-list 100 permit udp 172.26.0.0 0.0.255.255 host 172.26.1.10 eq domain

向服务器上请求acl
radius-server attribute 8 include-in-access-req

radius服务器的配置

radius-server host 172.26.1.11 auth-port 1645 acct-port 1646 key 7 070C285F4D06

vendor-specific attribute指定厂家特征代码认证要求，这个觉得不是必要条件，在radius上不配置就没关系
radius-server vsa send authentication