交换机使用PEAP及EAP-TLS协议进行802.1x认证( 二 ) _云知道

aaa authorization network default group radius
!---和802.1x相关的AAA设置
dot1x system-auth-control
!---打开802.1x功能
interface FastEthernet0/2
switchport mode Access
dot1x port-control auto
spanning-tree portfast
!---在F0/2口上打开802.1x端口控制功能
radius-server host 192.168.168.155 key xxxxxx
!---定义RARIUS Server
三、配置终端接入设备
1、在AD Server上配置MS Certificate Machine Autoenrollment
在AD Server的治理工具中打开“Active Directory Users and Computers”，在域名上点右键选择Properties，然后选择“Group Policy→Default Domain Policy→Edit”，然后选择“Computer Configuration→Windows Settings→Security Settings→Public Key Policies→Automatic Certificate Request Settings”，在菜单项中选择“Action→New→Automatic Certificate Request→Computer”，选中CA服务器后按下一步结束配置；
2、将终端设备加入域
这个过程大家都会，不多说了；
3、在终端设备上手动安装根证书
如已配置“Certificate Machine Autoenrollment”，此步骤可忽略。
登录域后在浏览器上键入http://192.168.168.196/certsrv进入证书WEB申请页面，登录用户采用域治理用户账号。
选择“Retrieve the CA certificate or certificate revocation list→Download CA certificate→Install Certificate→Automatically select the certificate store based on the type of the certificate”，按下一步结束证书安装；
4、进行终端设备上的802.1x认证设置
在以太网卡的连接属性中选择“Authentication→Enable IEEE 802.1x authentication for this network”，EAP type选为“Protected EAP(PEAP)”，勾选“Authenticate as computer when computer information is available”，然后再点Properties，在EAP属性窗口中选择“Validate server certificate”，同时在“Trusted Root Certificastion Authorities:”窗口中选择对应的ROOT CA，这里为acs-ca，Authentication Method选成“Secure passWord (EAP-MSCHAP v2)” 。再点Configure按钮确保“Automatically use my Windows logon name and password (and domain if any)”选项已被选中；
四、结果查看
所有配置完成后查看认证结果：
Switch#sh dot1x int f0/2
Supplicant MAC
AuthSM State = CONNECTING
BendSM State = IDLE
PortStatus = UNAUTHORIZED
MaxReq = 2
HostMode = Single
Port Control = Auto
QuietPeriod = 60 Seconds
Re-authentication = Disabled
ReAuthPeriod = 3600 Seconds
ServerTimeout = 30 Seconds
SuppTimeout = 30 Seconds
TxPeriod = 30 Seconds
Guest-Vlan = 0
Switch#sh dot1x int f0/2
Supplicant MAC 000b.6a2a.03cb
AuthSM State = AUTHENTICATING
BendSM State = RESPONSE
PortStatus = UNAUTHORIZED
MaxReq = 2
HostMode = Single
Port Control = Auto
QuietPeriod = 60 Seconds
Re-authentication = Disabled
ReAuthPeriod = 3600 Seconds
ServerTimeout = 30 Seconds
SuppTimeout = 30 Seconds
TxPeriod = 30 Seconds
Guest-Vlan = 0
Switch#sh dot1x int f0/2
Supplicant MAC 000b.6a2a.03cb
AuthSM State = AUTHENTICATED
BendSM State = IDLE
PortStatus = AUTHORIZED
MaxReq = 2
HostMode = Single
Port Control = Auto
QuietPeriod = 60 Seconds
Re-authentication = Disabled
ReAuthPeriod = 3600 Seconds
ServerTimeout = 30 Seconds
SuppTimeout = 30 Seconds
TxPeriod = 30 Seconds
Guest-Vlan = 0
!---认证通过
查看终端设备网络连接提示，此时已为“Authentication sUCceeded.”
五、TIPS
* 注重Windows客户端在安装根证书时应保持和网络的正常连接，如此时在端口上设置了802.1x，则网络是断开的；
* AD Server上的证书服务应在IIS服务安装之后再装，否则certificate web enrollment不能成功；

交换机使用PEAP及EAP-TLS协议进行802.1x认证( 二 )

推荐阅读

蛋白糖的做法蛋白糖的做法简述

i3和i5的区别有哪些哪个运转速度更快

清明上河图赏析清明上河图译文

刺绣画挂什么位置

海苔是紫菜吗海苔与紫菜是什么关系

换乘4小时16分什么意思

iPhone有扫描功能吗

浓硫酸与碳反应方程式，浓硫酸与碳的反应方程式为

盒装蓝莓需要洗了吃吗蓝莓需要洗了吃吗

谭礼杰是什么电视剧你有看过吗

跆拳道比赛中允许使用的技术

比熊和泰迪哪个好？来对比下各自的优缺点

贵阳21021-2022冬天冷不冷

汽车年检后无法熄火检车之后怎么熄火

吸尘器无纺布尘袋能洗吗

外汇管理局网上服务平台，请问国家外汇管理局网上应用平台是做什么用的与网上服务平台的区