交换机使用PEAP及EAP-TLS协议进行802.1x认证.docVIP

设备情况：　　* Cisco Catalyst 2950T-24交换机，Version 12.1(22)EA1b　　* 一台windows 2000 Server SP1服务器做为AD Server及CA Server　　* 一台Windows 2000 Server SP4服务器做为ACS Server　　* 一台Windows XP SP2工作站做为终端接入设备　　* Cisco Secure ACS for Windows version 3.2.3　　　　严重说明：因为MS CA证书服务的一个缺陷，在某些客户机上使用WEB页面进行证书申请时会出现“Downloading ActiveX Control”提示信息后不能继续下一步的错误，请参阅MS QB323172下载相关补丁进行处理，并请参阅文末的tips：　　/default.ASPx?...kb;en-us;330389　　/default.aspx?...kb;en-us;323172　　　　拓扑图见下：　　 　　传统802.1x认证采用MD5-Challenge认证，用户在接入网络时需输入用户名和口令，安全性也相对薄弱。PEAP和EAP-TLS都是利用了TLS/SSL隧道，PEAP只使用了服务器端的认证，只是服务器端拥有证书并向用户提供证实，而EAP-TLS使用了双向认证，ACS服务器和客户端均拥有证书并进行相互间的身份证实。　　　　一、配置Secure ACS　　1、在ACS服务器上申请证书　　在AD Server上做好AD安装及证书服务设置后，在ACS服务器浏览器上键入96/certsrv进入证书WEB申请页面，登录用户采用域治理用户账号。　　选择“Request a certificate→Advanced request→Submit a certificate request to this CA using a form”，接下来Certificate Template处选择“Web Server”，Name：处填入“TestACS”，Key Options:下的Key Size:填入“1024”，同时勾选“Mark keys as exportable”及“Use local machine store”两个选项，然后submit。出现安全警告时均选择“Yes”，进行到最后会有Certificate Installed的提示信息；　　　　2、进行ACS的证书配置　　进入ACS配置界面后选择“System Configuration→ACS Certificate Setup→Install ACS Certificate→Use certificate from storage→Certificate CN”，填入上一步的CA CN名“TestACS”，然后submit；　　　　3、配置ACS所信任的CA　　再选择“System Configuration→ACS Certificate Setup→Edit Certificate Trust List”，选择AD Server上的根证书做为信任证书；　　　　4、重启ACS服务并进行PEAP设置　　选择“System Configuration→Service Control→Restart”重启服务；　　选择“System Configuration→Global Authentication Setup”，勾选“Allow EAP-MSCHAPv2”及“Allow EAP-GTC”选项，同时勾选“Allow MS-CHAP Version 1 Authentication”及“Allow MS-CHAP Version 2 Authentication”选项；　　　　5、配置AAA Client　　选择“Network Configuration→Add Entry”，在“AAA Client”处输入交换机的主机名，“AAA Client IP Address”处输入C2950T的治理IP地址，在“Key”处输入RADIUS认证密钥，“Authenticate Using”处选择“RADIUS(IETF)”；　　　　6、配置外部用户数据库　　选择“External User Databases→Database Configuration→Windows Database→Create New Configuration→Configure”，在Configure Domain List处将ACS Server所在的域名移动到“Domain List”中。这里要注重的一点是ACS Server所在机器这时应已加入到域中，同时