Windows域与802.1X协议统一认证解决方案.docVIP

收集整理Windows域与802.1X协议统一认证解决方案 收集整理 【实验拓扑】 实验环境说明：本实验需要用到Windows 2003 Server,并且在Windows 2003 Server安装DNS、AD、DHCP、CA、IAS等组件，并且要求交换机支持802.1X协议与Guest VLAN功能。 本文详细地记录了配置Windows 2003 Server和交换机每一个步骤的实现过程，并力求层次清晰。但还是希望没有接触过Windows 2003 Server的读者了解Windows 2003 ServerDNS、 AD、DHCP、CA和IAS的相关知识，请参考相关书籍和网站。 拓扑说明：Windows 2003 Server IP:54 ????????????????? 交换机IP：50 ????????????????? 路由器LAN接口IP: ????????????????? 橘红色端口所属的VLAN为Guest VLAN,名称为V10,?? VID为10 ????????????????? 蓝色端口所属的VLAN名称为V20,? VID为20 ????????????????? 绿色端口为需要进行802.1X认证的端口 ????????????????? 测试计算机的IP为从Windows 2003 Server 自动获取 ? 根据上面的拓扑环境，测试PC通过了windows域的认证以后，自动在交换机端口上进行802.1X认证，认证通过以后，PC被交换机自动分配到了V20里面，从而可以接入到互联网中。若PC没有通过802.1X认证，则只能访问Guest VLAN里面的资源。 【实验设备】Windows 2003 Server 1台，DES-3526 1台，路由器1台，测试PC1台，网线若干。 【实验步骤】 一． 配置Windows 2003 Server 1. 安装Windows 2003 Server AD（活动目录） 在Windows 2003 Server上，点击“开始”----“运行”，输入“dcpromo”,点“确定”,启动“活动目录安装向导”。如下图： 此处选择“新域的域控制器”，使此计算机作为此域的域控制器（DC）。 此处选择“在新林中的域”。 输入“”作为新建域的域名。 设置NetBIOS域名，此处使用默认的“TEST”。 设置数据库和日志文件的保存路径，此处选择默认设置。 设置共享的系统卷，此处使用默认设置。 DNS注册诊断，由于此服务器还没有安装DNS服务器组件，因此显示诊断失败，这里选择“在这台计算机安装并配置DNS服务器，并将这台DNS服务器设为计算机的首选DNS服务器”。 设置用户和组对象的默认权限，此处选择默认设置。 设置目录还原模式的管理员密码。 开始安装和配置活动目录。 活动目录安装完毕。 点击“立即重新启动”，重启windows 2003 server。 2. 安装并配置windows 2003 server DHCP服务器 进入控制面板界面。 选择“添加或删除程序”。 选择“添加/删除windows组件”。 选中“网络服务”，点击“详细信息”。 选择“动态主机配置协议（DHCP）”。 进行DHCP组件的安装。 完成安装。 在windows 2003 server 管理工具中选择DHCP。 这台DHCP服务器未经授权，不能为网络中的计算机提供服务，因此要对此DHCP服务器进行授权。 右键点击“DHCP”,选择“管理授权的服务器”。 输入DHCP的IP地址。 确认授权。 重新启动DHCP服务以后，DHCP服务器附带的状态标识由红色的向下的箭头转换为绿色的向上的箭头，说明DHCP服务器已经成功授权。 右键单击DHCP服务器，选择“新建作用域”。 输入作用域名称。 输入各项参数。 添加默认网关的IP地址。 选择现在激活作用域。 完成新建域向导。 右键单击“作用域选项”，选择“配置选项”。 选中“DNS”服务器，添加54和两个地址。 这样就完成了DHCP服务器的配置工作。 3. 安装并配置证书服务器（CA） IEEE 802.1X在允许网络客户端访问网络之前使用EAP来对其进行身份验证。EAP最初设计用于点对点协议（PPP）连接，它允许用户创建任意身份验证模式来验证网络访问。请求访问的客户端和进行身份验证的服务器必须首先协商特定EAP身份验证模式（称为EAP类型）的使用。在就EAP类型达成一致之后，EAP允许访问客户端和身份验证服务器（通常是一个RADIUS服务器）之间进行无限制的对话。 在基于802.1X的认证协议中，我们采用的是PEAP（Protected Extensible Authentication Protocol）的验证方式。这是一种基于密码的验证协议，可以帮助企