NAC控制转了一种方法，提供第二种

本文转自netyourlife
其实仍是基于802.1x cisco 有两款专门这样的产品 有钱的单位能够直接购买 没钱的仍是基于802.1x ba 
主要是AD+802.1
2.      设备配置:   
A.Cisco Catalyst 3750-24TS交换机,Version 12.1(19)EA1d
B.一台Windows 2003 Server SP1服务器作为AD Server
C.一台Windows 2000 Server SP4服务器作为ACS Server和CA Server
D.一台Windows 2003 Server SP1工做站作为终端接入设备
E.Cisco Secure ACS for Windows version 3.3.1

二.  AD及CA安装:

          AD&CA安装(在此不作介绍),装CA的SERVER要在登入AD后再安装CA服务.

三.  AD配置:

1.      建立OU.

2.      在OU下建GROUP,好比:NETGroup,SYSGroup等

3.      再建立User,把对应的User加入到各自的Group中,便于管理,在ACS中也须要,在ACS配置中再介绍.

四.  ACS的安装与配置.

1.      ACS的安装:
A.     安装ACS的SERVER必须登入到AD中.
B.     ACS软件安装很简单,下一步下一步,到完成.
C.     还需安装Java的插件.
2.      ACS的配置:
A.     在ACS服务器上申请证书:在ACS服务器浏览器上键 [url]http://192.168.68.19/certsrv[/url]进入证书WEB申请页面，登陆用户采用域管理用户帐号.选择“Request a certificate→Advanced request→Submit a certificate request to this CA using a form”, 接下来Certificate Template处选择“Web Server”,Name:处填入“TSGNET”,KeyOptions:下的Key Size:填入“1024”,同时勾选“Mark keys as exportable”及“Use localmachine store”两个选项,而后submit.出现安全警告时均选择“Yes”,进行到最后会有CertificateInstalled的提示信息,安装即 可. B.     进行ACS证书的配置:进入ACS的配置接口选择System Configuration→ACS Certificate Setup→Install ACS Certificate进入以下图片,填写申请的“TSGNET” 证书,再Submit. 按提示重启ACS服务,出现以下图片即OK: C.      配置ACS所信任的CA: 选择System Configuration→ACS Certificate Setup→Install ACS   Certificate→Edit Certificate Trust List”,选择AD Server上的根证书作为信任证书,以下图所示: D.    重启ACS服务并进行PEAP设置: 选择“System Configuration→Global Authentication Setup”,勾选“AllowEAP-MSCHAPv2”及“Allow EAP-GTC”选项,同时勾选“Allow MS-CHAP Version 1Authentication”&“Allow MS-CHAP Version 2 Authentication”选项,以下图所示: E.     配置AAA Client: 选择“Network Configuration→Add Entry”,在“AAAClient”处输入交换机的主机名，“AAA Client IPAddress”处输入C3750的管理IP地址,在“Key”处输入RADIUS认证密钥tsgacs,“AuthenticateUsing”处 选择“RADIUS(IETF)”,再Submit+Restart,以下图所示: F.      配置外部用户数据库: 选择“External User Databases→Database Configuration→WindowsDatabase→Create New Configuration”,建一个Database的名称PCEBGIT.COM,Submit,以下图: 不粘了 太长呵呵 [url]http://bbs.cnw.com.cn/redirect.php?fid=64&tid=66116&goto=nextoldset[/url]