S3600系列交换机与windows2000配合做internet认证服务的配置

S3600系列交换机与windows2000配合做internet认证服务的配置

一      组网需求：

用S3600系列交换机与windows2000配合做internet认证服务，PC用h3c客户端进行认证。

二      组网图：

三      配置步骤：

1          交换机上的配置

1）设置交换机地址：

[Quidway]interface Vlan-interface 1

[Quidway-Vlan-interface1]ip address 192.168.0.1 255.255.255.0

2）配置radius方案：

[Quidway]radius scheme test

[Quidway-radius-test]primary authentication 192.168.0.15

[Quidway-radius-test]primary accounting 192.168.0.15

[Quidway-radius-test]key authentication test

[Quidway-radius-test]key accounting test

[Quidway-radius-test]user-name-format without-domain

3）配置域方案：

[Quidway]domain h3c.com

[Quidway-isp-h3c.com]radius-scheme test

4）配置为默认域

[Quidway]domain default enable h3c.com

5）端口开启802.1x认证

[Quidway-Ethernet1/0/1]dot1x

6）全局开启802.1x认证

[Quidway]dot1x

2          Server上的配置

1）设置静态地址为192.168.0.15

2）在windows 2000上开Internet 认证服务：“控制面板”－“管理工具”－“Internet认证服务”

3）在Internet 认证服务上设置客户端，共享的机密设置为test，与交换机相同：

4）远程访问策略设置

策略条件必须选择：NAS-Port-Type匹配“Ethernet”项；

身份验证选项中选择CHAP验证与交换机默认设置相同，如果选择EAP类型，则需在交换机中设置dot1x认证方式为EAP认证：

[Quidway]dot1x authentication-method eap

并且EAP认证在Server端存在两种认证方式，MD5-challenge方式与PEAP（受保护EAP）方式，PEAP方式需要下载证书进行认证。

5）在本地“用户和组”下新建用户并设置密码，打开“控制面板”－“管理工具”－“计算机管理”新建用户密码。

3          PC用h3c客户端认证

设置PC地址为192.168.0.20，开启h3c客户端，设置用户名与密码同Server，认证上线。注意使用V2.40-0143客户端时需去掉“上传客户端版本”这一项。

四      配置关键点：

无。