NAC控制轉了一種方法，提供第二種

本文轉自netyourlife
其實仍是基於802.1x cisco 有兩款專門這樣的產品 有錢的單位能夠直接購買 沒錢的仍是基於802.1x ba 
主要是AD+802.1
2.      設備配置:   
A.Cisco Catalyst 3750-24TS交換機,Version 12.1(19)EA1d
B.一臺Windows 2003 Server SP1服務器作爲AD Server
C.一臺Windows 2000 Server SP4服務器作爲ACS Server和CA Server
D.一臺Windows 2003 Server SP1工做站作爲終端接入設備
E.Cisco Secure ACS for Windows version 3.3.1

二.  AD及CA安裝:

          AD&CA安裝(在此不作介紹),裝CA的SERVER要在登入AD後再安裝CA服務.

三.  AD配置:

1.      建立OU.

2.      在OU下建GROUP,好比:NETGroup,SYSGroup等

3.      再建立User,把對應的User加入到各自的Group中,便於管理,在ACS中也須要,在ACS配置中再介紹.

四.  ACS的安裝與配置.

1.      ACS的安裝:
A.     安裝ACS的SERVER必須登入到AD中.
B.     ACS軟件安裝很簡單,下一步下一步,到完成.
C.     還需安裝Java的插件.
2.      ACS的配置:
A.     在ACS服務器上申請證書:在ACS服務器瀏覽器上鍵 [url]http://192.168.68.19/certsrv[/url]進入證書WEB申請頁面，登陸用戶採用域管理用戶帳號.選擇「Request a certificate→Advanced request→Submit a certificate request to this CA using a form」, 接下來Certificate Template處選擇「Web Server」,Name:處填入「TSGNET」,KeyOptions:下的Key Size:填入「1024」,同時勾選「Mark keys as exportable」及「Use localmachine store」兩個選項,而後submit.出現安全警告時均選擇「Yes」,進行到最後會有CertificateInstalled的提示信息,安裝即 可. B.     進行ACS證書的配置:進入ACS的配置接口選擇System Configuration→ACS Certificate Setup→Install ACS Certificate進入以下圖片,填寫申請的「TSGNET」 證書,再Submit. 按提示重啓ACS服務,出現以下圖片即OK: C.      配置ACS所信任的CA: 選擇System Configuration→ACS Certificate Setup→Install ACS   Certificate→Edit Certificate Trust List」,選擇AD Server上的根證書作爲信任證書,以下圖所示: D.    重啓ACS服務並進行PEAP設置: 選擇「System Configuration→Global Authentication Setup」,勾選「AllowEAP-MSCHAPv2」及「Allow EAP-GTC」選項,同時勾選「Allow MS-CHAP Version 1Authentication」&「Allow MS-CHAP Version 2 Authentication」選項,以下圖所示: E.     配置AAA Client: 選擇「Network Configuration→Add Entry」,在「AAAClient」處輸入交換機的主機名，「AAA Client IPAddress」處輸入C3750的管理IP地址,在「Key」處輸入RADIUS認證密鑰tsgacs,「AuthenticateUsing」處 選擇「RADIUS(IETF)」,再Submit+Restart,以下圖所示: F.      配置外部用戶數據庫: 選擇「External User Databases→Database Configuration→WindowsDatabase→Create New Configuration」,建一個Database的名稱PCEBGIT.COM,Submit,以下圖: 不粘了 太長呵呵 [url]http://bbs.cnw.com.cn/redirect.php?fid=64&tid=66116&goto=nextoldset[/url]