Windows Server 2003 R2, Enterprise Edition with SP2
测试设备：
思科交换机WS-C2950-24（用来测试有线802.1X）
思科无线AP-CAP-3602i（用来测试无线802.1X）
优倍快（UBNT）Unifi UAP-AC-LR（用来测试无线802.1X）

开始安装：

安装Windows Server 2003 R2

开始使用最传统的方式安装Windows Server 2003
?

?在安装好系统之后，首先要将这台Windows Server服务器提升为域控制器，才能做基于用户名密码的802.1X认证

安装域控制器：

?开始-管理您的服务器-添加或删除角色-域控制器（Active Directory）

写一个域名，我这里使用eastskyy.org来举例，其他保持默认，在接下来的先决条件检查中，他会提示没有DNS服务器，这里然他自动安装并配置就好
?

?安装过程中他会提示插入Windows Server 2003 R2的原版安装光盘，插入之后会自动继续

安装Internet信息服务

?接下来安装Internet信息服务，一会儿做证书服务器用得上

安装证书服务

?接下来安装证书服务，设置上保持默认就可以

安装Internet验证服务

最后安装Internet验证服务，也就是后期在Windows Server 2012或2016上的网络策略服务器的前身。?

配置服务器：

新建用户和加组：

首先在管理工具-Active Directory用户和计算机中建立2个组织容器，以及对应的用户组和对应的测试用户。

这里是建立了2个组织容器，分别是企业内的用户ES-Users（VLAN112）和VIP用户ES-VVV-Users（VLAN113）
?

?将建立好的用户加入对应的组内。并在拨入选项卡中选择“允许访问”。
?

?对于测试用户的建立和设置到此结束。
?

对证书服务

器的配置：

?管理工具-证书颁发机构，证书颁发机构（本地）-EASTSKYY-证书模板-右键-管理

先复制用户模板（用于之后的身份验证服务实验）用户-右键-复制模板
?

?给模板改一个好记的名字

?在“使用者名称”选项卡，取消“在使用者名称中包括电子邮件名”和“电子邮件名”复选框。

?再复制计算机模板，计算机-右键-复制模板

?在“使用者名称”选项卡-使用者名称格式-完全可分辨名称（用于之后计算机认证实验）

?关掉这个窗口，在空白处右击-新建-要颁发的证书模板

?把刚才的2个模板都加进来。

?开始-运行-mmc-文件-添加/删除管理单元-添加-证书-我的用户账户-完成

??证书-计算机账户-完成-确定

?选择刚才的个人用户模板“ES-用户”

?用户证书颁发完成

?展开-证书（本地计算机）-个人-证书-右键-所有任务-申请新证书

?选择“域控制器”（图上有误）

?计算机证书颁发完成。?对证书服务器的配置到此结束。

Internet验证服务的配置：

?管理工具-Internet验证服务-在Internet验证服务（本地）-右键-在Active Directory中注册服务器。

?RADIUS客户端-右键-新建RADIUS客户端，把所有需要RADIUS身份验证的设备都加进来

?远程访问策略-右键-新建远程访问策略

?首先来加无线的策略，写名称-无线-添加用户组-受保护的EAP（PEAP）-完成

在刚才的那条策略上右键-属性。确定上面的内容是“无线-其他”和“无线802.11”以及正确的用户组。然后点击“编辑配置文件”
?

?在“IP”选项卡选择“客户端可以请求一个IP地址”

?在“身份验证”选项卡把前4的复选框都勾选上，然后点击“EAP方法”按钮。

?在弹出的对话框里点击“编辑”

?勾选“启用快速连接”，确定，确定

?在“高级”选项卡点击“添加”，使框框里有如下5项

Framed-Protocol-->PPP
Service-Type-->Framed
Tunnel-Medium-Type-->802(includes all 802 media.....)
Tunnel-Pvt-Group-ID-->112（按照自己的需求填写）
Tunnel-Type-->Virtual LANs (VLAN)

?然后使用相同步骤添加另一个无线网的用户组。

?之后再添加有线802.1X认证的2条，依然是一条用户的，一条VIP用户的。注意在向导中选择“以太网”，

?注意有线最好在NAS-Port-Type里面添加“电缆”选项，可以避免一些问题，其他的设置和无线保持一致就行。

?最后的结果就是这样，一个4条，分别是2条无线网的，2条有线网的。

实机测试RADIUS服务器：

使用思科无线AP-CAP-3602i来验证效果：

?进入胖AP的网页管理界面，SECURITY-Server Manager-Corporate Servers里面添加刚才配置好的RADIUS服务器。

?并在下方把认证、授权、记账的方式都调整为刚才新配置的Server2003服务器

当手机上输入了正确的用户名密码之后，会弹出服务器证书的提示，
?

?在思科的AP上，也可以看到连接上了1台客户端，并且给他授权了VLAN

?当我们换成另一个用户组的账号，看到对应的也授权另一个VLAN。

?使用思科无线AP-CAP-3602i来验证效果成功。

使用优倍快（UBNT）Unifi UAP-AC-LR来验证效果：

?首先在Unifi的管理界面点击左下角的设置（小齿轮）图标-Profiles-RADIUS-Create New RADIUS Profile。

?并在Wireless Networks里面选择创建WiFi，选择WPA2企业认证方式，并选择刚才创建的新RADIUS配置文件。

手机上测试结果和刚才思科AP的效果一致。
?

?可以从RADIUS正常授权VLAN信息。
使用优倍快（UBNT）Unifi UAP-AC-LR来验证效果成功
?

思科交换机WS-C2950-24验证效果：

本次参演的还有一台Windows10的PC

?在思科交换机中，首先定义RADIUS服务器的地址，端口号以及秘钥

radius-server host 10.10.10.39 auth-port 1812 acct-port 1813 key ******
radius-server retransmit 3
radius-server vsa send accounting
radius-server vsa send authentication
!

?并在全局下定义认证模板：

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius
!

?在接口下配置：

interface FastEthernet0/23
 switchport mode access
 dot1x port-control auto 
 dot1x host-mode multi-host 
 dot1x guest-vlan 119
 spanning-tree portfast
!

之后就可以把电脑插在端口上测试了，
?