ACS+802.1x+AAA+AD+CA：综合网络部署与配置详解

本文档详细记录了在IT环境中实现ACS（Cisco Authentication Server）与802.1x（无线局域网访问控制协议）、AAA（Authentication, Authorization, and Accounting，认证、授权和计费）协议、AD（Active Directory，活动目录）以及CA（Certificate Authority，证书权威机构）的集成过程。实验配置在一个包含Windows 2003 Server作为DC（Domain Controller，域控制器）、ACS和CA的环境，以及Cisco Secure Access Control Server 4.1的网络架构中进行。 首先，实验环境设置包括： 1. 主服务器：运行VMware 6.0的Windows 2003 Server Enterprise Edition作为DC，负责创建和管理AD。 2. 辅助服务器：另一台同样版本的Windows 2003 Server作为ACS和CA，用于用户认证和证书管理。 3. 客户端：Windows XP系统，装有802.1x Client，用于接入受控网络。 4. Switch：Cisco 3560 POE交换机，支持802.1x安全功能。 5. ACS软件：使用90天测试版的Cisco Secure Access Control Server。 实验流程分为五个部分： **第一部分：DC的安装与配置** - 使用dcpromo安装DC，并根据提示创建域，例如输入DNS全名为NAC.com，实际操作中可能替换为contoso.com。 - 安装过程中，由于未显示IP地址，无需处理。 **第二部分：ACS的安装与配置** - 安装ACS并完成配置，涉及未知用户的政策设置（UnknownUserPolicy）、数据库配置（Windows Database）以及AD与ACS的组映射，以便实现基于AD用户身份的认证和授权。 **第三部分：CA的安装与配置** - CA的安装步骤，包括ACS向CA申请证书，然后在ACS上配置证书，以及配置PEAP（Protected EAP）认证方式，确保安全连接。 **第四部分：Switch的配置** - 对Switch进行必要的802.1x安全配置，以支持与ACS的交互和用户接入控制。 **第五部分：客户端配置** - 用户设备的客户端配置，需安装802.1x客户端软件，并配置为使用提供的认证机制。 **实验最后阶段：测试效果** - 验证整个系统是否正常工作，包括用户能否成功通过认证、授权和计费，以及网络访问控制是否有效。 通过这个文档，读者可以了解到如何在实际环境中部署和集成这些技术，确保网络访问的安全性和效率。