win7系统下开启802.1x

目录•H3C S2126-EI以太网交换机命令手册-Release22XX系列(V1.00)•01-命令行接口命令•02-登录交换机命令•03-配置文件管理命令•04-VLAN命令•05-配置管理VLAN命令•06-IP地址-IP性能命令•07-GVRP命令•08-端口基本配置命令•09-端口汇聚命令•10-端口隔离命令•11-端口安全命令•12-MAC地址转发表管理命令•13-MSTP命令•14-组播协议命令•15-802.1x及System-Guard命令•16-AAA命令•17-MAC地址认证命令•18-ARP命令•19-DHCP命令•20-ACL命令•21-QoS命令•22-镜像命令•23-Cluster命令•24-SNMP-RMON命令•25-NTP命令•26-SSH命令•27-文件系统管理命令•28-FTP-SFTP-TFTP命令•29-信息中心命令•30-系统维护与调试命令•31-VLAN-VPN命令•32-HWPing命令•33-IPv6管理命令•34-LLDP命令•35-域名解析命令•36-PKI命令•37-SSL命令•38-HTTPS命令•39-附录、H3C S2126-EI以太网交换机命令手册-Release22XX系列(V1.00)本章节下载(253.62 KB)15-802.1x及System-Guard命令目录1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x1.1.2 dot1x1.1.3 dot1x authentication-method1.1.4 dot1x dhcp-launch1.1.5 dot1x guest-vlan1.1.6 dot1x handshake1.1.7 dot1x handshake secure1.1.8 dot1x mandatory-domain1.1.9 dot1x max-user1.1.10 dot1x port-control1.1.11 dot1x port-method1.1.12 dot1x quiet-period1.1.13 dot1x retry1.1.14 dot1x retry-version-max1.1.15 dot1x re-authenticate1.1.16 dot1x supp-proxy-check1.1.17 dot1x timer1.1.18 dot1x timer reauth-period1.1.19 dot1x version-check1.1.20 reset dot1x statistics2 HABP配置命令2.1 HABP配置命令2.1.1 display habp2.1.2 display habp table2.1.3 display habp traffic2.1.4 habp enable2.1.5 habp server vlan2.1.6 habp timer3 system-guard配置命令3.1 system-guard配置命令3.1.1 display system-guard config3.1.2 system-guard enable3.1.3 system-guard mode3.1.4 system-guard permit1 802.1x配置命令1.1 802.1x配置命令1.1.1 display dot1x【命令】display dot1x [ sessions | statistics ] [ interface interface-list ]【视图】任意视图【参数】sessions：显示802.1x的会话连接信息。

下面我说的是WIN7的服务....Adaptive Brightness 监视氛围光传感器，以检测氛围光的变化并调节显示器的亮度。

如果此服务停止或被禁用，显示器亮度将不根据照明条件进行调节。

该服务的默认运行方式是手动，如果你没有使用触摸屏一类的智能调节屏幕亮度的设备，该功能就可以放心禁用。

Application Experience 在应用程序启动时为应用程序处理应用程序兼容性缓存请求。

该服务的默认运行方式是自动，建议手动。

Application Information 使用辅助管理权限便于交互式应用程序的运行。

如果停止此服务，用户将无法使用辅助管理权限启动应用程序，而执行所需用户任务可能需要这些权限。

该服务的默认运行方式是手动，不建议更改。

Application Layer Gateway Service 为Internet 连接共享提供第三方协议插件的支持如果装有第三方防火墙且不需要用ICS方式共享上网，完全可以禁用掉。

Application Management 为通过组策略部署的软件处理安装、删除以及枚举请求。

如果该服务被禁用，则用户将不能安装、删除或枚举通过组策略部署的软件。

如果此服务被禁用，则直接依赖于它的所有服务都将无法启动。

该服务默认的运行方式为手动，该功能主要适用于大型企业环境下的集中管理，因此家庭用户可以放心禁用该服务。

Ati External Event Utility 装了ATI显卡驱动的就会有这个进程，建议手动。

Background Intelligent Transfer Service 使用空闲网络带宽在后台传送文件。

如果该服务被禁用，则依赖于 BITS 的任何应用程序(如 Windows Update 或 MSN Explorer)将无法自动下载程序和其他信息。

这个服务的主要用途还是用于进行WindowsUpdate或者自动更新，如果是采用更新包来更新的话，完全可以禁用。

ISE实现802.1X MAB Webauth配置指南一、目的 (1)二、网络拓扑和基本配置 (1)实验1：基于MAB的有线终端设备认证 (3)实验2：基于802.1X的有线终端设备认证 (9)实验3：通过Guest VLAN实现802.1X认证 (17)实验4：通过Critical VLAN实现802.1X认证 (19)实验5：通过MAR认证控制加入域设备的访问 (22)实验5：基于WebAuth的有线终端设备认证 (27)一、目的本文介绍了如何通过思科ISE(Identity Services Engine)，针对不同应用场景实现对不同类型的终端设备（Managed/Unmanaged）的网络访问控制，包括常见的用户需求及具体配置方式：有线终端设备的802.1x、MAB、Webauth认证的配置步骤通过VLAN和DACL对终端设备的网络访问控制通过MAR实现加入域计算机的网络访问控制二、网络拓扑和基本配置下图为本测试的网络拓扑图：1．C3560CG交换机基本配置：在C3560上配置3个Vlan：Vlan 10：10.10.10.0/24，SVI为10.10.10.1，作为其它设备的缺省网关地址，并启用DHCP。

Vlan 20：20.20.20.0/24，SVI为20.20.20.1，并启用DHCP。

Vlan 30：30.30.30.0/24，SVI为30.30.30.1，并启用DHCP。

2、Windows Server 2008基本配置：版本：Windows Server 2008 Enterprise启用NTP服务启用Web服务器3、ISE基本配置：版本：ISE1.1.1.268缺省网关：10.10.10.1DNS服务器：10.10.10.80NTP服务器：10.10.10.80本测试中，采用了Windows Server 2008作为外部认证数据库，因此需要ISE加入windows 2008域中。

Windows系统启用802.1X认证1开启802.1x认证服务1.1Win7、win10都可以使用此方法电脑键盘上按win+r 输入services.msc打开电脑服务设置。

启用有线和无线的802.1X认证服务。

分别开启wired autoconfig（有线802.1x认证服务）和WLAN autoconfig（无线802.1x 服务）服务。

2开启802.1x认证1、选择“开始>控制面板”。

2、在“控制面板”选择“网络和Internet >网络和共享中心”（控制面板的“查看方式”选择“类别”时可显示“网络和Internet”）。

3、单击本地连接，选择“属性”。

4、在“身份验证”页签，选中“启用IEEE802.1X身份验证”，“选择网络身份验证方法”选择“PEAP”。

单击“设置”。

5、取消选中“验证服务器证书”，“选择身份验证方法”选择“安全密码(EAP-MSCHAP v2)”，并在右侧单击“配置”。

6、取消选中“自动使用Windows登录名和密码”，单击“确定”。

说明：如果操作系统使用AD域帐号登录，并且用来进行802.1X认证的用户名和密码也是使用的登录操作系统的域帐号和密码，则勾选“自动使用Windows登录名和密码”。

7、等待Windows弹出认证框，即可输入用户名和密码进行认证。

3身份认证开启802.1X认证后，在接入有线网时会弹出认证界面，输入用户名和密码进行认证，才可以访问网络。

4XP系统添加网络身份认证1、首先点击开始按钮，打开运行，输入“regedit”，即打开注册表编辑器2、然后在注册表编辑器中依次找到以下子项：“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa”；3、接着双击右侧窗格中的“Security Packages”，即打开“编辑多字符串”对话框；4、然后在列表框中添加“tspkg”的内容(有的内容不用更改)。

win7无线网卡属性怎么设置win7作为微软一个成功系统典范，现在使用已经十分普遍，主要是功能十分强大，有很多意想不到的内在东西在WIN7系统里，比如，方便设置WIN7的无线网卡路由设置，实现共享WIFI上网，下面是店铺给大家整理的一些有关win7无线网卡属性设置方法，希望对大家有帮助!win7无线网卡属性设置方法1. 以管理员身份运行命令提示符因为下面的步骤必须在管理员权限下运行，因此我们从开始菜单找到“命令提示符”，或直接键入cmd快速搜索，右键单击它，选择“以管理员身份运行”，在弹出的用户控制窗口中单击“是”。

还有一种方法就是按住Ctrl和Shift键直接单击该快捷方式，更简单。

2. 启用并设定“虚拟Wifi网卡”模式运行以下命令启用虚拟无线网卡：netsh wlan set hostednetwork mode=allow ssid=(这里写无线网名字) key=(这里是密码) 下图执行完以后我们会在网络适配器里面看到一个“无线网络连接2“的虚拟网卡Mode：是否启用虚拟Wifi网卡，改为disallow则为禁用，虚拟网卡即会消失。

Ssid：指定无线网络的名称，最好为英文。

Key：指定无线网络的密码。

该密码用于对无线网进行安全的WPA2加密，能够很好的防止被蹭网。

以上三个参数其实可以单独使用，例如只使用mode=disallow 可以直接禁用虚拟Wifi网卡3. 启用“Internet连接共享(ICS)”为了与其他计算机或设备共享已连接的互联网，我们需要启用“Internet连接共享”功能。

打开“网络连接”窗口，右键单击已连接到Internet的网络连接，选择“属性”，切换到“共享”选项卡，选中其中的复选框，并选择允许其共享Internet的网络连接在这里即我们的虚拟Wifi网卡。

确定之后，提供共享的网卡图标旁会出现“已共享”标志，表示“Internet连接共享”向虚拟无线网卡开通了4. 开启无线网络继续在命令提示符中运行以下命令：netsh wlan start hostednetwork，即可开启我们之前设置好的无线网络(相当于打开路由器的无线功能。

802.1X认证完整配置过程说明发出来和大家分享我在新浪有微博第一无线802.1x 的认证的网络拓布结构如下图：我们的认证客户端采用无线客户端，无线接入点是用cisco2100 wireless controller，服务器安装windows Server 2003 sp1；所以完整的配置方案应该对这三者都进行相关配置，思路是首先配置RADIUS server 端，其次是配置无线接入点，最后配置无线客户端，这三者的配置先后顺序是无所谓的。

配置如下：配置RADIUS Server Access Pointer Wireless ClientIP Address 192.168.1.188 192.168.1.201 DHCP自动获得Operate System Windows Server 2003 CISCO Wireless controller Windows XP配置RADIUS server步骤：配置RADIUS server 的前提是要在服务器上安装Active Directory ,IAS（internet验证服务），IIS管理器（internet信息服务管理器），和证书颁发机构；如果没有安装AD，在“开始”—〉“运行”—〉命令框中输入命令“dcpromo”，然后按照提示安装就可以了；如果没有安装证书颁发机构，就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows 组件向导”的组件中选择“证书服务”并按提示安装；如果没有安装IAS和IIS，就在就在“控制面板”—〉“添加删除程序”—〉“添加/删除windows组件”—〉“windows组件向导”的组件中选择“网络服务”按提示完成安装；在AD和证书服务没有安装时，要先安装AD然后安装证书服务，如果此顺序翻了，证书服务中的企业根证书服务则不能选择安装；在这四个管理部件都安装的条件下，可以配置RADIUS服务器了。

搭建802.1X接入认证环境配置教程搭建802.1X接入认证环境配置教程目录一、环境介绍 (2)二、Radius服务器安装步骤 (3)2.1、安装前准备 (3)2.2、默认域安全设置 (5)2.3、配置Active Directory 用户和计算机 (6)2.4、设置自动申请证书 (12)2.5、配置Internet验证服务（IAS） (14)2.5.1、配置Radius客户端 (15)2.5.2、配置远程访问记录 (16)2.5.3、配置远程访问策略 (17)2.5.4、配置连接请求策略 (22)2.6、配置Internet信息服务(IIS)管理器 (24)三、测试Radius服务器 (25)3.1、测试 (25)3.2、查看日志 (26)四、配置Radius认证客户端（交换机） (27)五、接入客户端配置 (28)一、环境介绍在真实环境下，802.1x认证的网络拓布结构如下图：为了测试用，搭建Radius服务器测试环境如下图，Radius服务器采用Windows 2003系统，Radius客户端采用思科3550交换机：二、Radius服务器安装步骤2.1、安装前准备1、安装DNS服务（为安装活动目录做准备的，活动目录必须先安装DNS）[步骤]：开始→控制面板→添加或删除程序→添加/删除windows组件→进入网络服务→选中“域名系统（DNS）”。

2、配置活动目录[步骤]：（没有特别描述，默认单击“下一步”即可）第一步：开始→运行→输入活动目录安装命令“dcpromo”，进入活动目录安装向导。

第二步：设置新的域名，如本例“”。

第三步：活动目录安装程序会检测系统是否已经安装DNS，若DNS已经安装，请选择第二项“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设置为这台计算机的首选DNS服务器”。

否则，请先安装DNS服务。

第四步：默认单击“下一步”后，系统开始安装并配置活动目录，这段时间比较长，请耐心等待。

802.1x 无线路由器
.1x无线路由器
1、登录管理界面：打开网页浏览器，在浏览器的地址栏中输入：tplogin并按下回车——>设置管理员的登录密码——>点击“确认
特别注意问题：设置不好管理密码后，若用户登入时已连续10次输出管理员密码错误，则在2小时内无法登入路由器管理界面。

2、运行设置向导：首次登录tl-wrn路由器的管理界面时，系统会自动运行“设置向导”，如果没有弹出该页面，可以点击页面左侧的设置向导菜单将它激活。

3、挑选玩游戏方式：挑选“pppoe(adsl虚拟拨号)”——>“下一步”。

4、配置上网帐号：请根据isp宽带运营商提供的宽带用户名和密码，填写“上网帐号”、“上网口令”——>“下一步”。

5、无线网络设置：设置“ssid”，ssid就是无线网络的名称，特别注意无法采用中文——>挑选“wpa-psk/wpa2-psk”——>设置“psk密码”——>“下一步”。

6、点击“完成”。

802.1x简介：802.1x协议起源于802.11协议，802.11是IEEE的无线局域网协议，制订802.1x协议的初衷是为了解决无线局域网用户的接入认证问题。

IEEE802 LAN协议定义的局域网并不提供接入认证，只要用户能接入局域网控制设备(如LAN Switch)，就可以访问局域网中的设备或资源。

这在早期企业网有线LAN应用环境下并不存在明显的安全隐患。

随着移动办公及驻地网运营等应用的大规模发展，服务提供者需要对用户的接入进行控制和配置。

尤其是WLAN的应用和LAN接入在电信网上大规模开展，有必要对端口加以控制以实现用户级的接入控制，802.lx就是IEEE为了解决基于端口的接入控制(Port-Based Network Access Contro1)而定义的一个标准。

二、802.1x认证体系802.1x是一种基于端口的认证协议，是一种对用户进行认证的方法和策略。

端口可以是一个物理端口，也可以是一个逻辑端口(如VLAN)。

对于无线局域网来说，一个端口就是一个信道。

802.1x认证的最终目的就是确定一个端口是否可用。

对于一个端口，如果认证成功那么就“打开”这个端口，允许所有的报文通过；如果认证不成功就使这个端口保持“关闭”，即只允许802.1x的认证协议报文通过。

实验所需要的用到设备：认证设备：cisco 3550 交换机一台认证服务器：Cisco ACS 4.0认证客户端环境：Windows xp sp3实验拓扑：实验拓扑简单描述：在cisco 3550上配置802.1X认证，认证请求通过AAA server,AAA server IP地址为：172.16.0.103，认证客户端为一台windows xp ,当接入到3550交换机上实施802.1X认证，只有认证通过之后方可以进入网络，获得IP地址。

实验目的：通过本实验，你可以掌握在cisco 交换机如何来配置AAA（认证，授权，授权）,以及如何配置802.1X,掌握 cisco ACS的调试，以及如何在windows xp 启用认证，如何在cisco 三层交换机上配置DHCP等。

青岛大学认证系统使用说明书在教学及办公区人员上网使用的是Portal认证模式；在宿舍区上网使用的是802.1x认证模式！一、P ortal认证使用说明（教学及办公区使用—需要下载portal认证客户端）1.下载portal认证客户端：客户端下载地址：http://172.20.1.1/portal/iNodeSetup3.60-6208.exe2.安装portal认证客户端软件iNode客户端的具体安装步骤如下：1.点击下载iNode客户端后，出现文件下载窗口，点击“运行”；2.点击“运行”，进行安装；3.重新启动计算机，完成iNode智能客户端软件安装。

4.重新计算机后，双击计算机桌面上的“iNode智能客户端”软件图标，打开iNode 智能客户端程序；并选择“是”，开始新建一个连接；点击“下一步”；5.选择“普通连接”，点击“下一步”6.输入用户名、密码（用户名为身份证号码后10位或学生学号，初始密码123456，如果在172.20.1.1上修改过密码，就是修改后的密码）点击“下一步”；6．点击“完成”，完成新建连接；7.双击“我的Portal连接”，即开始Portal认证。

8.认证通过，用户上线，可以正常上网；注意事项安装之前，请先卸载系统中其他版本的iNode客户端。

在线修改用户密码在浏览器中输入http://172.20.1.1/selfservice/login.jsf弹出下图窗口，输入用户名、密码及验证码，点<登录>，见图1-11图1-10图1-11点击右侧的<修改密码>选项，输入原密码及新密码，然后点<确定>，密码修改成功。

图1-12二、802.1x认证使用说明（办公区不使用，只在学生宿舍区使用）2.1 802.1x客户端安装程序下载：/iNodeSetup3.60-6207.exe（客户端程序）/general_software/accessclient/iNode_Clientapps.7z（包含客户端程序及各种应用程序）双击安装程序，点击<下一步>，选中<我接受许可中的协议条件>并点击<下一步>，如果不更改安装目录，直接点击<下一步>，再点<安装>，程序将自动安装所需服务，程序安装完后点击完成并重新启动计算机。

802.1X 无线客户端设置
802.1X 无线客户端设置
802.1X 无线客户端设置
802.1X 无线客户端设置
802.1X 无线客户端设置
Windows XP
经过以上设置之后，在笔记本的无线网络连接里面会看到一个经过WPA加密的SSID，点击连接时，会出现无法找到证书的错误，这是因为windowsXP的默认设置不符合要求。

打开无线网络连接的属性—》无线网络配置，选择正确的SSID，点击属性
网络验证选择WPA，数据加密TKIP
点击“验证”选项卡，选择EAP类型为“受保护的EAP（PEAP），点击属性
勾掉“验证服务器证书“选项，选择”安全密码（EAP-MSCHAP v2），点击配置
勾掉“自动使用windows登录名和密码”
完成以上配置之后，就可以正常连接到IAS服务器，提示输入用户名密码
如果客户端是域成员，可以通过组策略完成以上客户端的配置。

Windows 7
打开网络连接，选择管理无线网络
删除已有的无线网络
然后添加一个无线网络，安全类型选择WPA2+企业，加密类型AES
点击下一步，然后选择更改连接设置
选择安全，点击高级设置
选择指定身份验证模式，下拉框选中用户身份验证，然后点击确定
去掉每当登录时记住此连接的凭据:做实验时方便
然后点击设置
去掉图中的两个勾，然后点击配置
去掉图中的勾
到此设置完成，可以去连接了，然后就可以输入用户名和密码了。

第1章 802.1X配置1.1 802.1X协议简介1.1.1 802.1X协议简介IEEE 802.1X定义了基于端口的网络接入控制协议，起源于802.11协议－－标准的无线局域网协议。

IEEE 802.1X协议的主要目的是解决无线局域网用户的接入认证问题，但其在IEEE 802 LAN所定义的有线局域网中的应用，为LAN提供了接入认证的手段。

在IEEE 802 LAN所定义的局域网中，只要用户接入局域网控制设备，如LanSwitch，用户就可以访问局域网中的设备或资源。

但是对于如电信接入、写字楼LAN 以及移动办公等应用，设备提供者希望能对用户的接入进行控制，为此产生了基于端口的网络接入控制（Port Based network access control）需求。

基于端口的网络接入控制（Port Based network access control）是在 LAN设备的物理接入级对接入设备进行认证和控制，此处的物理接入级指的是LAN设备的端口。

连接在该类端口上的用户设备如果能通过认证，就可以访问LAN内的资源；如果不能通过认证，则无法访问 LAN 内的资源，相当于物理上断开连接。

IEEE 802.1x定义了基于端口的网络接入控制协议，而且仅定义了接入设备与接入端口间点到点的连接方式。

其中端口可以是物理端口，也可以是逻辑端口。

典型的应用方式有：LanSwitch 的一个物理端口仅连接一个End Station（基于物理端口）；IEEE 802.11定义的无线LAN 接入（基于逻辑端口）等。

Quidway S3526在802.1X的实现中，不仅支持协议所规定的端口接入认证方式，还对其进行了优化，接入控制方式可以基于端口，也可以基于MAC地址，极大地提高了安全性和可管理性。

1.1.2 802.1X体系结构802.1X系统包括三个实体：客户端、认证系统、认证服务器，图1中与之相应的各部分为： Supplicant System（用户接入）；Authenticator System（接入认证）；Authentication Sever System（认证服务器）。

802.1x认证基本实验标签：802.1x 分类：CCNP实验802.1x认证基本实验实验拓扑及相关ip设置：本实验要求PC机通过802.1x认证上网，通过认证后自动获取地址，并自动划分入vlan10中。

本实验模拟器用GNS3，虚拟机用Vmware。

在Vmware中安装windows xp 和windows Server 2003，在windows Server 2003中安装ACS 服务器。

1.虚拟环境的搭建：虚拟机安装完后会在物理机中添加Vmnet1 和Vmnet8两块网卡，Vmnet8是做NA T用的我们这里不用它，可以把它禁用掉，然后我们再添加一块网卡。

设置步骤：（我的Vmware是7.1版本的，勤劳的童鞋可以自己去下载汉化包。

）添加Vmnet2，这里我们把“Use local DHCP……”的勾去掉，等下我们用交换机做DHCP，添加完后会在我们的电脑里多出一块Vmnet2的网卡，添加完后要重启电脑！接下来为两台虚拟机选择网卡，xp选择vmnet1 ，win2003选择vmnet2。

选择VM—setting：绑定好网卡后设置ip：VMware xp 中的网卡设为自动获取ip，vmnet1 随便给它个ip吧。

VMware win 2003 和vmnet2 设置同一网段的ip实验中我们真正要用到的地址是Vmware 虚拟主机中的地址，配置vmnet地址是为了桥接。

配完ip后在Vmware 虚拟主机中去ping vmnet的地址能通就行了。

接下来在GNS3中搭建拓扑：在GNS3中桥接网卡其实很简单，只要从左边的设备栏里面拉一个“Cloud”就行了，想要我图中的效果只要改变下云的图标就行了，change symbol 改变图标，就是我图中那样了。

在PC上点右键，选择配置：Radius_Server做法是一样。

我在windows 7中做这个实验发现桥接后不能通信，所以建议用xp做此实验。

到这虚拟环境就搭好了，哈哈，至于虚拟机、在虚拟机中装系统、ACS的我就不说了。

Windows7系统802.1X客户端配置索利通网络系统上海有限公司2011年1月一、启用802.1x服务默认情况下win7系统的802.1x服务是禁用，必须通过本机服务来启用它，右击桌面计算机管理选项，如下图所示：点击管理后会弹出如下窗口，选择服务选项，在右边窗口中找到Wired AutoConfig选项，双击该选项可以看到，默认情况下身份验证是没有启用的, 把启动类型改为自动，点击服务状态为启动，最后应用确定即可，这样802.1x服务就启用完成了，在本地连接属性就可以看到身份验证了。

以下图片是没有启用802.1x时的网卡属性状态以下图片是启用了802.1x时的网卡属性状态二、EAP认证在默认状态下身份验证是EAP状态，如上图所示，接下来设置EAP认证，点击设置会弹出如下窗口：把验证服务器证书勾选掉点击配置按钮，会弹出如下窗口，勾选掉以下选项，确定即可设置好身份验证后任务栏的网卡图标会弹出认证提示窗口，单击此窗口单击认证窗口后会弹出验证的凭据对话框，需要输入EPS提供的正确用户名和密码，点击确定即可认证成功后就可以就可以接入内部网络了，win7系统不会像winxp一样弹出认证成功的窗口，可以通过ping来确认可否访问内部网络。

三、证书认证证书认证首先要确认EPS下载的证书已在本地计算机，如下图所示双击证书开始安装点击下一步输入正确的证书密码，其它选项默认，点击下一步选项为默认，点击下一步证书安装完毕，点击完成此时会提示一个安全性警告窗口，点击是即可，至此证书安装完毕设置证书认证选项，请选择智能卡或其他证书，其他选项为默认，如下图点击设置，会弹出如下窗口，勾掉所有的选项如下图所示，勾掉使用简单证书和验证服务器证书点击确定后，任务栏网卡图标会弹出认证提示，单击它接下来会弹出证书选项，如果您电脑有多个证书，请选择正确的证书用户名选择正确的用户名后，点击确定，可以通过ping内网来确定，是否已认证成功。

本地802.1X认证典型配置举例(V7)1 组网需求如图1所示,switch通过PoE方式给AP供电，switch做为DHCP server为AP、Client 分配IP地址,需要实现无线客户端Client通过AP连接到AC上。

图1 无线客户端进行802.1X认证组网图。

2 配置关键点2.1 配置AC(1)在AC上配置相关VLAN及对应虚接口地址，并放通对应接口。

(2)配置本地用户，用户名为localuser，密码为localpass。

[AC] local-user localuser class network[AC-luser-network-localuser] password simple localpass[AC-luser-network-localuser] service-type lan-access(3)配置ISP域，为802.1X用户配置AAA认证方法为本地认证、授权和计费。

[AC] domain bbb[AC-isp-bbb] authentication lan-access local[AC-isp-bbb] authorization lan-access local[AC-isp-bbb] accounting lan-access local(4)配置802.1X认证方式为CHAP。

[AC] dot1x authentication-method chap(5)配置无线服务。

[AC] wlan service-template service[AC-wlan-st-service] ssid service[AC-wlan-st-service] vlan 200[AC-wlan-st-service] client-security authentication-mode dot1x [AC-wlan-st-service] dot1x domain bbb[AC-wlan-st-service] service-template enable(6)配置AP。

Windows 7无线客户端802.1X典型设置1、点击右下角信号图标，打开网络和共享中心；
2、管理无线网络；
3、点添加，然后选手动创建网络配置文件；
4、按下图设置SSID，选择安全类型、加密类型等；
网络名一定用SIE-Dot1x（注意大小写）
5、初步设置完成，选更改连接设置；
6、选择安全标签，单击设置；
7、取消下图中所有对号选择，然后点“配置”；
8、去掉弹出窗口中的对号；
8、高级设置不要定义，默认都为空，如下图；
9、设置完成，连接SIE-Dot1x，按要求输入账号和密码，注意为个人portal账号和密码，账号必须包含@及后面的部分，如学生为：学号@s.month，教工为：账号@t.month。

Windows XP和win 7连接802.1x无线网络使用说明对于BISTU-802.1x的无线信号，手机和PC端都使用系统自带的客户端进行认证。

手机和Windows 8系统不需要对无线网络（BISTU-802.1x）进行额外的设置即可使用。

Windows XP和Windows 7 系统需要对无线网络（BISTU-802.1x）的进行添加并对属性进行设置后方能使用。

（1）Windows xp 系统无线网络（BISTU-802.1x）设置如下：打开网络连接，查看无线网络连接属性。

选择无线网络配置，点击添加。

在网络名（SSID）中输入“BISTU-802.1x”；无线网络密钥按照如下配置。

接着点击“验证”，配置如下，然后点击“属性”在属性设置中，先把“受信任的根证书颁发机构”下的“AddTrust External CA Root”勾选上。

接着再把“验证服务器证书”和“连接到这些服务器”勾去掉。

只留下“AddTrust External CA Root”。

接着“选择身份验证方法”为“安全密码（EAP-MSCHAP v2）”,然后点击“配置”，去掉“自动使用Windows登录名和密码（以及域，如果有的话）”前面的勾。

最后点击“确定”，关闭无线网卡设置界面。

然后选择无线网络“BISTU-802.1x”，双击连接该网络。

当笔记本右下角出现无线网络连接的提示时，点击该提示。

会弹出认证对话框。

输入用户名、密码即可。

第一次连接时等待的时间会长一些，再次连接的时候就很快了。

（2）Windows 7系统连接无线网络BISTU-802.1x认证设置方法。

打开网络和共享中心单击设置新的连接点击手动连接到无线网络参数按照如下设置，然后点击“下一步”：点击更改连接设置选择安全选项卡点击“选择网络身份验证方法”下的“设置”把“验证服务器证书”前的勾去掉。

点击“选择身份验证方法”下的“配置”选项把“自动使用Windows登录名和密码”前面的对勾去掉点确定选择“高级设置”勾选“指定身份验证模式”，并指定为“用户身份验证”点击“保存凭据”，这时可以把用户名、密码输入进去，方便以后不用再输入用户名、密码。

Windows域与802 1X协议统一认证解决方案随着局域网的迅速发展,办公用户的网络安全问题日益突出。

目前,各企业面临的安全威胁之一就是外围设备非法接入到内部网络后的破坏性攻击行为。

在许多企业的IT 管理过程中,往往注重对来自因特网的外部威胁防御,忽略了来自内部的非法访问威胁。

这种威胁在大中型企业的IT 环境中影响尤其明显。

因此,建立内部网络接入防御体系势在必行。

很多企事业单位已经建立了基于Windows域的信息管理系统，通过Windows域管理用户访问权限和应用执行权限。

然而，基于Windows的权限控制只能作用到应用层，而无法实现对用户的物理访问权限的控制，比如对网络接入权限的控制，非法用户可随意接入用户网络，这就给企业网的网络和应用安全带来很多隐患。

为了更加有效地控制和管理网络资源，提高网络接入的安全性，很多政府和企业网络的管理者希望通过802.1x认证实现对接入用户的身份识别和权限控制。

通过802.1x 协议和活动目录技术相结合的方案,来实现设备接入的合法验证和管理。

只有通过了内部域用户验证的计算机才能正常进行网络通讯,否则其接入端口数据将被阻隔。

下面我们就来看一下Windows域与802.1X协议统一认证解决方案的实现过程。

【实验拓扑】实验环境说明：本实验需要用到Windows 2003 Server,并且在Windows 2003 Server安装DNS、AD、DHCP、CA、IAS等组件，并且要求交换机支持802.1X协议与Guest VLAN功能。

本文详细地记录了配置Windows 2003 Server和交换机每一个步骤的实现过程，并力求层次清晰。

但还是希望没有接触过Windows 2003 Server的读者了解Windows 2003 ServerDNS、 AD、DHCP、CA和IAS的相关知识，请参考相关书籍和网站。

拓扑说明：Windows 2003 Server IP:192.168.0.254交换机IP：192.168.0.250路由器LAN接口IP:192.168.0.1橘红色端口所属的VLAN为Guest VLAN,名称为V10, VID为10蓝色端口所属的VLAN名称为V20, VID为20绿色端口为需要进行802.1X认证的端口测试计算机的IP为从Windows 2003 Server 自动获取根据上面的拓扑环境，测试PC通过了windows域的认证以后，自动在交换机端口上进行802.1X认证，认证通过以后，PC被交换机自动分配到了V20里面，从而可以接入到互联网中。