802.1x RADIUS认证配置

环境就是华为S5516和S3526，还有server2003。
折腾了好几天，交换机下的RADIUS配置就不再写了，就那几行命令。交换机本地的缺省域和自建域都可以正常使用。要通过radius服务器验证，唯一难的就是RADIUS服务器的配置。

首先用的是Server2003下自带的IAS下的internet验证服务（具体就是删除添加组件下网了服务下的Internet验证服务）。然后就是添加客户端，访问策略的配置，结果802.1x客户端就是无法通过用户名密码验证，经过wireshark抓包分析，已经通过EAPoL报文交换，也通过了MD5 challenge交换，唯一就查服务器给客户端一个EAP-success消息了，也就在这最后一步掉链子了。

大致分析应该是服务器没有用户信息。最后google一些资料，似乎需要active directory支持，radius也要在active directory中注册服务器（Internet验证服务右键可以看见这个选项）。结果是注册了，用了网上一致的方法，策略的修改，用户的添加以及权限的修改，结果还是无法通过认证。最后觉得似乎还需要SQL的可能，至少日志是需要的。

win2003下的自带radius很失败，搞了很久没一点成功的迹象。不得已换方法，通过其他软件实现。

第一次用的是winradius，应该是国货。绿色，简单，自带一个mdb数据库文件，基本上打开简单的配置好和交换机的share key就可以用了。还有计费功能，也算不错，但未注册版本只支持5个用户。我也再想即便注册了，如此软件能不能抗住很多用户。

然后选择了比较有名气的老外软件，TekRADIUS v3.7 。老外的东西，明显质量上去了，功能相当的强大，当然环境要求也高了，要.net2.0以上，和微软的SQL支持。安照介绍使用的了SQL 2005，结果还不得不研究SQL2005的远程连接问题，SQL2005没有自带管理工具SQL Server Management Studio Express（可以去微软官方下载），之后又是一些策略的修改，唯一值得记下的就是数据库sa账户可以空口令，但使用空口令TekRADIUS似乎不能连接成功。还有就是TekRADIUS提示连接不上，得仔细分辨，看连接不上什么，虽然提示连接filed，但是是说连接不上TekRADIUS数据库。所以可以在SQL2005安装好后自己先建立一个TekRADIUS数据库。因为TekRADIUS设置test connect时没TekRADIUS数据库不行，可是test不成功谁又会去点下一个选项的create database？很神奇。

软件来说相对简单容易。接下来要实验新的方法，linux下的radius搭建，越来越觉得CLI并非比GUI环境复杂。就在SUSE 10下开始，之后还得搞定win2003。

地方无网，只能简单描述，本该有些截图的，还是给手机省省流量- -#