如果你的公司使用Windows，那你很可能是使用你的活动目录用户名与口令来每天登录电脑的。 那么，为什么在路由器上你就要使用不同的信任呢？

即便只是需要记住一个额外的口令，这也是件很讨厌的事情——何况这本就不是必须的。 实际上，你可以借助于Windows的活动目录用户名/口令数据库，来登录你的Cisco路由器和交换机。

本文中我将会解释如何在你的路由器以及交换机上配置活动目录验证。我们将首先从讨论如何安装，配置，以及调试Windows的IAS作为开始（IAS，互联网认证服务）；下篇文章我们将继续解释如何配置你的路由器和交换机，来具体使用这种认证。

在开始之前，首先复习一下本文的前提条件。 就这个配置而言，我们将使用IAS，以及对远程认证拨号用户服务器以及代理的部署（该功能内置于Windows 2000 Server以及Windows Server 2003之中）

另外，我们假设，你已经将你的路由器或者交换机连接到了局域网上，启用了它的局域网接口，并在该局域网端口上获得了一个IP地址。 如果存取这台交换机或者路由器是需要通过一个路由网络的话，那么它还需要一个配置好的默认网关。

安装IAS

如果你还没有安装的话，那么现在就从安装开始吧。 对Windows Server 2003来说，是执行下述步骤：

以系统管理员身份登录。

进入“Start（启动）| Control Panel（控制面板）”，然后双击“Add Or Remove Programs（添加或者删除程序）”。

点击“Add/Remove Windows Components（添加/删除Windows的组件）”

在Windows组件向导中，点击“Networking Services（网络服务）”，然后点击“Details（详细）”。

在网路服务对话框中，选择“Internet Authentication Service（互联网认证服务）”，然后点击“OK（确定）”，然后点击“Next（下一步）”。

系统可能会提示你插入你的Windows Server 2003光盘，记得事先准备好。

安装完毕IAS后，点击“Close（关闭）”。

要想保留是谁登录了Cisco网络设备的相关记录，我建议你建立一个活动目录组，叫做“ciscoadmin”。 然后，将你的现存Windows帐户，变为该ciscoadmin组的成员。

配置IAS

现在，我们已经安装了IAS，下一步是需要对它进行配置。 首先，进入“Start（启动）| Control Panel（控制面板）”，然后双击“Administrative Tools（管理工具）”。 双击“Internet Authentication Service（互联网认证服务）”，如图A所示。
 

图A进入“Start（启动）| Control Panel（控制面板）|Administrative Tools（管理工具）|Internet Authentication Service（互联网认证服务）”,开始配置IAS。

这会打开互联网认证服务的窗口，如图B所示。
 

图B 你必须打开互联网认证服务窗口，才可以配置IAS

现在我们需要添加一个RADIUS客户端。 执行下述步骤：

在左面板中，右键点击RADIUS Clients（RADIUS客户端），然后选择“New RADIUS Client（新建一个RADIUS客户端）”。

在“New RADIUS Client（新建一个RADIUS客户端）”的对话框中，如图C所示，为该客户端输入一个显示名称（比如，你的路由器或者交换机）。 我建议使用路由器的主机名。
输入该客户端的局域网IP地址。
 

图C 为新客户端输入一个友好名称，然后输入IP地址

点击“Next（下一步）”，然后为Client-Vendor（客户端制造商）选择“Cisco”。

输入一个口令（被称为路由器或者交换机的Key），该口令将被两台设备共享以用于认证过程之中。 就本示例而言，我用了“cisco”作为我的口令。

点击“Finish（完毕）”。

图D显示了新添加客户端的互联网认证服务窗口。

下一步，我们需要建立一个远程存取策略。 执行下述步骤：在互联网认证服务窗口中，点击左侧面板中的“Remote Access Policies（远程存取策略）”。

在右侧面板中，右键点击默认策略，然后选择“Delete（删除）”。

在右侧面板中点击鼠标右键，然后选择“New Remote Access Policy（新建远程存取策略）”。

在远程存取策略向导中，点击“Next（下一步）”。

点击“Set Up A Custom Policy（建立一个自定义策略）”，然后点击“Next（下一步）”。

点击“Add（添加）”，选择“Windows-Groups（Windows组）”，然后点击“Add（添加）”，如图E所示。
 

图E 选择Windows-Groups（Windows组），然后点击“Add（添加）”按钮

输入“ciscoadmin”（或者输入你自己希望使用的组名）。 在这个示例中，我们使用了一个本地的Windows服务器组。 你也可以使用一个Windows活动目录组——当然，这么做更好。 图F在列出了ciscoadmin组的同时，展示了组对话框。
 

图F Groups（组）对话框会列出你所添加的组。

选择这个新组，然后点击“OK（确定）”。 这会带你进入新建远程存取策略向导的“策略条件”屏幕，如图G所示。
 

图G 选择Windows-Groups（Windows组），然后点击“Add（添加）”按钮

点击“Next（下一步）”，选择“Grant Remote Access Permission(准予远程存取权限)”，然后点击“Next（下一步）”。

点击“Edit Profile（编辑档案）”，然后选择“Authentication（认证）”栏。

去掉所有复选框的选择；仅仅选中“Unencrypted Authentication不加密认证 (PAP/SPAP)”复选框，如图H所示，然后点击“OK（确定）”。
 

图H 仅仅选中“Unencrypted Authentication (PAP/SPAP)”复选框

下一步，选择“Advanced（高级）”栏。

选择“Service-Type（服务类型）”，然后点击“Edit（编辑）”。

在Enumerable Attribute Information（可列举属性信息）对话框中，从下拉列表中选择“Login from the Attribute Value根据属性值登录”，如图I所示，然后点击“OK（确定）”。
 

图I 在Attribute Value下面，将“Framed”改为“Login”

回到“Advanced”栏，选择“Framed-Protocol（帧协议）”，然后点击“Remove（移除）”。 图J显示了结果对话框。
 

图J 剩下可作的就只是点击“OK（确定）”了。

现在你唯一要做的就是点击“OK（确定）”了。 系统可能会询问你是否打算查看帮助主题，如图K所示。
 

图K 想查看相应的帮助主题，就点击“Yes（好）”。

差不多就是这样了。 点击“Next（下一步）”，点击“Finish（结束）”，这就算结束了。

调试IAS

谈到调试IAS的话，它的记录可相当令人摸不着头脑。 举个例子，图L就展示了测试本文时所建立的记录文件。
 
图L IAS的记录实在有点令人费解

为了协助阅读这些记录，我使用了DeepSoftware.com的IAS记录阅读器（http://www.deepsoftware.com/iasviewer）。 图M展示了该工具的一个截图。
 

图M IAS记录阅读器有助于简化工作