在使用Windows的公司中，雇员们每天都使用他们的活动目录用户名和口令来使用自己的电脑。 那么，为什么在路由器上你就要使用不同的信任呢？ 其实你不需要——你可以直接使用Windows的活动目录数据库来登录你的Cisco路由器和交换机。

本文中我将会解释如何在你的路由器以及交换机上配置活动目录验证。上一次，我教你了如何安装，配置，以及调试Windows的IAS（互联网认证服务）下面我们将会继续本教程，并解释如何配置你的路由器和交换机，以使用活动目录认证。

在开始之前，首先复习一下本文的前提条件。 我们假设，你已经将你的路由器或者交换机连接到了局域网上，启用了它的局域网接口，并在该局域网端口上获得了一个IP地址。 如果存取这台交换机或者路由器是需要通过一个路由网络的话，那么它还需要一个配置好的默认网关。

就本文而言，我使用了一台Cisco 871W路由器，它运行Cisco IOS软件，C870软件(C870-ADVIPSERVICESK9-M)，版本12.4(4)XC2, RELEASE SOFTWARE (fc1)。 特别的，它有这个IOS文件： c870-advipservicesk9-mz.124-4.XC2.

这个路由器有一个VLAN1，是4个局域网以太端口默认共享的。 这就是我配置自己IP地址的地方，如下所示：

interface Vlan1
ip address 192.168.1.100 255.255.255.0

interface FastEthernet0
no shutdown

配置路由器或交换机

虽然我是在使用一台Cisco 871W路由器，但你也可以使用一台Cisco交换机，其配置过程是类似的。 你甚至可以在Cisco PIX防火墙或者ASA设备上配置这种类型的RADIUS认证。

要想为了管理的目的，配置一台路由器或者交换机来和Windows IAS RADIUS服务器交谈，以便认证登录，首先应当确认你已经启用了一个秘密口令，如下所示：

enable secret 5 Secret!Pass1

然后，配置路由器用于RADIUS认证。
 
表格A提供了一个示例。

在这个示例中，IP地址就是我们的Windows IAS RADIUS服务器的IP地址，而Key就是我们在IAS服务器上配置RADIUS客户端时所输入的Key。 另外，我们已经配置了源端口，以确保RADIUS服务器的IP地址和我们在IAS中所配置的RADIUS客户端IP地址相符。

我们同样也配置了一个认证列表，叫做TRAuthList。 虽然你可以使用默认的认证列表，但是我不推荐你这么做。 默认列表会自动应用于所有登录设备，包括控制台。 所以，如果RADIUS认证不能通过的话，可能会导致同时将你锁于控制台之外。

我也建议配置一个本地用户名/口令，以备RADIUS服务器万一不可用，而你又需要存取网络设备时使用。 因为我们使用了登录认证模式覆盖本地，所以如果RADIUS服务器瘫痪的话，那么路由器也无法回归本地认证服务器。 这里是如何配置一个本地用户：

R1-871W(config)# user netadmin pass secretpass1

下一步，我们需要使用我们建立的认证列表来配置所有的线路。就本例而言，我们使用了普通的5条线路（0到4），但是你的设备可能会有更多线路。 这里是一个示例：

R1-871W(config)# line vty 0 4
R1-871W(config-line)# login authentication TRAuthList

在这一点上，如果我们使用Telnet连接路由器或者交换机，那么Windows活动目录认证就会生效。 不过，基于安全方面的理由，我推荐使用SSH来替代Telnet，所以我们还需要配置SSH。

首先确保我们已经在路由器上有了主机名。 这里是一个示例：

Router(config)# hostname R1-871W

然后，确保已经配置了一个IP域名。 这里是一个示例：

R1-871W(config)# ip domain-name TechRepublic.com

下一步，生成加密key，如下所示，并以默认设置回答所有问题。

R1-871W(config)# crypto key generate rsa

最后，限定VTY线路只能使用SSH——而不是Telnet。 这里是一个示例：

R1-871W(config)# Line vty 0 4
R1-871W(config-line)# Transport input ssh

测试配置

我推荐离开控制台或者其他现存到路由器的连接，直到你能确认新配置工作生效为止。 另外，除非你确认它已经正常起作用了，否则不要保存配置。 如果它不起作用，你总是可以移除它，或者重启设备，以恢复先前的配置。

要测试新配置，我会使用SecureCRT连接到路由器上，但你也可以使用PuTTY，这是免费的。 图Ａ显示了会话选项——新对话框，显示了我的连接设置。 注意是SSH1协议，而不是SSH2。
 

图A 注意我们用的是SSH1，而不是SSH2。

图B 显示的是输入用户名对话框，我通过它，用我的Windows用户名进行登录。

通过它，我成功的连接上了，如图C所示。我使用show users命令来确认这的确是我。
 

图C 使用show users命令，显示了一个成功的连接。

调试配置

如果要在这个复杂配置上的Cisco IOS端进行调试，使用debug命令以及test命令是较好的选择。 这里是一个示例：

Router# debug aaa authentication
AAA Authentication debugging is on

Router# debug aaa authentication
Radius protocol debugging is on
Radius protocol brief debugging is off
Radius protocol verbose debugging is off
Radius packet hex dump debugging is off
Radius packet protocol (authentication) debugging is on
Radius packet protocol (accounting) debugging is off
Radius packet retransmission debugging is off
Radius server fail-over debugging is off
Router#

Router# test aaa group radius ddavis MyPass1 port 1645 new-code

除了使用IAS记录文件这种方式外（我在上文中讨论过的方式），这种方法让你可以看到配置两端背后的进行情况（路由器或者交换机，以及RADIUS服务器） 如果你碰到了一个不认识的错误信息，那么不妨去网页上搜索看看——很可能别人已经碰到过这种问题，从而能为你指点迷津。