首先需要有用户管理程序。我使用的是Windows 2003自带的IAS-Internet访问控制。在添加删除程序中可以找到。它支持标准的Radius协议。

另外需要在Windows下新建一个用户，属于特定的组，比如Raidus组，用户nic。

安装好IAS之后，右键点击Radius客户端，新建一个客户端--注意一个交换机对应一个客户端。密钥我指定为switch。不要勾选“请求必须包括消息验证程序属性”，客户端-供应商选择RADIUS Standard。如下图所示

接下来右键点击“远程访问策略”，“新建访问策略”－－“设置自定义策略”－－“添加策略状况”。

选择Windows-Groups，然后在新窗口中选中前面新建的Radius组。

下面选择“授予远程访问权限”。

下一个窗口选择“编辑拨入配置文件”。

身份验证部分取消所有框，只保留“未加密的身份验证（PAP,SPAP）”。

高级-ServiceType-设置为Login。

确定，至此IAS部分的设置即完成。

下面是交换机部分的设置，把配置贴在下面：

Switch#show run

System software version : 1.69 Build Aug  2 2007 Release

Building configuration...
Current configuration : 288 bytes

!
version 1.0
!
hostname Switch
vlan 1
!
radius-server host 10.1.1.3
enable secret level 15 5 #wNq&#Z1^IOrJ%(8YMp]K*.tSxB^"[/7
!
interface vlan 1
no shutdown 
ip address 10.1.1.1 255.255.255.0
!
radius-server key switch
line vty
login authentication radius
!
end

Switch#

需要注意几个关键点：

一、这里的Radius是level 0的用户，也就是默认telnet上去的用户。你仍然需要设置level15的密码。通过enable secret level 15 0 password。

二、看Radius是否成功，可以通过Windows的系统日志。

三、存在一个问题，就是当Raidus服务器失效，你就再也无法telnet了。Cisco设备支持先Radius再local，当Raidus失效默认local。但是锐捷设备貌似不支持。

四、配置login authentication的地方，一般设置line vty即可。line console是串口线。最好别设置。