Windows Server, CA, IAS, Cisco Catalyst
Topologia Base
Cliente => Fa0/3
1- Instalar Active Directory - Domain Controller
2- Instalar CA
3- Instalar IAS
4- Crear Usuario de Dominio y Grupos si se necesita.
5- Dar permiso de Login Al usuario en "Cuentas de Usuarios" del dominio.
6- En el IAS Crear un nuevo cliente de Radius. Cada Switch es un cliente. (IP y Nombre del SW)
7- En "Remote Access Policy" borrar las politicas que haya y crear una nueva politica de acceso remoto. Usar Wizard.

7b- Elegir el metodo de acceso (ej: Ethernet)
7c- Elegir si la politica se aplica a usuarios o grupos. (elegir Grupos en este caso)
7d- Seleccionar grupo del Active Directory "Domain Users"
7e- Elegir el metodo de autenticacion (PEAP) y presionar el boton "Configure"
7f- EAP Types poner. EAP-MSCHAP-v2 y en el desplegable seleccionar elCertificado (radius.root.sg) - Finish.
8- En propiedades de "Remote Access Policies" deberia estar primero en orden, en las “Condiciones”: "NAS_port-Type matches Ethernet AND". Y segunda: "Windows-Groups-matches AMNET\Engineers VPN"
9- Tildar el RadioButton de "Grant Remote Access Permission"
10- Clickear el bonton de "Edit Profile"


10b- Deberia estar el Service-Type en Value "Framed"
10c- Clickear en ADD/Agregar y agregar hasta que queden los siguientes, de ser necesario.
(Todos en "RADIUS Standard" en la opcion de Vendor.
Service-type => Framed
Tunnel-Medium-Type => 802(Include all 802 Mediums)
Tunnel-Pvt-Group-ID => 1, 20, 50//(Incluir guest-vlan y fail-vlan)
Tunnel-Type => Virtual LANs (VLAN)
1- Para habilitar la autenticacion 802.1x abrir los servicios de Microsoft.
1b- Abrir Inicio => Ejecutar. Y escribir “services.msc”
1c- Habilitar el servicio “Configuracion Automatica de Redes Cableadas” y ponerlo como “Automatico” en las propiedades.
2- Ir a propiedades de la placa de red y abrir la zolapa “Autenticacion”
3- Tildar la casilla para habilitar la autenticacion 802.1x
4- Seleccionar el metodo “Protected EAP (PEAP)” y clickear en el boton “Settings”.
5- En el metodo de autenticacion seleccionar "Secured password (EAP-MSCHAP v2)"
6- Tildar la casilla de “Enable Fast Reconnect”
7- Click en el boton “Configure”
8- Tildar la casilla de Conectar automaticamente con las credenciales con las que se ha logueado el usuario al dominio si es el caso de que la PC se encuentre joineada al dominio. De lo contrario se nos pedira ingresar el usuario y contraseña de dominio a mano.
1- Definir AAA
aaa new-model SW(config)# aaa authentication dot1x default group radius SW(config)# aaa authorization network default group radius SW(config)# aaa session-id common
2- Levantar el sytem auth control
SW(config)# dot1x system-auth-control
3- Parametros Radius
SW(config)# ip radius source-interface FastEthernet0/11 SW(config)# radius-server cache expiry 1 SW(config)# radius-server host 10.10.10.3 auth-port 1645 acct-port 1646 key cisco123 SW(config)# radius-server retry method reorder SW(config)# radius-server transaction max-tries 10 SW(config)# radius-server timeout 4 SW(config)# radius-server deadtime 2 SW(config)# radius-server key cisco123 SW(config)# radius-server vsa disallow unknown SW(config)# radius-server vsa send authentication
4- Configuracion de la Interface
SW(config)# interface FastEthernet0/3 SW(config-if)# switchport mode access SW(config-if)# dot1x pae authenticator SW(config-if)# dot1x port-control auto SW(config-if)# dot1x violation-mode protect SW(config-if)# dot1x timeout quiet-period 5 SW(config-if)# dot1x timeout server-timeout 10 SW(config-if)# dot1x max-reauth-req 1 SW(config-if)# dot1x guest-vlan 20 SW(config-if)# dot1x auth-fail vlan 50 SW(config-if)# dot1x auth-fail max-attempts 1 SW(config-if)# no cdp enable SW(config-if)# spanning-tree portfast SW(config-if)# spanning-tree guard root
5- Creacion de VLANs
vlan 50 name fail-vlan vlan20 name guest-vlan
Me llevo un rato aprender esto 
Ojala les sirva.
Muchas imagenes las busque por ahi en internet. Asi que si mi post esta en español y hay alguna imagen en ingles ya saben.
Salu2