实验24ieee8021x的端口认证

1、实验二十四、IEEE802.1X 的端口认证实验一、 实验目的1、 了解什么是 802.1x；2、 熟练掌握如何使用 802.1x 提高网络安全性；3、 了解神州数码对 802.1x 的功能加强二、 应用环境我们的网络按照标准的三层架构（用 DCS-3926S 交换机。层、汇聚层、接入层）部署，在网络的接入层使在运营的过程中，网络中心发现有许多外来自使用网络。经常在没有知会有关部门的情况下，私，通过 802.1x 结合认证服务器给大家发放用户名帐号，网络中心希望能够有用户名帐号的人只网络，这样就有效的解决了的问题。同时，还可以使用认证服务器（DCBI-3000EN）的计费功能，按照不同的计费策

2、略对不同的上网类型进行计费。802.1x 协议的主要目的是为了解决局域网用户的接入认证问题。（dcn 全线接入交换机均支持 802.1x 协议）。三、 实验1、 DCS-3926S 交换机 1 台2、 PC 机 1-2 台3、 Console 线 1 根4、 直通网线 2-4 根5、 DCBI-3000四、 实验拓扑五、 实验要求1、 按照拓扑图连接网络；2、 PC 和交换机的 24 口用网线相连；3、 DCBI-3000 认证服务器和交换机的 1 口用网线相连；4、 交换机的管理 IP 为 192.168.1.100/245、 PC 网卡的 IP 地址为 192.168.1.101/24；6

3、、 DCBI 认证服务器的 IP 为 192.168.1.5/24六、 实验步骤第一步：交换机恢复出厂设置switch#set defaultAre you sure? Y/N = y switch#writeswitch#reloadProcess withreboot? Y/N yswitch#clockCurrent time switch#set 15:29:50 2006.01.16is MON JAN 16 15:29:50 2006switch#config switch(Config)#hostname DCS-3926S DCS-3926S(Config)#exitDCS-3

4、926S#第二步：给交换机设置 IP 地址。DCS-3926S(Config)#interface vlan 1！进入 vlan1 接口DCS-3926S(Config-If-Vlan1)#ip address 192.168.1.100 255.255.255.0 ！配置地址DCS-3926S(Config-If-Vlan1)#no shutdown！激活 vlan 接口第三步：安装 1x 认证客户端并配置主机的 IP 地址安装客户端，安装完成后客户端默认使用带神州数码私用扩展的报文进行发送。神州数码私用扩展可以大大增强 802.1x 的功能，使用户名可以绑定 IP、MAC、交换机 VLAN

5、 等，还可以按照流量进行计费，甚至区分国内外流量进行计费（这需要 DCBA-3000W的支持），可以防止 BT 等 P2P等等。配置主机的 IP 地址为 192.168.1.101/24。第四步：安装配置 DCBI-3000 限用户版1、 安装操作系统，mysql 数据库必选；2、 将 DCBI 的安装文件到新安装的系统下；3、 解包过来的文件，进入 install 目录，执行./install，按照提示输入服务器IP 地址 192.168.1.99；4、 启动 mysql 数据库；5、 在解包的 install 目录下执行./installdb； 6、 启动 dcbi start；7、 此时

6、必须打开操作系统得图形界面，执行录画面，默认用户名都是 admin；，此时可以看到 DCBI 客户端的登8、 在站点管理中添加，并重启 DCBI；9、 添加计费类型10、根据需要进行；DCBI 服务器详细的安装和使用请参考附件：DCBI-3000 安装与调试。第五步：配置交换机 802.1xDCS-3926S(Config)#radius-server authentication host 192.168.1.5 ！配置认证服务器地址，默认使用 1812 端口认证。DCS-3926S(Config)#radius-server服务器地址，默认使用 1813 端口计费。DCS-3926S(Co

7、nfig)#radius-server key DCS-3926S(Config)#aaa enableing host 192.168.1.5！配置计费dcradius！配置通信密钥！启用认证！启用计费！启用 802.1x!启用神州数码私有增强功能DCS-3926S(Config)#aaa- DCS-3926S(Config)#dot1xDCS-3926S(Config)#dot1xing enableprivateenableenable第六步：在端口启用 802.1x 功能DCS-3926S(config)#interface ethernet0/0/24！进入 e0/0/24 端口！在

8、该端口启用 802.1xDCS-3926S(Config-Ethernet0/0/24)#dot1x DCS-3926S(Config-Ethernet0/0/24)#dot1x认的认证状态为 autoDCS-3926S(Config-Ethernet0/0/24)#dot1xenableport-control auto！设置端口默port-method portbased！使用基于端口的认证方式，也可以使用基于 MAC 地址的认证方式。以下 4 行也可以不配置，e0/0/1 连接服务器的端口不开启 802.1x，也就不需要认证了， 如果该端口也向开启 802.1x 的话，则必须如下配置：D

9、CS-3926S(config)#interface ethernet 0/0/1DCS-3926S(Config-Ethernet0/0/1)# dot1x enableDCS-3926S(Config-Ethernet0/0/1)# dot1x port-control 端口的模式“强制认证过”，即不需要再认证了DCS-3926S(Config-Ethernet0/0/1)# exitforce-authorized！该第七步：验证 802.1x 功能1、 不启用客户端，使用 PC2、 启用客户端，使用 PCDCBI-3000，结果不通；DCBI-3000，结果通；七、 注意事项和排错1、

10、 使用神州数码扩展功能时，交换机必须启用私用扩展报文2、 交换机在模式下使用debug dot1x 命令到PC 机的 EAP 报文，使用 debug aaa到 radius 服务器的认证报文。3、 如果出现端口无法配置 IEEE802.1x 认证功能的情况，请检查此端口是否运行了生成树功能，或者端口已经被配置为 Trunk 端口或端口汇聚组的成员端口。如果要开启端口的 IEEE802.1x 认证功能，则必须先关闭此端口上开启的其它互斥功能。4、 如果交换机的 IEEE802.1x 认证功能配置是正确的，但认证仍无法正常通过，请检查交换机与 RADIUS 服务器，交换机与 IEEE802.1x

11、客户端之间的连接是否能相互连通；并且检查交换机端口 VLAN 的配置是否正确。5、可以利用抓包工具，在 PC 机和 radius 服务器上进行抓包分析，查看认证过程，也可以帮助排错过程。八、配置序列DCS-3926S#show running-config Current configuration:!hostname DCS-3926S!radius-server key dcradiusradius-server authentication host 192.168.1.5radius-serveraaa enableing host 192.168.1.5aaa-ing enable!

12、dot1x enabledot1x privateenable!telnet-user xuxp password 0 digital!Vlan 1vlan 1!Interface Ethernet0/0/1!Interface Ethernet0/0/24 dot1x enabledot1x port-method portbased dot1x port-control auto!interface Vlan1 interface vlan 1ip address 192.168.1.100 255.255.255.0!DCBI 服务器的安装和使用请参考附件：DCBI-3000 安装与调试

13、。九、 共同思考当在接入交换机 DCS-3926S 的端口下面又连接了一台普通的 hub，并且有多个用户同时需要上网，应该怎么处理？十、 课后练习1、 使用 show aaa authenticating-user 和 show aaa authenticated-user 命令观察认证过程2、 使用基于 mac 地址的认证方式，认证一个端口下接多个用户的情况。十一、 相关配置命令详解802.1x 配置任务序列1.2.使能交换机的 802.1x 功能；接入单元的属性配置1)2)3)配置端口的状态配置端口的接入方式：基于 MAC 地址还是基于端口配置交换机 802.1x 的扩展功能3.4.与用户

14、接入相关的属性配置（可选）与 RADIUS 服务器相关的属性配置1)2)3)配置 RADIUS 认证密钥配置 RADIUS 服务器配置 RADIUS 服务的参数1.使能交换机的 802.1x 功能2.作为 Authenticator 的属性配置1) 配置端口的状态命令解释端口配置模式dot1xport-controlauto|force-authorized|force-unauthori zedno dot1x port-control设置端口的 802.1x状态；本命令的 no 操作用来恢复缺省配置。命令解释全局配置模式aaa enableno aaa enable使能交换机的 AAA 认

15、证功能；本命令的no 操作为关闭交换机的 AAA 认证功能。aaa-ing enableno aaa-ing enable使能交换机的计费功能；本命令的 no 操作为关闭交换机的计费功能。dot1x enableno dot1x enable使能交换机全局及端口的 802.1x 功能；本命令的 no 操作为关闭 802.1x 功能。2)配置端口的接入方式3)配置交换机 802.1X 的扩展功能3.与 Supplicant 相关的属性配置命令解释全局配置模式dot1x max-req <count> no dot1x max-req设置交换机在没有收到 suppliant 回应而重新

16、启动认证前，发送 EAP-request/identity 帧的最大次数；本命令的 no 操作用来恢复缺省值。dot1x re-authenticationno dot1x re-authentication设置对 suppliant 进行周期性重认证； 本命令的 no 操作用来关闭该功能。dot1x timeout quiet-period <seconds>no dot1x timeout quiet-period设置在端口认证失败后保持静默状态的时间；本命令的 no 操作用来恢复缺省值。dot1x timeout re-authperiod <seconds> n

17、o dot1x timeout re-authperiod设置交换机对 suppliant 重新认证的时间间隔；本命令的 no 操作用来恢复缺省值。dot1x timeout tx-period <seconds> no dot1x timeout tx-period设 置 交 换 机 对 suppliant 重 发EAP-request/identity 帧的时间间隔；本命令的 no 操作用来恢复缺省值。dot1x authentication-mode active|passiveno dot1x authentication-mode设置交换机认证模式，本命令的 no 操作为

18、恢复缺省值。配置模式命令解释全局配置模式dot1x macfilter enable no dot1x macfilter enable打开交换机 802.1x 的地址过滤功能；本命令的 no 操作为关闭 802.1x 的地址过滤功能。dot1xaccept-mac<mac-address> interface <interface-name>nodot1xaccept-mac<mac-address>interface <interface-name>添加 802.1x 的地址过滤表的表项；本命令的 no 操作为删除 802.1x 的地址过滤表

19、的表项。dot1x eapor enable no dot1x eapor enable打开交换机 EAP 中继的认证方式；本命令的 no 操作为采用 EAP 本地终结的认证方式。命令解释端口配置模式dot1xport-methodmacbased| portbasedno dot1x port-method设置端口的接入 方式；本命令的 no 操作用来恢复基于 MAC 地址的接入 方式。dot1x max-user <number>no dot1x max-user设置指定端口最多 接入的用户数；本命令的no 操作为恢复缺省的最多 9 个用户。4.与 Authentication

20、 Server（RADIUS 服务器）相关的属性配置1)配置 RADIUS 认证密钥；2)配置 RADIUS Server3)配置 RADIUS 服务参数aaa enable命令：aaa enableno aaa enable功能：使能交换机 AAA 认证功能；本命令的 no 操作为关闭 AAA 认证功能。命令模式：全局配置模式参数：无缺省情况：交换机不打开 AAA 认证功能。使用指南：如果要实现交换机的 802.1x 认证功能，必须打开交换机的 AAA 认证功能。举例：打开交换机的 AAA 功能。Switch(Config)#aaa enable命令解释全局配置模式radius-server

21、 dead-time <minutes>no radius-server dead-time配置 RADIUS 服务器 down 机后的恢复时间；本命令的 no 操作为恢复缺省配置。radius-server retransmit <retries>no radius-server retransmit配置 RADIUS 重传次数；本命令的 no 操作为恢复缺省配置。radius-server timeout <seconds>no radius-server timeout配置 RADIUS 服务器的超时定时器；本命令的 no 操作为恢复缺省配置。命令解释

22、全局配置模式radius-serverauthenticationhost<IPaddress>port<portNum> primarynoradius-serverauthenticationhost<IPaddress>配置RADIUS 认证服务器的IP 地址和端；本命令的 no 操作为删除 RADIUS主机。radius-servering host <IPaddress> port <portNum> primarynoradius-serveringhost<IPaddress>配置RADIUS 记费服务器的I

23、P 地址和端；本命令的 no 操作为删除 RADIUS主机。命令解释全局配置模式radius-server key <string>no radius-server key设置 RADIUS 服务器的密钥；本命令的 no操作为删除 RADIUS 服务器的密钥。aaa-命令：aaa-no aaa-ing enableing enable ing enable功能：打开交换机的AAA计费功能；本命令的no 操作为关闭AAA 计费功能。命令模式：全局配置模式缺省情况：交换机不打开AAA计费功能。使用指南：打开交换机的计费功能后，交换机将对认证者所在的端口的流量或上网时间进行计费。在计费开

24、始时，交换机向 Radius 计费服务器发出计费开始的消息；并且每隔 5分钟在线用户向 Radius 计费服务器发一次计费包；在计费停止时，又向 Radius 计费服务器发送计费停止的消息。注意：只有当计费功能打开时，交换机在用户下线时才通知 Radius计费服务器，用户的下线消息并通知 Radius 认证服务器。举例：打开交换机的 AAA 计费功能。Switch(Config)#aaa-ing enabledot1x accept-mac命令：dot1x accept-mac <mac-address> interface <interface-name> no do

25、t1x accept-mac <mac-address> interface <interface-name>功能：向 dot1x 地址过滤表中添加一个 MAC 地址表项，如果指定端口则添加的表项仅适用于指定端口，不指定端口则添加的表项适用于全部端口；本命令的 no 操作为删除 dot1x 的地址过滤表中的表项。参数：<mac-address>为 MAC 地址；<interface-name>为接口名称及接命令模式：全局配置模式缺省情况：无。使用指南：交换机的 dot1x 地址过滤功能是根据 MAC 地址过滤表实现的，dot1x 地址过滤表由用户

26、手工添加或删除。当添加 dot1x 地址过滤表项时指定了端口，则该地址过滤表项仅适用于该端口；若添加时未指定端口，则该地址过滤表项适用于交换机所有端口。当交换机的 dot1x 地址过滤功能打开，交换机会对认证者的 MAC 地址进行过滤，只有在 dot1x 地址；过滤表中的客户发起的认证请求才能被接受，否则将被拒绝。举例: 将MAC 地址 00-01-34-34-2e-0a 添加到 Ethernet 0/0/5 的过滤表中。Switch(Config)#dot1x accept-mac 00-01-34-34-2e-0a interface ethernet 0/0/5dot1x eapor e

27、nable命令：dot1x eapor enable no dot1x eapor enable功能：设置交换机采用 EAP 中继的方式进行认证；本命令的 no 操作为设置交换机采用 EAP本地终结的方式进行认证。命令模式：全局配置模式缺省情况：交换机采用 EAP 中继的方式进行认证。使用指南：交换机与 Radius 认证服务器之间可能采用以太网接或者采用 PPP接。如果交换机与 Radius 认证服务器之间采用以太网连接，那么交换机需要采用 EAP 中继的方式进行认证（即 EAPoR 认证）；如果交换机与 Radius 认证服务器之间采用 PPP接，则交换机需要采用 EAP 本地终结的方式进

28、行认证（即 CHAP 认证）。根据交换机与认证服务器的连接方式的不同，交换机应该采用不同的认证方式进行认证。举例: 设置交换机采用 EAP 本地终结的方式进行认证。Switch(Config)#no dot1x eapor enabledot1x enable命令：dot1x enableno dot1x enable功能：打开交换机全局及端口的 802.1x 功能；本命令的 no 操作为关闭 802.1x 功能。命令模式：全局配置模式及端口配置模式缺省情况：交换机在全局下不打开 802.1x 功能；若交换机在全局下打开 802.1x 功能，则端口缺省也不打开 802.1x 功能。使用指南：如

29、果要对端口进行 802.1x 认证时，首先要打开全局下的 802.1x 功能，再在相应的端口下打开 802.1x 功能。如果该端口已经打开了 Spanning Tree，或者是 Trunk 端口、端口聚合组的成员，则必须关闭端口下的 Spanning Tree 功能、或者改变端口的为 Access 端口、取消参加端口汇聚组，否则无法打开端口下的 802.1x 功能。举例：启动交换机的 802.1x 功能，并且打Switch(Config)#dot1x enable Switch(Config)#interface Ethernet 0/0/12Switch(Config-if<Ether

30、net0/0/12>)#dot1x enable/0/12 号端口 802.1x 功能。dot1x private命令：dot1x privateno dot1x privateenableenableenable功能：使能交换机强制客户端使用神州数码私有 802.1x 认证报文格式；本命令的 no 操使用标准 802.1x 认证报文格式。作为关闭该功能，客户端命令模式：全局配置模式缺省情况：交换机不支持私有 802.1x 认证报文。使用指南：如果要实现神州数码整体解决方案，交换机必须使能支持神州数码私有 802.1x认证报文，否则很多应用将不能使用，具体参见神州数码 802.1x 整体

31、解决方案。交换机如果配置强制客户端将不能通过认证。使用神州数码私有 802.1x 认证报文格式，那么标准的 802.1x 客户端举例：使能交换机强制客户端Switch(Config)#dot1x private使用神州数码私有 802.1x 认证报文格式。enableSwitch(Config-Ethernet0/0/1)#dot1x enabledot1x macfilter enable命令：dot1x macfilter enableno dot1x macfilter enable功能：打开交换机的 dot1x 地址过滤功能；本命令的 no 操作为关闭 dot1x 地址过滤功能。命令模

32、式：全局配置模式缺省情况：交换机关闭 dot1x 地址过滤功能。使用指南：当打开交换机的 dot1x 地址过滤功能，交换机会对认证者的 MAC 地址进行过滤，只有在 dot1x 地址过滤表中的客户发起的认证请求才能被接受。举例：打开交换机的 MAC 地址过滤功能。Switch(Config)#dot1x macfilter enabledot1x max-req命令：dot1x max-req <count> no dot1x max-req功能：设置交换机在没有收到 suppliant 回应而重新启动认证前，发送 EAP-request/identity帧的最大次数；本命令的 n

33、o 操作为恢复缺省值。参数：<count> 为发送 EAP-request/identity 帧的次数，取值范围为 110。命令模式：全局配置模式缺省情况：最大次数为 2 次。使用指南：用户在配置发送 EAP-request/identity 帧的最大次数时，建议使用缺省值。举例：更改EAP-request/identity 帧的最大次数为 5 次。Switch(Config)#dot1x max-req 5dot1x max-user命令：dot1x max-user <number>no dot1x max-user接入的用户数；本命令的 no 操作为恢复缺省值。的

34、接入用户数，取值范围为 1254。功能：设置指定端口最多参数：<number> 最多命令模式：端口配置模式。缺省情况：每个端口缺省最多接入的用户数为 1。使用指南：本命令只有在端口采用基于 MAC 地址的接入方式时才有效，若通过认证的MAC 地址数量超过最多接入用户数，超出的用户将无法接入网络。举例：设置端口 0/0/3 最多接入 5 个用户。Switch(Config-Ethernet0/0/3)#dot1x max-user 5dot1x port-control命令：dot1x port-control auto|force-authorized|force-unauthor

35、ized|vlanstyle no dot1x port-control功能：设置端口的 802.1x状态；本命令的 no 操作为恢复缺省值。参数：auto 为启动 802.1x 认证，根据交换机和 suppliant 之间的认证来确定端口处于已状态或者非状态；force-authorized 为设置端口为已状态，没有经过认证的数据通过该端口；force-unauthorized 为设置端口为非状态，交换机在该端口不提供对 suppliant 的认证服务，不任何数据通过该端口。Vlanstyle 设置端口为vlan 状态，在vlan 内用户之间的报文传递不需要 802.1x 认证.注意：如果端

36、口配置vlan 状态，端方式必须是基于端口的接入方式，即 portbased。口的接入命令模式：端口配置模式缺省情况：当打开端口的 802.1x 功能，端口缺省为 force-authorized。使能指南：如果端口需要对用户进行 802.1x 认证，必须将端口认证状态设置为 auto。举例：配置端口 1 为需要 802.1x 认证状态。Switch(Config)#interface e 0/0/1Switch(Config-Ethernet0/0/1)#dot1x port-control autodot1x port-method命令：dot1x port-method macbased

37、 | portbased no dot1x port-method功能：设置指定端口的接入方式；本命令的 no 操作用来恢复缺省的接入方式。参数：macbased 为基于 MAC 地址的接入式。命令模式：端口配置模式方式；portbased 为基于端口的接入方缺省情况：端口缺省使用基于 MAC 地址的接入方式。使用指南：基于 MAC 地址的接入方式在安全性和管理性方面均比基于端口的接入方式要优越，建议只有在特殊情况下配置基于端口的接入方式。举例：配置端口 0/0/4 采用基于端口的接入方式。Switch(Config-if<ethernet0/0/4>)#dot1x port-me

38、thod portbaseddot1x re-authenticate命令：dot1x re-authenticate interface <interface-name>功能：设置即时对所有端口或某个指定端口进行 802.1x 重认证，不必等待超时。参数：<interface-name>为端，如果无参数则表示所有端口。命令模式：配置模式使用指南：本命令为模式下令，当配置本命令后，交换机立刻对客户端进行重认证，不需要等待重新认证定时器超时。认证之后，该命令就无效了。举例：对端口 0/0/8 进行即时重认证。Switch#dot1x re-authenticate int

39、erface ether 0/0/8dot1x re-authentication命令：dot1x re-authentication no dot1x re-authentication功能：设置对 suppliant 进行周期性重认证；本命令的 no 操作为关闭该功能。命令模式：全局配置模式缺省情况：缺省情况下周期性重认证功能是关闭的。使用指南：当打开对 suppliant 的周期性重认证功能，交换机会周期性的对 suppliant 进行重新认证。情况下建议不打开周期性重认证功能。举例：打开对认证者进行周期性重认证功能。Switch(Config)#dot1x re-authenticat

40、iondot1x timeout quiet-period命令：dot1x timeout quiet-period <seconds> no dot1x timeout quiet-period功能：设置 suppliant 在认证失败后端口保持静默状态的时间；本命令的 no 操作为恢复缺省值。参数：<seconds>为端口保持静默状态的时间长度值， 命令模式：全局配置模式缺省情况：缺省为 10 秒。使用指南：建议使用缺省值。 举例：设置静默时间为 120 秒。为秒，取值范围为 165535。Switch(Config)#dot1x timeout quiet-per

41、iod 120dot1x timeout re-authperiod命令：dot1x timeout re-authperiod <seconds> no dot1x timeout re-authperiod功能：设置交换机对 suppliant 重认证的时间间隔；本命令的 no 操作为恢复缺省值。参数：<seconds>重认证的时间间隔，为秒，取值范围为 165535。命令模式：全局配置模式 缺省情况：缺省为 3600 秒。使用指南： 在修改交换机对 suppliant 的重认证时间间隔时，必须首先打开 dot1x re-authentication。举例：设置重认

42、证时间为 1200 秒。Switch(Config)#dot1x timeout re-authperiod 1200dot1x timeout tx-period命令：dot1x timeout tx-period <seconds> no dot1x timeout tx-period功能：设置交换机对 suppliant 重发 EAP-request/identity 帧的时间间隔；本命令的 no 操作为恢复缺省值。参数：<seconds>为重新发送 EAP 请求帧的时间间隔，为秒，取值范围为 165535。命令模式：全局配置模式缺省情况：缺省为 30 秒。使用指

43、南：建议使用缺省值。举例：更改重新发送 EAP 请求帧的时间间隔为 1200 秒。Switch(Config)#dot1x timeout tx-period 1200radius-server命令：radius-serverno radius-servering hosting host <ip-address> port <port-number> primary ing host <ip-address>功能：设置RADIUS计费服务器IP地址和服务器。端；本命令的no操作为删除RADIUS 计费参数：<ip-address>服务器的IP

44、地址；<port-number> 为服务器的端，取值范围为；065535；primary为主用服务器，在配置RADIUS服务器时，可以配置多个，使用顺序在没有配置primary时，按配置顺序查找可以使用的RADIUS服务器；如果配置primary，则首先使用这个RADIUS服务器。命令模式：全局配置模式缺省情况：系统没有设置RADIUS计费服务器。使用指南：本命令用于指定与交换机进行计费的 RADIUS 服务器的 IP 地址和端，可以配置多条该命令。其中参数<port-number>用于指定计费端，该端必须与指定的RADIUS 服务器上的计费端相同，缺省为 1813，若

45、将该端配置为 0，计费端口随机产生，可能导致配置无效。本命令可以反复配置多条以指定多台与交换机建立通讯的RADIUS 服务器，交换机将向所有配置计费服务器发送计费报文，所配置的这些计费服务器可以相互做为备份服务器。如果配置 primary，则将此 RADIUS 服务器作为主用服务器。举例：设置 RADIUS 计费服务器的 IP 地址为 100.100.100.60，端服务器。为 3000，并作为主用Switch(Config)#radius-servering host 100.100.100.60 port 3000 primaryradius-server authentication h

46、ost命令：radius-server authentication host <ip-address> port <port-number> primary no radius-server authentication host <ip-address>功能：设置 RADIUS 服务器 IP 地址和服务器。端；本命令的 no 操作为删除 RADIUS 认证参数：<ip-address>服务器的 IP 地址；<port-number>为服务器的065535，其中 0 表示不作认证服务器使用；primary 为主用服务器。命令模式：全

47、局配置模式缺省情况：系统没有设置 RADIUS 认证服务器。端，取值范围为使用指南：本命令用于指定与交换机进行认证的 RADIUS 服务器的 IP 地址和端，可以配置多条该命令。其中参数 port 用于指定认证端，该端必须与指定的 RADIUS 服务器上的认证端相同，缺省为 1812，若将该端配置为 0 则认为该指定的服务器没有认证功能。本命令可以反复配置多条以指定多台与交换机建立通讯的 RADIUS 服务器，其中以配置的顺序作为交换机认证服务器的顺序。如果配置 primary，则将此 RADIUS服务器作为主用服务器。举例：配置 RADIUS 认证服务器地址为 200.1.1.1。Switc

48、h(Config)#radius-server authentication host 200.1.1.1radius-server dead-time命令：radius-server dead-time <minutes>no radius-server dead-time功能：设置 RADIUS 服务器死机后的恢复时间；本命令的 no 操作为恢复缺省配置。参数：<minutes>为 RADIUS 服务器死机的恢复时间值，为分钟，取值范围为 1255。命令模式：全局配置模式缺省情况：缺省为 5 分钟。使用指南：本命令指定交换机等待 RADIUS 服务器由不可状态恢复为

49、可以状态的时间。交换机查知该服务器不能时，交换机将该服务器状态设置成无效状态，超过上述配置间隔时间后，系统将认证服务器状态设置成有效。 举例：配置 RADIUS 服务器死机后的恢复时间为 3 分钟。Switch(Config)#radius-server dead-time 3radius-server key命令：radius-server key <string>no radius-server key功能：设置 RADIUS 服务器（ 服务器的密钥。认证和计费）的密钥；本命令的 no 操作为删除 RADIUS参数：<string>为 RADIUS 服务器的密钥字符

50、串，取值范围不超过 16 个字符。命令模式：全局配置模式使用指南：该密钥为交换机与设置的 RADIUS 服务器进行加密的报文通信使用。该设置的密钥必须与交换机设置的 RADIUS 服务器上的密钥相同，否则将不能进行正确的 RADIUS认证和计费。举例：配置 RADIUS 认证密钥为 test。Switch(Config)# radius-server key testradius-server retransmit命令：radius-server retransmit <retries>no radius-server retransmit功能：设置 RADIUS 认证报文的重传次

51、数；本命令的 no 操作为恢复缺省配置。参数：<retries>为 RADIUS 服务器的重传次数，取值范围为 0100。命令模式：全局配置模式缺省情况：缺省为 3 次。使用指南：本命令指定交换机向 RADIUS 服务器发送数据包后，接收不到 RADIUS 服务器的回应需要重新发送该数据包的次数。在没有收到认证服务器发送的认证时，需向认证服务器重传 AAA 的认证请求。重传 AAA 请求计数达到设定的重传次数并仍没有接收到服务器的回应后，认为该服务器已不能正常工作，交换机将该服务器设置为不可举例：配置 RADIUS 认证报文重传次数为 5 次。Switch(Config)# rad

52、ius-server retransmit 5状态。radius-server timeout命令：radius-server timeout <seconds>no radius-server timeout功能：设置 RADIUS 服务器超时定时器；本命令的 no 操作为恢复缺省配置。参数：<seconds>为 RADIUS 服务器超时定时器值， 命令模式：全局配置模式缺省情况：缺省为 3 秒。为秒，取值范围为 11000。使用指南：本命令指定交换机等待 RADIUS 服务器响应的时间间隔。交换机发送给 RADIUS Server 的请求数据包后，等待接收相应的响应

53、数据包。若在规定的等待时间内没有接收到RADIUS 服务器的回应，则根据当时的状态重新发送请求数据包或将该服务器状态设置为不可。举例：配置 radius 服务器超时定时器为 30 秒。Switch(Config)# radius-server timeout 30show aaa config命令：show aaa config功能：显示交换机作为RADIUS客户端已经有的配置命令。命令模式：模式使用指南：显示交换机是否打开aaa认证、计费功能，及密钥，认证、计费服务器的举例：等。Switch#show aaa config（如果是量，1 代表 TRUE，0 代表 FALSE）AAA conf

54、ig dataIs Aaa Enabled = 1IsEnabled= 1MD5 Server Key = aa authentication server sum = 2authentication server0.Host IP = 30.1.1.30.Udp Port = 1812.Is Primary = 1.Is Server Dead = 0.Socket No = 0 authentication server1.Host IP = 192.168.1.218.Udp Port = 1812.Is Primary = 0.Is Server Dead = 0.Socket No

55、= 0ing server sum = 2ing server0.Host IP = 30.1.1.30.Udp Port = 1813.Is Primary = 1.Is Server Dead = 0.Socket No = 0 ing server1.Host IP = 192.168.1.218.Udp Port = 1813.Is Primary = 0.Is Server Dead = 0.Socket No = 0Time Out = 3 Retransmit = 3 Dead Time = 5Time Interval = 0显示内容描述Is Aaa Enabled显示 AAA 认证功能是否打开。1 为打开；0 为关闭；IsEnabled显示 AAA 计费功能是否打开。1 为打开；0 为关闭；MD5 Server Key显示 RADIUS 服务器的密钥；authentication server sum认证服务器的个数；authentica