AAA及多台Radius冗余设置

1、3.1 AAA 及多台 Radius 冗余设置全局设置AAA认证和授权、Radius、启用802.1x，通过tel net命令行登录到交换机上，进入特权模式，配置交换机对 RADIUS 服务器的支持；运行 configure terminal 进入到全局配置模式，运行以下命令! 启用 AAAaaa new-model! 创建缺省的登录认证方法列表，采用 line password 认证。aaa authentication login default line none!创建 EoU 认证方法列表 , group radius 表示使用 Radius 服务进行认证! 如果不做 EoU 认证，不

2、需要下面这条命令aaa authentication eou default group radius! Local method 用于所有 AAA 服务器都 Down 之后，采用 AAA down Policy 所需aaa authorization network default group radius local!指定radius服务器IP地址和安全字，可以配置多个做备份!testO1为网络设备发送给Radius的测试用 用户名”，可以更改!idle-time 3表示网络设备隔多长时间给Radius发送一次TestOIradius-server host aut

3、h-port 1812 acct-port 1813 test username test01 idle-time 3 key radiuskeyradius-server host O5 auth-port 1812 acct-port 1813 test username testO1 idle-time 3 key radiuskey!将dead的Radius的优先级降低，缺省情况下不调整优先级别!当已经发现第一个Radius dead时，如果有认证请求，直接将认证包发给第二个radius-server retry method reorder! 指定网络交换机向

4、radius 服务器的认证包的重传次数，缺省值为 3! 减少该值有可以更快地切换到下一台 Radius 服务器来做认证radius-server retransmit 3!指定认证包的超时，缺省为 5 秒radius-server timeout 3! 交换机发给 Radius 时，把终端的 IP 包含在数据包中radius-server attribute 8 include-in-access-req radius-server vsa send authentication! Local method 用于所有 AAA 服务器都 Down 之后，采用 AAA down Policy 所需

5、aaa authorization network default group radius local!AAA dead detection 设置!time 5 指 5 秒内 Radius 不响应算作无应答， tries 3 指连续 3 次 request 没有应答!配置 dead-criteria 之前，必须配置 radius-server deadtime 命令! The tries parameter should be the same as the number of retransmission attempts radius-server dead-criteria time

6、5 tries 3!设置deadtime为3分钟，3分钟后网络设备会再次尝试radius-server deadtime 3这样就启动了交换机上对 RADIUS 服务器的支持；3.2交换机/路由器上 EOU 设置及 AAA down 配置Cisco 3750G交换机上配置基于 EoU的NAC-L2-IP! 创建 EoU 认证方法列表 , group radius 表示使用 Radius 服务进行认证aaa authentication eou default group radius! Local method 用于所有 AAA 服务器都 Down 之后，采用 AAA down Policy

7、所需aaa authorization network default group radius local!创建ip准入控制名称（NAC-L2-IP是名称，可以自己任意指定）,Event之后为可选!down_polciy 指定在 AAA Server 全部 Down 的情况下，如何控制终端的访问ip admission name NAC-L2-IP eapoudp event timeout aaa policy identity down_policy!AAA down policy 所需identity policy down_policyaccess-group down_acl!AA

8、A server down 时，允许终端访问的资源ip access-list extended down_aclpermit ip any any! 启动网络设备的设备追踪功能ip device tracking! 配置一些 EoU 的参数!允许网络设备将无代理的设备的信息发送到Radius服务器进行认证（根据IP、Mac地址） eou allow clientless!设置重传的超时和次数。 使用 30 秒、3次这个设置可以避免代理启动过慢被交换机误认为 是无代理设备。如果代理启动速度加快了，这两个参数可以适当减小eou timeout retransmit 30eou max-retry

9、 3!配置一个接口默认的 ACL ,建议至少允许以下几种 IP包：udp21862端口（ EoU认证需要）、DHCP （获取 IP 地址）、 DNS （允许获取域名的 IP 地址，以便 http 可以重定向）、 ICMP （允许 ping 和被 ping 利于诊断）、 LeagView 服务器所在的 IP 地址访问、其它修复服务器 的地址（例如反病毒软件安装服务器、补丁服务器等）ip access-list extended interface_default_aclpermit udp any any eq 21862permit udp any eq bootpc any eq bootp

10、spermit udp any any eq domainpermit icmp any anypermit ip any host 0permit ip any host 04deny ip any any! 配置一个 ACL ，用来定义要重定向的 Http 访问。下例中，假定所有的其它 Http 访问被重 定向到 04 ip access-list extended quarantine_url_redir_acl deny tcp any host 04 eq www permit tcp any any eq wwwpermit tcp any any eq 443ACL! 启动交换机上的 Http 服务器（如果需要 URL 重定向功能的话），注意后面不能有 ip http server!在某个端口上启动 NAC-L2-IP （例如 interface giga 1/0/1 ）interface giga 1/0/1ip access-group interface_default_acl i