AAA和多台Radius冗余设置.docxVIP

3.1 AAA及多台Radius冗余设置全局设置AAA认证与授权、Radius、启用802.1x，通过telnet命令行登录到交换机上，进入特权模式，配置交换机对RADIUS服务器的支持；运行configure terminal进入到全局配置模式，运行以下命令?!!启用 AAAaaa new-model??!!创建缺省的登录认证方法列表，采用line password认证。aaa authentication login default line none?!!创建EoU认证方法列表, group radius表示使用Radius服务进行认证!!如果不做EoU认证，不需要下面这条命令aaa authentication eou default group radius!!!! Local method用于所有AAA服务器都Down之后，采用AAA down Policy所需aaa authorization network default group radius local??!!指定radius服务器IP地址与安全字，可以配置多个做备份!!test01为网络设备发送给Radius的测试用“用户名”，可以更改!!idle-time 3表示网络设备隔多长时间给Radius发送一次Test01radius-server host auth-port 1812 acct-port 1813 test username test01 idle-time 3 key radiuskeyradius-server host 05 auth-port 1812 acct-port 1813 test username test01 idle-time 3 key radiuskey?!!将dead的Radius的优先级降低，缺省情况下不调整优先级别!!当已经发现第一个Radius dead时，如果有认证请求，直接将认证包发给第二个radius-server retry method reorder!!指定网络交换机向radius服务器的认证包的重传次数，缺省值为3!! 减少该值有可以更快地切换到下一台Radius服务器来做认证radius-server retransmit 3!!指定认证包的超时，缺省为5秒radius-server timeout 3!!交换机发给Radius时，把终端的IP包含在数据包中radius-server attribute 8 include-in-access-reqradius-server vsa send authentication?!!AAA dead detection设置!!time 5指5秒内Radius不响应算作无应答，tries 3指连续3次request没有应答!!配置dead-criteria之前，必须配置radius-server deadtime命令!! The tries parameter should be the same as the number of retransmission attemptsradius-server dead-criteria time 5 tries 3!!设置deadtime为3分钟，3分钟后网络设备会再次尝试radius-server deadtime 3?这样就启动了交换机上对RADIUS服务器的支持；?3.2交换机/路由器上EOU设置及AAA down配置Cisco 3750G交换机上配置基于EoU的NAC-L2-IP?!!创建EoU认证方法列表, group radius表示使用Radius服务进行认证aaa authentication eou default group radius!! Local method用于所有AAA服务器都Down之后，采用AAA down Policy所需aaa authorization network default group radius local?!!创建ip准入控制名称(NAC-L2-IP是名称，可以自己任意指定),Event之后为可选!!down_polciy指定在AAA Server全部Down的情况下，如何控制终端的访问ip admission name NAC-L2-IP eapoudp event timeout aaa policy identity down_policy?!!AAA down policy所需identity policy down_policy?access-group down_acl!!AAA server down时，允许终端访问的资源ip access-list extended down_acl?permit ip any any?!!