AAA及多台Radius冗余设置

1、!Localmethod用于所有AAA服务器都Down之后，采用AAAdownPolicy所需aaaauthorizationnetworkdefaultgroupradiuslocal3.1AAA及多台Radius冗余设置全局设置AAA认证和授权、Radius、启用802.1x，通过telnet命令行登录到交换机上，进入特权模式，配置交换机对RADIUS服务器的支持；运行configureterminal进入到全局配置模式，运行以下命令!启用AAAaaanew-model!创建缺省的登录认证方法列表，采用linepassword认证。aaaauthenticationlogindefault

2、linenone!创建EoU认证方法列表,groupradius表示使用Radius服务进行认证!如果不做EoU认证，不需要下面这条命令aaaauthenticationeoudefaultgroupradius!Localmethod用于所有AAA服务器都Down之后，采用AAAdownPolicy所需aaaauthorizationnetworkdefaultgroupradiuslocal!指定radius服务器IP地址和安全字，可以配置多个做备份!test01为网络设备发送给Radius的测试用“用户名”，可以更改!idle-time3表示网络设备隔多长时间给Radius发送一次Tes

3、tOlradius-serverhostauth-port1812acct-port1813testusernametest01idle-time3keyradiuskeyradius-serverhostO5auth-port1812acct-port1813testusernametestO1idle-time3keyradiuskey!将dead的Radius的优先级降低，缺省情况下不调整优先级别!当已经发现第一个Radiusdead时，如果有认证请求，直接将认证包发给第二个radius-serverretrymethodreorder!指定网络交换机向radius服务器的认证包的重传次

4、数，缺省值为3!减少该值有可以更快地切换到下一台Radius服务器来做认证radius-serverretransmit3!指定认证包的超时，缺省为5秒radius-servertimeout3!交换机发给Radius时，把终端的IP包含在数据包中radius-serverattribute8include-in-access-reqradius-servervsasendauthentication!Localmethod用于所有AAA服务器都Down之后，采用AAAdownPolicy所需aaaauthorizationnetworkdefaultgroupradiuslocal!AAAd

5、eaddetection设置!time5指5秒内Radius不响应算作无应答，tries3指连续3次request没有应答!配置dead-criteria之前，必须配置radius-serverdeadtime命令!Thetriesparametershouldbethesameasthenumberofretransmissionattemptsradius-serverdead-criteriatime5tries3!设置deadtime为3分钟，3分钟后网络设备会再次尝试radius-serverdeadtime3这样就启动了交换机上对RADIUS服务器的支持；32交换机/路由器上EOU

6、设置及AAAdown配置Cisco3750G交换机上配置基于EoU的NAC-L2-IP!创建EoU认证方法列表,groupradius表示使用Radius服务进行认证aaaauthenticationeoudefaultgroupradius!创建ip准入控制名称（NAC-L2-IP是名称，可以自己任意指定）,Event之后为可选!down_polciy指定在AAAServer全部Down的情况下，如何控制终端的访问ipadmissionnameNAC-L2-IPeapoudpeventtimeoutaaapolicyidentitydown_policy!AAAdownpolicy所需ide

7、ntitypolicydown_policyaccess-groupdown_acl!AAAserverdown时，允许终端访问的资源ipaccess-listextendeddown_aclpermitipanyany!启动网络设备的设备追踪功能ipdevicetracking!配置一些EoU的参数!允许网络设备将无代理的设备的信息发送到Radius服务器进行认证（根据IP、Mac地址）eouallowclientless!设置重传的超时和次数。使用30秒、3次这个设置可以避免代理启动过慢被交换机误认为是无代理设备。如果代理启动速度加快了，这两个参数可以适当减小eoutimeoutretra

8、nsmit30eoumax-retry3!配置一个接口默认的ACL,建议至少允许以下几种IP包:udp21862端口（EoU认证需要）、DHCP（获取IP地址）、DNS（允许获取域名的IP地址，以便http可以重定向）、ICMP（允许ping和被ping利于诊断）、LeagView服务器所在的IP地址访问、其它修复服务器的地址（例如反病毒软件安装服务器、补丁服务器等）ipaccess-listextendedinterface_default_aclpermitudpanyanyeq21862permitudpanyeqbootpcanyeqbootpspermitudpanyanyeqdom

9、ainpermiticmpanyanypermitipanyhost0permitipanyhost04denyipanyany!配置一个ACL，用来定义要重定向的Http访问。下例中，假定所有的其它Http访问被重定向到04ipaccess-listextendedquarantine_url_redir_acldenytcpanyhost04eqwwwpermittcpanyanyeqwww注意后面不能有ACLpermittcpanyanyeq443!启动交换机上的Http服务器(如果需要URL重定向功能的话)iphttpserver!在某个端口上启动NAC-L2-IP(例如interfacegiga1/0/1)interfacegiga1/0/1ipaccess-groupinterface_default_aclin