取消
显示结果 
搜索替代 
您的意思是: 
cancel
175
查看次数
1
有帮助
4
回复

在Cisco 2960 配置两台radius认证服务

lizongqun
Level 1
Level 1

写了两条Radius服务器,这两个Radius是否构成主备关系?并且顺序是10.0.0.1是主?

例如:
radius-server host 10.0.0.1 auth-port 1812acct-port 1813 key cams
radius-server host 10.0.0.2 auth-port 1812acct-port 1813 key cams
接口配置:
Cisco_oa01# interface GigabitEthernet1/0/34
switchport access vlan 207
switchport mode access
authentication port-control auto
dot1x timeout quiet-period 10
dot1x timeout server-timeout 4
dot1x timeout tx-period 4
dot1x timeout supp-timeout 4
dot1x max-req 5
end
 
Cisco_oa01# show dot1x interface g1/0/34
Dot1x Info for GigabitEthernet1/0/34
-----------------------------------
PAE = AUTHENTICATOR
QuietPeriod = 10
ServerTimeout = 4
SuppTimeout = 4
ReAuthMax = 2
MaxReq = 5
TxPeriod = 4
 
当前现象:
当10.0.0.1发生故障后,客户端无法通过10.0.0.2认证成功,需要将10.0.0.1认证配置删除后,才可以正常认证。请问一下这是什么原因?
4 条回复4

尝试配置一下Timeout和retry的参数吧。

radius-server host <主机IP1> auth-port 1812 acct-port 1813 key <密钥> timeout 2 retransmit 2
radius-server host <主机IP2> auth-port 1812 acct-port 1813 key <密钥>

如果支持配置deadtime,也可以配置一下。

Switch(config)#radius-server deadtime ?
<1-1440> time in minutes

Switch(config)#radius-server deadtime 2

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

很高兴能收到回复:

以下是我根据你提供的方式进行验证,以及我最终的解决办法;

1、输入完秘钥后,后面没有可用的参数了;

lizongqun_0-1731900491454.png

2、我们并没有配置这条命令adius-server deadtime,但配置了其他的检测条件,如下图

lizongqun_1-1731918325056.png

当前使用的解决方案:

配置两条Raidus服务,并将他们加入到一个radius组里面,如下图

lizongqun_2-1731918494147.png

lizongqun_3-1731918610030.png

 

 

这样也简单明了,通过aaa命令的group 1,group 2来控制顺序。

既然支持新的配置方式,还是使用新的配置方式为好。这至少是前面没提到的一个解决方案,点赞。:)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !

ilay
VIP
VIP

默认情况下是主备的,如果指定了aaa group那么依照aaa group中的顺序。

可以通过show run all | in radius看下交换机默认配置中是否包含timeout和retransmit的设置,如果不包含可以尝试一下手动配置一下该参数,全局模式下直接配置即可 (12.2(50)版本show run all 里面是不显示默认timeout和retransmit的配置的,可以在配置命令下用?验证一下是否存在默认配置,见末尾示例)

另外接口下dot1x max-req 5可以适当修改一下,默认配置是2,尝试5次感觉还是稍稍多了点。

deadtime可以加一下也是全局下配置即可,如果有aaa group则在group内配置,

看你贴的配置里面少了dot1x pae authenticator,确认一下实际有没有配置这个吧,802.1x需要配置这条命令

看你描述的问题,感觉可能是重试的次数有点多了,失效的server一直没标记为失效

===

Switch Ports Model SW Version SW Image
------ ----- ----- ---------- ----------
* 1 50 WS-C2918-48TT-C 12.2(50)SE5 C2918-LANLITEK9-M


Configuration register is 0xF

SW1(config)# radius-server timeout ?
<1-1000> Wait time (default 5 seconds)

SW1(config)#ra
SW1(config)#radius-server retransmit ?
<0-100> Number of retries for a transaction (default is 3)

快捷链接