分类： 网络

一、 组网需求
配置服务器失效旁路认证后，当设备上配置的所有RADIUS服务器都不可达的时候，允许新接入的认证用户访问
网络。

二、组网图

三、 配置要点
● 在端口上开启802.1x认证。
● 配置RADIUS服务器可达性检测。
● 配置服务器失效旁路认证。 。

四、 配置步骤
(1) 在端口上开启802.1x基本功能

(2) 配置RADIUS服务器可达性检测标准，此处配置服务器不可达的标准为连续超时5次，超时时间为60秒。
Device> enable
Device# configure terminal
Device(config)# radius-server dead-criteria time 60 tries 5

(3) 配置服务器失效旁路认证。
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x critical

五、验证配置结果
当所有的RADIUS服务器不可达时，终端发起802.1x认证后可直接访问网络，并不会因为服务器不可达而导致认
证失败。

六、配置文件
!
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 test username testname key 7 $10$3b4$ln0s66i8XfEi$
radius-server dead-criteria time 60 tries 5
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
dot1x critical
!

七、常见错误
● 存在RADIUS服务器未失效。
● 802.1x认证方法列表中除了RADIUS方法，还包含了其他方法。

 

一、 组网需求
多MAB认证适用于一个端口下有多个哑终端的场景。配置多MAB认证后，端口下的每个哑终端需要各自认证通过
才可以访问网络。

二、组网图

三、 配置要点
● 在端口上开启802.1x认证。
● 配置多MAB认证功能。

四、 配置步骤
(1) 在端口上开启802.1x基本功能

(2)配置多MAB认证功能。
Device> enable
Device# configure terminal
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x mac-auth-bypass multi-user

五、验证配置结果
端口下接入哑终端设备A和B。
(1) 若RADIUS服务器上添加终端A的MAC账号，则设备A能正常接入网络，设备B无法接入网络。
(2) 只有RADIUS服务器上同时添加终端A和B的MAC账号时，A和B才都可以正常接入网络。

六、配置文件
!
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 key 7 $10$3b4$ln0s66i8XfEi$
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
dot1x mac-auth-bypass multi-user
!

七、常见错误
服务器上的MAC账号格式不准确。

 

一、 组网需求
配置IP授权后，只允许指定IP地址的客户端认证通过。

二、组网图

三、 配置要点
● 在端口上开启802.1x认证。
● 配置IP授权模式。

四、 配置步骤
(1) 在端口上开启802.1x基本功能

(2) 配置Supplicant授权模式。
Device> enable
Device# configure terminal
Device(config)# aaa authorization ip-auth-mode supplicant

五、验证配置结果
客户端使用非指定的IP地址无法认证通过。

六、配置文件
!
aaa authorization ip-auth-mode supplicant
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 key 7 $10$3b4$ln0s66i8XfEi$
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
!

七、常见错误
●  网络中可能存在多种认证客户端，在开启过滤非锐捷客户端功能后，导致部分终端无法认证。
● 使用锐捷SAM/SMP，但是设备未配置SNMP参数导致踢线功能失败。

 

一、 组网需求
在设备端口上开启802.1x基本功能，从该端口上接入设备的终端需要通过802.1x认证才可访问网络。

二、组网图

三、 配置要点
● 配置RADIUS server，在RADIUS server上添加802.1x用户。
● 开启AAA服务。
● 配置服务器地址和密钥。
● 配置认证和记账方法列表。
● 应用认证和记账方法列表。
●在接口上开启802.1x基本功能。

四、 配置步骤
(1) 配置RADIUS server，在RADIUS server上添加802.1x用户，用户名为hostname1，密码为password1。

(2) 开启AAA服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

(3) 配置AAA server服务器地址和共享密钥（此处以RADIUS服务器为例，地址为192.168.1.3，共享密钥为
radiuskey）。
Device(config)# radius-server host 192.168.1.3 key radiuskey

(4) 配置认证和记账方法列表。
Device(config)# aaa authentication dot1x auth-method group radius
Device(config)# aaa accounting network account-method start-stop group radius

(5) 应用认证和记账方法列表。
Device(config)# dot1x authentication auth-method
Device(config)# dot1x accounting account-method

(6) 在接口上开启802.1x基本功能。
Device(config)# int gigabitEthernet 0/1
Device(config-if-GigabitEthernet 0/1)# dot1x port-control auto

五、验证配置结果
# 使用账号认证通过前无法访问网络资源；认证通过后可访问网络资源。
# 使用show dot1x summary查看认证通过的用户。

六、配置文件
!
dot1x authentication auth-method
dot1x accounting account-method
!
aaa new-model
!
radius-server host 192.168.1.3 key 7 $10$3b4$ln0s66i8XfEi$
!
aaa accounting network account-method start-stop group radius
aaa authentication dot1x auth-method group radius
!
interface GigabitEthernet 0/1
dot1x port-control auto
!

七、常见错误
● RADIUS参数配置错误。
●  服务器有特殊的接入策略，例如要求RADIUS报文必须携带某些属性等。
●  AAA方法列表和802.1x方法类表不一致导致无法认证。

 

一、 组网需求
配置TACACS+可达性检测，用于发现处于不可达状态的TACACS+服务器

二、组网图

三、 配置要点
● 配置全局TACACS+服务器不可达的判定标准。
● 配置TACACS+服务器的IP地址，指定主动探测的相关参数。

四、 配置步骤
# 配置全局TACACS+服务器不可达的判定标准为连续5次探测超时，超时时间为120秒。
Device> enable
Device# configure terminal
Device(config)# radius-server dead-criteria time 120 tries 5

# 配置TACACS+服务器的IP地址为192.168.1.3，探测用户名为test，探测间隔为90分钟。
Device(config)# tacacs-server host 192.168.1.3 test username test idle-time 90

 

五、验证配置结果
使设备与192.168.1.22服务器网络通讯断开。通过设备进行TACACS+认证。120秒后，使用命令show tacacs命
令查看服务器状态为Dead。
Hostname# show tacacs server

六、配置文件
!
tacacs-server host 192.168.1.3 test username test idle-time 90
tacacs-server dead-criteria time 120 tries 5
!

 

一、 组网需求
用户的认证、授权和记账三种服务使用不同的TACACS+服务器组。

二、组网图

三、 配置要点
● 在TACACS+ server上配置设备信息、添加Login用户等。
● 在设备上开启AAA安全服务。
● 在设备上配置TACACS+服务器信息，并将其加入不同的TACACS+服务器组。
● 配置TACACS+的认证、授权和记账方法列表。
● 在特定线路上应用TACACS+认证、授权和记账方法。

四、 配置步骤
(1) 在TACACS+服务器上配置设备信息、添加Login用户

(2) 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

(3) 配置TACACS+服务器A，并将其加入TACACS+服务器组tacacs1。（此处TACACS+服务器A的地址为
192.168.1.3，共享密钥为sharekey）。
Device(config)# tacacs-server host 192.168.1.3 key sharekey
Device(config)# aaa group server tacacs+ tacacs1
Device(config-gs-tacacs+)# server 192.168.1.3
Device(config-gs-tacacs+)# exit

(4) 参照配置服务器组tacacs1的步骤，依次配置服务器组tacacs2和tacacs3。
Device(config)# tacacs-server host 192.168.1.4 key sharekey
Device(config)# aaa group server tacacs+ tacacs2
Device(config-gs-tacacs+)# server 192.168.1.4
Device(config-gs-tacacs+)# exit
Device(config)# tacacs-server host 192.168.1.5 key sharekey
Device(config)# aaa group server tacacs+ tacacs3
Device(config-gs-tacacs+)# server 192.168.1.5
Device(config-gs-tacacs+)# exit

(5) 配置认证方法列表使用服务器组tacacs1、授权方法列表使用服务器组tacacs2、记账方法列表使用服务器组
tacacs3。
Device(config)# aaa authentication login tacacs-method group tacacs1
Device(config)# aaa authorization exec radius-method group tacacs2
Device(config)# aaa accounting exec radius-method start-stop group tacacs3

(6) 在线路上应用认证方法。
Device(config)# line vty 0 4
Device(config-line)# login authentication tacacs1
Device(config-line)# authorization exec tacacs2
Device(config-line)# accounting exec tacacs3

 

五、验证配置结果
# 用户输入在TACACS+服务器A上配置的合法用户名密码后，能够成功登录设备。
User Access Verification
Username:hostname1
Password:password1
Device#

# 登录设备后，用户只拥有TACACS+服务器B授予的权限级别，仅能运行该权限级别下的命令。
# 用户退出登录后，在TACACS+服务器C上能够查看到该用户的记账信息。

六、配置文件
!
aaa new-model
!
aaa accounting exec radius-method start-stop group tacacs3
aaa authorization exec radius-method group tacacs2
aaa authentication login radius-method group tacacs1
!
tacacs-server host 192.168.1.3 key 7 $10$275$g8oXDDIPVeA=$
tacacs-server host 192.168.1.4 key 7 $10$275$g8oXDDIPVeA=$
tacacs-server host 192.168.1.5 key 7 $10$275$g8oXDDIPVeA=$
!
!
aaa group server tacacs+ tacacs1
server 192.168.1.3
!
aaa group server tacacs+ tacacs2
server 192.168.1.4
!
aaa group server tacacs+ tacacs3
server 192.168.1.5
!
line console 0
line vty 0 4
accounting exec tacacs3
authorization exec tacacs2
login authentication tacacs1
!

七、常见错误
●设备配置的共享密钥与RADIUS服务器使用的共享密钥不一致。
● 向服务器组加入未定义的服务器。

 

一、 组网需求
Login用户通过TACACS+服务器实现认证。

二、组网图

三、 配置要点
● 在TACACS+ server上配置设备信息、添加Login用户等。
● 在设备上开启AAA安全服务。
● 在设备上配置TACACS+服务器信息。
● 配置TACACS+的认证方法列表。
● 在特定线路上应用TACACS+认证方法。

四、 配置步骤
(1) 在TACACS+服务器上配置设备信息、添加Login用户

(2) 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

(3) 配置TACACS+服务器（此处TACACS+服务器地址为192.168.1.3，共享密钥为sharekey）。
Device(config)# tacacs-server host 192.168.1.3 key sharekey

(4) 配置认证方法列表。
Device(config)# aaa authentication login tacacs-method group tacacs+

(5) 在线路上应用认证方法。
Device(config)# line vty 0 4
Device(config-line)# login authentication tacacs-method

 

五、验证配置结果
# 用户输入正确的用户名密码后，能够成功登录设备。
User Access Verification
Username:hostname1
Password:password1
Device#

六、配置文件
!
aaa new-model
!
aaa authentication login tacacs-method group tacacs+
!
tacacs-server host 192.168.1.3 key 7 $10$275$g8oXDDIPVeA=$
!
line console 0
line vty 0 4
login authentication tacacs-method
!

七、常见错误
设备配置的共享密钥与TACACS+服务器使用的共享密钥不一致。

 

一、 组网需求
配置RADIUS可达性检测，用于发现处于不可达状态的RADIUS服务器。

二、组网图

三、 配置要点
● 配置全局RADIUS服务器不可达的判定标准。
● 配置RADIUS服务器的IP地址，指定主动探测的相关参数。

四、 配置步骤
# 配置全局RADIUS服务器不可达的判定标准为连续5次探测超时，超时时间为120秒。
Device> enable
Device# configure terminal
Device(config)# radius-server dead-criteria time 120 tries 5

# 配置RADIUS服务器的IP地址为192.168.1.3，探测用户名为test，探测间隔为90分钟，并关闭对服务器认证端
口的检测。
Device(config)# radius-server host 192.168.1.3 test username test ignore-acct-port idle-time 90

 

五、验证配置结果
使设备与192.168.1.3服务器网络通讯断开。通过设备进行RADIUS认证。120秒后，使用命令show radius
server命令查看服务器状态为Dead。

六、配置文件
!
radius-server host 192.168.1.3 test username test ignore-acct-port idle-time 90 key 7
$10$275$g8oXDDIPVeA=$
radius-server dead-criteria time 120 tries 5
!

 

一、 组网需求
Login用户通过RADIUS服务器实现认证、授权和记账。

二、组网图

三、 配置要点
● 在RADIUS server上配置设备信息、添加Login用户等。
● 在设备上开启AAA安全服务。
● 在设备上配置RADIUS服务器信息。
● 配置RADIUS的认证方法列表、授权方法列表、记账方法列表。
● 在特定线路上应用RADIUS认证、授权、记账方法。

四、 配置步骤
(1) 在RADIUS服务器上配置设备信息、添加Login用户。

(2) 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

(3) 配置RADIUS服务器（此处RADIUS服务器地址为192.168.1.3，共享密钥为sharekey）。
Device(config)# radius-server host 192.168.1.3 key sharekey

(4) 配置认证、授权和记账方法列表。
Device(config)# aaa authentication login radius-method group radius
Device(config)# aaa authorization exec radius-method group radius
Device(config)# aaa accounting exec radius-method start-stop group radius

(5) 在线路上应用认证、授权和记账方法。
Device(config)# line vty 0 4
Device(config-line)# login authentication radius-method
Device(config-line)# authorization exec radius-method
Device(config-line)# accounting exec radius-method

 

五、验证配置结果
# 用户输入正确的用户名密码后，能够成功登录设备。

# 登录设备后，用户只拥有服务器授予的权限级别，仅能运行该权限级别下的命令。
# 用户退出登录后，在RAIDUS上能够查看到该用户的记账信息。

六、配置文件
!
aaa new-model
!
aaa accounting exec radius-method start-stop group radius
aaa authorization exec radius-method group radius
aaa authentication login radius-method group radius
!
radius-server host 192.168.1.3 key 7 $10$275$g8oXDDIPVeA=$
!
line console 0
line vty 0 4
accounting exec radius-method
authorization exec radius-method
login authentication radius-method
!
七、常见错误
● 设备配置的共享密钥与RADIUS服务器使用的共享密钥不一致。

 

一、 组网需求
创建一个域并为该域指定安全方法列表后，属于该域的用户使用该域的安全方法进行认证、授权、记账。

二、组网图

三、 配置要点
● 使用RADIUS认证和记账，需要提前配置RADIUS服务器。
● 开启AAA安全服务。
● 配置AAA安全方法列表。
● 开启基于域名的AAA服务。
● 创建域。
● 在指定域中关联AAA方法列表。
● 配置域属性。

四、 配置步骤
(1) 开启AAA安全服务。
Device> enable
Device# configure terminal
Device(config)# aaa new-model

(2) 配置AAA服务器（此处以RADIUS服务器为例）。
Device(config)# radius-server host 192.168.1.2 key radiuskey

(3) 配置AAA安全方法列表。
Device(config)# aaa authentication dot1x default group radius
Device(config)# aaa accounting network list3 start-stop group radius

(4) 开启基于域名的AAA服务。
Hostname(config)# aaa domain enable

(5) 创建域并配置域属性。
Device(config)# aaa domain domain.com
Device(config-aaa-domain)# authentication dot1x default
Device(config-aaa-domain)# accounting network list3
Device(config-aaa-domain)# username-format without-domain

 

五、验证配置结果
在设备上使用show aaa domain命令查看域配置。
Device# show aaa domain domain.com

六、配置文件
!
aaa new-model
aaa domain enable
!
aaa domain domain.com
authentication dot1x default
accounting network list3
username-format without-domain
!
aaa accounting network list3 start-stop group radius
aaa authentication dot1x default group radius
!
radius-server host 192.168.1.2 key radiuskey
!

七、常见错误
● 使用本地方法提供AAA安全服务时，未在本地数据库中配置用户信息。
● 使用远程服务器组方法提供AAA安全服务时，未配置RADIUS/TACACS+服务器，未在服务器上配置用户信
息。