RADIUS认证

Question

我在我的交换机上配置RADIUS身份验证，但它不工作，我不知道为什么。

我的配置非常简单：

aaa new-model
aaa group server radius RADIUS-ACTIF
  server x.x.x.x auth-port 1812 acct-port 1813
  server y.y.y.y auth-port 1812 acct-port 1813
  ip radius source-interface Vlan10
  deadtime 1
aaa authentication attempts login 5
aaa authentication password-prompt Secured-Password:
aaa authentication username-prompt Secured-Username:
aaa authentication login default local
aaa authentication login RADIUS-ACTIF group RADIUS-ACTIF local
aaa authentication enable default enable
aaa authorization exec default group RADIUS-ACTIF local
aaa session-id common

line vty 0 4
    login authentication RADIUS-ACTIF

问题是:在我的ACS服务器上“失败的尝试”上，我看不到任何事情发生。没有我试图进行身份验证的日志。

从我的交换机可以通过ping连接到ACS服务器。我尝试使用test命令测试RADIUS访问:在不到2/3秒之后，我会让用户拒绝反馈，所以我想我可以访问RADIUS，但甚至在提交凭据之前我就被阻塞了。这是一个非常奇怪的行为。

有人知道为什么会发生这种事吗？

我还应该说，完全相同的配置正在一个交换机上工作(尽管是在不同的IP计划上)。

谢谢

Answer 1

根据我的经验，在处理AAA和Radius时最常见的两个问题是：

• 在RADIUS服务器或NAC (Radius客户端)上拼写错误/缺少预共享密钥
• Radius服务器错过该配置以允许来自客户端的请求。

通过注释进行故障排除，结果发现路由器上丢失了预共享密钥。

要添加此内容，只需键入：

(config)#radius-server host x.x.x.x auth-port 1812 acct-port 1813 key ***

或(定义默认键)：

(config)#radius-server key ***

如果您对更通用的故障排除方法感兴趣，请在这里：RADIUS和TACACS+故障排除