Aruba switch設定Radius server/Tacas server
不管是要做MAC認證或是802.1X認證,甚至是透過外部Server做switch登入帳號的驗證,都
需要設定Radius server。
需要設定Radius server。
設定好Radius server是做外部Server驗證中很重要的一環,也有各種參數可以調整。
基本設定
#radius-server host X.X.X.X 指定Radius Server
#radius-server host X.X.X.X key XXXX 指定Radius Server與Key,後面還可以附加
參數(acct-port/auth-port/oobm)修改radius的port號與指定oobm介面
參數(acct-port/auth-port/oobm)修改radius的port號與指定oobm介面
#ip source-interface radius vlan/ip/loopback 指定來源介面(一台L3設備可能有很多
介面,要指定一個與Radius server溝通的介面)
介面,要指定一個與Radius server溝通的介面)
Server group設定
在Aruba switch裡面存在著Server group的概念,雖然你可以設定15台Radius server,但是
只有前面的三台會加進預設的Server group,(做Radius認證的時候只會去詢問這三台Server)
只有前面的三台會加進預設的Server group,(做Radius認證的時候只會去詢問這三台Server)
透過指令將已經設定好的Radius server加進特定的server group
#aaa server-group radius XXX host X.X.X.X
透過指令檢視server-group設定
#show server-group radius
可以注意到一台radius server可以被新增進不同的server group
可以透過指令讓不同的驗證服務找不同Server group的Radius server,可以做到802.1X認證
找某三台Server,登入switch的radius認證找另外三台Server的設定。
找某三台Server,登入switch的radius認證找另外三台Server的設定。
#aaa authentication ssh/telnet/web/console login radius server-group XXX
為ssh/telnet/web/console登入指定某個Server group
#aaa authentication port-access eap-radius server-group XXX
為802.1X認證指定某個Server group
Radius server相關時間參數設定
預設Aruba switch會去詢問Radius server,如果5秒內沒有回應(timeout),則會
再問一次(retransmit),因為retransmit的預設值是3,所以會連續問1+3次,共20秒。
再問一次(retransmit),因為retransmit的預設值是3,所以會連續問1+3次,共20秒。
20秒都問不到Radius server,則會依照Server group裡的radius清單,繼續詢問'
下一台Radius server,三台都問完之後,會從第一台開始問。
下一台Radius server,三台都問完之後,會從第一台開始問。
這時候可以設定時間間隔(dead-time),來讓switch不會一直去反覆詢問Radius server
#radius-server timeout <1-15> 設定timeout時間,預設5秒
#radius-server retransmit <1-5> 設定重問次數,預設3次
#radius-server dead-time <1-1440> 設定dead-time(分鐘)
#show radius 檢視相關設定
CPPM 相關指令
radius-server host X.X.X.X dyn-authorization
radius-server host X.X.X.X time-window 0
Radius server tracking
透過啟用Radius server tracking,Aruba switch會成為Radius client
去跟Radius做認證來確保Radius server的可用性
去跟Radius做認證來確保Radius server的可用性
#radius-server tracking enable 啟用tracking
#radius-server tracking interval <60-86400> 設定認證間隔時間
#radius-server tracking user-name 設定user-name
檢視Aruba switch與Radius server互動的狀態
雖然可以透過show radius來檢視radius server是否存活(後面帶*號的)
但是如果想要觀察更細節的狀態,請啟用debug
#debug destination session 將debug的訊息送到session畫面
#debug security radius-server 啟用radius server的debug
Tacas server
#tacacs-server host X.X.X.X key XXX 設定Tacas server的IP/Key
#tacacs-server timeout <1-255>
#tacacs-server dead-time <0-1440>
#show tacacs 檢視設定
Tacas server不支援Server group,最多可以設定3台Tacas server
#aaa authentication telnet enable tacacs 設定telnet進enable mode使用tacas
#aaa authentication telnet login tacacs設定telnet login 使用tacas
#aaa authentication ssh enable tacacs 設定ssh進enable mode使用tacas
#aaa authentication ssh login tacacs設定ssh login 使用tacas
tacas的指令後面可以再接 none/local來指定是否使用第二種認證方式
#show authentication 檢視目前認證設定的狀態
沒有留言:
張貼留言