Cisco

我可以讓cisco路由器像radius伺服器一樣工作嗎?

  • February 22, 2019

我需要在我的 cisco 路由器上配置本地半徑身份驗證。我有一個 Web 應用程序,我們在其中實現了雙因素身份驗證,它可以與 freeRadius 等其他半徑伺服器一起正常工作。

我設法將 Access-Request 發送到 cisco 路由器,但路由器總是發回 Access-Reject 數據包。

顯示執行配置

aaa new-model
aaa session-id common

radius-server local
 no authentication mac
 nas 192.168.0.8 key 0 testing_new
 user test2 nthash 0 0CB6948805F797BF2A82807973B89537

!
radius-server host 192.168.0.1 auth-port 1812 acct-port 1813 key testing_new

當我跑步時,show radius local-server statistics我得到

Successes              : 0           Unknown usernames      : 0
Client blocks          : 0           Invalid passwords      : 0
Unknown NAS            : 16          Invalid packet from NAS: 11

NAS : 192.168.0.8
Successes              : 0           Unknown usernames      : 0
Client blocks          : 0           Invalid passwords      : 0
Corrupted packet       : 0           Unknown RADIUS message : 6
No username attribute  : 1           Missing auth attribute : 0
Shared key mismatch    : 0           Invalid state attribute: 0
Unknown EAP message    : 0           Unknown EAP auth type  : 0
Auto provision success : 0           Auto provision failure : 0
PAC refresh            : 0           Invalid PAC received   : 0

我沒有找到適合我的案例的配置,也不知道是否可行?任何想法我在我的思科配置中缺少什麼?

您缺少伺服器。不,您不能將路由器設置為伺服器。本地身份驗證不是 RADIUS。RADIUS 的全部意義在於使用不同的機器進行身份驗證。您設置的 IPradius-server host必須是 RAIDUS 伺服器的 IP。

即使您的路由器會以某種方式支持這一點(一些新型號支持內置 RADIUS 伺服器,但這只適用於 LEAP),這不是推薦的做法,因為大多數常用路由器幾乎沒有足夠的資源來完成他們的主要任務. 做一個 RADIUS 可能會導致性能顯著下降。

如果您不想使用物理機,您可以通過將無線 AP 變成 RADIUS 伺服器來作弊。

引用自:https://serverfault.com/questions/955252