Cisco
我可以讓cisco路由器像radius伺服器一樣工作嗎?
我需要在我的 cisco 路由器上配置本地半徑身份驗證。我有一個 Web 應用程序,我們在其中實現了雙因素身份驗證,它可以與 freeRadius 等其他半徑伺服器一起正常工作。
我設法將 Access-Request 發送到 cisco 路由器,但路由器總是發回 Access-Reject 數據包。
顯示執行配置
aaa new-model aaa session-id common radius-server local no authentication mac nas 192.168.0.8 key 0 testing_new user test2 nthash 0 0CB6948805F797BF2A82807973B89537 ! radius-server host 192.168.0.1 auth-port 1812 acct-port 1813 key testing_new
當我跑步時,
show radius local-server statistics
我得到Successes : 0 Unknown usernames : 0 Client blocks : 0 Invalid passwords : 0 Unknown NAS : 16 Invalid packet from NAS: 11 NAS : 192.168.0.8 Successes : 0 Unknown usernames : 0 Client blocks : 0 Invalid passwords : 0 Corrupted packet : 0 Unknown RADIUS message : 6 No username attribute : 1 Missing auth attribute : 0 Shared key mismatch : 0 Invalid state attribute: 0 Unknown EAP message : 0 Unknown EAP auth type : 0 Auto provision success : 0 Auto provision failure : 0 PAC refresh : 0 Invalid PAC received : 0
我沒有找到適合我的案例的配置,也不知道是否可行?任何想法我在我的思科配置中缺少什麼?
您缺少伺服器。不,您不能將路由器設置為伺服器。本地身份驗證不是 RADIUS。RADIUS 的全部意義在於使用不同的機器進行身份驗證。您設置的 IP
radius-server host
必須是 RAIDUS 伺服器的 IP。即使您的路由器會以某種方式支持這一點(一些新型號支持內置 RADIUS 伺服器,但這只適用於 LEAP),這不是推薦的做法,因為大多數常用路由器幾乎沒有足夠的資源來完成他們的主要任務. 做一個 RADIUS 可能會導致性能顯著下降。
如果您不想使用物理機,您可以通過將無線 AP 變成 RADIUS 伺服器來作弊。