我可以讓cisco路由器像radius伺服器一樣工作嗎？

我需要在我的 cisco 路由器上配置本地半徑身份驗證。我有一個 Web 應用程序，我們在其中實現了雙因素身份驗證，它可以與 freeRadius 等其他半徑伺服器一起正常工作。

我設法將 Access-Request 發送到 cisco 路由器，但路由器總是發回 Access-Reject 數據包。

顯示執行配置

aaa new-model
aaa session-id common

radius-server local
 no authentication mac
 nas 192.168.0.8 key 0 testing_new
 user test2 nthash 0 0CB6948805F797BF2A82807973B89537

!
radius-server host 192.168.0.1 auth-port 1812 acct-port 1813 key testing_new

當我跑步時，show radius local-server statistics我得到

Successes              : 0           Unknown usernames      : 0
Client blocks          : 0           Invalid passwords      : 0
Unknown NAS            : 16          Invalid packet from NAS: 11

NAS : 192.168.0.8
Successes              : 0           Unknown usernames      : 0
Client blocks          : 0           Invalid passwords      : 0
Corrupted packet       : 0           Unknown RADIUS message : 6
No username attribute  : 1           Missing auth attribute : 0
Shared key mismatch    : 0           Invalid state attribute: 0
Unknown EAP message    : 0           Unknown EAP auth type  : 0
Auto provision success : 0           Auto provision failure : 0
PAC refresh            : 0           Invalid PAC received   : 0

我沒有找到適合我的案例的配置，也不知道是否可行？任何想法我在我的思科配置中缺少什麼？

您缺少伺服器。不，您不能將路由器設置為伺服器。本地身份驗證不是 RADIUS。RADIUS 的全部意義在於使用不同的機器進行身份驗證。您設置的 IPradius-server host必須是 RAIDUS 伺服器的 IP。

即使您的路由器會以某種方式支持這一點（一些新型號支持內置 RADIUS 伺服器，但這只適用於 LEAP），這不是推薦的做法，因為大多數常用路由器幾乎沒有足夠的資源來完成他們的主要任務. 做一個 RADIUS 可能會導致性能顯著下降。

如果您不想使用物理機，您可以通過將無線 AP 變成 RADIUS 伺服器來作弊。

引用自：https://serverfault.com/questions/955252