启用AAA

aaa new-model

创建缺省的登录认证方法列表,采用line password认证

aaa authentication login default line none

创建EoU认证方法列表,group radius 表示使用radius服务进行认证

aaa authentication eou default group radius
aaa authentication network default group radius

创建ip准入控制名称(NAC-L2-IP是名称,可以自己制定)

ip admission name NAC-L2-IP eapoudp

启动网络设备的设备追踪功能

ip device tracking

配置一些EoU的参数
允许网络设备将无代理的设备的信息发送到radius服务器进行认证(根据IP、mac地址)

eou allow clientless

设置重传的超时和次数,使用30秒、3次可以避免代理启动过慢被交换机误认为是无代理设备。

eou timeout retransmit 30
eou max-retry 3

配置一个接口默认的ACL,建议至少允许以下几种IP包:udp21862端口(EoU认证需要)、DHCP(获取IP地址)、DNS(允许获取域名的IP地址,以便http可以重定向)、ICMP(允许ping和被ping利于诊断)、LeagView服务器所在的IP地址访问、其它修复服务器的地址(例如反病毒软件安装服务器、补丁服务器等)

ip access-list extended interface_default_acl
permit udp any any eq 21862
permit udp any eq bootpc any eq bootps
permit udp any any eq domain
permit icmp any any
permit ip any host xxx.xxx.xxx.xxx
permit ip any host xxx.xxx.xxx.xxx
deny ip any any

配置一个ACL,用来定义要重定向的http访问

ip access-list extended quaratine_url_redir_acl
deny tcp any host xxx.xxx.xxx.xxx eq www
permit tcp any any eq www
permit tcp any any eq 443

配置radius服务器

radius-server attribute 8 include-in-access-req
radius-server vsa send authentication
radius-server host xxx.xxx.xxx.xxx auth-port 1812 acct-port 1646 key secret

将dead的radius的优先级降低,缺省情况下不调整优先级别
当已经发现第一个radius dead时,如果有认证请求,直接将认证包发给第二个

radius-server retry method recorder

指定网络交换机向radius服务器的认证包的重传次数,缺省值为3
减少该值有可能更快的切换到下一台radius服务器来做认证

radius-server retransmit 2

指定认证包的超时,缺省为5秒

radius-server timeout 3

设置deadtime为3分钟,3分钟后网络设备会再次尝试

radius-server deadtime 3

指定交换机发送radius包时加上cisco自己的扩展(以便解析接入端口名)

radius-server vsa send authentication

启动交换机上的http服务器(如果需要url重定向功能的话)

ip http server

在某个端口上启动NAC-L2-IP

interface gx/x
ip access-group interface_default_acl in
ip admission NAC-L2_IP

查看EoU接入情况

show eou all

查看某个端口上的ACL应用情况

show ip access-lists interface gx/x

清除某个设备的EoU会话(以便开始一次新的认证过程)

clear eou ip xxx.xxx.xxx.xxx

 

转载请注明转自: KUPER , 本文固定链接: Cisco 3560 EoU准入控制配置