启用AAA
aaa new-model
创建缺省的登录认证方法列表,采用line password认证
aaa authentication login default line none
创建EoU认证方法列表,group radius 表示使用radius服务进行认证
aaa authentication eou default group radius aaa authentication network default group radius
创建ip准入控制名称(NAC-L2-IP是名称,可以自己制定)
ip admission name NAC-L2-IP eapoudp
启动网络设备的设备追踪功能
ip device tracking
配置一些EoU的参数
允许网络设备将无代理的设备的信息发送到radius服务器进行认证(根据IP、mac地址)
eou allow clientless
设置重传的超时和次数,使用30秒、3次可以避免代理启动过慢被交换机误认为是无代理设备。
eou timeout retransmit 30 eou max-retry 3
配置一个接口默认的ACL,建议至少允许以下几种IP包:udp21862端口(EoU认证需要)、DHCP(获取IP地址)、DNS(允许获取域名的IP地址,以便http可以重定向)、ICMP(允许ping和被ping利于诊断)、LeagView服务器所在的IP地址访问、其它修复服务器的地址(例如反病毒软件安装服务器、补丁服务器等)
ip access-list extended interface_default_acl permit udp any any eq 21862 permit udp any eq bootpc any eq bootps permit udp any any eq domain permit icmp any any permit ip any host xxx.xxx.xxx.xxx permit ip any host xxx.xxx.xxx.xxx deny ip any any
配置一个ACL,用来定义要重定向的http访问
ip access-list extended quaratine_url_redir_acl deny tcp any host xxx.xxx.xxx.xxx eq www permit tcp any any eq www permit tcp any any eq 443
配置radius服务器
radius-server attribute 8 include-in-access-req radius-server vsa send authentication radius-server host xxx.xxx.xxx.xxx auth-port 1812 acct-port 1646 key secret
将dead的radius的优先级降低,缺省情况下不调整优先级别
当已经发现第一个radius dead时,如果有认证请求,直接将认证包发给第二个
radius-server retry method recorder
指定网络交换机向radius服务器的认证包的重传次数,缺省值为3
减少该值有可能更快的切换到下一台radius服务器来做认证
radius-server retransmit 2
指定认证包的超时,缺省为5秒
radius-server timeout 3
设置deadtime为3分钟,3分钟后网络设备会再次尝试
radius-server deadtime 3
指定交换机发送radius包时加上cisco自己的扩展(以便解析接入端口名)
radius-server vsa send authentication
启动交换机上的http服务器(如果需要url重定向功能的话)
ip http server
在某个端口上启动NAC-L2-IP
interface gx/x ip access-group interface_default_acl in ip admission NAC-L2_IP
查看EoU接入情况
show eou all
查看某个端口上的ACL应用情况
show ip access-lists interface gx/x
清除某个设备的EoU会话(以便开始一次新的认证过程)
clear eou ip xxx.xxx.xxx.xxx