《nas配置详解》由会员分享,可在线阅读,更多相关《nas配置详解(5页珍藏版)》请在金锄头文库上搜索。
1、NASNAS 配置详解配置详解在配置 NAS 交换机 IEEE802.1X 认证相关参数前,确保网络连通正常(包括在不开启认证的情况下,接在 NAS 上的 PC 能正常上网,正常连通 RG-SAM 自助服务器;交换机自身能正常连通 RG-SAM 认证计费服务器) 。下文以 RG-S2126G 的配置为例讲解:!radius-server host 192.168.0.116 注:该命令是指定交换机寻找的 RG-SAM 认证服务器 IP 地址为192.168.0.116;IP 地址后面隐含有认证端口 1812;如果要调整端口,使用 radius-server host 192.168.0.116
2、 auth-port 3456 类似命令,但是要与 RG-SAM 端数值一致。一般使用默认即可。该命令必须配置,(config)#模式下配置。aaa authentication dot1x 注:该命令全局开启交换机的 IEEE802.1X 认证功能,必须配置,(config)#模式下配置。aaa accounting server 192.168.0.116 注:该命令是指定交换机寻找的 RG-SAM 计费服务器 IP 地址为192.168.0.116;NAS 交换机逻辑上把 RG-SAM 认证计费服务器看作两个服务器,但实际认证与计费在 RG-SAM 上是在一起的;默认计费端口是 1813
3、。如果要调整端口,使用 Switch(config)#aaa accounting acc-port 3457 类似命令,但是要与 RG-SAM 端数值一致。一般使用默认即可。该命令必须配置,(config)#模式下配置。aaa accounting 注:该命令全局开启交换机的计费功能,必须配置,(config)#模式下配置。aaa accounting update注:该命令全局开启交换机的记帐更新功能,推荐配置,(config)#模式下配置。interface fastEthernet 0/21dot1x port-control auto 注:在接口上打开 IEEE802.1X 逻辑开关
4、,一但该命令配置到接口上,连接到该接口的 PC 上网立刻会被中断,除非 PC 通过认证。该命令是选择性开启的,但只要该端口参与到认证计费,必须启用此命令,(config-if)#模式下配置,只影响一个端口。!interface fastEthernet 0/22dot1x port-control auto !interface fastEthernet 0/23dot1x port-control auto !interface fastEthernet 0/24switchport mode trunk注:假设此接口是交换机的上联口,该端口一定不要配置 dot1x port-control
5、 auto 命令,所以在配置完交换机的所有参数之后,建议检查一次,以免误操作。!interface vlan 1no shutdown ip address 192.168.0.254 255.255.255.0 注:交换机的管理 IP。!dot1x probe-timer interval 20 注:该命令是推荐配置,后面的值是推荐值,也是默认值,所以配置之后不会用 show run 显示出来。dot1x probe-timer alive 250注:该命令是推荐配置,后面的值是推荐值。dot1x server-timeout-max 5注:该命令是推荐配置,后面的值是推荐值。dot1x t
6、imeout quiet-period 10 注:该命令是推荐配置,后面的值是推荐值。dot1x timeout tx-period 3 注:该命令是推荐配置,后面的值是推荐值。 dot1x timeout supp-timeout 3 注:该命令是推荐配置,后面的值是推荐值。dot1x accout-update-interval 900 注:该命令是推荐配置,后面的值推荐大于等于 900,该值要与 RG-SAM 认证计费服务端一致。radius-server key star注:该命令是配置与 RG-SAM 认证计费服务交换信息的口令,必须配置,而且两端必须一致。ip default-ga
7、teway 192.168.0.1 注:该命令配置交换机的默认网关。snmp-server community test rw注:该命令配置交换机 SNMP 的读写 community 口令,必须配置,全局模式下配置,而且必须与 RG-SAM 认证计费服务端一致。End特别说明:IEEE802.1X 认证是一种接入认证技术,只影响开启认证的接口以下的 PC 或网络,与 NAS 交换机之上连接的设备没有关系,只需保证 NAS 交换机自身的连通正常,PC 在启用认证前连通正常,正确启用认证计费功能之后,SAM 系统便可以正常工作。如果 21 交换机启用 802.1X 认证,配置如下信息:confr
8、adius-server host 211.71.192.20aaa authentication dot1xaaa accounting server 211.71.192.20aaa accountingaaa accounting updatedot1x client-probe enable /开启用户在线探测dot1x probe-timer interval 20dot1x probe-timer alive 250dot1x timeout quiet-period 10 /当用户认证失败时,交换机将等待一段时间后,才允许用户再次认证,默认 5Sdot1x timeout ser
9、ver-timeout 5 /该值指的是 Radius Server 的最大响应时间,若在该时间内,交换机没有收到 Radius Server 的响应,将认为本次认证失败。dot1x reauth-max 3 /当用户认证失败后,交换机会尝试几次与用户的认证。在认证次数超过最大重认证次数之后,交换机就认为这个用户已经断线,结束认证过程。系统默认的次数是 2 次,dot1x max-req 3 /交换机朝 RadiusServer 发出认证请求后,若在 ServerTimeout 时间内没收到 Radius Server 的回应,将重传该报文。最大请求次数指的是交换机重传请求的最大数,超过该次数
10、交换机将认为本次认证失败。默认的重传次数为 2 次,我们要根据具体的网络环境进行调整。dot1x timeout tx-period 30 / 交换机发 EAP-request/identity之后,若在一定的时间内没有收到用户的回应,交换机将重传这个报文。该值的默认值为 30 秒,要根据具体的网络规模进行调整。dot1x timeout supp-timeout 3 dot1x accout-update-interval 1200 /记帐更新间隔一定要与服务保持一致no dot1x re-authenticationradius-server key startint range fastEthernet 0/1-24dot1x port-control autoexit
