发布时间:2013-09-25
点击量:11409本案例只适用于 RGOS 10.4(2)及以后的软件设备,不适合非10.x平台设备,不适合10.4(2)以前的软件设备。
配置:
aaa group server radius test
server 1.1.1.1
server 1.1.1.2
!
radius-server host 1.1.1.1 key admin
radius-server host 1.1.1.2 key ruijie
radius-server timeout 2
radius-server retransmit 2
aaa authentication dot1x ruijie group test none //配置了逃生
dot1x timeout server-timeout 15
需求:
两台radius server,在1.1.1.1失效后,认证可以切换到1.1.1.2;在两台服务器都失效,比如异常停电,1X用户可以实现逃生,免认证;
实现原理:
1)正常情况下,交换机只与1.1.1.1 radius server进行通信,完成认证;
2)如果1.1.1.1失效,那么经过timeout+(timeout*retransmit)=2+(2*2)=6s后,交换机认为1.1.1.1不可用,接下来就是尝试1.1.1.2可达性;
3)如果1.1.1.2可用,那么交换机就与1.1.1.2交互radius,完成认证;
4)如果1.1.1.2也不可用,那么再经过timeout+(timeout*retransmit)=2+(2*2)=6s后,交换机认为1.1.1.2也不可用,自此radius group里的所有server都不可用,就切换认证方法列表为none,用户无需认证;
5)这边需要注意一点就是dot1x timeout server-timeout 这个设置的时间必须大于所有radius group里面的server全部失效的检测时间,也就是[timeout+(timeout*retransmit)]*N,这个案例中(2+2*2)*2=12s,所以dot1x timeout server-timeout 时间设置为 15s
