我在测试 RADIUS 身份验证的交换机上有以下配置:
aaa new-model
aaa authenticaton login default group radius local
aaa authentication enable default group radius enable
aaa authorization exec default group radius local
enable secret 5 XXXXXXXXX
!
username admin secret 5 XXXXXXXXX
!
ip radius source-interface FastEthernet0/1
radius-server host XXX.XXX.XXX.XXX auth-port 1812 acct-port 1813 key XXXXXXXXX
radius-server retransmit 3
!
line con 0
line vty 5 15
Radius 身份验证工作正常,但如果服务器不可用,我就无法使用 ADMIN 帐户登录路由器。
那儿有什么问题?
谢谢!
答案1
我觉得这似乎是正确的。来自思科网站:
Example 1: Exec Access using Radius then Local
aaa authentication login default group radius local
In the command above:
* the named list is the default one (default).
* there are two authentication methods (group radius and local).
All users are authenticated using the Radius server (the first method).
If the Radius server doesn't respond, then the router's local database
is used (the second method).
也许你有某种
login authentication <NAME>
在您的线路 vty 0 X 下?
在这种情况下你应该添加一行:
aaa authentication login <NAME> group radius local
或者直接删除
login authentication <NAME>
来自你的会议的线路。
答案2
问题是,当您在登录方法中首先指定 tacacs 或 radius 服务器(在您的情况下是默认方法)时,它永远不会尝试本地用户名,除非无法访问 tacacs 或 radius。因此,如果您想测试本地登录,请执行以下操作之一:1. 从 radius 中移除您的设备(不适用于生产设备)2. 关闭接收 radius 消息的端口 3. 创建另一种登录方法并在其他接口之一(如控制台端口)上对其进行测试
例如:
aaa authentication login <some_name> local
line con 0
login authentication <some_name>