02 MAC认证逃生功能

功能介绍：

逃生功能：在用户部署MAC认证的场景中，如果RADIUS服务器只有单台没有部署集群技术，一旦RADIUS服务器发生故障，所有用户将无法通过上网，业务将会受到严重影响，需要逐一取消端口的认证配置，才能恢复业务。部署逃生功能后，一旦多次认证连接失败或判定RADIUS服务器dead的情况下，交换机可以让用户免认证，直接认证通过。

一、组网需求

1、接入交换机S1908+开启MAC认证功能，实现下联用户的准入认证；

2、对于认证后的用户能访问所有资源;

3、如果主RADIUS服务器无法正常工作后，用户认证切换到备份服务器，主备都异常的情况下，下联用户要实现免认证（即逃生功能）。

二、配置要点

1、在接入交换机上配置基本MAC认证功能，对接入交换机的主机进行MAC认证。

2、在交换机上配置RADIUS服务器及key等相关参数，对接入用户进行认证

4、接入交换机、下联用户、RADIUS服务器可以不在同一个网段，只要保证接入交换机与radius服务器之间能够通信；

5、配置交换机与RADIUS通信的相关参数，实现RADIUS服务器不可达时的逃生（即逃生功能）。

三、网络拓扑

四、配置步骤  

      使用WEB进行配置

接入交换机S1908+配置

       ## MAC认证基本配置 ##：

1、MAC认证全局设置，全局开启MAC认证，并设置认证方法和客服端认证密码。

步骤1：单击“安全”>“MAC认证（MAC）”>“MAC认证”；

步骤2：选择MAC认证状态为”Enabled“，全局开启MAC认证；

步骤3：单击“应用”执行操作；

步骤4：设置认证方法；

步骤5：配置密码

步骤6：单击“应用”执行操作。

2、MAC认证端口设置，开启端口1-2的MAC认证。

步骤1：单击“安全”>“MAC认证（MAC）”>“MAC认证”；

步骤2：选择配置端口；

步骤3：选择状态为“Enabled”，开启端口MAC认证功能；

步骤4：配置认证模式为Host-based；

步骤5：单击“应用”执行操作。

3、 配置Radius认证和服务器（S1908支持计费功能）

##配置radius服务器##

步骤1：单击“安全”>“RADIUS”>“RADIUS服务器设置”；

步骤2：选择RADIUS服务器序号        （配置主RADIUS服务器1:192.168.33.244，备份Radius服务器2:192.168.33.245。RADIUS服务器1和RADIUS服务器2自然形成备份。）

步骤3：输入RADIUS服务器地址

步骤4：输入密钥，并确认。

步骤5：单击“应用”执行操作。

 ##创建计费方法列表##（RG-S1908+）

 步骤1：单击“安全”>“AAA”>“计费方法列表设置”；

 步骤2：创建计费方法列表名称“ruijie”，设置计费协议优先级，选择RADIUS计费为最优；

 步骤3：单击“应用”执行操作。

 ##开启计费功能并运用先前创建的计费方法列表##（RG-S1908+）

 步骤1：单击“安全”>“AAA”>“计费设置”；

 步骤2：在"Network计费”栏选择“Method List Name”开启计费功能，并且引用先前创建的计费列表ruijie。

 步骤3：单击“应用”执行操作。

      4、 配置RADIUS服务器逃生功能，在主备RADIUS服务器都异常的情况下，下联用户要实现免认证

步骤1：单击“安全”>“多重认证设置”；

步骤2：在"认证服务器逃生设置”栏选择“Permit“，在主备RADIUS服务器都生效后实现用户免认证；

步骤3：单击“应用”执行操作。

       CLI配置

       ## MAC认证基本配置 ##：

enable mac_based_access_control------>全局开启MAC认证

config mac_based_access_control method radius------>设置认证方法为radius认证config mac_based_access_control password 1------>设置认证密码1

       config mac_based_access_control ports 1-2 state enable    ------>开启端口1-2的MAC认证功能

       config radius add 1 192.168.33.244 key ruijie default     ------>配置主radius 服务器IP为192.168.33.244，并设置与radius服务器通信的key为ruijie

       config radius add 2 192.168.33.245 key ruijie default    ------>配备份radius 服务器IP为192.168.33.245，并设置与radius服务器通信的key为ruijie

       config radius 1 timeout 5 ------>向radius重传请求之前的等待时间（秒） 该参数和下面的 retransmit配合可以影响主备radius的切换时间

       config radius 1 retransmit 2 ------>radius 重传的次数

       create accounting method_list_name ruijie------>创建记账方法认证列表，名称为ruijie

       config accounting method_list_name ruijie method radius none------>配置新创建记账方法认证列表，设置采用radius协议计费

       config accounting service network state enable method_list_name ruijie  ------>开启网络计费功能，并应用先前创建的认证方法列表ruijie

## 配置认证服务器逃生功能实现在主备服务器都失效时对认证用户实现免认证##

       config authentication server failover permit        ------>在主备服务器都失效后，允许接入用户接入网络，实现用户面认证

五、功能验证

当RADIUS主从服务器都不可达时，客户端尝试认证，确认认证成功。

       1）单击“安全”>“MAC认证（MAC）”>“MAC认证状态”查看客服端认证状态

2）单击“系统配置”>“系统日志配置”>“系统日志”查看客服端认证日志