锐捷认证失败(搭建radius认证服务器)
一、锐捷如何看交换机是否有radius服务器
可以参考一下锐捷交换机配置信息查看十大命令
1、Ruijie#show version
这个命令可以查看交换机具体型号、软件版本、硬件版本、交换机序列号等信息;
命令用途:
(1)通常我们在一开始交付锐捷设备时需要检查设备版本是否符合转维要求,如果不符合需要升级版本;
(2)在进行故障定位的时候可能需要检查版本是否有已知bug;
2、Ruijie#show power
这个命令可以查看交换机的电源供电状态;
命令用途:当日志有电源相关的告警时可以使用该命令检查交换机的供电状态;
3、Ruijie#show memory
该命令可以查看总的内存大小,可用内存大小及当前内存利用率;
命令用途:
(1)网络设备的内存和电脑的内存一样,如果超过80%就可能影响设备性能;
(2)当网络设备有内存告警是,可以使用该命令检查内存的利用率;
说明:健康状态,内存使用率应该维持在75%以下;承载业务的压力越大,内存使用就会升高,但超出80%时就务必引起注意
4、Ruijie#show tem
该命名可以查看交换机的温度;
命令用途:
(1)网络设备的温度和电脑的温度一样,温度过高会对设备造成影响;
(2)当网络设备有温度过高告警时,可以使用该命令检查当前温度,可能是风扇故障或者机房空调故障等导致设备温度过高;
5、Ruijie#show cpu
通过show cpu进行查看,可以查看5分钟、1分钟、5秒钟的CPU利用率。
命令用途:
(1)网络设备的CPU和电脑的CPU一样,CPU占用率过高可能会影响正常的业务转发;
(2)当网络设备有CPU过高告警时,可以使用该命令检查当前CPU使用率,确认哪些进程的CPU的占用率过高或者异常,如果CPU过高,很可能是有攻击或者路由环路;
说明:健康状态下,“CPU utilization in five minutes”应该维持在30%以下;承载业务的压力越大,CPU会越高,也属正常现象,但超出60%时就务必引起注意
6、Ruijie#show int status
可以查看交换机的接口是否UP
命令用途:
(1)在网络设备交付的过程中经常会使用到该命令检查端口是否UP,端口down可能是连线问题,或者配置问题等;
(2)设备维护过程中,有端口down告警时,可以使用该命令检查哪些端口down,从而进行故障定位;
7
Radius服务器的状态只有两种:Active,Dead。
Active->Dead
radius服务器的死亡判断条件是(即从Active->Dead),同时满足两个条件:
1)距离上次收到该RADIUS服务器的正确响应超过radius-server dead-criteria time seconds设定的时间。
2)在上次收到该RADIUS服务器的正确响应之后,设备发往该RADIUS服务器的请求而未收到正确响应的次数(包括重传),达到radius-server dead-criteria tries number设定的次数。
这边有一个需要注意的是由于配置了radius-server timeout,radius-server retransmit(有默认值),当timeout*(retransmit+1)的总时长小于dead-criteria time,或者是retransmit+1小于dead-criteria tries number的时候,也就是此时设备已经检测到主服务器不可用了,需要切换到下一个服务器,但是主服务器由于还没有达到Active->Dead的两个条件,所以主服务器的状态还是Active的,而不是dead,只有当后续的其他用户继续认证,累计dead-criteria time以及dead-criteria tries number到配置值的时候才会变到dead状态。
二、锐捷交换机radius认证默认是eap-md5的吗
现在有3种基于TLS的EAP认证方法:
1. EAP-TLS:
EAP-TLS使用TLS握手协议作为认证方式,TLS有很多优点,所以EAP选用了TLS作为基本的安全认证协议,并为TTLS和PEAP建立安全隧道,TLS已经标准化,并且进过了长期应用和分析,都没有发现明显的缺点。
TLS认证是基于Client和Server双方互相验证数字证书的,是双向验证方法,首先Server提供自己的证书给Client,Client验证Server证书通过后提交自己的数字证书给Server,客户端的证书可以放到本地、放到key中等等.
TLS有一个缺点就是TLS传送用户名的时候是明文的,也就是说抓包能看到EAP-Identity的明文用户名。
TLS是基于PKI证书体系的,这是TLS的安全基础,也是TLS的缺点,PKI太庞大,太复杂了,如果企业中没有部署PKI系统,那么为了这个认证方法而部署PKI有些复杂,当然,如果企业已经部署了PKI,那么使用EAP-TLS还是不错的选择。
2. EAP-TTLS:
3. EAP-PEAP:
正因为TLS需要PKI的缺点,所以设计出现了TTLS和PEAP,这两个协议不用建立PKI系统,而在TLS隧道内部直接使用原有老的认证方法,这保证了安全性,也减小了复杂度。
把TTLS和PEAP放到一起介绍的原因是他们俩很像,两个都是典型的两段式认证,在第一阶段建立TLS安全隧道,通过Server发送证书给Client实现Client对Server的认证(这里TTLS和PEAP仍然使用证书,但是这里的证书都是服务器证书,管理起来比TLS客户端证书要简单那的多);当安全隧道一旦建立,第二阶段就是协商认证方法,对Client进行认证;
TTLS利用TLS安全隧道交换类似RADIUS的AVPs(Attribute-Value-Pairs),实际上这些AVPs的封装和RADIUS都十分相似,TTLS这种AVPs有很好的扩展性,所以它几乎支持任何认证方法,这包括了所有EAP的认证方法,以及一些老的认证方法,比如PAP、CHAP、MS-CHAP、MS-CHAPv2等,TTLS的扩展性很好,通过新属性定义新的认证方法。
PEAP之所以叫Protected EAP,就是它在建立好的TLS隧道之上支持EAP协商,并且只能使用EAP认证方法,这里为什么要保护EAP,是因为EAP本身没有安全机制,比如EAP-Identity明文显示,EAP-Success、EAP-Failed容易仿冒等,所以EAP需要进行保护,EAP协商就在安全隧道内部来做,保证所有通信的数据安全性。其实PEAP最大的优点就是微软支持开发,微软在Windows系统内集成了客户端,微软和Cisco都支持PEAP,但是他们的实现有所区别。
他们之间关系如下: