Como fazer failover para a conta local em um switch / roteador cisco se o servidor radius falhar?

Navegue suas respostas
1

Eu tenho a seguinte configuração em um switch que estou testando para autenticação RADIUS: 

aaa new-model  
aaa authenticaton login default group radius local  
aaa authentication enable default group radius enable  
aaa authorization exec default group radius local  
enable secret 5 XXXXXXXXX  
!  
username admin secret 5 XXXXXXXXX  
!  
ip radius source-interface FastEthernet0/1  
radius-server host XXX.XXX.XXX.XXX auth-port 1812 acct-port 1813 key XXXXXXXXX  
radius-server retransmit 3  
!  
line con 0  
line vty 5 15

A autenticação do Radius está funcionando bem, mas se o servidor não estiver disponível, não consigo fazer login no roteador com a conta ADMIN.

O que há de errado aí?

Obrigado!

    
por 3D1L 19.03.2010 / 16:02

2 respostas

1

Parece correto para mim. Do site da Cisco: 

Example 1: Exec Access using Radius then Local
aaa authentication login default group radius local

In the command above:
* the named list is the default one (default).
* there are two authentication methods (group radius and local).

All users are authenticated using the Radius server (the first method).
If the Radius server doesn't respond, then the router's local database
is used (the second method).

Talvez você tenha algum tipo de 

login authentication <NAME>

sob sua linha vty 0 X?

Nesse caso, você deve adicionar uma linha: 

aaa authentication login <NAME> group radius local

ou simplesmente exclua o 

login authentication <NAME>

linha do seu conf.

    
por 19.03.2010 / 16:48
1

O problema é que quando você especifica um servidor tacacs ou radius primeiro no seu método de login no seu caso o método defualt, ele nunca tentará o nome de usuário local, a menos que tacacs ou radius seja inacessível. Então, se você quiser testar seu login local, faça o seguinte: 1. remover o seu dispositivo do raio (não é bom para dispositivos de produção) 2. desligue a porta em que as mensagens de raio são recebidas 3. crie outro método de login e teste-o em uma de suas outras interfaces, como sua porta de console

Por exemplo: 

aaa authentication login <some_name> local
line con 0
login authentication <some_name>
    
por 05.05.2015 / 15:58

Tags

Procurando por substituição 'WinHlp32.exe compatível' para redistribuição gratuita sob o Vista e o Windows 7 Como remover corretamente o disco do controlador PERC 6 / i RAID?