NAS配置详解

在配置NAS交换机IEEE802.1X认证相关参数前，确保网络连通正常（包括在不开启认证的情况下，接在NAS上的PC能正常上网，正常连通RG-SAM自助服务器；交换机自身能正常连通RG-SAM认证计费服务器）。下文以RG-S2126G的配置为例讲解：
!
radius-server host 192.168.0.116
注：该命令是指定交换机寻找的RG-SAM认证服务器IP地址为192.168.0.116；IP地址后面隐含有认证端口1812；如果要调整端口，使用radius-server host 192.168.0.116 auth-port 3456类似命令，但是要与RG-SAM端数值一致。一般使用默认即可。该命令必须配置，(config)#模式下配置。
aaa authentication dot1x
注：该命令全局开启交换机的IEEE802.1X认证功能，必须配置，(config)#模式下配置。
aaa accounting server 192.168.0.116
注：该命令是指定交换机寻找的RG-SAM计费服务器IP地址为192.168.0.116；NAS交换机逻辑上把RG-SAM认证计费服务器看作两个服务器，但实际认证与计费在RG-SAM上是在一起的；默认计费端口是1813。如果要调整端口，使用Switch(config)#aaa accounting acc-port 3457类似命令，但是要与RG-SAM端数值一致。一般使用默认即可。该命令必须配置，(config)#模式下配置。

aaa accounting
注：该命令全局开启交换机的计费功能，必须配置，(config)#模式下配置。
aaa accounting update
注：该命令全局开启交换机的记帐更新功能，推荐配置，(config)#模式下配置。

interface fastEthernet 0/21
dot1x port-control auto
注：在接口上打开IEEE802.1X逻辑开关，一但该命令配置到接口上，连接到该接口的PC上网立刻会被中断，除非PC通过认证。该命令是选择性开启的，但只要该端口参与到认证计费，必须启用此命令，(config-if)#模式下配置，只影响一个端口。
!
interface fastEthernet 0/22
dot1x port-control auto
!
interface fastEthernet 0/23
dot1x port-control auto
!
interface fastEthernet 0/24
switchport mode trunk
注：假设此接口是交换机的上联口，该端口一定不要配置dot1x port-control auto命令，所以在配置完交换机的所有参数之后，建议检查一次，以免误操作。
!
interface vlan 1
no shutdown
ip address 192.168.0.254 255.255.255.0
注：交换机的管理IP。
!
dot1x probe-timer interval 20
注：该命令是推荐配置，后面的值是推荐值，也是默认值，所以配置之后不会用show run显示出来。
dot1x probe-timer alive 250
注：该命令是推荐配置，后面的值是推荐值。
dot1x server-timeout-max 5
注：该命令是推荐配置，后面的值是推荐值。
dot1x timeout quiet-period 10
注：该命令是推荐配置，后面的值是推荐值。
dot1x timeout tx-period 3
注：该命令是推荐配置，后面的值是推荐值。
dot1x timeout supp-timeout 3
注：该命令是推荐配置

，后面的值是推荐值。
dot1x accout-update-interval 900
注：该命令是推荐配置，后面的值推荐大于等于900，该值要与RG-SAM认证计费服务端一致。
radius-server key star
注：该命令是配置与RG-SAM认证计费服务交换信息的口令，必须配置，而且两端必须一致。
ip default-gateway 192.168.0.1
注：该命令配置交换机的默认网关。
snmp-server community test rw
注：该命令配置交换机SNMP的读写community口令，必须配置，全局模式下配置，而且必须与RG-SAM认证计费服务端一致。
End

特别说明：IEEE802.1X认证是一种接入认证技术，只影响开启认证的接口以下的PC或网络，与NAS交换机之上连接的设备没有关系，只需保证NAS交换机自身的连通正常，PC在启用认证前连通正常，正确启用认证计费功能之后，SAM系统便可以正常工作。



如果21交换机启用802.1X认证，配置如下信息：

conf

radius-server host 211.71.192.20
aaa authentication dot1x
aaa accounting server 211.71.192.20
aaa accounting
aaa accounting update
dot1x client-probe enable //开启用户在线探测
dot1x probe-timer interval 20
dot1x probe-timer alive 250
dot1x timeout quiet-period 10 //当用户认证失败时,交换机将等待一段时间后，才允许用户再次认证,默认5S
dot1x timeout server-timeout 5 //该值指的是Radius Server 的最大响应时间，若在该时间内，交换机没有收到Radius Server 的响应，将认为本次认证失败。
dot1x reauth-max 3 //当用户认证失败后，交换机会尝试几次与用户的认证。在认证次数超过最大重认证次数之后，交换机就认为这个用户已经断线，结束认证过程。系统默认的次数是2 次，
dot1x max-req 3 //交换机朝RadiusServer 发出认证请求后，若在ServerTimeout 时间内没收到Radius Server 的回应，将重传该报文。最大请求次数指的是交换机重传请求的最大数，超过该次数交换机将认为本次认证失败。默认的重传次数为2 次，我们要根据具体的网络环境进行调整。
dot1x timeout tx-period 30 // 交换机发EAP-request/identity之后，若在一定的时间内没有收到用户的回应，交换机将重传这个报文。该值的默认值为30秒，要根据具体的网络规模进行调整。
dot1x timeout supp-timeout 3
dot1x accout-update-interval 1200 //记帐更新间隔一定要与服务保持一致
no dot1x re-authentication
radius-server key start

int range fastEthernet 0/1-24
dot1x port-control auto
exit