【求助】freeradius服務(wù)器與交換機(jī)之間怎么連接呢？【望高手指點】

pbceo

　　本人菜鳥一枚，這幾天在搗鼓FreeRADIUS。已經(jīng)根據(jù)網(wǎng)上一些牛人的帖子，成功的在MySQL中添加賬戶和密碼，并能夠用“radtest”命令測試成功。但是最后在交換機(jī)上配置完AAA后，用“test aaa group radius zbx zbx new-code”測試的時候發(fā)現(xiàn)不可達(dá)。拓?fù)淙缦拢菏怯肎NS3模擬cisco的交換機(jī)，連接vitrialBox的虛擬網(wǎng)卡（redhat系統(tǒng)的）。


先說說我的機(jī)子環(huán)境和FreeRADIUS的版本：REDhat企業(yè)版5.0；freeradius是freeradius-server-2.1.12的。
一、服務(wù)器中所做的配置如下：

1. 創(chuàng)建radius數(shù)據(jù)庫

create database radius;

2. 導(dǎo)入表

mysql -u root -p radius < /usr/local/etc/raddb/sql/mysql/schema.sql

mysql -u root -p radius < /usr/local/etc/raddb/sql/mysql/nas.sql

  

3. 修改default文件

把authorize{} 、accounting {}中的sql前面的#去掉，并把authorize{} 中的files前加#；

4. 修改sql.conf

這個加上sql 的root和密碼

5. 修改clients.conf文件，路徑/usr/local/etc/raddb/clients.conf

client 127.0.0.1 {

secret = testing123

shortname = localhost

nastype = other

}

添加了這個，這是我配置的交換機(jī)的地址。

client 192.168.1.254 {

secret = testing123

shortname = radiusclient

}

client 192.168.1.0/24 {

secret = testing123

shortname = private-network

}

6.  修改radius.conf，在目錄/usr/local/etc/raddb/radiusd.conf

刪除$INCLUDE sql.conf前的“#” ，使其加載sql.conf

7.  創(chuàng)建數(shù)據(jù)庫的東西

mysql> insert into radgroupreply (groupname,attribute,op,value) values ('user','Auth-Type',':=','Local');

mysql> insert into radgroupreply (groupname,attribute,op,value) values ('user','Service-Type',':=','Framed-User');

建立用戶信息：

mysql> insert into radcheck (username,attribute,op,value) values (zbx','User-Password',':=','zbx'); 將用戶加入組中：

mysql> insert into radusergroup (username,groupname) values ('zbx','user');

8. 測試radius

radtest test test localhost 0 testing123【圖片好像有點模糊，就是ACCEPT的。】

二、交換機(jī)的配置

端口配置，可以互相ping通。

int f0/1
switchport mode access
spanning-tree portfast
int f0/0
switchport mode access
spanning-tree portfast
exit
int vlan 1
ip add 172.16.1.254 255.255.255.0
no shutdown

aaa配置：

aaa new-model
aaa authentication login default group radius local
radius-server host 172.16.1.1 key testing123
aaa authorization network default group radius local
dot1x system-auth-control
int f0/0
switch mode access
dot1x port-control auto

配置完成后，測試的時候發(fā)現(xiàn)“AAA server is not reachable”。
我嘗試打開debug aaa authentication 和debug aaa protocol radius，看不太懂debug信息{:2_168:}。不過我覺得沒什么參考價值，因為連接不上服務(wù)器。
也嘗試抓包，只發(fā)現(xiàn)Access-requst的請求包，和返回的icmp的不可達(dá)的包。
在這個過程中，我也打開radius的debug（radiusd -X），一點消息都沒有。

不知道是什么問題呢?請問我該如何配置，讓NAS連接上服務(wù)器？

pbceo

另外，我發(fā)現(xiàn)在radius下，用radiusd -X打開debug模式的時候，發(fā)現(xiàn)最后幾句是這樣的。
... adding new socket proxy address * port 32778
Listening on authentication address * port 1812
Listening on accounting address * port 1813
Listening on command file /usr/local/var/run/radiusd/radiusd.sock
Listening on authentication address 127.0.0.1 port 18120 as server inner-tunnel
Listening on proxy address * port 1814
Ready to process requests.

是不是說，radius會監(jiān)聽這些端口？
我在交換機(jī)上，發(fā)現(xiàn)配置完aaa沒打開debug的時候，發(fā)現(xiàn)下面兩句話:
*Mar  1 01:22:29.519: %RADIUS-4-RADIUS_DEAD: RADIUS server 172.16.1.1:1645,1646 is not responding.
*Mar  1 01:22:29.523: %RADIUS-4-RADIUS_ALIVE: RADIUS server 172.16.1.1:1645,1646 has returned.
這是什么意思呢？1645和1646是交換機(jī)發(fā)包的端口嗎？
這樣就沒被radius監(jiān)聽到嗎？

pbceo

沒人回復(fù)？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？？糾結(jié)啊

pbceo

的確，freeradius的驗證跟Accounting端口是不一樣的，我已經(jīng)改了
radius-server host 172.16.1.1 auth-port 1812 acct-port 1813 key testing123

可是依然unreachable……，沒人上這個論壇的嗎？連管理員都木有？

flw521521

hi，我從iteye上看到了你的評論

1、radius server的防火墻iptables有沒有打開？因為server在radiusd -X的時候沒有接收到任何客戶端的請求信息，所以要么就是server的防火墻阻止了，要么就是交換機(jī)到radius server的網(wǎng)絡(luò)不通（這個你可以在交換機(jī)上ping下server看看）
另端口確實是auth：1812，acct：1813

2、radius server配置那塊，因為你的交換機(jī)地址是172.16.1.154，所以client.conf里的
client 192.168.1.254 {
secret = testing123
shortname = radiusclient
}
應(yīng)該改成
client 172.16.1.254 {
secret = testing123
shortname = radiusclient
}

先把第一個搞定了，再進(jìn)行第二步，調(diào)試的時候server那邊以以debug開啟radiusd，注意查看輸出信息

pbceo

真感謝你能專門跑過來回復(fù)我的帖子！我把iptables關(guān)閉了，果然就可以了。問題2中的client地址是被我貼出來的時候打錯的，沒有問題。再次感謝！回復(fù) 5# flw521521