（可选）配置RADIUS服务器状态探测功能

本站点使用Cookies，继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

企业业务网站

选择区域/语言

Huawei Global - English

- South Africa - English
- Morocco - English
- Brazil - Português
- Mexico - Español
- Saudi Arabia - English
- United Arab Emirates - English
- Australia - English
- China - 简体中文
- Hong Kong, China - English
- India - English
- Japan - 日本語
- South Korea - English
- Kazakhstan - русский
- Malaysia - English
- Singapore - English
- Indonesia - English
- Thailand - ไทย
- Philippines - English
- Austria - Deutsch
- Czech - English
- France - Français
- Germany - Deutsch
- Greece - English
- Hungary - English
- Italy - Italiano
- Poland - English
- Sweden - English
- Russia - русский
- Spain - Español
- Turkey - Türkçe
- United Kingdom - English
- Ukraine - English

搜索

搜索历史
热门搜索
交换机路由器服务器存储数据中心
网页直达
搜索推荐

（可选）配置RADIUS服务器状态探测功能

背景信息

设备通过RADIUS服务器状态探测功能感知RADIUS服务器的状态，在RADIUS服务器状态为Down时，使用户能够获取逃生权限；在RADIUS服务器状态恢复Up后，用户退出逃生权限，进行重认证。

操作步骤

配置将RADIUS服务器的状态标记为Down的条件，分为两种
- 在RADIUS服务器状态探测过程中，将RADIUS服务器标记为Down状态的条件。
  1. 执行命令system-view，进入系统视图。
  2. 执行命令radius-server { dead-interval dead-interval | dead-count dead-count | detect-cycle detect-cycle }，配置RADIUS服务器的探测周期、每个探测周期连续无响应的最大次数和探测周期循环次数。
    
    缺省情况下，RADIUS服务器的探测周期为5秒，每个探测周期连续无响应的最大次数为2次，探测周期循环2次。
  3. 执行命令return，返回到用户视图。
- 将长时间无响应的RADIUS服务器标记为Down状态。该功能一直开启，通过以下配置可以调节RADIUS服务器无响应的最大时间间隔。
  1. 执行命令system-view，进入系统视图。
  2. 执行命令radius-server max-unresponsive-interval interval，配置RADIUS服务器无响应的最大时间间隔。
    缺省情况下，RADIUS服务器无响应的最大时间间隔是300秒。
  3. 执行命令return，返回到用户视图。
（可选）配置自动探测功能
1. 执行命令system-view，进入系统视图。
2. 执行命令radius-server template template-name，进入RADIUS服务器模板视图。
3. 执行命令radius-server testuser username user-name password cipher password，创建RADIUS自动探测用户。
  
  缺省情况下，系统没有配置基于RADIUS模板的自动探测用户。
  
  RADIUS自动探测用户创建完成后，自动探测功能开启。自动探测功能默认仅对Down状态的RADIUS服务器进行探测。
4. （可选）执行命令radius-server detect-server interval interval，配置对Down状态的RADIUS服务器的自动探测周期。
  
  缺省情况下，对Down状态的RADIUS服务器的自动探测周期为60秒。
5. （可选）执行命令radius-server detect-server up-server interval interval，开启对Up状态的RADIUS服务器的自动探测功能并配置自动探测周期。
  
  缺省情况下，设备不对Up状态的RADIUS服务器进行自动探测。
  
  在大型企业网络中，不建议开启对Up状态的RADIUS服务器进行自动探测的功能。这是由于如果多个NAS设备均开启该功能，RADIUS服务器在处理用户认证请求报文的同时还会收到大量周期性的探测报文，会降低RADIUS服务器的处理性能。
  
  配置自动探测功能（命令radius-server testuser）后，dead-time定时器（命令radius-server dead-time）不生效。
6. （可选）执行命令radius-server detect-server timeout timeout，配置RADIUS探测报文的超时等待时间。
  
  缺省情况下，RADIUS探测报文的超时等待时间为3秒。
7. 执行命令return，返回到用户视图。
（可选）配置RADIUS服务器Down状态可持续的时长，即配置强制Up定时器

在开启自动探测功能的情况下，RADIUS服务器的状态被标记为Force-up后，设备会立即发送探测报文，在超时等待时间内，如果收到RADIUS服务器的报文，设备会将RADIUS服务器的状态标记为Up；反之，则将RADIUS服务器的状态标记为Down。
1. 执行命令system-view，进入系统视图。
2. 执行命令radius-server template template-name，进入RADIUS服务器模板视图。
3. 执行命令radius-server dead-time dead-time，配置RADIUS服务器强制Up定时器。
  
  缺省情况下，RADIUS服务器强制Up定时器时长为5分钟。
4. 执行命令return，返回到用户视图。
（可选）配置RADIUS认证服务器和计费服务器的状态同步
1. 执行命令system-view，进入系统视图。
2. 执行命令radius-server dead-detect-condition by-server-ip，配置基于IP地址对RADIUS服务器进行自动探测。
  
  缺省情况下，RADIUS认证服务器和计费服务器是分开进行探测的。配置该功能后，相同VPN实例下，相同IP地址的RADIUS认证服务器和计费服务器同步探测，状态同步更新。
3. 执行命令return，返回到用户视图。

检查配置结果

执行命令display radius-server { dead-interval | dead-count | detect-cycle }，查看RADIUS服务器的探测周期、每个探测周期连续无响应的最大次数和探测周期循环次数的配置信息。
执行命令display radius-server configuration，查看RADIUS服务器模板下自动探测用户、探测周期以及探测报文超时等待时间的配置信息。
执行命令display radius-server max-unresponsive-interval，查看RADIUS服务器无响应的最大时间间隔的配置信息。

后续处理

在认证模板视图下，执行命令authentication event authen-server-down action authorize，配置在认证服务器Down时的逃生功能。具体配置请参见NAC配置（统一模式）中的（可选）配置认证事件授权信息。
在认证模板视图下，执行命令authentication event authen-server-up action re-authen，配置认证服务器恢复为Up后的重认证功能。具体配置请参见NAC配置（统一模式）中的（可选）配置对用户进行重认证。

企业业务网站

华为云网站

运营商网络业务网站

消费者业务网站

集团网站

本文档介绍了用户接入与认证的配置，具体包括AAA配置、NAC配置、策略联动配置和Kerberos Snooping配置。

背景信息

操作步骤

检查配置结果

后续处理

相关版本

相关文档

数字签名