如何配置cisco 3560G SSH通过radius服务器认证

如果能telnet不能ssh的话试试：

line

vty

0

4

transport

input

ssh

如果telnet也不行的话就检查aaa和radius配置了

配置radius服务器：

radius-server

host

xxxx

auth-port

xxx

acct-port

xxx

aaa配置：

aaa

authentication

login

xxx

group

radius

local

确保radius服务器上有添加cisco设备的地址

如果能telnet不能ssh的话试试：

line vty 0 4

transport input ssh

如果telnet也不行的话就检查aaa和radius配置了

配置radius服务器：

radius-server host xxxx auth-port xxx acct-port xxx

aaa配置：

aaa authentication login xxx group radius local

确保radius服务器上有添加cisco设备的地址

哈哈，今天刚解决了这个问题，跟楼主分享一下答案。用Windows自带的IAS（Internet验证服务）即可，不用AD支持，可以本机验证。这个东西支持RADIUS，但是本身不提供记账功能，需要再外联第三方服务器。不过就是有的验证方法（PEAP等），需要你弄一个数字证书。这个也好办，装个IIS，然后用IIS Toolkit，里面有一个selfssl，自认证证书，设置即可。

[H3C]debugging radius packet

开启debug功能，此命令可以查看客户端与radius服务器认证过程和报文交互

下面是常见的与radius有关的查看调试命令：

显示所有或指定ISP域的配置信息

display domain [ isp-name ]

显示AAA用户连接的相关信息

display connection [ access-type { dot1x | mac-authentication } | domain isp-domain | interface interface-type interface-number | ip ip-address | mac mac-address | ucibindex ucib-index | user-name user-name | vlan vlan-id]

显示本地用户相关信息

display local-user [ idle-cut { disable | enable } | service-type { ftp | lan-access | ssh | telnet | terminal } | state { active | block } | user-name user-name | vlan vlan-id ]

显示所有或指定RADIUS方案的配置信息

display radius scheme [ radius-scheme-name ]

显示RADIUS报文的统计信息

display radius statistics

清除RADIUS协议的统计信息

reset radius statistics

radius服务器搭建参考 centos7 下用FREERADIUS3+ldap(windowsAD)搭建radius服务器

服务器端配置： 增加一个client并配置共享密钥 secret = tdops,shortname可以任意。clientIP可以是一个地址也可以是一个网段。

CE交换机配置 （使用的是ce5855）

测试telnet（用户名需要带上域名）

去掉认证时的域名

华为有两个默认域，就是 domain default 和domain default_admin。这两个域是不同的:

default域为接入用户（通过NAC进行认证的用户）的缺省域。

default_admin为管理员（通过HTTP，SSH，Telnet，Terminal或FTP方式登录设备的用户）的缺省域

修改AAA命令把radius认证加到default_admin（不是default）

测试不加domain成功 (但是会导致本地认证的用户认证不过)