1. 在 SEPM 上为两台或多台 Enforcer 创建用户组 (prefer group)，使这些 Enforcer 注册到该同一用户组;

2. 在交换机上设置两个 Enforcer 地址，使其首先选择第一台 Enforcer 进行论证，如果无法连接，则交换机会尝试连接第二台 Enforcer 进行论证，以下是 CISCO 交换机的配置案例：

其中 IP 地址：10.0.0.3 和 10.0.0.4 分别为两台 Enforcer 的地址

a.      SWITCH#configure terminal

b.      SWITCH(config)#aaa group server radius LAN-EAP

c.      SWITCH(config-sg-radius)#server 10.0.0.3 auth-port 1812 acct-port 1813

d.      SWITCH(config-sg-radius)#server 10.0.0.4 auth-port 1812 acct-port 1813

e.      SWITCH(config-sg-radius)#exit

f.      SWITCH(config)#aaa new-model

g.      SWITCH(config)# aaa authentication dot1x default group LAN-EAP

h.      SWITCH(config)#radius-server host 10.0.0.3 auth-port 1812 acct-port 1813 key Symantec

i.      SWITCH(config)#radius-server host 10.0.0.4 auth-port 1812 acct-port 1813 key Symantec

j.      SWITCH(config)#end

k.      SWITCH#write memory

From Symantec

TAPP工程师点评：

本文是配置LAN Enforcer 故障转移，如果把两台改为一台，不就是LAN Enforcer在CISCO交换机的配置吗？还有在LAN Enforcer是端点强制最严格的办法，按照循循渐进的思路应该先试试Self-Enforcer，然后是Gate Enforcer最后一个层次才是LAN Enforcer。望推荐的时候认真把握！！！

北京同力天合网络技术有限公司

TAPP（Technical Assistance Partner Program）

朱宗智

本期明星销售：赵亮

电话：13910823613

E-mail：zhaoliang@it9173.com

如果电话敬请告知获得途径“新浪博客”