RADIUS (Remote Authentication Dial-In User Service) ist ein Client- oder Serverprotokoll, das einen Authentifizierungsmechanismus für Geräte bereitstellt, die Netzwerkdienste anschließen und verwenden. Diese Services reichen vom Zugriff auf freigegebene Dateien bis hin zum gemeinsamen Drucken. Ein RADIUS-Server ist ein Mechanismus, der den Benutzerzugriff auf ein Computernetzwerk über Benutzeranmeldeinformationen regelt. So wird beispielsweise ein öffentliches Wireless-Netzwerk (WiFi) auf einem Universitätsgelände installiert. Nicht autorisierte Benutzer können dieses Netzwerk nicht verwenden. Nur die Universitäten, denen ein Kennwort zugewiesen wurde, können darauf zugreifen. Der RADIUS-Server überprüft die von den Benutzern eingegebenen Kennwörter und gewährt bzw. verweigert den Zugriff. Diese Funktion ist nützlich, um das Netzwerk vor nicht autorisiertem Zugriff zu schützen.
In diesem Artikel wird erläutert, wie Sie RADIUS-Einstellungen für Managed Switches der Serie ESW2 350G konfigurieren.
· ESW2-350G-52
· ESW2-350G-52DC
· 1.3.0.62
Schritt 1: Melden Sie sich beim Webkonfigurationsprogramm an, und wählen Sie Security > RADIUS aus. Die Seite RADIUS wird geöffnet:
Hinweis: RADIUS Accounting für Management Access kann nur aktiviert werden, wenn TACACS Accounting deaktiviert ist. Weitere Informationen hierzu finden Sie im Artikel Konfiguration der TACACS+-Parameter und des TACACS+-Servers auf ESW2-350G-Switches.
Schritt 2: Klicken Sie auf ein Optionsfeld für den RADIUS-Accounting-Typ, der im Feld RADIUS Accounting (RADIUS-Accounting) verwendet werden soll.
RADIUS Accounting ermöglicht die gemeinsame Nutzung von Informationen zwischen Client und Server. Zu Beginn der Sitzung und am Ende der Sitzung werden Daten gesendet, aus denen die während der Sitzung verwendeten Ressourcen hervorgehen.
· Port Based Access Control (Port-basierte Zugriffskontrolle): Diese Option gibt an, dass der RADIUS-Server für den 802.1x-Port verwendet wird, wobei die Server-/Client-Interaktion berücksichtigt wird.
· Management Access (Verwaltungszugriff): Diese Option gibt an, dass der RADIUS-Server für die Benutzeranmeldung und die Server-/Client-Interaktion verwendet wird.
· Portbasierte Zugriffskontrolle und Verwaltungszugriff: Diese Option legt fest, dass der RADIUS-Server sowohl für die 802.1X-Portabrechnung als auch für die Benutzeranmeldung für die Server-/Client-Interaktion verwendet wird.
· None (Keine): Diese Option lässt keine Abrechnung auf dem RADIUS-Server zu.
Schritt 3: Geben Sie im Feld Retries (Wiederholungen) die Anzahl der erneuten Versuche ein, die gesendet werden können, bevor eine Störungsmeldung angezeigt wird.
Schritt 4: Geben Sie im Feld Timeout for Reply (Zeitüberschreitung für Antwort) die Zeit (in Sekunden) ein, bevor eine nicht beantwortete Anforderung erneut gesendet wird.
Schritt 5: Geben Sie im Feld "Dead Time" (Dead-Zeit) die Zeit (in Minuten) ein, bevor ein nicht reagierender RADIUS-Server umgangen wird, und wechseln Sie zum nächsten verfügbaren Server, um eine Verbindung herzustellen. Ein Wert von 0 bedeutet, dass der RADIUS-Server nicht überbrückt wird.
Schritt 6: Klicken Sie im Feld Schlüsselzeichenfolge auf das gewünschte Optionsfeld, um den Typ der zu verwendenden Schlüsselzeichenfolge auszuwählen, und geben Sie dann eine Schlüsselzeichenfolge ein, mit der Nachrichten zwischen dem Server und dem Client verschlüsselt werden können. Die Schlüsselzeichenfolge muss mit der Schlüsselzeichenfolge des RADIUS-Servers übereinstimmen. Sie können die Schlüsselzeichenfolge folgendermaßen eingeben:
· Verschlüsselt - Sie können die Schlüsselzeichenfolge in verschlüsselter Form eingeben.
· Plaintext — Wenn Sie keine verschlüsselte Schlüsselzeichenfolge von einem anderen Gerät haben, geben Sie diese als Klartext ein.
Schritt 6 (optional). Geben Sie im Feld Source IPv4 Address (Quell-IPv4-Adresse) die zu verwendende Quell-IPv4-Adresse ein.
Schritt 7 (optional). Geben Sie im Feld Source IPv6 Address (IPv6-Quelladresse) die zu verwendende IPv6-Quelladresse ein.
Hinweis: Die Felder Source IPv4 und Source IPv6 sind nur verfügbar, wenn sich der Switch im Layer-3-Modus befindet. Informationen zum Wechseln in den Layer-3-Modus finden Sie im Artikel Systemeinstellungen auf ESW2-350G-Switches konfigurieren.
Schritt 7: Klicken Sie auf Übernehmen. Oben auf der Seite wird eine Eingabeaufforderung angezeigt, die angibt, ob die Konfiguration erfolgreich ist oder nicht. Es gibt auch eine Aufforderung, die Konfiguration in eine Datei zu kopieren/zu speichern.
Hinweis: Informationen zum Kopieren/Speichern der Konfiguration in einer Datei finden Sie unter Kopieren oder Speichern der Konfiguration auf dem ESW2-350G-Switch.
Schritt 8: Klicken Sie auf Sensitive Daten als Nur anzeigen, um vertrauliche Daten im Nur-Text anzuzeigen.
Mithilfe der RADIUS-Tabelle kann ein Benutzer einen konfigurierten RADIUS-Server hinzufügen oder bearbeiten.
Dieses Verfahren zeigt, wie Sie einen RADIUS-Server hinzufügen.
Schritt 1: Klicken Sie in der RADIUS-Tabelle auf Hinzufügen, um einen RADIUS-Server hinzuzufügen. Das Fenster RADIUS-Server hinzufügen wird angezeigt.
Hinweis: Um einen aktuellen RADIUS-Server zu bearbeiten, klicken Sie auf Bearbeiten und bearbeiten Sie die Eigenschaften des RADIUS-Servers.
Schritt 2: Klicken Sie im Feld "Serverdefinition" auf das gewünschte Optionsfeld, um auszuwählen, ob der RADIUS-Server durch die IP-Adresse oder den Namen angegeben ist.
· Nach IP-Adresse: Diese Option definiert den RADIUS-Server anhand der IP-Adresse.
· By name (Name): Mit dieser Option wird der RADIUS-Server durch den Namen definiert.
Schritt 3: Klicken Sie im Feld IP Version (IP-Version) auf das gewünschte Optionsfeld, um auszuwählen, ob die IP-Adresse des RADIUS-Servers Version 6 oder Version 4 ist.
· Version 6 - Diese Option setzt die IP-Adresse des RADIUS-Servers auf die bekannte IPv6-Adresse.
· Version 4 - Diese Option setzt die IP-Adresse des RADIUS-Servers auf die bekannte IPv4-Adresse.
Hinweis: Wenn IPv4 ausgewählt ist, werden das Feld "IPv6 Address Type" und das Feld "Link Local Interface" (Lokale Schnittstelle verbinden) abgeblendet.
Schritt 4: Wenn Sie in Schritt 3 auf das Optionsfeld Version 6 geklickt haben, wählen Sie den IPv6-Adresstyp aus. Folgende Optionen stehen zur Verfügung:
· Link Local (Lokale Verbindung) - Die Hosts in einem einzigen Netzwerk sind eindeutig in der IPv6-Adresse identifiziert. FE80 ist das Präfix einer lokalen Link-Adresse. Diese Adresse kann nicht von außerhalb des Netzwerks geroutet werden. Es wird nur eine lokale Adresse für eine Verbindung unterstützt.
· Global - Globale IPv6-Adresse ist eine globale Unicast-Adresse, die von außerhalb des lokalen Netzwerks routbar ist.
Schritt 5: Wählen Sie aus der Dropdown-Liste Link Local Interface (Lokale Verbindungsschnittstelle) die gewünschte lokale Verbindungsschnittstelle aus den auf dem Switch erstellten verfügbaren IPv6-Schnittstellen aus.
Schritt 6: Geben Sie in Schritt 2 im Feld Server IP Address/Name (IP-Adresse/Name des Servers) den Namen oder die IP-Adresse für den RADIUS-Server ein, der bzw. die auf Ihrem Wunsch basiert.
Schritt 7: Geben Sie im Feld Priorität eine Prioritätsebene für den RADIUS-Server ein. Um einen Benutzer zu authentifizieren, bestimmt die Priorität die Reihenfolge, in der der Switch versucht, eine Verbindung zu den RADIUS-Servern herzustellen. Der Wert 0 hat oberste Priorität.
Hinweis: Wenn der Switch keine Verbindung zum RADIUS-Server mit der höchsten Priorität herstellen kann, versucht er, eine Verbindung zum Server mit der höchsten Priorität herzustellen.
Schritt 8: Geben Sie im Feld Schlüsselzeichenfolge eine Schlüsselzeichenfolge ein, die die Verschlüsselung von Nachrichten zwischen Server und Client unterstützt. Die Schlüsselzeichenfolge muss mit der Schlüsselzeichenfolge des RADIUS-Servers übereinstimmen. Sie können die Schlüsselzeichenfolge auf verschiedene Weise eingeben:
· Use Default (Standard verwenden) - Legt die Schlüsselzeichenfolge des RADIUS-Servers auf die Standardzeichenfolge fest.
· User Defined (Benutzerdefiniert) - Ermöglicht es einem Benutzer, die Schlüsselzeichenfolge in das angrenzende Feld einzugeben. Sie können benutzerdefinierte Werte folgendermaßen eingeben:
- Verschlüsselt - Sie können die Schlüsselzeichenfolge in verschlüsselter Form eingeben.
-Plaintext — Wenn Sie die verschlüsselte Schlüsselzeichenfolge von einem anderen Gerät nicht haben, können Sie als Klartext eingeben.
Schritt 9: Klicken Sie im Feld Timeout for Reply (Zeitüberschreitung für Antwort) auf das Optionsfeld, um die Zeit (in Sekunden) festzulegen, für die der Switch auf die Antwort des RADIUS-Servers wartet.
· Use Default (Standard verwenden) - Legt die Zeit auf den Standardwert fest.
· User Defined (Benutzerdefiniert) - Ermöglicht einem Benutzer, die Uhrzeit in das benachbarte Feld einzugeben.
Schritt 10: Geben Sie im Feld Authentication Port (Authentifizierungsport) die Portnummer ein, die der RADIUS-Server für Authentifizierungsanforderungen verwendet.
Schritt 11: Geben Sie im Feld Buchhaltungsport die Portnummer ein, die der RADIUS-Server für Buchhaltungsanfragen verwendet.
Schritt 12: Klicken Sie im Feld Retries (Wiederholungen) auf das Optionsfeld für die Anzahl der Anfragen, die vor Eintreten einer Störungsmeldung an den RADIUS-Server gesendet werden.
· Standard verwenden - Verwendet die Standardanzahl der Wiederholungen.
· User Defined (Benutzerdefiniert) - Ermöglicht es einem Benutzer, die Anzahl der Wiederholungen im angrenzenden Feld einzugeben.
Schritt 13: Klicken Sie im Feld "Dead Time" (Dead-Zeit) für die Zeit in Minuten auf das Optionsfeld, bevor ein RADIUS-Server umgangen wird, um nicht zu reagieren.
· Standard verwenden - Verwendet die Standardzeit.
· User Defined (Benutzerdefiniert) - Ermöglicht einem Benutzer, die Uhrzeit in das benachbarte Feld einzugeben.
Hinweis: Wenn Sie in Schritt 8, Schritt 9, Schritt 12 und Schritt 13 die Option Standard verwenden auswählen, wird die standardmäßige RADIUS-Konfiguration verwendet. Siehe Artikel Konfiguration der RADIUS-Standardeinstellungen.
Schritt 14: Wählen Sie im Feld Usage Type (Nutzungstyp) eine Option für den Authentifizierungstyp des RADIUS-Servers aus.
· Anmelden - Authentifiziert den Benutzer für den RADIUS-Server.
· 802.1X - 802.1X-Authentifizierung
· Alle - Führt beide Authentifizierungen durch.
Schritt 15: Klicken Sie auf Sensitive Daten als Nur anzeigen, um vertrauliche Daten im Nur-Text anzuzeigen.
Schritt 16: Klicken Sie auf Übernehmen. Oben auf der Seite wird eine Eingabeaufforderung angezeigt, die angibt, ob die Konfiguration erfolgreich ist oder nicht. Es gibt auch eine Aufforderung, die Konfiguration in eine Datei zu kopieren/zu speichern. Das Fenster wird geschlossen, und die RADIUS-Tabelle wird aktualisiert.
Hinweis: Informationen zum Kopieren/Speichern der Konfiguration in einer Datei finden Sie unter Kopieren oder Speichern der Konfiguration auf dem ESW2-350G-Switch.