ESW2 350G系列托管交换机上的远程授权拨入用户服务(RADIUS)设置

目标

远程身份验证拨入用户服务(RADIUS)是一种客户端或服务器协议，为设备连接和使用网络服务提供身份验证机制。这些服务范围从访问共享文件到共享打印。RADIUS服务器是一种机制，它通过用户凭证来规范用户对计算机网络的访问。例如，大学校园中安装了公共无线(WiFi)网络，任何未授权用户都无法使用此网络，只有大学为其提供密码的用户才能访问此网络。RADIUS服务器检查用户输入的密码，并根据需要授予或拒绝访问权限。此功能对保护网络免受未授权访问非常有用。

本文介绍如何在ESW2 350G系列托管交换机上配置RADIUS设置。

适用设备

· ESW2-350G-52
· ESW2-350G-52DC

软件版本

•1.3.0.62

RADIUS设置

步骤1.登录Web配置实用程序，然后选择Security > RADIUS。RADIUS页面打开：

 

注意： 仅当禁用TACACS记帐时，才能启用管理访问的RADIUS记帐。有关此的详细信息，请参阅ESW2-350G交换机上TACACS+参数和TACACS+服务器的配置文章。

步骤2.点击RADIUS记帐类型的单选按钮以在RADIUS记帐字段中使用。

RADIUS记帐允许在客户端和服务器之间共享信息。数据在会话开始和会话结束时发送，指示会话期间使用的资源。

·基于端口的访问控制 — 此选项指定RADIUS服务器用于服务器/客户端交互的802.1x端口记帐。

·管理访问 — 此选项指定RADIUS服务器用于服务器/客户端交互的用户登录记帐。

·基于端口的访问控制和管理访问 — 此选项指定RADIUS服务器用于服务器/客户端交互的802.1X端口记帐和用户登录记帐。

·无 — 此选项不允许在RADIUS服务器上记帐。

步骤3.在Retries字段中，输入在发出故障通知之前可以发送请求的重试次数。

步骤4.在Timeout for Reply字段中，输入重新发送未应答请求之前的时间（以秒为单位）。

步骤5.在Dead Time字段中，输入绕过无响应RADIUS服务器之前的时间（以分钟为单位），并移至下一个可用服务器以尝试连接。值0表示不绕过RADIUS服务器。

步骤6.在“密钥字符串”字段中，单击所需的单选按钮以选择要使用的密钥字符串类型，然后输入有助于加密服务器和客户端之间的消息的密钥字符串。密钥字符串必须与RADIUS服务器的密钥字符串匹配。您可以通过以下方式输入密钥字符串：

·已加密 — 您可以以加密形式输入密钥字符串。

·明文 — 如果您没有来自其他设备的加密密钥字符串，则输入明文。 

步骤 6（可选）。 在Source IPv4 Address字段中，输入要使用的源IPv4地址。

步骤 7（可选）。 在Source IPv6 Address字段中，输入要使用的源IPv6地址。

注意：仅当交换机处于第3层模式时，“源IPv4”和“源IPv6”字段才可用。要切换到第3层模式，请参阅在ESW2-350G交换机上配置系统设置一文。

步骤7.单击“应用”。页面顶部会显示提示，指示配置是否成功。还会提示将配置复制/保存到文件中。

注意：要在文件中复制/保存配置，请参阅ESW2-350G交换机上的复制或保存配置。

步骤8.单击“将敏感数据显示为明文”以以明文显示敏感数据。

管理RADIUS服务器

RADIUS表允许用户添加或编辑已配置的RADIUS服务器。

此过程显示如何添加RADIUS服务器。

步骤1.在RADIUS表中，单击Add添加RADIUS服务器。系统将显示Add RADIUS Server窗口。

 

注意： 要编辑当前Radius服务器，请单击Edit并编辑RADIUS服务器的属性。

步骤2.在Server Definition字段中，点击所需的单选按钮以选择RADIUS服务器是由IP地址还是名称指定。

·按IP地址 — 此选项按IP地址定义RADIUS服务器。

·按名称 — 此选项按名称定义RADIUS服务器。

步骤3.在IP Version字段中，点击所需的单选按钮以选择RADIUS服务器的IP地址是版本6还是版本4。

·第6版 — 此选项将RADIUS服务器的IP地址设置为已知IPv6地址。

·第4版 — 此选项将RADIUS服务器的IP地址设置为已知IPv4地址。

注意： 如果选择IPv4，则IPv6 Address Type字段和Link Local Interface字段将呈灰色显示。

步骤4.如果已单击步骤3中的版本6单选按钮，则选择IPv6地址类型。选项有：

·本地链路 — 单个网络中的主机在IPv6地址中唯一标识。FE80是链路本地地址的前缀。此地址不能从网络外部路由。仅支持一个链路本地地址。

·全局 — 全局IPv6地址是可从本地网络外部路由的全局单播地址。

步骤5.从Link Local Interface下拉列表中，从交换机上创建的可用IPv6接口中选择所需的链路本地接口。

步骤6.在Server IP Address/Name字段中，根据您在步骤2中的选择输入RADIUS服务器的名称或IP地址。

步骤7.在Priority字段中，输入RADIUS服务器的优先级。为了对用户进行身份验证，优先级确定交换机尝试与RADIUS服务器连接的顺序。值0是最高优先级。

注意： 如果交换机无法连接到具有最高优先级的RADIUS服务器，则交换机会尝试连接到具有下一个最高优先级的服务器。

步骤8.在Key String字段中，输入有助于加密服务器和客户端之间的消息的密钥字符串。密钥字符串必须与RADIUS服务器的密钥字符串匹配。您可以按如下不同方式输入密钥字符串：

·使用默认值 — 将RADIUS服务器的密钥字符串设置为默认字符串。

·用户定义 — 允许用户在相邻字段中输入密钥字符串。您可以按以下两种方式之一输入用户定义的值：

- Encrypted — 可以以加密形式输入密钥字符串。

— 明文 — 如果您没有来自其他设备的加密密钥字符串，则可以输入明文。

步骤9.在Timeout for Reply字段中，点击单选按钮以设置交换机等待RADIUS服务器响应的时间（以秒为单位）。

·使用默认值 — 将时间设置为默认值。

·用户定义 — 允许用户在相邻字段中输入时间。

 

步骤10.在Authentication Port字段中，输入RADIUS服务器用于身份验证请求的端口号。

步骤11.在Accounting Port字段中，输入RADIUS服务器用于记帐请求的端口号。

步骤12.在Retries字段中，点击单选按钮，查看在发生故障通知之前发送到RADIUS服务器的请求数。

·使用默认值 — 使用默认重试次数。

·用户定义 — 允许用户在相邻字段中输入重试次数。

步骤13.在Dead Time字段中，单击该单选按钮，查看RADIUS服务器因无响应而被绕过的时间（以分钟为单位）。

·使用默认值 — 使用默认时间。

·用户定义 — 允许用户在相邻字段中输入时间。

注意： 如果在步骤8、步骤9、步骤12和步骤13中选择Use Default选项，则使用默认RADIUS Configuration。请参阅文章“Configuration of Default RADIUS settings（默认RADIUS设置的配置）”。

步骤14.在Usage Type字段中，为RADIUS服务器身份验证类型选择一个选项。

·登录 — 对RADIUS服务器的用户进行身份验证。

· 802.1X — 使用802.1X身份验证。

·全部 — 执行两个身份验证。

步骤15.单击“将敏感数据显示为纯文本”以以纯文本显示敏感数据。

步骤16.单击“应用”。页面顶部会显示提示，指示配置是否成功。还会提示将配置复制/保存到文件中。窗口关闭，RADIUS表更新。

注：要在文件中复制/保存配置，请参阅在ESW2-350G交换机上复制或保存配置。