远程身份验证拨入用户服务(RADIUS)是一种客户端或服务器协议,为设备连接和使用网络服务提供身份验证机制。这些服务范围从访问共享文件到共享打印。RADIUS服务器是一种机制,它通过用户凭证来规范用户对计算机网络的访问。例如,大学校园中安装了公共无线(WiFi)网络,任何未授权用户都无法使用此网络,只有大学为其提供密码的用户才能访问此网络。RADIUS服务器检查用户输入的密码,并根据需要授予或拒绝访问权限。此功能对保护网络免受未授权访问非常有用。
本文介绍如何在ESW2 350G系列托管交换机上配置RADIUS设置。
· ESW2-350G-52
· ESW2-350G-52DC
•1.3.0.62
步骤1.登录Web配置实用程序,然后选择Security > RADIUS。RADIUS页面打开:
注意: 仅当禁用TACACS记帐时,才能启用管理访问的RADIUS记帐。有关此的详细信息,请参阅ESW2-350G交换机上TACACS+参数和TACACS+服务器的配置文章。
步骤2.点击RADIUS记帐类型的单选按钮以在RADIUS记帐字段中使用。
RADIUS记帐允许在客户端和服务器之间共享信息。数据在会话开始和会话结束时发送,指示会话期间使用的资源。
·基于端口的访问控制 — 此选项指定RADIUS服务器用于服务器/客户端交互的802.1x端口记帐。
·管理访问 — 此选项指定RADIUS服务器用于服务器/客户端交互的用户登录记帐。
·基于端口的访问控制和管理访问 — 此选项指定RADIUS服务器用于服务器/客户端交互的802.1X端口记帐和用户登录记帐。
·无 — 此选项不允许在RADIUS服务器上记帐。
步骤3.在Retries字段中,输入在发出故障通知之前可以发送请求的重试次数。
步骤4.在Timeout for Reply字段中,输入重新发送未应答请求之前的时间(以秒为单位)。
步骤5.在Dead Time字段中,输入绕过无响应RADIUS服务器之前的时间(以分钟为单位),并移至下一个可用服务器以尝试连接。值0表示不绕过RADIUS服务器。
步骤6.在“密钥字符串”字段中,单击所需的单选按钮以选择要使用的密钥字符串类型,然后输入有助于加密服务器和客户端之间的消息的密钥字符串。密钥字符串必须与RADIUS服务器的密钥字符串匹配。您可以通过以下方式输入密钥字符串:
·已加密 — 您可以以加密形式输入密钥字符串。
·明文 — 如果您没有来自其他设备的加密密钥字符串,则输入明文。
步骤 6(可选)。 在Source IPv4 Address字段中,输入要使用的源IPv4地址。
步骤 7(可选)。 在Source IPv6 Address字段中,输入要使用的源IPv6地址。
注意:仅当交换机处于第3层模式时,“源IPv4”和“源IPv6”字段才可用。要切换到第3层模式,请参阅在ESW2-350G交换机上配置系统设置一文。
步骤7.单击“应用”。页面顶部会显示提示,指示配置是否成功。还会提示将配置复制/保存到文件中。
注意:要在文件中复制/保存配置,请参阅ESW2-350G交换机上的复制或保存配置。
步骤8.单击“将敏感数据显示为明文”以以明文显示敏感数据。
RADIUS表允许用户添加或编辑已配置的RADIUS服务器。
此过程显示如何添加RADIUS服务器。
步骤1.在RADIUS表中,单击Add添加RADIUS服务器。系统将显示Add RADIUS Server窗口。
注意: 要编辑当前Radius服务器,请单击Edit并编辑RADIUS服务器的属性。
步骤2.在Server Definition字段中,点击所需的单选按钮以选择RADIUS服务器是由IP地址还是名称指定。
·按IP地址 — 此选项按IP地址定义RADIUS服务器。
·按名称 — 此选项按名称定义RADIUS服务器。
步骤3.在IP Version字段中,点击所需的单选按钮以选择RADIUS服务器的IP地址是版本6还是版本4。
·第6版 — 此选项将RADIUS服务器的IP地址设置为已知IPv6地址。
·第4版 — 此选项将RADIUS服务器的IP地址设置为已知IPv4地址。
注意: 如果选择IPv4,则IPv6 Address Type字段和Link Local Interface字段将呈灰色显示。
步骤4.如果已单击步骤3中的版本6单选按钮,则选择IPv6地址类型。选项有:
·本地链路 — 单个网络中的主机在IPv6地址中唯一标识。FE80是链路本地地址的前缀。此地址不能从网络外部路由。仅支持一个链路本地地址。
·全局 — 全局IPv6地址是可从本地网络外部路由的全局单播地址。
步骤5.从Link Local Interface下拉列表中,从交换机上创建的可用IPv6接口中选择所需的链路本地接口。
步骤6.在Server IP Address/Name字段中,根据您在步骤2中的选择输入RADIUS服务器的名称或IP地址。
步骤7.在Priority字段中,输入RADIUS服务器的优先级。为了对用户进行身份验证,优先级确定交换机尝试与RADIUS服务器连接的顺序。值0是最高优先级。
注意: 如果交换机无法连接到具有最高优先级的RADIUS服务器,则交换机会尝试连接到具有下一个最高优先级的服务器。
步骤8.在Key String字段中,输入有助于加密服务器和客户端之间的消息的密钥字符串。密钥字符串必须与RADIUS服务器的密钥字符串匹配。您可以按如下不同方式输入密钥字符串:
·使用默认值 — 将RADIUS服务器的密钥字符串设置为默认字符串。
·用户定义 — 允许用户在相邻字段中输入密钥字符串。您可以按以下两种方式之一输入用户定义的值:
- Encrypted — 可以以加密形式输入密钥字符串。
— 明文 — 如果您没有来自其他设备的加密密钥字符串,则可以输入明文。
步骤9.在Timeout for Reply字段中,点击单选按钮以设置交换机等待RADIUS服务器响应的时间(以秒为单位)。
·使用默认值 — 将时间设置为默认值。
·用户定义 — 允许用户在相邻字段中输入时间。
步骤10.在Authentication Port字段中,输入RADIUS服务器用于身份验证请求的端口号。
步骤11.在Accounting Port字段中,输入RADIUS服务器用于记帐请求的端口号。
步骤12.在Retries字段中,点击单选按钮,查看在发生故障通知之前发送到RADIUS服务器的请求数。
·使用默认值 — 使用默认重试次数。
·用户定义 — 允许用户在相邻字段中输入重试次数。
步骤13.在Dead Time字段中,单击该单选按钮,查看RADIUS服务器因无响应而被绕过的时间(以分钟为单位)。
·使用默认值 — 使用默认时间。
·用户定义 — 允许用户在相邻字段中输入时间。
注意: 如果在步骤8、步骤9、步骤12和步骤13中选择Use Default选项,则使用默认RADIUS Configuration。请参阅文章“Configuration of Default RADIUS settings(默认RADIUS设置的配置)”。
步骤14.在Usage Type字段中,为RADIUS服务器身份验证类型选择一个选项。
·登录 — 对RADIUS服务器的用户进行身份验证。
· 802.1X — 使用802.1X身份验证。
·全部 — 执行两个身份验证。
步骤15.单击“将敏感数据显示为纯文本”以以纯文本显示敏感数据。
步骤16.单击“应用”。页面顶部会显示提示,指示配置是否成功。还会提示将配置复制/保存到文件中。窗口关闭,RADIUS表更新。
注:要在文件中复制/保存配置,请参阅在ESW2-350G交换机上复制或保存配置。