200/300系列管理型交换机上的RADIUS配置

目标

远程授权拨入用户服务(RADIUS)是一种安全服务，用于在具有集中式安全架构的网络中对用户进行身份验证。200/300系列管理型交换机可以用作网络中的RADIUS客户端，并且与RADIUS服务器配合使用，您可以建立一个集中式系统来对网络中的用户进行身份验证。本文解释如何配置RADIUS服务器以及如何在200/300系列管理型交换机上应用身份验证方法。

适用设备 |软件版本

• SF/SG 200系列 — 1.2.9.x
• SF/SG 300系列 — 1.2.9.x

RADIUS默认配置

本节指导您完成RADIUS服务器的默认配置。这些默认值可用于要添加到交换机的任何RADIUS服务器。

第 1 步

登录到Web配置实用程序并选择Security > RADIUS。将打开RADIUS页面：

步骤 2

在RADIUS Accounting字段中，点击以下选项之一：

• 基于端口的访问控制（基于802.1x、MAC） — 使用RADIUS服务器进行802.1x端口记帐。
• 管理访问 — 使用RADIUS服务器进行登录记帐。
• 基于端口的访问控制和管理访问 — 对802.1x和登录记帐使用RADIUS服务器。
• 无 — 不使用RADIUS服务器进行记帐。

步骤 3

在使用默认参数(Use Default Parameters)部分的重试次数(Retries)字段中，输入交换机对RADIUS服务器进行身份验证的重试次数。

步骤 4

在Timeout for Reply字段中，输入每次尝试对RADIUS服务器进行身份验证的时间（以秒为单位）。

步骤 5

在Dead Time字段中，输入交换机将无响应RADIUS服务器声明为dead并移至下一个可用服务器以尝试连接之前经过的时间（以分钟为单位）。

步骤 6

在Key String字段中，输入用于交换机和RADIUS服务器之间的身份验证和加密的密钥。此密钥在RADIUS服务器和交换机上必须匹配。点击以下任一项：

• 加密 — 如果您有来自其他设备的加密密钥，请输入该密钥。
• 明文 — 如果您没有来自其他设备的加密密钥，请以纯文本形式输入密钥。

步骤 7

单击Apply以保存这些默认值并使其可用于RADIUS服务器。

添加/编辑RADIUS服务器

本部分提供了一个分步过程，说明如何向200/300系列管理型交换机添加或编辑RADIUS服务器。

第 1 步

登录到Web配置实用程序并选择Security > RADIUS。将打开RADIUS页面：

步骤 2

在RADIUS Table部分，单击Add。出现Add Radius Server窗口。

步骤 3

在Server Definition字段中，点击以下选项之一：

• By Name — 如果RADIUS服务器定义了一个名称。
• By IP Address — 如果使用IP地址定义RADIUS服务器。

步骤 4

在IP Version字段中，单击Version 6或Version 4作为RADIUS服务器的IP地址类型。

步骤 5

如果选择版本6作为IPv6地址类型中的IP地址，请单击以下选项之一：

• 本地链路 — 仅标识单个网络链路上的主机的IPv6地址。
• 全局 — 可从其他网络访问的IPv6地址。

步骤 6

如果选择Link Local作为IPv6地址类型，请在Link Local Interface下拉列表中，选择适当的接口。

步骤 7

在Server IP Address/Name字段中，输入RADIUS服务器的IP地址或名称。

步骤 8

在Priority字段中，输入交换机将使用的RADIUS服务器的优先级。首先在交换机中查询具有最高优先级的服务器。零(0)具有最高优先级。

步骤 9

在Key String字段中，点击以下选项之一：

• Use Default — 使用默认密钥进行身份验证。
• User Defined(Encrypted) — 如果可用，请输入加密密钥。
• User Defined(Plaintext) — 如果不可用，请以纯文本形式输入密钥。

步骤 10

在Timeout for Reply字段中，点击以下选项之一：

• 使用默认值 — 使用默认值。
• User Defined — 输入每次尝试连接到RADIUS服务器时交换机等待的秒数。

步骤 11

在Authentication Port字段中，输入RADIUS服务器用于身份验证的UDP端口。

步骤 12

在Accounting Port字段中，输入RADIUS服务器用于记帐的UDP端口。

步骤 13

在Retries字段中，单击以下任一项：

• 使用默认值 — 使用默认值。
• 用户定义 — 使用不同的值。输入交换机在被视为已发生与RADIUS服务器的连接失败之前尝试的次数。

步骤 14

在Dead Time字段中，单击以下任一项：

• 使用默认值 — 使用默认值。
• 用户定义 — 使用不同的值。输入交换机宣告无响应RADIUS服务器为失效并移至下一个可用服务器以尝试连接之前的时间（以分钟为单位）。

步骤 15

在Usage Type字段中，点击以下选项之一：

• 登录 — 对交换机的管理员进行身份验证。
• 802.1x - RADIUS服务器将检查根据802.1x基于端口的网络访问控制(PNAC)方案请求网络访问的用户的安全凭证。
• All — 使用两种身份验证类型。

步骤 16

单击 Apply。

步骤 17

（可选）要删除RADIUS服务器，在RADIUS表部分，选中要删除的RADIUS服务器的复选框，然后点击删除。

RADIUS 身份验证

正确配置RADIUS服务器后，您需要在交换机上对其进行身份验证。本节介绍如何对200/300系列管理型交换机上的RADIUS服务器进行身份验证。

第 1 步

登录到Web配置实用程序，然后选择Security > Management Access Authentication。将打开Management Access Authentication页面：

步骤 2

在Optional Methods列表中，选择RADIUS。

步骤 3

单击>按钮。

步骤 4

单击 Apply。