200/300系列託管交換器上的RADIUS組態

下載選項

  • PDF     (1.3 MB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (1.1 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (378.4 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2022 年 4 月 21 日
文件 ID:SMB102

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

200/300系列託管交換器上的RADIUS組態

目標

遠端授權撥入使用者服務(RADIUS)是一種安全服務,用於在具有集中安全架構的網路中對使用者進行身份驗證。200/300系列託管交換器可以作為您網路中的RADIUS使用者端,且您可以與RADIUS伺服器協同建立一個集中式系統,用於驗證您網路中的使用者。本文說明如何設定RADIUS伺服器,以及如何在200/300系列託管交換器上套用驗證方法。

適用裝置 | 軟體版本

  • SF/SG 200系列 — 1.2.9.x
  • SF/SG 300系列 — 1.2.9.x

RADIUS預設組態

本節將指導您完成RADIUS伺服器的預設配置。這些預設值可用於要新增到交換機的任何RADIUS伺服器。

步驟 1

登入Web組態公用程式,然後選擇Security > RADIUSRADIUS頁面隨即開啟:

本文中的圖片來自SG300型號交換機。

步驟 2

在RADIUS Accounting(RADIUS記帳)欄位中,按一下以下任一選項:

  • 基於埠的訪問控制(802.1x,基於MAC) — 使用RADIUS伺服器進行802.1x埠記帳。
  • 管理訪問 — 使用RADIUS伺服器進行登入記帳。
  • 連線埠型存取控制和管理存取 — 將RADIUS伺服器用於802.1x和登入計量。
  • 無 — 不使用RADIUS伺服器進行計量。

SG200系列交換器不提供Radius計量。

步驟 3

在使用預設引數區段的重試次數欄位中,輸入交換器對RADIUS伺服器進行驗證的重試次數。

步驟 4

在Timeout for Reply欄位中,輸入每次嘗試對RADIUS伺服器進行身份驗證的時間(以秒為單位)。

步驟 5

在Dead Time欄位中,輸入交換機將無響應RADIUS伺服器宣告為dead並移至下一個可用伺服器以嘗試連線之前的分鐘數。

步驟 6

在「金鑰字串」欄位中,輸入交換器和RADIUS伺服器之間用於驗證和加密的金鑰。RADIUS伺服器和交換器上的這個金鑰必須相符。按一下以下任一選項:

  • 已加密 — 如果您有來自另一裝置的加密金鑰,請輸入該金鑰。
  • 明文 — 如果您沒有來自其他裝置的加密金鑰,請將該金鑰輸入為純文字檔案。

步驟 7

按一下Apply儲存這些預設值,並使其可用於RADIUS伺服器。

新增/編輯RADIUS伺服器

本節提供逐步程式,說明如何將RADIUS伺服器新增或編輯200/300系列託管交換器。

步驟 1

登入Web組態公用程式,然後選擇Security > RADIUSRADIUS頁面隨即開啟:

步驟 2

在「RADIUS表」部分中,按一下Add。出現「Add Radius Server」視窗。

要編輯當前的Radius伺服器,請按一下編輯,然後編輯RADIUS伺服器的所需屬性。

步驟 3

在Server Definition欄位中,按一下以下任一選項:

  • By Name — 如果RADIUS伺服器定義了一個名稱。
  • By IP Address — 如果使用IP地址定義RADIUS伺服器。

步驟 4

在「IP Version」欄位中,按一下「Version 6」或「Version 4」作為RADIUS伺服器的IP位址型別。

步驟 5

如果選擇版本6作為IPv6地址型別中的IP地址,請按一下以下選項之一:

  • 本地鏈路 — 僅標識單個網路鏈路上的主機的IPv6地址。
  • 全域性 — 可從其他網路訪問的IPv6地址。

步驟 6

如果選擇Link Local作為IPv6地址型別,請在Link Local Interface下拉選單中,選擇適當的介面。

步驟 7

在「伺服器IP地址/名稱」欄位中,輸入RADIUS伺服器的IP地址或名稱。

步驟 8

在「優先順序」欄位中,輸入交換器將使用的RADIUS伺服器的優先順序。具有最高優先順序的伺服器會先在交換器中進行查詢。零(0)提供最高優先順序。

步驟 9

在Key String欄位中,按一下以下任一選項:

  • 使用預設值 — 使用預設金鑰進行身份驗證。
  • User Defined(Encrypted) — 如果可用,請輸入加密金鑰。
  • 使用者定義(明文) — 如果不可用,則以純文字檔案形式輸入金鑰。

步驟 10

在Timeout for Reply欄位中,按一下以下任一項:

  • 使用預設值 — 使用預設值。
  • User Defined — 輸入每次嘗試連線到RADIUS伺服器時交換機等待的秒數。

步驟 11

在「Authentication Port」欄位中,輸入RADIUS伺服器用於身份驗證的UDP埠。

步驟 12

在「記帳埠」欄位中,輸入RADIUS伺服器用於記帳的UDP埠。

步驟 13

在Retries欄位中,按一下以下任一選項:

  • 使用預設值 — 使用預設值。
  • 使用者定義 — 使用不同的值。輸入交換器在與RADIUS伺服器連線發生失敗之前嘗試的次數。

步驟 14

在Dead Time欄位中,按一下以下任一選項:

  • 使用預設值 — 使用預設值。
  • 使用者定義 — 使用不同的值。輸入交換機將無響應RADIUS伺服器宣告為失效並移至下一個可用伺服器以嘗試連線之前的分鐘數。

步驟 15

在Usage Type欄位中,按一下以下任一項:

  • 登入 — 驗證交換機的管理員。
  • 802.1x - RADIUS伺服器將檢查根據802.1x連線埠型網路存取控制(PNAC)方案要求網路存取的使用者的安全認證。
  • 全部 — 使用兩種身份驗證型別。

步驟 16

按一下「Apply」。

步驟 17

(可選)要刪除RADIUS伺服器,在「RADIUS表」部分中,選中要刪除的RADIUS伺服器的覈取方塊,然後按一下刪除

RADIUS 驗證

正確設定RADIUS伺服器後,您需要在交換器上對其進行驗證。本節介紹如何在200/300系列託管交換器上驗證RADIUS伺服器。

步驟 1

登入到Web配置實用程式,然後選擇Security > Management Access Authentication。將開啟Management Access Authentication頁面:

步驟 2

在「可選方法」清單中,選擇RADIUS。

步驟 3

按一下>按鈕。

步驟 4

按一下「Apply」。

修訂記錄

修訂 發佈日期 意見
2.0
21-Apr-2022
更新的內容
1.0
10-Dec-2018
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您