如何設定Switch和RADIUS server透過802.1x Port-Auth提供網路服務

Zyxel小編 Nilo
Zyxel小編 Nilo 文章數: 31  Zyxel Employee
已編輯 十一月 2022 乙太網路交換器 常見問題

此範例將指導管理員如何設定Switch以提供對有效用戶認證的電腦的訪問權限。借助802.1x PORT身份認證,組織可以確保只有授權人員才能訪問核心網路資源。


注意:

本文使用的所有網路IP位址和子網路遮罩只是作為範例。 請用您的實際網路IP位址和子網路遮罩替換它們。本範例中使用的身份驗證server是在Ubuntu server中運行的FreeRADIUS。本文中顯示的所有UI均來自XGS4600系列Switch。

 

 

1. Switch的設定

1-1. 登入Switch的Web GUI。

1-2. 選到Advance Application> AAA> RADIUS Server Setup。設定RADIUS server的IP位址並設定共享密碼。 點擊Apply


注意:

共享密碼必須與RADIUS server的客戶端設定的密碼一致。

1-3. 選到Advance Application>Port Authentication> 802.1x。將802.1x的Active打勾以及連接到設備的所有PORT的Active也打勾。不要將連接到USGRADIUS serverPrivate-Server的PORT的Active打勾。



2. 在RADIUS server中進行設定

2-1. /etc/freeradius/clients.conf中編輯客戶端設定文件。保存文件並退出。


注意:

客戶端IP位址和密碼必須與Switch的管理IP和共享密碼一致。

2-2. / etc / freeradius / users中添加以下用戶設定文件。保存文件並退出。


2-3. 重新啟動FreeRADIUS服務。


 

3. 測試結果

3-1. 使用User-AUser-BGuest設備登入。

3-2. 如果使用Windows操作系統,請點擊開始按鈕,然後在搜尋框中鍵入services.msc

3-3. 在服務視窗中,找到名為Wired AutoConfig的服務。確保服務狀態為“已啟動”。


3-4. 右鍵點擊您的網路卡,然後選擇內容

3-5. 點擊驗證選項,然後勾選”啟用IEEE 802.1X身份驗證”。 確保網路驗證方法為Microsoft: Protected EAP (PEAP)


3-6. 點擊其他設定,勾選指定驗證模式並選擇使用者驗證


3-7. 將User-A設備連接到Switch。User-A應該彈出顯示” Additional information is needed to connect to this network.”。


3-8. 輸入與RADIUS server的用戶配置文件設定一致的用戶名(User-A)和密碼(zyxeluserA)。


3-9. 使用User-A和User-B認證的設備可以與USGPrivate-Server進行連線。

3-10. 將User-A設備連接到Switch。User-A應該彈出顯示” Additional information is needed to connect to this network.”。

3-11. 輸入用戶名(Guest)和隨機密碼。


3-12. 使用Guset認證的設備無法與USGPrivate-Server進行連線。

4. 可能出錯的地方

如果Switch不允許使用了正確認證的用戶連線,則可能是發生了以下問題:

4-1. 用戶名和密碼區分大小寫。確保用戶輸入正確的小寫或大寫英文字母。

4-2. RADIUS server無法連線。Switch應該始終能夠ping到RADIUS server。確保在Switch和RADIUS server之間正確配置了網路設定。

4-3. Switch和RADIUS server之間的共享密碼不相同。