如何設定Switch和RADIUS server綁定設備的MAC位址提供網路服務
Zyxel Employee
此範例將指導管理員如何設定Switch以提供對具有特定MAC位址的電腦的訪問。使用MAC身份認證,組織可以確保只有組織提供的設備才能使用內部資源。
注意:
本文使用的所有網路IP位址和子網路遮罩只是作為範例。請用您的實際網路IP位址和子網路遮罩替換它們。本範例中使用的身份驗證server是在Ubuntu server中運行的FreeRADIUS。本文中顯示的所有UI均來自XGS4600系列Switch。
1. Switch的設定
1-1. 登入Switch的Web GUI。
1-2. 選到Advance Application > AAA> RADIUS Server Setup。 設定RADIUS server的IP位址並設定共享密碼。點選apply
注意:
共享密碼必須與RADIUS server的客戶端配置文件的密碼一致。
1-3. 選到Advance Application > Port Authentication > MAC Authentication。將MAC Authentication的Active以及連接PORT的Active打勾。不要將連接到USG,RADIUS server或Private-Server的PORT Active打勾。
2. 在RADIUS server中進行設定
2-1. 在/etc/freeradius/clients.conf中編輯客戶端設定文件。保存文件並退出。
注意:
客戶端IP位址和密碼必須與Switch的管理IP和共享密碼一致。
2-2. 在/ etc / freeradius / users中加入以下用戶配置文件。用戶名格式應為<名稱前綴> <設備的MAC位址>。保存文件並退出。
2-3. 重新啟動FreeRADIUS服務。
3. 測試結果
3-1. 將PC-A,PC-B和PC-Guest連接到Switch。
3-2. PC-A和PC-B應該能夠連線USG和Private-Server。
3-3. PC-Guest應該無法連線USG和Private-Server。
4. 可能出錯的地方
4-1. 如果Switch不允許授權設備連線:
4-1-1. RADIUS server的用戶配置文件必須使用設備的MAC位址的所有大寫字符,並用(-)代替(:)。
4-1-2. 像是膝上型電腦或筆電之類的機器具有多個MAC位址(LAN,無線等)。確保在RADIUS server的用戶配置文件中使用了正確的MAC位址。
4-2. 如果在更正了Switch或RADIUS server設定之後,Switch仍然不允許授權的設備連線,請等待幾分鐘,然後重試。這由MAC身份認證的超時時間判斷,其中設備重新認證的默認時間為300秒。
