如何在 Nebula 交換器上透過外部 Radius Server 進行身分認證

選項
Zyxel小編 Corey
Zyxel小編 Corey 文章數: 146  Zyxel Employee
First Anniversary Friend Collector First Comment

功能介紹

在某些網路環境,內部資料可能較為機密,因此網管人員希望達到嚴格的控管,只允許合法的裝置或使用者才能連上網路存取資料,防止惡意人士擅自串接網路線,取得內部資料。

透過交換器身分認證功能,只要在交換器 Port 配置完成,任何裝置連上網路孔,都需要進行身分認證。

使用情境

左側的筆記型電腦(綠色)代表經過身份驗證的設備,右側的筆記型電腦(紅色)代表嘗試存取網路的非法設備。

當用戶連上網路孔,必須進行身分認證,交換器收到認證資訊後,會送往 Radius Server 比對資料庫,只有通過身分認證的裝置才能存取內部網路。

設定步驟

首先網管人員需要先建置完成 Radius 伺服器,再到 Nebula 交換器啟用外部 Radius Server 認證,調整哪些 Port 要使用帳號密碼MAC位址認證。

步驟1 - 外部 Radius Server 設定範例

本範例中使用的身份驗證server是在Ubuntu server中運行的FreeRADIUS。

1 - 1 設定 Radius Server Trust Client

Radius Server 不能讓隨意的裝置都來進行認證,這樣就能讓任何人都來猜資料庫裏面的帳號密碼了,因此需要透過 trust client IP、密鑰比對正確才能認證。

其他類型的 Radius Server 也都會有 client 的設定步驟,要注意是否設定正確,否則無法進行 Radius 認證。

在 /etc/freeradius/clients.conf 中編輯客戶端設定文件,保存文件並退出。

下圖中的 client IP位址為 Nebula Switch 本地管理 IP,Secret 必須與步驟2-1 密鑰相同

表示接受這個 IP 位址使用這個密鑰認證成功,讀取認證資料庫內的帳號。

1 - 2 新增使用者帳號

Radius Server 新增帳號後,使用者身分認證輸入相同帳號密碼才能認證通過。

在/ etc / freeradius / users中添加以下用戶設定文件。保存文件並退出。

如下圖有兩個帳號 :

  1. 帳號 : User-A 密碼 : zyxeluserA
  2. 帳號 : User-B 密碼 : zyxeluserB

如果要使用 MAC 認證, Radius Server 新增的帳號格式如下 :

帳號 : 3C-97-0E-B6-F7-DB

密碼 : 12345678

  1. 帳號為 MAC 位址,分隔符號使用 " - ",英文為大寫
  2. 密碼為 Nebula 身分認證頁面 MAC-Base 認證密碼。

請注意,如果以上參數設定錯誤,將無法認證成功。

步驟2 - Nebula 身分認證設定

2 -1 啟用身分認證

前往 整個站點 > 設定 > 交換器 > 身份驗證 :

  • 伺服器種類選擇外部 radius 伺服器
  • 新增 Radius 伺服器,密鑰請確認與步驟1-1 Radius Server secret 設定相同
  • MAC 認證密碼為 MAC 認證所有帳號統一的密碼(帳號為設備本身的 MAC 位址)
  • 新增 802.1X 認證或 MAC 認證,用於套用 Switch Port,決定哪些 Port 要啟用身分認證。
  • 若有設定認證規則中的訪客 VLAN,只要認證失敗,交換器會將該裝置分配到指定的 VLAN。

2-2 啟用 Switch Port 身分認證

前往 整個站點 > 設定 > 交換器 > 交換器埠,勾選要啟用身分認證的 Port 進行編輯。

進入編輯頁面後,將類型改為 "存取" 才能設定身分驗證規則,選擇前面新增的規則,決定 Port 認證方式。

步驟3 - 電腦啟用 802.1x 認證功能

若您使用 MAC 認證,只要裝置接上交換器,交換器會自動讀取裝置 MAC 位址作為帳號,密碼為統一設定的密碼,向 Radius Server 認證,認證成功裝置即可正常連線上網。

但是如果您使用 802.1x 認證,在 Windows 系統預設值沒有啟用有線網路驗證功能,因此就算連上網路孔,也不會出現認證畫面。因此此時請依照下方設定教學,啟用有線驗證功能。

3 - 1 啟用Windows有線網卡 802.1x 認證功能

若要啟用有線網卡802.1x認證,需於服務中啟用Wired AutoConfig服務

3 - 2 有線網卡 802.1x 認證功能啟用成功

服務啟用成功後,有線介面卡內容出現驗證功能

3 - 3 設定有線網卡802.1x認證

3 - 4 認證成功

接上網路線,自動跳出登入訊息,完成驗證後,電腦連線成功。