如何在 Nebula 交換器上透過外部 Radius Server 進行身分認證
Zyxel Employee
功能介紹
在某些網路環境,內部資料可能較為機密,因此網管人員希望達到嚴格的控管,只允許合法的裝置或使用者才能連上網路存取資料,防止惡意人士擅自串接網路線,取得內部資料。
透過交換器身分認證功能,只要在交換器 Port 配置完成,任何裝置連上網路孔,都需要進行身分認證。
使用情境
左側的筆記型電腦(綠色)代表經過身份驗證的設備,右側的筆記型電腦(紅色)代表嘗試存取網路的非法設備。
當用戶連上網路孔,必須進行身分認證,交換器收到認證資訊後,會送往 Radius Server 比對資料庫,只有通過身分認證的裝置才能存取內部網路。
設定步驟
首先網管人員需要先建置完成 Radius 伺服器,再到 Nebula 交換器啟用外部 Radius Server 認證,調整哪些 Port 要使用帳號密碼或MAC位址認證。
步驟1 - 外部 Radius Server 設定範例
本範例中使用的身份驗證server是在Ubuntu server中運行的FreeRADIUS。
1 - 1 設定 Radius Server Trust Client
Radius Server 不能讓隨意的裝置都來進行認證,這樣就能讓任何人都來猜資料庫裏面的帳號密碼了,因此需要透過 trust client IP、密鑰比對正確才能認證。
其他類型的 Radius Server 也都會有 client 的設定步驟,要注意是否設定正確,否則無法進行 Radius 認證。
在 /etc/freeradius/clients.conf 中編輯客戶端設定文件,保存文件並退出。
下圖中的 client IP位址為 Nebula Switch 本地管理 IP,Secret 必須與步驟2-1 密鑰相同。
表示接受這個 IP 位址使用這個密鑰認證成功,讀取認證資料庫內的帳號。
1 - 2 新增使用者帳號
Radius Server 新增帳號後,使用者身分認證輸入相同帳號密碼才能認證通過。
在/ etc / freeradius / users中添加以下用戶設定文件。保存文件並退出。
如下圖有兩個帳號 :
- 帳號 : User-A 密碼 : zyxeluserA
- 帳號 : User-B 密碼 : zyxeluserB
如果要使用 MAC 認證, Radius Server 新增的帳號格式如下 :
帳號 : 3C-97-0E-B6-F7-DB
密碼 : 12345678
- 帳號為 MAC 位址,分隔符號使用 " - ",英文為大寫。
- 密碼為 Nebula 身分認證頁面 MAC-Base 認證密碼。
請注意,如果以上參數設定錯誤,將無法認證成功。
步驟2 - Nebula 身分認證設定
2 -1 啟用身分認證
前往 整個站點 > 設定 > 交換器 > 身份驗證 :
- 伺服器種類選擇外部 radius 伺服器
- 新增 Radius 伺服器,密鑰請確認與步驟1-1 Radius Server secret 設定相同
- MAC 認證密碼為 MAC 認證所有帳號統一的密碼(帳號為設備本身的 MAC 位址)
- 新增 802.1X 認證或 MAC 認證,用於套用 Switch Port,決定哪些 Port 要啟用身分認證。
- 若有設定認證規則中的訪客 VLAN,只要認證失敗,交換器會將該裝置分配到指定的 VLAN。
2-2 啟用 Switch Port 身分認證
前往 整個站點 > 設定 > 交換器 > 交換器埠,勾選要啟用身分認證的 Port 進行編輯。
進入編輯頁面後,將類型改為 "存取" 才能設定身分驗證規則,選擇前面新增的規則,決定 Port 認證方式。
步驟3 - 電腦啟用 802.1x 認證功能
若您使用 MAC 認證,只要裝置接上交換器,交換器會自動讀取裝置 MAC 位址作為帳號,密碼為統一設定的密碼,向 Radius Server 認證,認證成功裝置即可正常連線上網。
但是如果您使用 802.1x 認證,在 Windows 系統預設值沒有啟用有線網路驗證功能,因此就算連上網路孔,也不會出現認證畫面。因此此時請依照下方設定教學,啟用有線驗證功能。
3 - 1 啟用Windows有線網卡 802.1x 認證功能
若要啟用有線網卡802.1x認證,需於服務中啟用Wired AutoConfig服務
3 - 2 有線網卡 802.1x 認證功能啟用成功
服務啟用成功後,有線介面卡內容出現驗證功能
3 - 3 設定有線網卡802.1x認證
3 - 4 認證成功
接上網路線,自動跳出登入訊息,完成驗證後,電腦連線成功。
