Nebula 交換器連接埠身分認證設定教學 (外部 Radius Server)

Zyxel小編 Corey
Zyxel小編 Corey 文章數: 209  Zyxel Employee
First Answer First Comment Friend Collector Sixth Anniversary
已編輯 : 艾 Nebula 常見問題

前言:強化您的有線網路存取安全

在某些對資訊安全要求較高的網路環境中,管理者會希望達到嚴格的存取控制,只允許經過授權的合法裝置或使用者,才能連接到有線網路。這能有效防止未經授權的人員或設備,僅透過串接網路線,就輕易地存取公司內部的重要資料。

Nebula 交換器的「身分認證」功能,正是為此而生。啟用後,任何設備在連接到指定的交換器埠時,都必須先通過身分驗證,才能存取網路。

版本資訊:本篇教學的截圖與操作,基於 Nebula Control Center 19.00 版本

運作架構與流程

如下圖,當有使用者(無論合法或非法)嘗試連接網路時,其認證請求會由交換器轉發至後端的 RADIUS 伺服器進行驗證。RADIUS 伺服器會比對其資料庫,僅當使用者的憑證(帳號密碼或 MAC 位址)完全正確時,才會授權其存取。

image.png

設定總覽 (三階段)

本篇教學將引導您完成此設定,整個過程分為三大階段:

  1. 第一階段:設定後端認證用的 RADIUS 伺服器
  2. 第二階段:設定 Nebula 交換器,使其與 RADIUS 伺服器連動。
  3. 第三階段:設定終端使用者電腦(僅 802.1X 認證需要)。

第一階段:設定 RADIUS 伺服器 (以 FreeRADIUS 為例)

此步驟需在您自建的 RADIUS 伺服器上完成。本範例以常見的 FreeRADIUS 為例。

步驟 1-1:設定信任的客戶端 (Switch)

RADIUS 伺服器需要一份「信任清單」,只允許清單內的設備(也就是您的交換器)前來請求認證。

  1. 編輯設定檔:/etc/freeradius/clients.conf
  2. client 192.168.1.10 { secret = zyxel1234 shortname = MyNebulaSwitch} image.png

步驟 1-2:建立使用者與設備帳號

此步驟用以建立允許通過驗證的帳號密碼或 MAC 位址。

  1. 編輯設定檔:/etc/freeradius/users
  2. 帳號 : User-A 密碼 : zyxeluserA
    帳號 : User-B 密碼 : zyxeluserB
    User-A Cleartext-Password := "zyxeluserA"
    User-B Cleartext-Password := "zyxeluserB"

    image.png
  3. MAC 認證, Radius Server 新增的帳號格式如下 :
    帳號 : 3C-97-0E-B6-F7-DB
    密碼 : 12345678
    3C-97-0E-B6-F7-DB Cleartext-Password := "12345678"
    • 帳號:為設備的 MAC 位址,英文字母需大寫,且分隔符號需使用「-」。
    • 密碼:必須與您稍後在 Nebula 介面 步驟 2-1 中設定的「MAC 認證密碼」完全相同 image.png

第二階段:設定 Nebula 交換器

步驟 2-1:設定認證伺服器與策略

  1. 前往【整個站點 > 設定 > 交換器 > 身份驗證】設定頁面。
  2. 「認證伺服器」區塊,選擇「外部 Radius 伺服器」,點擊「新增」,並填入您 RADIUS 伺服器的 IP 位址與 步驟 1-1 中設定的密鑰 (Secret)
  3. 「MAC-based 認證密碼」區塊,設定一個密碼。所有使用 MAC 認證的設備,在 RADIUS 伺服器上的密碼都必須與此處設定的相同。
  4. 「認證規則」區塊,點擊「新增」,建立一個新的策略,並在其中選擇您要使用的認證方式(802.1X 或 MAC-based)。
  5. (選用) 您可以在策略中設定「訪客 VLAN」。啟用後,只要認證失敗,該設備就會被自動分配到指定的訪客 VLAN,而非直接斷線。 image.png

步驟 2-2:將認證策略套用到交換器埠

  1. 前往 【整個站點 > 設定 > 交換器 > 交換器埠】
  2. 勾選所有要啟用身分認證的連接埠,點擊「編輯」。 image.png
  3. 在彈出視窗中,將「類型」設為「Access」,並在「身分驗證」欄位,選擇您在 步驟 2-1 中建立的策略。 image.png
  4. 點擊「更新」後,務必在主頁面點擊「儲存」。

第三階段:設定終端電腦 (以 Windows 802.1X 為例)

  • 若您使用 MAC 認證:終端設備無需任何設定。交換器會自動抓取設備的 MAC 位址去進行認證。
  • 若您使用 802.1X 認證:Windows 系統預設未啟用有線網路的 802.1X 功能,需要手動開啟。

步驟 3-1:啟用 Wired AutoConfig 服務

  1. 在 Windows 搜尋框中輸入 services.msc 並執行。
  2. 找到名為「Wired AutoConfig」的服務。
  3. 在該服務上點擊右鍵選擇「內容」,將「啟動類型」改為「自動」,並點擊「啟動」按鈕。 image.png

步驟 3-2:設定網卡驗證屬性

  1. 服務啟用後,前往「控制台 > 網路和共用中心 > 變更介面卡設定」
  2. 在您的有線網卡上點擊右鍵選擇「內容」,此時您會看到多出一個「驗證」頁籤。
  3. 進入「驗證」頁籤,即可設定相關的 EAP 類型。 image.png

步驟 3-3:連線與驗證

完成設定後,將網路線接上電腦,系統即會跳出登入訊息。輸入您在 步驟 1-2 中建立的帳號密碼,驗證成功後即可正常上網。

image.png