Nebula AP 802.1X 認證設定教學
Zyxel Employee
功能介紹
802.1X 身份驗證是一項強大的安全功能,使用者需輸入個人帳號與密碼才能連接內部無線網路。透過身份驗證,管理員可以掌握每位用戶的流量狀態,不僅能加強資訊安全,也有助於快速排除障礙。一旦發現特定用戶的傳輸行為異常,管理員可立即封鎖該用戶並通知其進行處理。
備註 : 本篇文章使用 Nebula 18.20 版本作為截圖畫面
使用情境
網管人員可透過身份驗證實施嚴格的存取控制措施,特別是在要求高度安全性的環境中,例如辦公室、教育機構或公共區域,此種身份驗證方式尤為實用。
設定步驟
請參考以下設定教學,正確配置 802.1X 身份驗證功能。
在操作前,請先確認您的 AP 型號是否支援身份驗證功能。目前僅有以下型號「不支援」 802.1X 身分認證 : USG LITE 60AX、SCR 50AXE、NWA50AX、NWA50AX PRO
相關功能說明請參考此篇文章:[NEBULA]如何查詢AP的支援功能?
步驟1 - 啟用 SSID 進階模式
進階模式才能調整 802.1X身分認證功能,因此請首先進入【設定 > 無線基地台(AP) > SSID 設置】,啟用進階模式。
步驟2 - SSID 啟用 802.1X 身分認證
接下來前往【設定 > 無線基地台(AP) > SSID 進階設定】,選擇要啟用 802.1X 認證的 SSID。
- 若您還不熟悉新增 SSID 設定,請參考此篇教學 : 如何新增或修改站點內的 SSID - WiFi名稱及密碼
啟用 802.1X 認證,使用者認證資料庫可以選擇「Nebula 雲端身分驗證」或「本地 Radius伺服器」
- 若希望使用「本地 Radius伺服器」作為身分認證資料庫,請參考頁面下方附錄 Radius 伺服器設定教學
步驟3 - 新增雲端認證帳號
您可以從以下任一路徑建立使用者帳號 :
- 帳號僅限該站點使用:整個站點 > 設定 > 雲端身份驗證
- 帳號允許所有站點都能使用 : 組織 > 組織管理 > 雲端身份驗證
點選「+新增」即可建立使用者,各參數說明如下:
- 電子郵件:作為使用者帳號或接收帳號資訊的聯絡方式。
- 使用者名稱:用於帳號認證。
- 密碼:可手動輸入或自動生成隨機密碼。
802.1X 允許使用 WPA-Enterprise訪問網路 : 勾選表示允許此帳號進行 802.1X 認證- 授權:選擇「是」表示該帳號有效。
- 已過期:設定帳號的有效期限,或選擇永久有效。
- 登入方式:選擇使用「使用者名稱」、「電子郵件」或兩者皆可進行登入。
設定範例如下圖 :
若有大量使用者需要新增,可以使用「匯入」方式。
下載「此範本」,依照範本填寫完成後,點選「瀏覽」上傳檔案(檔案名稱請勿修改)。
特別提醒 : 若您的組織為免費版本,雲端認證帳號上限為「50筆」,進階版可以新增「100筆」,專業版則「無上限」。
步驟4 - 設定完成
使用裝置連接啟用 802.1X 認證的 SSID 時,系統會彈出輸入帳號密碼的提示畫面。請輸入已加入資料庫的帳號與密碼,進行連線測試。
狀態查詢
前往【用戶列表 > 用戶清單 > 無線基地台的用戶端】,勾選「使用者」欄位,即可查看每位用戶所使用的認證帳號。
前往【監控 > 無線基地台 > 事件日誌】,即可查詢認證紀錄,並確認是否有用戶成功登入或因帳號密碼錯誤導致認證失敗。
附錄 - 使用本地 Radius Server 進行身分驗證
Nebula AP 支援透過內部自建的 Radius Server 進行認證,以下是使用「TekRADIUS」進行設定的範例步驟。
步驟1 - Nebula SSID 設定 Radius Server
前往【整個站點 > 設定 > 無線基地台(AP) > SSID 進階設定】,WPA-Enterprise 選擇「Radius伺服器」,輸入您的 Radius伺服器相關資訊。
注意:請確認 AP 和 Radius Server 的 IP 位址能夠互相通訊。
下圖為設定範例,請依據您的實際環境設定參數。
步驟2 - Radius Server 新增 Trust Client
AP 會向 Radius 伺服器發送驗證請求,因此請將所有 AP 的 IP 位址加入 Radius 伺服器的信任客戶端(Trust Client),並確保密鑰(secret)與前一步驟中的設定相符。
步驟3 - Radius Server 新增使用者認證帳號
前往「Users」頁面新增帳號,輸入帳號密碼 :
步驟4 - 設定完成
使用加入資料庫的帳號密碼連線測試。
