تكوين المحولات 802.1X على SG300 Series Switches
الهدف
معيار 802.1X هو معيار IEEE يطبق المصادقة المستندة إلى المنافذ. إذا كان المنفذ يستخدم 802.1X، فيجب على أي عميل يستخدم ذلك المنفذ (يشار إليه باسم المتطلب) تقديم بيانات اعتماد صحيحة قبل منحه حق الوصول إلى الشبكة. يجب أن يكون الجهاز الذي يطبق 802.1X (يشار إليه باسم المصدق) قادرا على الاتصال بخادم RADIUS (خدمة مصادقة عن بعد لمستخدم الطلب الهاتفي) الموجود في مكان آخر على الشبكة. يحتوي هذا الخادم على قائمة بالمستخدمين الصحيحين الذين يسمح لهم بالوصول إلى الشبكة، ويجب أن تتطابق أي بيانات اعتماد مرسلة من المصدق (مقدمة إليه من قبل المطالب) مع تلك التي يحملها خادم RADIUS. وإذا كان الأمر كذلك، يقوم الخادم بإخبار المصدق بمنح حق الوصول للمستخدم، وإلا فإن المصدق سيرفض الوصول.
يعد معيار 802.1X أحد معايير الأمان الجيدة لمنع المستخدمين غير المرغوب فيهم من الوصول إلى الشبكة من خلال التوصيل بمنفذ مادي. يرجى ملاحظة أنه من أجل عمل 802.1X، يجب تكوين خادم RADIUS بالفعل في مكان آخر على الشبكة، ويجب أن يكون المصدق قادرا على الاتصال به.
الهدف من هذا المستند هو توضيح كيفية إعداد 802.1X على محولات SG300 Series Switches.
الأجهزة القابلة للتطبيق
· المحولات من السلسلة SG300
إصدار البرامج
· v1.4.1.3
إعداد مصادقة 802.1X
إضافة خادم RADIUS
الخطوة 1. قم بتسجيل الدخول إلى أداة تكوين الويب واختر التأمين > RADIUS. يتم فتح صفحة RADIUS.
الخطوة 2. في حقل محاسبة RADIUS، أختر زر إختيار لتحديد نوع معلومات المحاسبة التي سيعطى خادم RADIUS لها. يمكن منح خادم RADIUS معلومات محاسبة تحافظ على تعقب وقت جلسة عمل المستخدم، والموارد التي يستخدمها، وأشياء أخرى. لن يؤثر الخيار المحدد هنا على أداء 802.1X.
الخيارات هي:
· التحكم في الوصول المستند إلى المنفذ - يرسل هذا الخيار معلومات المحاسبة حول الجلسات المصدق عليها بواسطة المنفذ إلى خادم RADIUS.
· الوصول إلى الإدارة - يرسل هذا الخيار معلومات المحاسبة حول جلسات إدارة المحول إلى خادم RADIUS.
· كلا من التحكم في الوصول المستند إلى المنافذ والوصول إلى الإدارة - يرسل هذا الخيار كلا النوعين من معلومات المحاسبة إلى خادم RADIUS.
· بلا - عدم إرسال معلومات المحاسبة إلى خادم RADIUS.
الخطوة 3. في منطقة إستخدام المعلمات الافتراضية، قم بتكوين الإعدادات التي سيتم إستخدامها بشكل افتراضي ما لم يتم تكوين خادم RADIUS مضاف بإعداداته الخاصة؛ كل إدخال خادم فردي تضيفه إلى المحول يمكن أن يستخدم إما الإعدادات الافتراضية أو الإعدادات الفريدة المنفصلة. لهذه المقالة، سنستخدم الإعدادات الافتراضية المحددة في هذا القسم.
قم بتكوين الإعدادات التالية:
· عمليات إعادة المحاولة - أدخل عدد المرات التي سيحاول فيها المحول الاتصال بخادم RADIUS قبل الانتقال إلى الخادم التالي. الافتراضي هو 3.
· مهلة الرد - أدخل عدد الثواني التي سينتظر فيها المحول ردا من خادم RADIUS قبل إتخاذ إجراء إضافي (المحاولة مرة أخرى أو الاستسلام). الافتراضي هو 3.
· وقت التوقف - أدخل عدد الدقائق التي تنقضي قبل تمرير خادم RADIUS غير المستجيب لطلبات الخدمة. القيمة الافتراضية هي 0، وتعني هذه القيمة أن الخادم لا يتم تجاوزه.
· سلسلة المفاتيح - أدخل المفتاح السري المستخدم للمصادقة بين المحول وخادم RADIUS. إذا كان لديك مفتاح مشفر، فأدخل المفتاح باستخدام زر الراديو المشفر، وإلا، فأدخل مفتاح النص العادي باستخدام الزر اللاسلكي للنص العادي.
· واجهة IPv4/IPv6 المصدر - أستخدم هذه القوائم المنسدلة لاختيار واجهة مصدر IPv4/IPv6 التي سيتم إستخدامها عند الاتصال بخادم RADIUS. الإعداد الافتراضي هو تلقائي، والذي سيستخدم عنوان IP المصدر الافتراضي المعرف على الواجهة الصادرة.
الخطوة 4. طقطقة يطبق. سيتم تطبيق الإعدادات الافتراضية.
الخطوة 5. سيظهر جدول RADIUS إدخالات خادم RADIUS التي تم تكوينها حاليا على المحول. لإضافة إدخال جديد، انقر فوق الزر إضافة... سيتم فتح نافذة إضافة خادم RADIUS.
الخطوة 6. في حقل تعريف الخادم، أختر ما إذا كنت تريد الاتصال بخادم RADIUS حسب عنوان IP أو حسب الاسم (hostname). إذا حددت بواسطة عنوان IP، فحدد إستخدام IPv6 (الإصدار 6) أو IPv4 (الإصدار 4). إذا حددت الإصدار 6، فاستخدم نوع عنوان IPv6 وواجهة الارتباط المحلية لتحديد عنوان IPv6 الذي سيتم إستخدامه.
الخطوة 7. في حقل عنوان/اسم IP للخادم، أدخل عنوان IP أو اسم المضيف لخادم RADIUS.
الخطوة 8. في حقل الأولوية، أدخل الأولوية التي تريد تعيينها لهذا الخادم؛ وسيحاول المحول الاتصال بالخادم بأعلى أولوية ومتابعة القائمة حتى يلتقي بخادم سريع الاستجابة. النطاق هو 0 - 65535، مع كون 0 هو الأولوية القصوى.
الخطوة 9. حدد حقول إستخدام الخيار الافتراضي في سلسلة المفاتيح، والتأخر للرد، وإعادة المحاولة، ووقت التعطل لاستخدام الإعدادات التي تم تكوينها مسبقا في صفحة RADIUS. يمكنك أيضا تحديد أزرار الاختيار المعرفة من قبل المستخدم لتكوين الإعدادات التي تختلف عن الإعدادات الافتراضية، في حالة قيامك بذلك، سيتم إستخدام هذه الإعدادات لخادم RADIUS المحدد فقط.
الخطوة 10. في حقل منفذ المصادقة، حدد المنفذ الذي سيتم إستخدامه لاتصال المصادقة مع خادم RADIUS. من المستحسن أن يبقى ذلك على المنفذ الافتراضي، 1812.
الخطوة 11. في حقل منفذ المحاسبة، حدد المنفذ الذي سيتم إستخدامه لاتصالات المحاسبة مع خادم RADIUS. من المستحسن أن يبقى هذا على الميناء تقصير، 1813.
الخطوة 12. في حقل نوع الاستخدام، حدد ما سيتم إستخدام خادم RADIUS له. عند تكوين 802. 1X، حدد إما أزرار 802. 1x أو كافة الأزرار لاستخدام خادم RADIUS لمصادقة منفذ 802. 1X.
الخطوة 13. طقطقة يطبق. ستتم إضافة الخادم إلى جدول RADIUS. لتمكين مصادقة 802.1X المستندة إلى المنفذ، يرجى المتابعة إلى القسم التالي.
تمكين المصادقة المستندة إلى المنفذ
الخطوة 1. في أداة تكوين الويب المساعدة، انتقل إلى التأمين > 802.1X/MAC/مصادقة الويب > الخصائص. يتم فتح صفحة الخصائص.
الخطوة 2. في حقل المصادقة المستندة إلى المنفذ، حدد خانة الاختيار تمكين لتمكين المصادقة المستندة إلى المنفذ. مكنت هذا افتراضيا.
الخطوة 3. في حقل طريقة المصادقة، أختر زر انتقاء لتحديد كيفية عمل المصادقة المستندة إلى المنفذ.
الخيارات هي:
· RADIUS، بدون - سيحاول المحول الاتصال بخادم (خوادم) RADIUS المعرفة في صفحة RADIUS. في حالة عدم تلقي إستجابة من الخادم (الخوادم)، لا يتم إجراء أية مصادقة ويتم السماح بالجلسة. إذا كان الخادم مستجيب، وكانت بيانات الاعتماد غير صحيحة، يتم رفض جلسة العمل.
· RADIUS - سيحاول المحول الاتصال بخادم (خوادم) RADIUS المعرفة في صفحة RADIUS. في حالة عدم تلقي إستجابة من الخادم (الخوادم)، يتم رفض جلسة العمل. لتنفيذ 802.1X الأكثر أمانا، يوصى بهذا الخيار.
· بلا - لا يتم إجراء أية مصادقة. سيتم السماح بجميع جلسات العمل. لن يقوم هذا الخيار بتنفيذ 802.1X.
الخطوة 4. طقطقة يطبق.
الخطوة 5. انتقل إلى الأمان > مصادقة 802.1X/MAC/Web > مصادقة المنفذ. تظهر صفحة مصادقة المنفذ.
الخطوة 6. حدد المنفذ الذي تريد تكوينه بتحديد زر الراديو الخاص به في جدول مصادقة المنفذ ثم انقر على زر تحرير.... يظهر نافذة تحرير مصادقة المنفذ.
الخطوة 7. في حقل التحكم في المنفذ الإداري، أختر زر انتقاء لتحديد كيفية تخويل المنفذ للجلسات. يعرض حقل التحكم في المنفذ الحالي حالة التخويل الحالية للمنفذ المحدد.
الخيارات هي:
· فرض غير مصرح به - يعمل على نقل الواجهة إلى حالة غير مصرح بها. لا يوفر الجهاز مصادقة لأي عميل متصل بهذا المنفذ، ويرفض الوصول.
· تلقائي - تمكين المصادقة المستندة إلى المنافذ للمنفذ المحدد. ينقل الواجهة بين مصرح به وغير مصرح به بناء على نتيجة إجراء المصادقة. أختر هذا الخيار لتنفيذ 802.1X.
· القوة المصرح بها - تعمل على نقل الواجهة إلى حالة مصرح بها. سيوفر الجهاز الوصول إلى أي عميل يتصل بهذا المنفذ دون مصادقة.
الخطوة 8. حدد خانة الاختيار تمكين في حقل المصادقة المستندة إلى 802.1X لتمكين مصادقة 802.1X للمنفذ المحدد.
الخطوة 9. طقطقة يطبق. يجب أن يكون المنفذ الآن مكونا بالكامل لمصادقة 802.1X المستندة إلى المنفذ، وهو جاهز لبدء مصادقة أي عملاء متصلين به. أستخدم حقل الواجهة لتحديد منفذ مختلف للتكوين دون الرجوع إلى صفحة مصادقة المنفذ.
الخطوة 10. إذا كنت تريد نسخ إعدادات المنفذ بسرعة إلى منفذ آخر أو نطاق من المنافذ، انقر فوق زر الراديو الخاص بالمنفذ الذي تريد نسخه في جدول مصادقة المنفذ وانقر فوق إعدادات النسخ... زر. يظهر نافذة إعدادات النسخ.
الخطوة 11. في حقل النص، أدخل المنفذ أو المنافذ (مفصولة بفاصلات) التي تريد نسخ الإعدادات إليها. أنت يستطيع أيضا عينت مدى الميناء. بعد ذلك، انقر تطبيق لنسخ الإعدادات.
محفوظات المراجعة
| المراجعة | تاريخ النشر | التعليقات |
|---|---|---|
1.0 |
13-Dec-2018 |
الإصدار الأولي |
التعليقات