在交换机上配置远程身份验证拨入用户服务(RADIUS)服务器设置

目标

远程身份验证拨入用户服务(RADIUS)是一种网络协议，为连接和使用网络服务的用户提供集中式身份验证、授权和记帐（AAA或三A）管理。RADIUS服务器通过输入的登录凭证验证用户的身份来规范对网络的访问。例如，大学校园中安装了公共Wi-Fi网络。只有拥有密码的学生才能访问这些网络。RADIUS服务器检查用户输入的密码，并允许或拒绝访问。

设置RADIUS服务器在授权客户端或用户访问网络之前进行身份验证，因此在增强安全性方面非常有用。RADIUS服务器响应与服务器可用性、重新传输和超时相关的客户端问题。RADIUS服务器还处理用户连接请求、对用户进行身份验证，并将必要的配置信息发送到客户端以向用户提供服务。 

RADIUS服务器是一种服务器，它集中了对由启用RADIUS的设备组成的网络的控制。RADIUS服务器根据其802.1X或介质访问控制(MAC)地址的转发决策。

本文介绍如何在Sx350、SG350X和Sx550X系列交换机上配置RADIUS设置。

适用设备

• Sx350 系列
• SG350X 系列
• Sx550X 系列

软件版本

• 2.2.5.68

配置RADIUS服务器设置

配置RADIUS服务器全局设置

步骤1.登录到基于Web的交换机实用程序，然后从“显示模式”下拉列表中选择“高级”。

步骤2.选择Security > RADIUS Server > RADIUS Server Global Settings。

步骤3.选中RADIUS Server Status（RADIUS服务器状态）的Enable(启用)复选框。

步骤4.输入RADIUS服务器端口的用户数据报协议(UDP)端口号以进行身份验证请求。范围为1到65535，默认值为1812。

步骤5.输入记帐请求的RADIUS服务器端口的UDP端口号。范围为1到65535，默认值为1813。

第6步。（可选）要为RADIUS记帐事件生成陷阱，请在Trap Settings下选中Enable复选框以查看RADIUS Accounting Traps。

步骤7.（可选）要为失败的登录生成陷阱，请选中RADIUS Authentication Failure Traps的Enable复选框。

第8步。（可选）要为成功登录生成陷阱，请选中RADIUS Authentication Success Traps的Enable复选框。

步骤9.单击“应用”。

步骤10.图  标表示配置已成功保存。要永久保存配置，请转至“文件操作”页面，或  者单击页面顶部的图标。否则，单击Close。

配置RADIUS服务器密钥

步骤1.在RADIUS Server下选择RADIUS Server Keys。

步骤2.（可选）如果需要，输入默认RADIUS密钥。在Default Key中输入的值将应用于所有已配置的服务器（在Add RADIUS Server页中），以使用默认密钥。

Default Key — 选择要在设备和RADIUS客户端之间进行身份验证和加密的默认密钥字符串。选项有：

• 保留现有默认密钥 — 对于指定的服务器，设备尝试使用现有默认密钥字符串对RADIUS客户端进行身份验证。
• 加密 — 要使用消息摘要5(MD5)算法加密通信，请以加密形式输入密钥。
• 明文 — 在明文模式下输入密钥字符串。

MD5摘要 — 显示用户输入密码的MD5摘要。

注意：在本例中，选择Default Key下的Keep existing default key。

步骤3.单击“应用”。

步骤4.图  标表示配置已成功保存。要永久保存配置，请转至“文件操作”页面，或  者单击页面顶部的图标。

步骤5.（可选）在Secret Key Table区域下，单击Add 按钮添加密钥。

步骤6.在“NAS地址”字段中输入NAS或包含RADIUS客户端的交换机的IP地址。

注意：在下图中，192.168.1.118用作IP地址的示例。

步骤7.选择您的首选密钥。

注意：在下图中，选择纯文本作为示例。

选项有：

• 使用默认密钥 — 对于指定的服务器，设备尝试使用现有默认密钥字符串对RADIUS客户端进行身份验证。
• 加密 — 要使用MD5加密通信，请以加密形式输入密钥。
• 明文 — 在明文模式下输入密钥字符串。最多可以输入 128 个字符。

步骤8.单击“应用”。

步骤9.图  标表示配置已成功保存。要永久保存配置，请转至“文件操作”页面，或  者单击页面顶部的图标。否则，单击Close。

配置RADIUS服务器组

RADIUS服务器组是将设备用作其RADIUS服务器的一组用户。要设置组，请按照以下说明操作：

步骤1.在RADIUS服务器下选择RADIUS服务器组。

步骤2.单击“RADIUS服务器组”表下的“添加”按钮。

步骤3.在弹出窗口中，在Group Name字段中输入组的名称。最多可以输入 32 个字符。

注意：在下图中，以GroupA1为例。

步骤4.输入要分配给组的权限级别。权限级别决定您将分配给您创建的每个组的访问级别。可以将级别设置为1-15。默认值为1。

注意：在本例中，使用7。

• 1（只读CLI访问） — 组中的用户无法访问GUI，并且只能访问不更改设备配置的CLI命令。
• 7（读/写受限CLI访问） — 组中的用户无法访问GUI，并且只能访问某些更改设备配置的CLI命令。有关详细信息，请参阅《CLI参考指南》。
• 15（读/写管理访问） — 组中的用户可以访问GUI，并可以配置设备。

步骤5.（可选）如果要应用此组的时间范围，请选中时间范围的启用复选框。否则，请跳至步骤15。

步骤6.单击Time Range Name旁边的Edit链接以配置Time设置。

步骤7.系统将显示一个弹出窗口，告诉您当前窗口将关闭，以便您可以继续“时间范围”设置。Click OK.

然后，您将转到“时间范围”页面。

步骤8.单击“时间范围表”下的“添加”按钮。

步骤9.在“时间范围名称”字段中输入时间范围的名称。

注意：在下图中，以Reconnect为例。

步骤10.通过单击单选按钮选择您的首选Absolute Starting和Ending Time。

• 绝对起始时间 — 要定义起始时间，请从以下选项中进行选择：
• 立即 — 如果希望时间范围立即开始，请选择此选项。
• 日期、时间 — 如果要指定时间范围开始的日期和时间，请选择此项。
• 绝对结束时间 — 要定义开始时间，请从以下选项中进行选择：
• 无限(Infinite) — 如果希望时间范围永不结束，请选择此选项。
• 日期、时间 — 如果要指定时间范围结束的日期和时间，请选择此项。

注意：在本例中，选择“日期”和“时间”。

步骤11.单击“应用”。

步骤12.图  标表示配置已成功保存。要永久保存配置，请转至“文件操作”页面，或  者单击页面顶部的图标。否则，单击Close。

然后，系统会将您定向到主页。

步骤13.再次在RADIUS服务器下单击RADIUS服务器组。

步骤14.新创建的组现在将显示在RADIUS服务器组表下。选中组名称旁的框，然后单击“编辑”(Edit)。

步骤15.（可选）为组选择VLAN。选项有：

• 无 — 未指定VLAN。
• VLAN ID — 指定VLAN ID。
• VLAN名称 — 指定VLAN名称。

注意：在本例中，使用VLAN ID 8。

步骤16.单击“应用”。

步骤17.图  标表示配置已成功保存。要永久保存配置，请转至“文件操作”页面，或  者单击页面顶部的图标。否则，单击Close。

配置RADIUS服务器用户

要将用户添加到之前创建的组，请执行以下操作：

步骤1.在RADIUS服务器下单击RADIUS服务器用户。

步骤2.单击“RADIUS用户表”下的“添加”按钮。

步骤3.在User Name字段中输入用户名称。

注意：在本例中，使用UserA。

步骤4.从Group Name下拉列表中选择用户所属的组。

步骤5.点击Password区域中的单选按钮。

步骤6.输入您的首选密码。

• 加密 — 密钥字符串用于使用MD5加密通信。要使用加密，请以加密形式输入密钥。
• 明文 — 如果没有加密的密钥字符串（来自其他设备），请在明文模式下输入密钥字符串。生成并显示加密密钥字符串。

注意：在本例中，选择纯文本。

步骤6.单击“应用”。

步骤7.图  标表示配置已成功保存。要永久保存配置，请转至“文件操作”页面，或  者单击页面顶部的图标。否则，单击Close。

现在，您应该已成功配置交换机上的RADIUS服务器设置。

© 2016思科系统公司。版权所有。