200/300系列管理型交换机上的RADIUS配置

下载选项

  • PDF     (1.2 MB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (1.1 MB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (378.5 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2022 年 4 月 21 日
文档 ID:SMB102

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

200/300系列管理型交换机上的RADIUS配置

目标

远程授权拨入用户服务(RADIUS)是一种安全服务,用于在具有集中式安全架构的网络中对用户进行身份验证。200/300系列管理型交换机可以用作网络中的RADIUS客户端,并且与RADIUS服务器配合使用,可以建立一个集中式系统来对网络中的用户进行身份验证。本文说明如何在200/300系列管理型交换机上配置RADIUS服务器和应用身份验证方法。

适用设备 | 软件版本

  • SF/SG 200系列- 1.2.9.x
  • SF/SG 300系列- 1.2.9.x

RADIUS默认配置

本节将引导您完成RADIUS服务器的默认配置。这些默认值可用于要添加到交换机的任何RADIUS服务器。

第 1 步

登录Web配置实用程序,并选择Security > RADIUSRADIUS页面随即打开:

本文中的图片来自SG300型号的交换机。

步骤 2

在RADIUS Accounting字段中,点击以下其中一项:

  • 基于端口的访问控制(基于802.1x、MAC) -使用RADIUS服务器进行802.1x端口记帐。
  • 管理访问-使用RADIUS服务器进行登录记帐。
  • 基于端口的访问控制和管理访问-将RADIUS服务器同时用于802.1x和登录记帐。
  • 无-不使用RADIUS服务器进行记帐。

SG200系列交换机不支持RADIUS记帐。

步骤 3

在使用默认参数部分的重试次数字段中,输入交换机对RADIUS服务器进行身份验证的重试次数。

步骤 4

在Timeout for Reply字段中,输入每次尝试对RADIUS服务器进行身份验证的时间(以秒为单位)。

步骤 5

在Dead Time字段中,输入交换机将无响应的RADIUS服务器声明为dead并移至下一个可用服务器以尝试连接之前经过的时间(以分钟为单位)。

步骤 6

在Key String字段中,输入用于交换机和RADIUS服务器之间的身份验证和加密的密钥。此密钥在RADIUS服务器和交换机上必须匹配。单击以下任一项:

  • 已加密-如果您有来自其他设备的加密密钥,请输入该密钥。
  • 明文-如果您没有来自其他设备的加密密钥,请将该密钥作为纯文本输入。

步骤 7

单击Apply保存这些默认值并使其可用于RADIUS服务器。

添加/编辑RADIUS服务器

在本节中,我们将提供一个分步过程,说明如何向200/300系列管理型交换机添加或编辑RADIUS服务器。

第 1 步

登录Web配置实用程序,并选择Security > RADIUSRADIUS页面随即打开:

步骤 2

在RADIUS Table部分中,单击Add。将出现Add Radius Server窗口。

要编辑当前RADIUS服务器,请单击Edit并编辑所需的RADIUS服务器属性。

步骤 3

在Server Definition字段中,单击以下选项之一:

  • By Name -如果RADIUS服务器定义了一个名称。
  • 按IP地址-如果使用IP地址定义RADIUS服务器。

步骤 4

在IP Version字段中,单击Version 6Version 4作为RADIUS服务器的IP地址类型。

步骤 5

如果选择Version 6作为IPv6地址类型中的IP地址,请单击以下选项之一:

  • 本地链路-仅标识单个网络链路上的主机的IPv6地址。
  • 全局-可从其他网络访问的IPv6地址。

步骤 6

如果选择Link Local作为IPv6地址类型,请在Link Local Interface下拉列表中选择适当的接口。

步骤 7

在Server IP Address/Name字段中,输入RADIUS服务器的IP地址或名称。

步骤 8

在Priority字段中,输入交换机将使用的RADIUS服务器的优先级。首先在交换机中查询具有最高优先级的服务器。零(0)具有最高优先级。

步骤 9

在Key String字段中,点击以下选项之一:

  • Use Default -使用默认密钥进行身份验证。
  • User Defined (Encrypted) -如果可用,请输入加密密钥。
  • User Defined (Plaintext) -如果不可用,请输入纯文本密钥。

步骤 10

在Timeout for Reply字段中,点击以下其中一个选项:

  • 使用默认值-使用默认值。
  • User Defined -输入每次尝试连接到RADIUS服务器时交换机等待的秒数。

步骤 11

在Authentication Port字段中,输入RADIUS服务器用于身份验证的UDP端口。

步骤 12

在Accounting Port字段中,输入RADIUS服务器用于记账的UDP端口。

步骤 13

在Retries字段中,点击以下任一选项:

  • 使用默认值-使用默认值。
  • 用户定义-使用不同的值。输入交换机在被视为发生与RADIUS服务器的连接失败之前尝试的次数。

步骤 14

在Dead Time字段中,点击以下其中一项:

  • 使用默认值-使用默认值。
  • 用户定义-使用不同的值。输入在交换机将无响应的RADIUS服务器声明为失效并移至下一个可用服务器以尝试连接之前经过的时间(以分钟为单位)。

步骤 15

在Usage Type字段中,点击以下其中一项:

  • 登录-验证交换机的管理员。
  • 802.1x - RADIUS服务器将检查根据802.1x基于端口的网络访问控制(PNAC)方案请求网络访问的用户的安全凭证。
  • 全部-使用两种身份验证类型。

步骤 16

单击 Apply

步骤 17

(可选)要删除RADIUS服务器,请在RADIUS Table部分中选中要删除的RADIUS服务器所对应的复选框,然后单击Delete

RADIUS 身份验证

正确配置RADIUS服务器后,您需要在交换机上对其进行身份验证。本节介绍如何对200/300系列管理型交换机上的RADIUS服务器进行身份验证。

第 1 步

登录Web配置实用程序,并选择Security > Management Access AuthenticationManagement Access Authentication 页打开:

步骤 2

在Optional Methods列表中,选择RADIUS。

步骤 3

单击>按钮。

步骤 4

单击 Apply

修订历史记录

版本 发布日期 备注
2.0
21-Apr-2022
更新内容
1.0
10-Dec-2018
初始版本

此文档是否有帮助?

Feedback反馈

联系我们