200/300系列託管交換機上的RADIUS配置

下載選項

  • PDF     (1.3 MB)
    在多種裝置上使用 Adobe Reader 檢視
已更新: 2022 年 4 月 21 日
文件 ID:SMB102

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

200/300系列託管交換機上的RADIUS配置

目標

遠端授權撥入使用者服務(RADIUS)是一項安全服務,用於在具有集中安全架構的網路中對使用者進行身份驗證。200/300系列受管理交換器可做為網路中的RADIUS使用者端,而且您可以與RADIUS伺服器協同合作,建立一個集中式系統,對網路中的使用者進行驗證。本文說明如何配置RADIUS伺服器,以及如何在200/300系列管理型交換機上應用身份驗證方法。

適用裝置 | 軟體版本

  • SF/SG 200系列- 1.2.9.x
  • SF/SG 300系列- 1.2.9.x

RADIUS預設配置

本節將引導您完成RADIUS伺服器的預設配置。這些預設值可用於任何要新增至交換器的RADIUS伺服器。

步驟 1

登入Web配置實用程式並選擇Security > RADIUSRADIUS 頁面打開:

本文中的圖片來自SG300型號交換機。

步驟 2

在RADIUS Accounting(RADIUS記帳)欄位中,按一下以下選項之一:

  • 連線埠型存取控制(基於802.1x、MAC) -使用RADIUS伺服器進行802.1x連線埠計量。
  • 管理存取-使用RADIUS伺服器進行登入計量。
  • 連線埠型存取控制和管理存取-使用RADIUS伺服器進行802.1x和登入計量。
  • 無-不使用RADIUS伺服器進行計量。

SG200系列交換機不支援RADIUS記帳。

步驟 3

在「Use Default Parameters」部分的「Retries」欄位中,輸入交換機為驗證RADIUS伺服器而重試的次數。

步驟 4

在Timeout for Reply欄位中,輸入每次嘗試對RADIUS伺服器進行身份驗證的時間(以秒為單位)。

步驟 5

在Dead Time欄位中,輸入交換機將無響應的RADIUS伺服器宣告為dead並移至下一個可用伺服器嘗試連線之前的時間(以分鐘為單位)。

步驟 6

在Key String欄位中,輸入在交換器和RADIUS伺服器之間用於驗證和加密的金鑰。在RADIUS伺服器和交換機上,此金鑰必須匹配。按一下下列其中一項:

  • 已加密-如果您有來自其他裝置的加密金鑰,請輸入金鑰。
  • 純文字檔案-如果您沒有來自其他裝置的加密金鑰,則以純文字檔案形式輸入金鑰。

步驟 7

按一下Apply儲存這些預設值並使其可用於RADIUS伺服器。

增加/編輯RADIUS伺服器

本節提供逐步程式,說明如何在200/300系列管理交換器上新增或編輯RADIUS伺服器。

步驟 1

登入Web配置實用程式並選擇Security > RADIUSRADIUS 頁面打開:

步驟 2

在RADIUS Table部分中,按一下Add。此時會顯示Add Radius Server窗口。

要編輯當前RADIUS伺服器,請按一下Edit並編輯所需的RADIUS伺服器屬性。

步驟 3

在「伺服器定義」欄位中,按一下下列其中一項:

  • 按名稱-如果RADIUS伺服器以名稱定義。
  • 按IP地址-如果使用IP地址定義RADIUS伺服器。

步驟 4

在IP Version欄位中,按一下Version 6Version 4作為RADIUS伺服器的IP地址型別。

步驟 5

如果選擇了版本6作為IPv6地址型別中的IP地址,請按一下以下選項之一:

  • 本地鏈路-僅標識單個網路鏈路上的主機的IPv6地址。
  • 全局-可從其他網路訪問的IPv6地址。

步驟 6

如果選擇Link Local作為IPv6地址型別,請在Link Local Interface下拉選單中選擇適當的介面。

步驟 7

在Server IP Address/Name欄位中,輸入RADIUS伺服器的IP地址或名稱。

步驟 8

在「Priority」欄位中,輸入交換器將使用的RADIUS伺服器優先順序。具有最高優先順序的伺服器會先在交換器中查詢。零(0)具有最高優先順序。

步驟 9

在Key String欄位中,按一下以下任一項:

  • 使用預設值-使用預設金鑰進行驗證。
  • User Defined (Encrypted) -如果可用,請輸入加密的金鑰。
  • 使用者定義(純文字) -如果無法使用,請以純文字輸入金鑰。

步驟 10

在「回覆逾時」欄位中,按一下下列其中一項:

  • 使用預設值-使用預設值。
  • User Defined -輸入每次嘗試連線到RADIUS伺服器時交換機等待的秒數。

步驟 11

在Authentication Port欄位中,輸入RADIUS伺服器用於身份驗證的UDP埠。

步驟 12

在Accounting Port欄位中,輸入RADIUS伺服器用於計費的UDP埠。

步驟 13

在「重試」欄位中,按一下下列其中一項:

  • 使用預設值-使用預設值。
  • 使用者定義-使用不同的值。輸入交換機在被認為與RADIUS伺服器發生連線故障之前嘗試的次數。

步驟 14

在Dead Time欄位中,按一下以下任一項:

  • 使用預設值-使用預設值。
  • 使用者定義-使用不同的值。輸入交換器宣告無回應的RADIUS伺服器停止運作,並移至下一個可用的伺服器嘗試連線之前的時間(分鐘)。

步驟 15

在「使用型別」欄位中,按一下以下任一項:

  • 登入-驗證交換機的管理員。
  • 802.1x - RADIUS伺服器將檢查根據802.1x連線埠型網路存取控制(PNAC)方案要求網路存取的使用者之安全認證。
  • 全部-使用兩種身份驗證型別。

步驟 16

按一下「Apply」。

步驟 17

(可選)要刪除RADIUS伺服器,請在RADIUS表部分中選中要刪除的RADIUS伺服器的覈取方塊,然後按一下Delete

RADIUS 驗證

正確設定RADIUS伺服器後,您需要在交換器上對其進行驗證。本節介紹如何對200/300系列託管交換機上的RADIUS伺服器進行身份驗證。

步驟 1

登入到Web配置實用程式,並選擇Security > Management Access AuthenticationManagement Access Authentication 頁打開:

步驟 2

在「選用方法」清單中,選擇「RADIUS」。

步驟 3

按一下>按鈕。

步驟 4

按一下「Apply」。

修訂記錄

修訂 發佈日期 意見
2.0
21-Apr-2022
更新的內容
1.0
10-Dec-2018
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您