用户接入控制
认证配置
背景信息
认证配置包括采用本地和RADIUS两种认证方式的配置。采用本地认证方式时,需要在交换机上创建用户账号并设置密码。采用RADIUS方式时,需要配置RADIUS服务器的IP地址、端口号和共享密钥。在创建或者修改本地用户时,如果配置的密码与缺省密码相同时,则存在一定的安全风险。
操作步骤
- 配置采用本地方式进行认证
单击功能选择区中菜单,进入“配置”界面。
单击导航栏中菜单,进入“用户接入控制”界面。
单击页签,进入“认证配置”界面。
在认证配置区,选择相应的“用户域名称”。
选择“认证方式”为本地认证。如图5-195所示。
单击“应用”,完成认证配置。
在账号管理区,配置本地认证的用户账号信息。
新建用户账号
单击“新建”,进入“新建用户”界面。如图5-196所示。
界面信息含义如表5-109所示。
表5-109 新建/修改用户配置项
说明
用户名
输入新建的用户名。
用户名中不能出现“\”、“/”、“:”、“*”、“?”、“"”、“<”、“>”、“|”、“'”和“%”等字符,且@不能在首位。
密码
输入密码。
为提升密码安全性,密码至少同时包含小写字母、大写字母、数字、特殊符号(例如!、$、#和%)这四种形式中的两种,并且不能包括空格和单引号。
确认密码
再次输入密码。格式:与密码输入一致。
状态
选择用户状态。
包括正常和锁定两种状态。如果选择锁定状态,设备将拒绝该用户的认证请求,也不允许该用户修改自己的密码。
说明:本配置项只出现在修改用户信息时的界面。
接入类型
选择用户的接入类型。
强制下线
选择是否强制让用户下线。
说明:本配置项只出现在修改用户信息时的界面。
填写相应的配置项。单击“确定”,完成配置。
修改用户账号
- 单击需要修改的用户账号记录右侧的“修改”,进入“修改用户”界面。如图5-197所示。
填写相应的配置项。单击“确定”,完成配置。
删除用户账号
通过以下两种方式可以删除用户账号:
单击需要删除的用户账号记录右侧的“删除”。
选中需要删除的用户账号记录,单击“新建”右侧的“删除”,可以批量删除用户账号。
单击“删除”后,系统提示是否确认删除。单击“确定”,完成配置。
- 配置采用RADIUS方式进行认证
Portal服务器
背景信息
为保证交换机与Portal服务器之间能够进行通信,需要配置Portal服务器的IP地址,以及交换机与Portal服务器信息交互参数(包括Portal服务器的端口号和共享密钥),最后需要将接口与Portal认证进行绑定。
操作步骤
- 配置Portal服务器。
- 单击页签,进入“Portal服务器”界面。如图5-199所示。
- 单击
,选择服务器名称。
- 新建Portal认证服务器。
- 单击
,进入“Portal认证服务器列表”界面。
- 单击“新建”按钮,进入“Portal认证服务器列表”界面。如图5-200所示。
界面信息含义如表5-111所示。
表5-111 新建Portal服务器参数配置项
说明
服务器名称
自定义Portal服务器名称,用来标识认证服务器。
服务器IP地址
配置指向Portal服务器的IP地址。
源IP
配置设备与Portal服务器通信的源IP地址。
共享密钥
设置设备与Portal服务器信息交互的共享密钥。
确认共享密钥
再次输入设备与Portal服务器信息交互的共享密钥。
报文端口号
设备检测Portal协议报文的端口号。
URL
设置指向Portal服务器的URL。
URL模板
勾选“URL模板”时,下列参数有效。
URL
配置指向Portal服务器的重定向URL或强制推送的URL。
用户访问URL
指定在URL中携带接入用户访问的原始URL地址。
用户MAC
指定在URL中携带接入用户的MAC地址。
用户IP地址
指定在URL中携带接入用户的IP地址。
系统名称
指定在URL中携带接入设备的系统名称。
MAC地址格式
- 无分隔符。
- normal:指定MAC地址的格式为XXXX-XXXX-XXXX,可自定义分隔符。
- compact:指定MAC地址的格式为XX-XX-XX-XX-XX-XX,可自定义分隔符。
分隔符
指定分隔符,范围是1个字符。
- 单击
- 修改Portal认证服务器。
- 单击功能选择区中菜单,进入“配置”界面。
- 单击导航栏中菜单,进入“用户接入控制”界面。
- 单击页签,进入“Portal服务器”界面。
- 单击
,进入“Portal认证服务器列表”界面。
- 单击需要修改的认证服务器名称,进入修改认证服务器页面。
- 修改认证服务器的各项参数。具体参数说明请参见表5-111。
- 单击“确定”,完成配置。
- 删除Portal认证服务器。
- 单击
,进入“Portal认证服务器列表”界面。
- 选择需要删除的认证服务器名称,单击“删除”,系统提示是否确认删除。
- 选择的方式是在该条数据前的复选框中打勾。
- 系统支持批量删除。批量删除是在多个复选框中打勾。
- 单击
,选择服务器名称。
接入配置
背景信息
设备支持两种NAC配置模式,默认模式为统一模式,用户可通过命令undo authentication unified-mode切换为传统模式。
传统模式下,接入配置包括不认证、802.1X认证、MAC认证,以及802.1X认证、MAC认证两种认证方式组合起来使用的MAC旁路认证的配置。
不认证:用户无需经过认证即可接入网络。
802.1X认证:是一种基于802.1X协议的二层认证方式,用户终端需要安装802.1X客户端软件,客户端和服务器之间通过EAP(Extensible Authentication Protocol)协议进行用户身份认证。
MAC认证:以用户的MAC地址作为身份凭据进行认证,用户终端无需安装802.1X客户端软件。
MAC旁路认证:用户首先会进行802.1X认证,同时启动MAC旁路认证延迟定时器,如果MAC旁路认证延迟时间到达而802.1X认证仍未成功,再进行MAC认证。
进行接入配置时,需要先打开认证功能开关,再选择应用认证功能的接口,最后选择接口认证方式。
统一模式下,接入配置包括不认证、802.1X认证、MAC认证,以及Portal认证的配置。
接入配置必须结合认证配置才能共同完成用户身份认证。
如果配置认证方式为不认证,则当用户上线时,用户输入任意的用户名和密码后都会认证成功。因此,为保护设备或网络安全,建议开启认证方式,保证用户经过认证后才可以访问设备或网络。
操作步骤
- 传统模式。
- 统一模式。
- 单击页签,进入“接入配置”界面。如图5-204所示。
- 选择接口认证方式,包括“MAC认证”、“802.1X认证”和“Portal认证”。单击“应用”,完成接口认证方式配置。
当认证方式1选择802.1X认证,认证方式2选择MAC认证时,表示开启了MAC旁路认证功能。
当认证方式1选择MAC认证,认证方式2选择802.1X认证时,表示开启了MAC旁路认证过程中优先进行MAC认证功能。
- 单击
添加接口,选择接口认证方式。单击“应用”,完成VLAN认证设置。
”图标右侧后再单击
