概述


本文介绍了如何在 UniFi 交换机上,为有线客户端配置访问策略 (802.1X)。包括使用 UniFi 安全网关内置的 RADIUS 服务器进行配置,以及使用您个人的身份验证服务器进行 UniFi Network 网络配置。 每个 UniFi 交换机都能够通过 802.1X 进行身份验证,配置方法不会因型号而异。

注意:您需要满足 UniFi - USG:配置 RADIUS 服务器一文中的配置条件,然后再按照本文的说明进行操作。


如何在交换机上启用 802.1X 服务


在 UniFi Network 网络应用程序“设备”列表中选择某台交换机后,您可以在 配置(Config)> 服务(Services)> 1安全(Security) 下找到该选项。

1.png

注意: 访问控制的启用是以每台交换机为单位进行的。如果未启用,交换机将无法充当认证设备,将 RADIUS 消息传递到 RADIUS 服务器。

区分 802.1X 端口模式


  • 自动模式:在成功进行身份验证交互之前,端口处于未授权状态。
  • 强制未授权模式:端口忽略请求者的身份验证尝试,不向客户端提供身份验证服务
  • 强制授权模式:端口正常发送和接收流量,无需客户端基于端口的身份验证。
  • 基于 MAC 模式:允许连接到同一端口的多个请求者,分别进行身份验证。 连接到端口的每个请求者都必须单独通过 MAC 地址进行身份验证,才能访问网络。

使用端口配置文件


建议使用端口配置文件进行快速部署,而不是在每个端口上手动应用 802.1X 策略。

  1. 转至 设置(Settings)> 配置管理(Profiles)> 交换机端口(Switch Ports)
  2. 选择所需的 802.1X 控制方式来创建新配置文件。

2.png

注意: 在 RADIUS 上使用动态 VLAN 进行分配时,端口配置文件必须包括每个需要使用的 VLAN。

如何配置备用 (Fallback) VLAN


客户端无法使用用户名和密码进行身份验证,或者是 MAC 身份验证未通过时,将使用备用 (Fallback) VLAN。此设置针对每台交换机进行单独配置。

从 UniFi Network 网络应用程序的“设备”部分选择单个交换机,在 配置(Config)> 服务(Services)> 安全(Security) 下找到此选项。 启用 802.1X 控制选项后,将出现 备用(Fallback) 选项。


非 USG RADIUS 服务器时,如何在 UniFi Network 网络应用上进行配置


  1. 转至 设置(Setting)> 配置文件(Profiles)> RADIUS
  2. 使用外部 RADIUS 服务器的信息,创建新的 RADIUS 配置文件。

3.png

用户提示: 查看 Microsoft 指南,了解如何使用 NPS,以管理 RADIUS 用户、凭证等。

相关文章