概述
在本文中,读者将了解如何在 UniFi 交换机上配置有线客户端的访问策略(802.1X)。本文包括如何使用内置于 UniFi 安全网关的 RADIUS 服务器以及控制器配置示例进行配置,指向您自己的身份验证服务器的说明。
注意事项和要求:
每个型号的UniFi交换机都能通过802.1X进行身份验证。配置不会因型号而异。本文中使用的设备:- UniFi Switch
- UniFi 安全网关
目录
- 简介
- 交互过程
- 如何在 USG 上启用 RADIUS 服务器
- 如何在 Controller 中创建用户
- 如何配置基于 MAC 的 RADIUS 身份验证
- 如何配置 RADIUS 分配的 VLAN
- 非 USG RADIUS 服务器的控制器配置
- 如何在交换机上启用 802.1X 服务
- 区分 802.1X 端口模式
- 使用端口配置文件
- 终端操作注意事项
介绍
802.1X 标准有三个组成部分:
- Authenticators: 指定在允许系统访问之前向 RADIUS 服务器发送消息的端口或设备。
- 请求者: 指定连接到请求访问系统服务的端口的主机。
- 身份验证服务器: 指定外部服务器,例如代表身份验证者执行身份验证的 RADIUS 服务器,并指示用户是否有权访问系统服务。“端口访问控制”文件夹包含指向以下页面的链接,这些页面允许您在系统上查看和配置 802.1X 功能。
RADIUS 身份验证和授权:
使用 802.1X 授权客户端设备的过程如下:
- 提示客户端设备提供凭据。
- 用户输入凭据。
- 客户端设备在数据链路层上向认证者发送请求以获得对网络的访问。
- 然后,验证器设备向配置的 RADIUS 服务器发送称为“RADIUS 访问请求”消息的消息。
注意: 此消息包括但不限于:用户,密码或用户提供的用于访问的证书。
交互过程
如何在 USG 上启用 RADIUS 服务器
- 导航到 “设置”>“服务”>“RADIUS”
- 在“服务器”选项下启用 RADIUS 服务器。
- 加密: 为身份验证设备和 RADIUS 服务器提供预共享密钥。这提供了两种类型设备之间的身份验证,确保了 RADIUS 消息的完整性
- 认证端口: 验证者和 RADIUS 服务器设备发送和接收 RADIUS 验证消息的端口。
- 计费端口: 验证者和 RADIUS 服务器设备发送和接收 RADIUS 计费消息的端口。
- 计费账期: 使用值为“interim-update”的 Acct-Status-Type 属性发送 RADIUS 访问请求数据包的时间(以毫秒为单位)。发送此更新以请求活动会话的状态。“临时”记录包含报告当前会话持续时间并可提供有关数据使用情况的信息。
注意: 启用此选项后,RADIUS 服务器将在 USG 上运行。
如何在 Controller 中创建用户
- 导航到 “设置”>“服务”>“RADIUS”
- 在“用户”选项下创建用户帐户。
- 用户名: 输入唯一用户名。
- 密码: 输入用户所需的密码。
- VLAN: 用于在使用 RADIUS 分配的 VLAN 时将 RADIUS 身份验证的客户端分配给特定 VLAN。
- 隧道类型: 参见 RFC2868 第 3.1 节
- 隧道媒体类型: 参见 RFC2868 第 3.2 节
如何配置基于 MAC 的 RADIUS 身份验证
要根据 MAC 地址对设备进行身份验证,请在客户端创建时使用 MAC 地址作为用户名和密码。此条目应将小写字母转换为大写,并从 MAC 地址中删除冒号或句点。
如何配置 RADIUS 分配的 VLAN
- 导航到设置>配置文件> RADIUS
- 在配置文件下,选择“为有线网络启用 RADIUS 分配的 VLAN”。
3.导航到 设置>服务> RADIUS >用户。 3.1.将使用动态 VLAN 的每个用户必须将 unnel-type 设置为(13),并将 tunnel-medium-type 设置为(6)。
注意: 如果用户配置文件不包含 VLAN,则客户端将回退到交换机端口上配置的未标记 VLAN。
非 USG RADIUS 服务器的控制器配置
- 导航到 设置>配置文件> RADIUS。
- 使用外部 RADIUS 服务器的信息创建新的 RADIUS 配置文件。
如何在交换机上启用 802.1X 服务
从控制器的“设备”部分选择单个开关时,在“服务”下的“开关属性”面板上可以找到此选项。
注意: 启用访问控制是基于每个交换机完成的。如果未启用此选项,交换机将无法充当将 RADIUS 消息传递到 RADIUS 服务器的身份验证器角色。
区分 802.1X 端口模式
- 自动: 在成功进行身份验证交换之前,端口是未经授权的。
- 强制未授权: 端口忽略请求者身份验证尝试,并且不向客户端提供身份验证服务
- 强制授权: 端口在没有基于客户端端口的身份验证的情况下发送和接收正常流量。
- 基于 MAC: 此模式允许连接到同一端口的多个请求者分别进行身份验证。连接到端口的每个主机必须单独进行身份验证才能访问网络。主机通过其 MAC 地址进行区分。
使用端口配置文件
建议使用端口配置文件进行快速部署,而不是在每个端口上手动应用 802.1X 策略。
- 导航到 设置>配置文件>交换机端口。
- 使用所需的 802.1X 控件创建新的配置文件。
- 用户根据需要选择使用那种认证方式。
注意: 在 RADIUS 上使用动态 VLAN 分配时,端口配置文件必须包含所需的每个 VLAN。
终端操作注意事项
- 用户如果选用 MAC 认证的方式进行认证,则终端不需要做任何配置;
- 用户如果选用用户名/密码认证,则终端需要开启本地自带的有线认证服务,实例如下: 在计算机服务内开启有线认证服务。
在以太网 属性->身份验证 内启用 802.1X 身份认证。