UniFi 网关配备内置 RADIUS 服务器,可与 802.1X 标准一起使用,为 VPN 和网络访问提供安全身份验证。

如何启用 RADIUS 服务器

  1. 跳转到设置 > 配置文件 > RADIUS。
  2. 选择 默认 RADIUS 服务器 以访问其设置。
  3. 选择 启用
  4. 调整其余设置,包括:
    • 密钥: 提供给认证设备和 RADIUS 服务器的预共享密钥。这在两者之间提供身份验证,确保 RADIUS 消息的完整性。
    • U认证端口: 认证设备和 RADIUS 服务器设备发送和接收 RADIUS 认证消息的端口。
    • 计费端口: 认证设备和 RADIUS 服务器设备发送和接收 RADIUS 计费消息的端口。
    • 临时更新间隔: 发送 RADIUS 访问请求数据包的时间(以毫秒为单位),该数据包包含一个 Acct-Status-Type 属性,其值为“interim-update”。此更新请求的是活动会话的状态。“Interim”记录包含当前会话的持续时间,并可提供数据使用情况的详细信息。

注意: Radius 服务器会收集认证设备发送的客户端信息,这些信息可用于计费和网络活动报告。这些信息会在用户登录和注销时发送,通常称为计费请求。有关 RADIUS 计费的更多信息,请参阅 RFC2866

如何在 Network 应用程序中创建用户

  1. 跳转到设置 > 配置文件 > RADIUS。
  2. 选择 创建新的 RADIUS 用户
  3. 填写以下详细信息:
    • 用户名: 输入唯一的用户名。
    • 密码: 输入所需的密码。
    • VLAN: 使用 RADIUS 分配的 VLAN 时,将通过 RADIUS 身份验证的客户端分配到特定的 VLAN(见下文)。
    • 隧道类型: 参见 RFC2868 第 3.1 节
    • 隧道介质类型: 参见 RFC2868 第 3.2 节

有关基于 MAC 地址对设备进行身份验证的信息,请访问基于 RADIUS 的 MAC 身份验证和 802.1X

如何启用 RADIUS 分配的 VLAN

  1. 跳转到设置 > 配置文件 > RADIUS 并选择配置文件。

  2. 为所需的网络类型启用 RADIUS 分配的 VLAN 支持

  3. 将您的 用户 分配到特定的 VLAN。

    a. 对于动态 VLAN 用户,设置隧道类型为13,隧道介质类型为 6。

注意: 如果用户配置文件未指定 VLAN,客户端将回退到无标记的 VLAN。

如何启用 RADIUS over TLS(RADSEC)

在开始之前,请注意 RADIUS over TLS 仅适用于 WiFi

  1. 从您的 Passpoint 提供商或第三方 RADIUS 服务器获取证书包。此证书包应包含客户端证书、私钥和 CA 证书。
  2. 跳转到设置 > 配置文件 > RADIUS,然后选择要配置的配置文件。
  3. 切换 TLS 选项以启用 RADIUS over TLS。
  4. 从捆绑包中上传客户端证书、私钥和 CA 证书。

注意: 除非您的 Passpoint 提供商或 RADIUS 服务器明确要求,否则请省略密码字段。

如何在无线网络上启用 RADIUS 更改授权 (CoA)

  1. 跳转到设置 > WiFi 并选择您的无线网络。
  2. 将您的 安全协议 设置为 WPA2 EnterpriseWPA3 Enterprise
  3. 选择之前配置的 RADIUS 配置文件
  4. 启用 DAS/DAC (CoA)

注意: Radius CoA 具有以下要求:

  • 必须配置 RADIUS 计费服务器。
  • 建议使用较短的临时更新(例如 300 秒)——请咨询您的 RADIUS 提供商以获取他们的建议。
  • 必须开放 AP 和 RADIUS 服务器之间 3799 或更大的端口,以便交换 CoA 信息。
  • 必需的 RADIUS 属性:
    • 帐户(用户名、IP 地址、呼叫站 ID 等)
    • 帐户会话 ID
    • NAS-IP 地址
    • NAS 标识符

什么是 802.1X?

802.1X 标准是用于对网络设备进行身份验证的访问控制标准。802.1X 包含四个部分:

  • 请求者: 请求访问系统服务的设备。
  • 认证器: 在授予系统访问权限之前与认证服务器通信的端口或设备。
  • 认证服务器: 执行认证的外部服务器(例如,RADIUS 服务器),指示请求者是否有权访问系统服务。
  • 计费服务器: (可选)外部服务器(例如,RADIUS 服务器),用于在登录/注销期间以及连接期间记录有关 RADIUS 会话的信息,包括客户端访问凭据和连接时间。

UniFi Network 8.4 及更新版本已添加对 RADIUS over TLS (RADSEC) 的支持。这需要来自受支持的 RADIUS 服务器的客户端证书、私钥和 CA 证书。

802.1X 认证流程

客户端设备通过 RADIUS 服务器使用 802.1X 进行授权的过程如下:

  1. 系统会提示客户端设备输入凭证。
  2. 用户输入凭证。
  3. 客户端设备向认证器发送数据链路层请求以获得网络访问。
  4. 认证设备向 RADIUS 服务器发送一条称为“RADIUS 访问请求”的消息。
  5. RADIUS 服务器向认证者返回以下三个响应之一:
    • 访问拒绝: 拒绝用户访问网络。
    • 访问质询: 用户必须提供额外的身份验证,例如辅助密码、令牌、PIN 码或卡。此消息也用于更复杂的身份验证场景,即在用户设备和 RADIUS 服务器之间建立安全隧道的场景。
    • 访问接受: 授予用户访问网络的权限。
  6. 如果配置了计费并设置了临时更新间隔,则客户端将定期向计费服务器发送信息,直到该客户端断开与网络的连接。