Linksys 企业级管理型交换机安全设置概述
要配置 Linksys 企业级管理型交换机的安全设置,请按照以下步骤操作。
1. 访问你交换机的网页界面。点击这里获取操作说明。
2. 点击网页界面左上角的菜单图标。
3. 点击安全。
2. 点击网页界面左上角的菜单图标。
3. 点击安全。
802.1x
IEEE 802.1x 标准认证使用远程认证拨号用户服务(RADIUS)协议来验证用户,并为网络访问控制提供安全标准。希望被认证的用户称为请求者(supplicant)。实际执行认证的服务器称为认证服务器(通常是 RADIUS 服务器)。中间设备(如交换机)称为认证者(authenticator)。连接到交换机端口的客户端必须先通过 RADIUS 服务器认证,才能访问交换机在局域网上提供的任何服务。使用 RADIUS 服务器通过在客户端和服务器之间中继局域网可扩展认证协议(EAPoL)数据包来认证尝试访问网络的用户。这建立了认证者(将认证请求传递给认证服务器的系统)与请求者(请求认证的系统)之间,以及认证者与认证服务器之间所需的协议要求。
以下设置可在802.1x下配置:
全局设置
端口设置
认证主机
全局设置
当请求者(supplicant)连接到交换机端口时,端口会向连接的 802.1x 请求者发出 802.1x 认证请求。请求者使用给定的用户名和密码在认证请求中进行回复,然后该请求被传递给配置的 RADIUS 服务器。认证服务器的用户数据库支持可扩展认证协议(EAP),允许根据每个单独用户定义访客 VLAN 成员资格。在成功授权之前,连接到已认证请求者的端口将成为指定访客 VLAN 的成员。当请求者成功通过认证后,流量将自动分配到 802.1Q VLAN 中用户配置的 VLAN。
交换机支持的EAP认证方法有:
- EAP-MD5
- EAPTLS
- EAP-TTLS
- EAP-PEAP
- 状态— —选择启用或禁用该功能。
- 访客VLAN— —在交换机上设置访客VLAN为启用或禁用。默认选项是禁用。
- 访客VLAN ID— —从当前定义的VLAN列表中选择访客VLAN ID。
点击应用以保存设置。
端口设置
IEEE 802.1x 基于端口的认证与 RADIUS 服务器配合,为网络访问控制提供安全标准,并在认证完成之前保持网络端口的阻塞状态。在 802.1x 基于端口的认证中,请求者(supplicant)向认证者(authenticator)提供所需的凭证,例如用户名、密码或数字证书,然后认证者将这些凭证转发给认证服务器进行验证。如果认证服务器判定凭证有效,则允许请求者访问位于网络受保护一侧的资源。
端口设置
IEEE 802.1x 基于端口的认证与 RADIUS 服务器配合,为网络访问控制提供安全标准,并在认证完成之前保持网络端口的阻塞状态。在 802.1x 基于端口的认证中,请求者(supplicant)向认证者(authenticator)提供所需的凭证,例如用户名、密码或数字证书,然后认证者将这些凭证转发给认证服务器进行验证。如果认证服务器判定凭证有效,则允许请求者访问位于网络受保护一侧的资源。
你可以根据802.1x的端口设置配置。要进行更改,首先选择一个端口,然后点击编辑以进行必要的更改。完成后,点击应用保存设置。
- 端口— —这是交换机上的端口号。
- 模式— —从列表中选择自动、Force_UnAuthorized或Force_Authorized模式。
- 重新认证— —选择端口重新认证是启用还是禁用。
- 重新认证周期— —输入所选端口重新认证的时间段。默认是3600秒。
- 静默期— —输入在认证失败交换后保持静默状态的设备数量。默认是60秒。
- 申请人期限— —输入EAP请求重新发送给请求人之前的实际时间。默认是30秒。
- 授权状态— —显示802.1x信息的授权状态。
- 访客VLAN— —显示访客VLAN在特定端口上是否被启用或禁用。
- RADIUS VLAN 分配— —如果启用此功能,客户端将从 RADIUS 服务器获得该 VLAN。
以下信息可在认证主机页面找到。
- 用户名— —通过802.1x RADIUS服务器认证显示客户端用户名。
- 端口— —显示客户端认证端口号。
- 会话时间— —显示客户端的802.1倍会话时间。
- 认证方式— —显示客户认证的程序。
- MAC 地址— —显示客户端的 MAC 地址。
- 动态 VLAN 原因— —显示客户端的 VLAN 信息。
- 动态VLAN ID— —显示客户端的VLAN ID(如果RADIUS服务器分配的话)。
- 超时— —输入HTTP/HTTPS超时前所经过的时间。默认值为5分钟,范围从0到10000分钟。
- HTTP 服务— —在交换机上将 HTTP 服务设置为启用或禁用。默认情况下,这个功能是启用的。
- HTTPS服务— —在交换机上将HTTPS服务设置为启用或禁用。默认情况下,这个功能是被禁用的。
在CLI页面,你可以更改会话超时,启用或禁用Telnet和SSH访问。
注意:CLI访问支持Linksys LGS328C、LGS352C、LGS352MPC、LGS328MPC和LGS310MPC。
注意:CLI访问支持Linksys LGS328C、LGS352C、LGS352MPC、LGS328MPC和LGS310MPC。
- 超时— —输入Telnet/SSH超时前经过的时间长度。默认值为5分钟,范围从0到10000分钟。
- Telnet 服务— —在交换机上将 Telnet 服务设置为启用或禁用。默认情况下,这个功能是启用的。
- SSH服务— —在交换机上将SSH服务设置为启用或禁用。默认情况下,这个功能是被禁用的。
端口安全
网络的安全性可以通过限制特定端口仅限特定MAC地址用户访问来提升。 端口安全在停止自动学习处理前防止未经授权的设备进入交换机。
要更改设置,选择一个端口,然后点击编辑。完成后,点击“应用”。
注意:端口数量因型号而异。
网络的安全性可以通过限制特定端口仅限特定MAC地址用户访问来提升。 端口安全在停止自动学习处理前防止未经授权的设备进入交换机。
要更改设置,选择一个端口,然后点击编辑。完成后,点击“应用”。
注意:端口数量因型号而异。
- 端口——显示交换机上定义端口安全的端口。
- 状态——将所选端口的安全设置为启用或禁用。
- 最大MAC地址——输入该端口可学习的最大MAC地址数。范围从1到256。
RADIUS 服务器用于集中管理。它是一种网络协议,为连接和使用网络服务的用户提供集中式的认证、授权和计费(AAA)管理,以实现更高的便利。RADIUS 是一种运行在应用层的服务器协议,使用 UDP 作为传输方式。基于端口认证的网络交换机有一个RADIUS客户端组件与RADIUS服务器通信。连接到交换机端口的客户端必须经过认证服务器认证,才能访问交换机在局域网提供的服务。使用RADIUS服务器通过在客户端和服务器之间中继可扩展认证协议(EAPoL)数据包来认证试图访问网络的用户。RADIUS服务器维护一个用户数据库,其中包含认证信息。交换机将信息传递给配置好的RADIUS服务器,服务器可以在授权使用网络前认证用户名和密码。
- 索引— —显示RADIUS服务器的索引。
- 服务器 IP — — 在此字段中输入 RADIUS 服务器 IP 地址。
- 授权端口— —在此字段输入授权端口号。默认端口是1812。
- 密钥字符串— —输入用于加密设备与RADIUS服务器之间所有RADIUS通信的密钥字符串。
- 超时回复— —输入设备等待RADIUS服务器响应后切换到下一服务器的时间。默认值是3。
- 重试— —输入已发送的请求数量。默认值是3。
