Linksys 企業級管理型交換機安全設置概述
要配置 Linksys 企業級管理型交換機的安全設置,請按照以下步驟操作。
1.存取你交換機的網頁介面。點擊這裡獲取操作說明。
2. 點擊網頁介面左上角的功能表圖示。
3. 點擊安全。
2. 點擊網頁介面左上角的功能表圖示。
3. 點擊安全。
802.1x
IEEE 802.1x 標準認證使用遠端認證撥號使用者服務(RADIUS)協定來驗證使用者,併為網路訪問控制提供安全標準。希望被認證的用戶稱為請求者(supplicant)。實際執行認證的伺服器稱為認證伺服器(通常是 RADIUS 伺服器)。中間設備(如交換機)稱為認證者(authenticator)。連接到交換機端口的客戶端必須先通過 RADIUS 伺服器認證,才能訪問交換機在局域網上提供的任何服務。使用 RADIUS 伺服器通過在客戶端和伺服器之間中繼局域網可擴展認證協定(EAPoL)數據包來認證嘗試訪問網路的使用者。這建立了認證者(將認證請求傳遞給認證伺服器的系統)與請求者(請求認證的系統)之間,以及認證者與認證伺服器之間所需的協定要求。
以下設置可在802.1x下配置:
全域設置
端口設置
認證主機
全域設置
當請求者(supplicant)連接到交換機端口時,端口會向連接的 802.1x 請求者發出 802.1x 認證請求。請求者使用給定的使用者名和密碼在認證請求中進行回復,然後該請求被傳遞給配置的 RADIUS 伺服器。認證伺服器的使用者資料庫支援可擴展認證協定(EAP),允許根據每個單獨使用者定義訪客 VLAN 成員資格 在成功授權之前,連接到已認證請求者的端口將成為指定訪客 VLAN 的成員。當請求者成功通過認證后,流量將自動分配到 802.1Q VLAN 中使用者配置的 VLAN。
交換機支援的EAP認證方法有:
- EAP-MD5
- EAPTLS
- EAP-TTLS
- EAP-PEAP
- 態— —選擇啟用或禁用該功能。
- 訪客VLAN— —在交換機上設置訪客VLAN為啟用或禁用。默認選項是禁用。
- 訪客VLAN ID— —從當前定義的VLAN清單中選擇訪客VLAN ID。
點擊應用以保存設置。
端口設置
IEEE 802.1x 基於端口的認證與 RADIUS 伺服器配合,為網路訪問控制提供安全標準,並在認證完成之前保持網路端口的阻塞狀態。在 802.1x 基於端口的認證中,請求者(supplicant)向認證者(authenticator)提供所需的憑證,例如使用者名、密碼或數位證書,然後認證者將這些憑證轉發給認證伺服器進行驗證。如果認證伺服器判定憑證有效,則允許請求者訪問位於網路受保護一側的資源。
端口設置
IEEE 802.1x 基於端口的認證與 RADIUS 伺服器配合,為網路訪問控制提供安全標準,並在認證完成之前保持網路端口的阻塞狀態。在 802.1x 基於端口的認證中,請求者(supplicant)向認證者(authenticator)提供所需的憑證,例如使用者名、密碼或數位證書,然後認證者將這些憑證轉發給認證伺服器進行驗證。如果認證伺服器判定憑證有效,則允許請求者訪問位於網路受保護一側的資源。
你可以根據802.1x的端口設置配置。要進行更改,首先選擇一個端口,然後點擊編輯以進行必要的更改。完成後,點擊應用保存設置。
- 端口— —這是交換機上的端口號。
- 模式— —從清單中選擇自動、Force_UnAuthorized或Force_Authorized模式。
- 重新認證——選擇端口重新認證是啟用還是禁用。
- 重新認證週期— —輸入所選端口重新認證的時間段。預設是3600秒。
- 靜默期— —輸入在認證失敗交換后保持靜默狀態的設備數量。預設是60秒。
- 申請人期限— —輸入EAP請求重新發送給請求人之前的實際時間。預設是30秒。
- 授權狀態— —顯示802.1x信息的授權狀態。
- 訪客VLAN— —顯示訪客VLAN在特定端口上是否被啟用或禁用。
- RADIUS VLAN 分配— —如果啟用此功能,用戶端將從RADIUS伺服器獲得該 VLAN。
以下資訊可在認證主機頁面找到。
- 使用者名— —通過802.1x RADIUS伺服器認證顯示用戶端使用者名。
- 端口— —顯示客戶端認證端口號。
- 會話時間— —顯示用戶端的802.1倍會話時間。
- 認證方式— —顯示客戶認證的程式。
- MAC 位址— —顯示用戶端的 MAC 位址。
- 動態 VLAN 原因— —顯示用戶端的 VLAN 資訊。
- 動態VLAN ID— —顯示用戶端的VLAN ID(如果RADIUS伺服器分配的話)。
訪問
在網頁上,你可以更改會話超時,禁用或啟用HTTP和HTTPS。默認的會話超時是5分鐘。想瞭解如何配置訪問超時設置,請點擊這裡。
在網頁上,你可以更改會話超時,禁用或啟用HTTP和HTTPS。默認的會話超時是5分鐘。想瞭解如何配置訪問超時設置,請點擊這裡。
- 超時— —輸入HTTP/HTTPS超時前所經過的時間。默認值為5分鐘,範圍從0到10000分鐘。
- HTTP 服務— —在交換機上將 HTTP 服務設置為啟用或禁用。默認情況下,這個功能是啟用的。
- HTTPS服務— —在交換機上將HTTPS服務設置為啟用或禁用 默認情況下,這個功能是被禁用的。
在CLI頁面,你可以更改會話超時,啟用或禁用Telnet和SSH訪問。
注意:CLI訪問支援Linksys LGS328C、LGS352C、LGS352MPC、LGS328MPC和LGS310MPC。
- 超時— —輸入Telnet/SSH超時前經過的時間長度。默認值為5分鐘,範圍從0到10000分鐘。
- Telnet 服務— —在交換機上將 Telnet 服務設置為啟用或禁用。默認情況下,這個功能是啟用的。
- SSH服務— —在交換機上將SSH服務設置為啟用或禁用。默認情況下,這個功能是被禁用的。
注意:端口數量因型號而異。
- 端口— —顯示交換機上定義端口安全的端口。
- 狀態— —將所選端口的安全設置為啟用或禁用。
- 最大MAC位址— —輸入該端口可學習的最大MAC位址數。範圍從1到256。
RADIUS 伺服器用於集中管理。它是一種網路協定,為連接和使用網路服務的使用者提供集中式的認證、授權和計費(AAA)管理,以實現更高的便利。RADIUS 是一種運行在應用層的伺服器協定,使用 UDP 作為傳輸方式。基於端口認證的網路交換機有一個RADIUS用戶端元件與RADIUS伺服器通信。連接到交換機端口的客戶端必須經過認證伺服器認證,才能訪問交換機在局域網提供的服務。使用RADIUS伺服器通過在用戶端和伺服器之間中繼可擴展認證協定(EAPoL)數據包來認證試圖訪問網路的使用者。RADIUS伺服器維護一個用戶資料庫,其中包含認證資訊。交換機將資訊傳遞給配置好的RADIUS伺服器,伺服器可以在授權使用網路前認證使用者名和密碼。
- 索引— —顯示RADIUS伺服器的索引。
- 伺服器 IP— —在此欄位中輸入 RADIUS 伺服器 IP 位址。
- 授權端口— —在此欄位輸入授權端口號。默認端口是1812。
- 金鑰字串— —輸入用於加密設備與RADIUS伺服器之間所有RADIUS通信的金鑰字串。
- 超時回復— —輸入設備等待RADIUS伺服器回應后切換到下一伺服器的時間。預設值是3。
- 重試— —輸入已發送的請求數量。預設值是3。
點擊添加按鈕添加條目。完成後,點擊「應用」按鈕接受更改,點擊取消按鈕中止流程。
DoS
拒絕服務(DoS)用於分類和阻斷特定類型的DoS攻擊。你可以配置交換機來監控和阻擋不同類型的攻擊 默認情況下,DoS是被禁用的。點擊啟用單選按鈕以啟用該功能,然後點擊應用。
DoS
拒絕服務(DoS)用於分類和阻斷特定類型的DoS攻擊。你可以配置交換機來監控和阻擋不同類型的攻擊 默認情況下,DoS是被禁用的。點擊啟用單選按鈕以啟用該功能,然後點擊應用。
