要配置Linksys管理型千兆交换机的安全设置,请按照以下步骤操作。
如果你看到的图片或步骤与页面上不同,这里有 替代的说明或信息。
2. 点击安全。
802.1x
IEEE 802.1x 标准认证使用远程认证拨号用户服务(RADIUS)协议来验证用户,并为网络访问控制提供安全标准。希望被认证的用户称为请求者。
实际执行认证的服务器称为认证服务器(通常是 RADIUS 服务器)。中介设备(如交换机)称为认证者。连接到交换机端口的客户端在访问交换机在局域网上提供的任何服务之前,必须经过 RADIUS 服务器的认证。使用 RADIUS 服务器通过在客户端和服务器之间中继局域网可扩展认证协议(EAPoL)数据包来认证试图访问网络的用户。这建立了认证者(将认证请求传递给认证服务器的系统)与请求者(请求认证的系统)之间,以及认证者与认证服务器之间所需的协议要求。
以下设置可在802.1x下配置:
全局设置
端口设置
认证主机
统计
当一个请求者(supplicant)连接到交换机端口时,端口会向连接的802.1x请求者发出802.1x认证请求。请求者使用给定的用户名和密码在认证请求中进行回复,然后该请求被传递给配置的RADIUS服务器。认证服务器的用户数据库支持可扩展认证协议(EAP),允许根据每个单独用户定义特定的访客VLAN成员资格。在成功授权之前,连接到已认证请求者的端口将成为指定访客VLAN的成员。当请求者成功通过认证后,流量将自动分配到802.1Q VLAN中用户配置的VLAN。
交换机支持的EAP认证方法有:
- EAP-MD5
- EAPTLS
- EAP-TTLS
- EAP-PEAP
-
- 访客VLAN: 在交换机上选择访客VLAN为启用或禁用。默认设置为禁用。
- 访客VLAN ID: 从当前定义的VLAN列表中选择访客VLAN ID。
IEEE 802.1x 基于端口的认证提供了一种与 RADIUS 服务器配合使用的网络安全标准,用于网络访问控制,并在认证完成之前保持网络端口的阻塞状态。在 802.1x 基于端口的认证中,请求者(supplicant)向认证者(authenticator)提供所需的凭证,例如用户名、密码或数字证书,然后认证者将这些凭证转发给认证服务器进行验证。如果认证服务器判定凭证有效,则允许请求者访问位于网络受保护一侧的资源。
从这里,你可以根据802.1x的端口设置配置。要进行更改,请选择一个端口,然后使用位于第一行的开放字段更改所选端口的设置。然后向下滚动点击应用以保存你的设置。
- 端口: 交换机上的端口号。
- 模式: 你可以从列表中选择自动、 Auto, Force_UnAuthorized或Force_Authorized模式。
- 重新认证: 你可以选择端口重新认证是启用还是禁用。
- 重新认证周期:您可以输入所选端口重新认证的时间段。默认是3600秒。
- 安静期:你可以输入在身份验证失败后仍处于安静状态的设备数量。默认是60秒。
- 申诉人期限:您可以输入EAP请求被重新发送给申诉人之前的过了多长时间。默认是30秒。
- 授权状态:显示802.1x的授权状态信息。
- 访客VLAN:显示访客VLAN在特定端口上是否启用或禁用。
- RADIUS VLAN 分配:如果启用此功能,客户端将从 RADIUS 服务器获得该 VLAN。
认证主机部分的字段包括端口、认证方法和MAC地址。
- 用户名: 通过802.1x RADIUS服务器认证显示客户端用户名。
- 端口:显示客户端认证端口号。
- 会话时间:显示客户端的802.1倍会话时间。
- 认证方式:显示客户认证的认证方式。
- MAC地址:显示客户端的MAC地址。
- 动态 VLAN 原因:显示客户端的 VLAN 信息。
- 动态VLAN ID:显示客户端的VLAN ID(如果RADIUS服务器分配的话)。
每个端口显示802.1x相关的数据包计数器和最后接收到的802.1x的源MAC地址。点击底部的“清除”按钮,清除特定端口上的802.1x分组计数器。
Radius服务器
RADIUS 服务器用于集中化管理。它是一种网络协议,为连接和使用网络服务的用户提供集中的认证(Authentication)、授权(Authorization)和计费(Accounting)管理,以提高便利性。RADIUS 是一种运行在应用层的服务器协议,使用 UDP 作为传输协议。具有基于端口认证功能的网络交换机包含一个 RADIUS 客户端组件,用于与 RADIUS 服务器通信。连接到交换机端口的客户端必须先通过认证服务器认证,才能访问交换机在局域网上提供的服务。使用 RADIUS 服务器通过在客户端和服务器之间中继局域网可扩展认证协议(EAPoL)数据包来认证尝试访问网络的用户。RADIUS 服务器维护一个包含认证信息的用户数据库。交换机将信息传递给配置的 RADIUS 服务器,该服务器可以在授权使用网络之前对用户名和密码进行认证。
- 索引: 显示RADIUS服务器的索引。
- 服务器 IP:在此字段输入 RADIUS 服务器 IP 地址。
- 授权端口:在此字段中输入授权端口号。默认端口是1812。
- 密钥字符串:输入用于加密设备与RADIUS服务器之间所有RADIUS通信的密钥字符串。
- 超时回复:输入设备在切换到下一台服务器前等待RADIUS服务器响应的时间。默认值是3。
- 重试:输入发送的请求数量。默认值是3。
点击“应用 
”按钮接受更改,点击 
取消按钮删除更改。
访问
该交换机提供了一个内置的 Web 界面,您可以通过超文本传输协议(HTTP)和安全超文本传输协议(HTTPS)使用它来配置和管理交换机,以帮助防止网络上的安全漏洞。您可以通过为 HTTP 和 HTTPS 请求 配置会话超时设置,来进一步管理每个交换机的 HTTP 和 HTTPS 设置。
端口安全
通过将特定端口的访问权限限制为具有特定 MAC 地址的用户,可以提高网络安全性。端口安全功能可在停止自动学习处理之前,防止未经授权的设备访问交换机。
要更改设置,选择一个端口,然后用第一行的开放字段编辑设置,点击底部的应用。
- 端口: 在交换机上显示端口号。
- 状态:选择所选端口的启用或禁用端口安全。
- 最大MAC地址:输入该端口可学习的最大MAC地址数。范围从1到256。
端口隔离
端口隔离功能在同一广播域内的端口之间提供二层(L2)隔离。启用后,隔离端口可以将流量转发到非隔离端口,但不能转发到其他隔离端口。非隔离端口可以向任何端口发送流量,无论是隔离端口还是非隔离端口。默认设置为非隔离。
要更改设置,选择一个端口,然后用第一行的开放字段编辑设置,点击底部的应用。
DoS
拒绝服务(DoS)用于分类和阻断特定类型的DoS攻击。从这里开始,你可以配置交换机来监控和阻挡不同类型的攻击。
默认情况下,DoS是被禁用的。点击下拉菜单启用,然后点击应用。
