要配置Linksys管理型千兆交換機的安全設置,請按照以下步驟操作。
如果你看到的圖片或步驟與頁面上不同,這裡有替代的說明或資訊。
2. 點擊安全。
802.1x
IEEE 802.1x 標準認證使用遠端認證撥號使用者服務(RADIUS)協定來驗證使用者,併為網路訪問控制提供安全標準。 希望被認證的用戶稱為請求者。
實際執行認證的伺服器稱為認證伺服器(通常是 RADIUS 伺服器)。 中介設備(如交換機)稱為認證者。 連接到交換機端口的用戶端在訪問交換機在局域網上提供的任何服務之前,必須經過 RADIUS 伺服器的認證。 使用 RADIUS 伺服器通過在客戶端和伺服器之間中繼局域網可擴展認證協定(EAPoL)數據包來認證試圖訪問網路的使用者。 這建立了認證者(將認證請求傳遞給認證伺服器的系統)與請求者(請求認證的系統)之間,以及認證者與認證伺服器之間所需的協定要求。
以下設置可在802.1x下配置:
全域設置
端口設置
認證主機
統計
當一個請求者(supplicant)連接到交換機端口時,端口會向連接的802.1x請求者發出802.1x認證請求。 請求者使用給定的使用者名和密碼在認證請求中進行回復,然後該請求被傳遞給配置的RADIUS伺服器。 認證伺服器的使用者資料庫支援可擴展認證協定(EAP),允許根據每個單獨使用者定義特定的訪客VLAN成員資格。 在成功授權之前,連接到已認證請求者的端口將成為指定訪客VLAN的成員。 當請求者成功通過認證后,流量將自動分配到802.1Q VLAN中使用者配置的VLAN。
交換機支援的EAP認證方法有:
- EAP-MD5
- EAPTLS
- EAP-TTLS
- EAP-PEAP
-
- 訪客VLAN: 在交換機上選擇訪客VLAN為啟用或禁用。 默認設置為禁用。.
- 訪客VLAN ID: 從當前定義的VLAN清單中選擇訪客VLAN ID。
IEEE 802.1x 基於端口的認證提供了一種與 RADIUS 伺服器配合使用的網路安全標準,用於網路訪問控制,並在認證完成之前保持網路端口的阻塞狀態。 在 802.1x 基於端口的認證中,請求者(supplicant)向認證者(authenticator)提供所需的憑證,例如使用者名、密碼或數位證書,然後認證者將這些憑證轉發給認證伺服器進行驗證。 如果認證伺服器判定憑證有效,則允許請求者訪問位於網路受保護一側的資源。
從這裡,你可以根據802.1x的端口設置配置。 要進行更改,請選擇一個端口,然後使用位於第一行的開放字段更改所選端口的設置。 然後向下滾動點擊應用以保存你的設置。
- 端口: 交換機上的端口號。
- 模式:你可以從清單中選擇自動、Auto, Force_UnAuthorized或Force_Authorized模式。
- 重新認證: 你可以選擇端口重新認證是啟用還是禁用。
- 重新認證週期:您可以輸入所選端口重新認證的時間段。 預設是3600秒。
- 安靜期:你可以輸入在身份驗證失敗后仍處於安靜狀態的設備數量。 預設是60秒。
- 申訴人期限:您可以輸入EAP請求被重新發送給申訴人之前的過了多長時間。 預設是30秒。
- 授權狀態:顯示802.1x的授權狀態資訊。
- 訪客VLAN:顯示訪客VLAN在特定端口上是否啟用或禁用。
- RADIUS VLAN 分配:如果啟用此功能,用戶端將從RADIUS伺服器獲得該 VLAN。
認證主機部分的欄位包括端口、認證方法和MAC位址。.
- 使用者名稱: 通過802.1x RADIUS伺服器認證顯示用戶端使用者名。
- 端口:顯示客戶端認證端口號。
- 會話時間:顯示用戶端的802.1倍會話時間。
- 認證方式:顯示客戶認證的認證方式。
- MAC位址:顯示用戶端的MAC位址。
- 動態 VLAN 原因:顯示用戶端的 VLAN 資訊。
- 動態VLAN ID:顯示用戶端的VLAN ID(如果RADIUS伺服器分配的話)。
每個端口顯示802.1x相關的數據包計數器和最後接收到的802.1x的源MAC位址。 點擊底部的“清除”按鈕,清除特定端口上的802.1x分組計數器。
Radius伺服器
RADIUS 伺服器用於集中化管理。 它是一種網路協定,為連接和使用網路服務的使用者提供集中的認證(Authentication)、授權(Authorization)和計費(Accounting)管理,以提高便利性。 RADIUS 是一種運行在應用層的伺服器協定,使用 UDP 作為傳輸協定。 具有基於端口認證功能的網路交換機包含一個 RADIUS 用戶端元件,用於與 RADIUS 伺服器通信。 連接到交換機端口的客戶端必須先通過認證伺服器認證,才能訪問交換機在局域網上提供的服務。 使用 RADIUS 伺服器通過在客戶端和伺服器之間中繼局域網可擴展認證協定(EAPoL)數據包來認證嘗試訪問網路的使用者。 RADIUS 伺服器維護一個包含認證資訊的用戶資料庫。 交換機將資訊傳遞給配置的 RADIUS 伺服器,該伺服器可以在授權使用網路之前對使用者名和密碼進行認證。
- 索引: 顯示RADIUS伺服器的索引。
- 伺服器 IP:在此欄位輸入 RADIUS 伺服器 IP 位址。
- 授權端口:在此欄位中輸入授權端口號。 默認端口是1812。
- 金鑰字串:輸入用於加密設備與RADIUS伺服器之間所有RADIUS通信的金鑰字串。
- 超時回復:輸入設備在切換到下一台伺服器前等待RADIUS伺服器回應的時間。 預設值是3。
- 重試:輸入發送的請求數量。 預設值是3。
點擊「應用 
」按鈕接受更改,點擊 
取消按鈕刪除更改。
訪問
該交換機提供了一個內置的 Web 介面,您可以通過超文本傳輸協定(HTTP)和安全超文本傳輸協定(HTTPS)使用它來配置和管理交換機,以説明防止網路上的安全漏洞。 您可以通過為 HTTP 和 HTTPS 請求配置工作階段超時設置,來進一步管理每個交換機的 HTTP 和 HTTPS 設置。
端口安全
通過將特定端口的訪問許可權限制為具有特定 MAC 位址的使用者,可以提高網路安全性。 端口安全功能可在停止自動學習處理之前,防止未經授權的設備訪問交換機。
要更改設置,選擇一個端口,然後用第一行的開放字段編輯設置,點擊底部的應用。
- 端口: 在交換機上顯示端口號。
- 狀態:選擇所選端口的啟用或禁用端口安全。
- 最大MAC位址:輸入該端口可學習的最大MAC位址數。 範圍從1到256。
端口隔離
端口隔離功能在同一廣播域內的端口之間提供二層(L2)隔離。 啟用后,隔離端口可以將流量轉發到非隔離端口,但不能轉發到其他隔離端口。 非隔離端口可以向任何端口發送流量,無論是隔離端口還是非隔離端口。 預設設置為非隔離。
要更改設置,選擇一個端口,然後用第一行的開放字段編輯設置,點擊底部的應用。
DoS
拒絕服務(DoS)用於分類和阻斷特定類型的DoS攻擊。 從這裡開始,你可以配置交換機來監控和阻擋不同類型的攻擊。
默認情況下,DoS是被禁用的。 點擊下拉功能表啟用,然後點擊應用。
