內容
本文說明如何在 Omada 控制器上設定 802.1X 並將設定傳送至目標交換器來進行使用者驗證。
- Omada 智慧型 / L2+ / L3系列交換器
- Omada 控制器(軟體控制器 / 硬體控制器 / CBC,v5.9 以上版本)
在乙太網路環境中,802.1X 存取驗證系統被廣泛運用,作為提供用戶端驗證存取的解決方案。802.1X 存取驗證系統是依據「連接埠」的,這表示用戶端的存取控制和 AAA 驗證是依據NAS(網路存取伺服器)的「連接埠」。如果用戶端連接到 NAS 的埠並通過 Radius 伺服器的驗證,那麼用戶端就能存取屬於 NAS 的資源,但反過來則不行。
注意:在本文中,NAS(Network Access Server)指的是作為 802.1X 驗證器的 TP-Link 交換器。在 802.1X 系統中,運作 Radius 伺服器軟體的電腦或伺服器則扮演 802.1X 驗證伺服器的角色。以下是 802.1X 存取驗證系統的示意圖。
如下圖所示,交換器 的連接埠 1 連接到 Radius 伺服器,Radius 伺服器為 802.1X 請求者提供身份驗證。連接埠 23 連接到 Uplink Port,該連接埠是連接網際網路的路由器。交換器同時充當 802.1X 認證器和系統的NAS。我們需要的是一個系統,只允許通過交換器並且通過 Radius 伺服器認證的合法用戶才能取得網際網路存取權。
本文以 FreeRadius 為例,在本機上搭建 Radius 伺服器。
步驟 1. 在 Ubuntu 上安裝 FreeRadius。Freeradius 可以使用指令 sudo apt install freeradius 進行線上安裝,或從原始檔 Build with freeradius 安裝指南 建置 FreeRADIUS。
步驟 2. 為 FreeRadius 設定 clients.conf。若要從外部電腦進行測試,請編輯 /etc/freeradius/clients.conf 並新增一個像目。有很多範例,指令文法也很簡單:
client tplink {
ipaddr = 192.168.0.100
secret = testing123
}
步驟 3. 定義使用者和密碼。編輯 /etc/freeradius/users 並建立一個範例使用者帳號作為第一個項目。就在文件的頂部,例如:
admin Cleartext-Password := "admin"
儲存上述檔案的設定值,啟動 FreeRadius 伺服器,會出現 “Ready to process requests”,這表示你的 FreeRadius 伺服器安裝成功:
步驟 1. 設定 RADIUS 設定檔
登入控制器,前往 設定 > 設定檔 > RADIUS 設定檔,按一下 建立新的 RADIUS 設定檔,然後在 名稱 欄位中編輯 Radius 伺服器的名稱。在 Authentication Server IP 中輸入 Radius 伺服器的 IP 位址,在 Authentication Port 中輸入Radius 通訊埠值。在 Authentication Password 中輸入 Radius 伺服器的 shared key。設定完成後,按一下 儲存 儲存設定。
步驟 2. 設定 802.1X 驗證。進入 設定 > 驗證 > 802.1X 開啟 802.1X 按鈕。在 RADIUS 設定檔 欄位中,選擇步驟 4 中建立的 Radius 伺服器,並將 驗證協定 設定為 EAP,將 驗證類型 設定為 依連接埠。最後選擇連接埠 5-10,點選 儲存 即可完成設定。
說明:依 MAC 表示連接到對應連接埠的任何裝置在存取網路之前都需要獨立的身份驗證。而 依連接埠 是指連接到某個連接埠的所有裝置只要其中一台裝置通過了對應連接埠的驗證,就可以存取網路。
步驟 1. 鍵盤同時按下 Win+R 並輸入 services.msc
您將看到以下畫面。
步驟 2. 找到 Wired AutoConfig,按一下 啟動,啟用 802.1X 認證。
步驟 3. 開啟 網路和共用中心 設定並啟用 802.1X 身份驗證。
雙擊需要啟用驗證的網卡:
點擊 驗證:
勾選 啟用 IEEE 802.1X 驗證 並選擇 PEAP 作為網路驗證方法。最後,按一下 設定 來設定 PEAP 屬性。
關閉 透過驗證憑證來確認伺服器的身分識別,並選擇 EAP-MSCHAP v2 作為身份驗證方法。點選 設定,進入 EAP MSCHAP v2 屬性介面。
取消選取 自動使用我的 Windows 登入名稱和密碼(以及網域,如果有的話)。
點擊 確認 並儲存設定。電腦會自動彈出以下介面,輸入帳號和密碼,完成身分驗證即可上網。帳號和密碼為在步驟 3 中設定。
您已成功設定交換器 802.1X,並透過驗證來存取網際網路。
要了解各項功能和設定的更多詳細資訊,請前往 檔案下載 下載您的產品手冊。