本文示範 ZyXEL 網管交換機透過 AD 建立的 RADIUS Server 進行 MAC 認證的設定方式,支援此類驗證方式的網管交換機有 XGS1935 Series、XGS2220 Series、XMG1930 Series、XS1930 Series、GS2220 Series、XS3800 Series、GS1920 Series、XGS1930 Series,可以限制接入的用戶端皆需要經過 MAC 認證後才能接入內網。
示範交換機為 ZyXEL GS2220-28,韌體版本為 4.80(ABRQ.0)C0。
在 Windows AD Server 先建立 MAC 認證使用者。
1. 開啟 Active Directory User and Computers。
2. 新增使用者:User > 新使用者。
3. User logon name 填入 MAC,去掉冒號。
4. Password 也是填入同樣的 MAC。
5. 點擊 Finish 完成,建立使用者。
在交換機上啟動 MAC 認證功能。
6. Security > Port Authentication > MAC Authentication,設定完成下面資訊後,將想啟動此功能的埠勾選 [Active] 啟動。
[Active] 啟動認證功能
[Name Prefix] 傳送至 RADIUS 伺服器進行驗證的所有 MAC 位址的前綴。最多可以輸入 32 個可列印 ASCII 字元,如果將此欄位留空,則僅將用戶端的 MAC 位址轉送至 RADIUS 伺服器。
[Delimiter]選擇分隔符號 (Dash 破折號 "-" ) (Colon 冒號 ":" ) (None 無分隔符)
[Case]大小寫 (Upper 大寫) (Lower 小寫)
[Password Type]密碼形式 (Static 固定) (MAC Address MAC地址)
[Password]固定密碼
[Timeout]指定交換器允許身份驗證失敗的客戶端 MAC 位址嘗試再次進行身份驗證之前的時間長度。最長時間為 3000 秒。當客戶端的 MAC 認證失敗時,其 MAC 位址會從 MAC 位址表中學習到,狀態為拒絕。此處指定的逾時時間是指 MAC 位址表項在 MAC 位址表中保留的時間,直到被清除。如果將逾時值指定為 0,則交換器將使用「系統>交換器設定」畫面中設定的老化時間。如果 System > Switch 設定畫面中的 Timeout 設定為較低值,則它將取代此設定。
7. 在 Windows AD Server 建立 MAC 認證群組。
對客戶端進行身份驗證的交換器都作為 Radius 用戶端新增至 NPS。
8. Start > Programs > Administrative Tools > Network Policy Server
在左窗格中,展開 RADIUS 用戶端和伺服器選項。
右鍵點選 RADIUS 用戶端選項並選擇新建。
輸入 ZyXEL 交換器的名稱。
輸入 ZyXEL 交換器的 IP 位址。
建立並輸入 RADIUS 共用金鑰。
完成後按下 OK。
9. 設定 NPS 連線策略。
在左窗格中,展開 Policies 選項。
依圖建立 Overview 設定。
10. 建立 Conditions 設定。
11. 建立 Constraints 設定。
12. 確認 NPS 服務已啟用並註冊至 AD。
13. 回到交換機新增 AAA 伺服器,SECURITY > AAA > RADIUS Server Setup。
至此完成 MAC 認證所需的全部設定,可以進行測試是否有效了。
如果無法認證,首先檢查 第 6 步的設定是否無誤,應該就可以了。
設定教學可以參考:
沒有留言:
張貼留言