Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
本页内容
 

了解身份验证配置文件

认证配置文件包括用于客户端身份验证的身份验证方法和身份验证参数。可用的身份验证方法有 802.1X (dot1x)、MAC-RADIUS、强制门户和最后手段。802.1X 是所有设备类型的默认身份验证方法,但您可以更改此方法或添加其他身份验证类型。如果在单个接口上配置多种身份验证方法,系统将尝试列出的第一种方法,如果第一种方法不成功,则回退到另一种方法。

您可以创建一个或多个身份验证配置文件,以便根据客户端设备或会话指定不同的身份验证方法。

每个身份验证配置文件都特定于设备系列。创建身份验证配置文件后,您可以将其包含在端口配置文件中。端口配置文件中指定的身份验证配置文件用于对连接到端口的所有用户和设备进行身份验证。

802.1X 身份验证

较新的设备支持称为 802.1X 的 IEE 标准。802.1X 基本上是一种企业级的按用户(用户名和密码)身份验证机制,它是您可以使用的最新和最强的身份验证。由于 802.1X 身份验证是最安全的身份验证选项,因此它优于旧的 PSK 身份验证、Web 门户、MAC 身份验证或开放式身份验证,这实际上意味着没有身份验证。

802.1X 身份验证涉及三个实体,一个请求方、一个验证方和一个身份验证服务器。请求方是希望连接到网络的客户端设备,例如笔记本电脑。验证器将是交换机。身份验证服务器通常是可以解释 802.1X EAP 模式的 RADIUS 服务器。

  • 单请求方模式 仅对连接到验证器端口的第一个终端设备进行身份验证。在第一个终端设备成功连接后,连接到验证器端口的所有其他终端设备(无论其是否启用了 802.1X)均允许自由访问该端口,无需进一步身份验证。如果第一个经过身份验证的终端设备注销,所有其他终端设备将被锁定,直到终端设备通过身份验证。

  • 单安全请求方模式 仅对连接到验证器端口的一个终端设备进行身份验证。在第一个终端设备注销之前,任何其他终端设备都无法连接到验证器端口。

  • 多请求方模式 在一个验证器端口上对多个终端设备进行单独身份验证。如果配置了可通过端口安全连接到端口的最大设备数,则配置值中较小的值将用于确定每个端口允许的最大终端设备数。

MAC RADIUS 身份验证

媒体访问控制地址(MAC 地址)是分配给网络接口的唯一标识符,用于在物理网段上进行通信。MAC 地址用作大多数 IEEE 802 网络技术(包括以太网)的网络地址。通过将密码映射到 MAC 地址表中的客户端条目,可以使用客户端的 MAC 地址进行身份验证。MAC 身份验证可以在本地或使用 RADIUS 服务器完成。

强制门户身份验证

强制门户经常用于对热点进行身份验证,强制所有用户使用配置的登录网页。许多公司使用强制门户来对临时使用公司网络的访客用户进行身份验证。强制门户为所有用户提供一个密码,应经常更改该密码。

相关文档