本节介绍了如何通过使用与 Edge 交换接口关联的 VLAN,在该交换接口上配置使用 802.1x 协议通过 RADIUS 服务器进行的用户身份验证。

从 SD-WAN 版本 5.1.0 开始,用户可以配置 RADIUS 身份验证以使用 Edge 的交换接口,就像他们已经能够对路由接口执行的操作一样。

SD-WAN Edge 支持基于用户名/密码 (EAP-MD5) 和基于证书 (EAP-TLS) 的 802.1x 身份验证方法。

必备条件

  • 必须配置一个 RADIUS 服务器并将其添加到 Edge 中。请参阅配置身份验证服务
  • 可以在任何交换接口上配置 RADIUS。

在交换接口上配置 RADIUS 身份验证

在交换接口上添加 RADIUS 身份验证的过程分为两步:首先将 VLAN 与目标交换接口相关联,然后将 VLAN 配置为使用 RADIUS 身份验证。
注: 可以在配置文件或 Edge 级别执行这些步骤。如果在配置文件级别执行,则与该配置文件关联的每个 Edge 都将在指定的交换接口上配置 RADIUS 身份验证。
  1. 在客户门户中,根据您的首选项,单击配置 (Configure) > 配置文件 (Profile) > 配置 (Configure) > Edge (Edges)
  2. 单击某个 Edge 旁边的设备 (Device) 图标,或者单击该 Edge 的链接,然后单击设备 (Device) 选项卡。
  3. 向下滚动到连接 (Connectivity) 部分,然后打开该 Edge 的接口 (Interfaces) 部分。
  4. 接口 (Interfaces) 部分显示该 Edge 中可用的现有接口。

  5. 单击要为其启用 RADIUS 身份验证的交换接口对应的编辑 (Edit) 选项。
  6. 将要使用 RADIUS 身份验证的 VLAN 添加到 VLAN 的交换接口列表中。
  7. 单击保存 (Save) 并返回到设备设置 (Device Settings) 页面。

  8. 现在,单击 VLAN 部分,然后单击要用于 RADIUS 身份验证的 VLAN。
  9. 编辑 VLAN (Edit VLAN) 屏幕上,单击 RADIUS 身份验证 (RADIUS Authentication) 框。

  10. 配置预先进行身份验证的设备的允许列表,不应将其转发到 RADIUS 以重新进行身份验证。您可以通过使用各个 MAC 地址(例如 8c:ae:4c:fd:67:d5)或 OUI(组织唯一标识符 [例如 8c:ae:4c:00:00:00])来添加设备。
  11. 选择完成 (Done)
  12. 最后,单击右下角的保存更改 (Save Changes) 以应用您的配置。
注: 交换接口将使用已分配给 Edge 的服务器。一个 Edge 中的两个接口不能使用两个不同的 RADIUS 服务器。