本节介绍了如何通过使用与 Edge 交换接口关联的 VLAN,在该交换接口上配置使用 802.1x 协议通过 RADIUS 服务器进行的用户身份验证。

从 SD-WAN 版本 5.1.0 开始,用户可以配置 RADIUS 身份验证以使用 Edge 的交换接口,就像他们已经能够对路由接口执行的操作一样。

SD-WAN Edge 支持基于用户名/密码 (EAP-MD5) 和基于证书 (EAP-TLS) 的 802.1x 身份验证方法。

必备条件

  • 必须配置一个 RADIUS 服务器并将其添加到 Edge 中。请参阅配置身份验证服务
  • 可以在任何交换接口上配置 RADIUS。

在交换接口上配置 RADIUS 身份验证

在交换接口上添加 RADIUS 身份验证的过程分为两步:首先将 VLAN 与目标交换接口相关联,然后将 VLAN 配置为使用 RADIUS 身份验证。
注: 可以在配置文件或 Edge 级别执行这些步骤。如果在配置文件级别执行,则与该配置文件关联的每个 Edge 都将在指定的交换接口上配置 RADIUS 身份验证。
  1. 在企业门户的 SD-WAN 服务中,单击配置 (Configure) > Edge (Edges)
  2. 单击指向某个 Edge 的链接,或者单击该 Edge 的设备 (Device) 列中的查看 (View) 链接。将在设备 (Device) 选项卡中显示选定 Edge 的配置选项。
  3. 连接 (Connectivity) 类别中,单击并展开接口 (Interfaces)
  4. 接口 (Interfaces) 部分显示可用于选定 Edge 的不同类型的接口。
  5. 单击指向要配置 RADIUS 身份验证的交换接口(例如 GE2,如以下屏幕截图中所示)的链接。

  6. 此时将显示“接口设置”(Interface settings) 对话框。将要使用 RADIUS 身份验证的 VLAN 添加到 VLAN 的交换接口列表中,然后单击保存 (Save)
  7. 设备 (Device) 页面中的连接 (Connectivity) 类别下,单击 VLAN 部分,然后单击要用于进行 RADIUS 身份验证的 VLAN。
  8. 编辑 VLAN (Edit VLAN) 屏幕上,选中 RADIUS 身份验证 (RADIUS Authentication) 复选框。

  9. 配置预先进行身份验证的设备的允许列表,不应将其转发到 RADIUS 以重新进行身份验证。您可以通过使用各个 MAC 地址(例如 8c:ae:4c:fd:67:d5)或 OUI(组织唯一标识符 [例如 8c:ae:4c:00:00:00])来添加设备。
  10. 选择完成 (Done)
  11. 最后,单击右下角的保存更改 (Save Changes) 以应用您的配置。
注: 交换接口将使用已分配给 Edge 的服务器。一个 Edge 中的两个接口不能使用两个不同的 RADIUS 服务器。