组态设备密码说明如果通过 RADIUS服务器登录,则无法更改任何密码。在此页面上,可以更改密码。若登录后具有读/写权限,则可以更改所有用户帐户的密码。如果已读取权限登录,则只能更改您自有的密码。显示框说明●Current User显示当前已登录的用户。● Current User Password输入当前已登录的用户的密码。使用“基于Web 的管理”进行组态5.7 “Security”菜单SCALANCE XB-200/XC-200/XP-200 Web BasedManagement280 配置手册, 07/2016, C79000-G8952-C360-04● UserAccount选择要更改其密码的用户。● 密码策略 (Password Policy)显示分配新密码时正在使用的密码策略。–高密码长度:至少 8 个字符,Zui长 128 个字符至少 1 个大写字母至少 1 个特殊字符至少 1 个数字– 低密码长度:至少 6个字符,Zui长 128 个字符● 新密码 (New Password)为所选用户输入新密码。● PasswordConfirmation输入新密码以进行确认。步骤说明如果是以预设用户“admin”的身份首次登录,或是在“恢复出厂默认设置并重启”之后登录,系统会提示您更改密码。设备交付时的密码出厂设置如下:•“管理员”(admin):admin说明在试用模式下更改密码在试用模式下更改密码,此更改也会立即保存。1. 在“CurrentUser Password”输入框中输入当前已登录的用户的密码。2. 从“UserAccount”下拉列表中,选择要更改其密码的用户。3. 在“New Password”输入框中为所选用户输入新密码。使用“基于Web 的管理”进行组态5.7 “Security”菜单SCALANCE XB-200/XC-200/XP-200 Web BasedManagement配置手册, 07/2016, C79000-G8952-C360-04 2814. 在“PasswordConfirmation”输入框中重复输入新密码。5. 单击“Set Values”按钮。5.7.3.2选项在此页面指定分配新密码时将使用的密码策略。说明● 密码策略 (Password Policy)显示当前正在使用的密码策略●新密码策略 (New Password Policy)从该下拉列表中选择所需的设置。– 高密码长度:至少 8 个字符,Zui长 128个字符至少 1 个大写字母至少 1 个特殊字符至少 1 个数字– 低密码长度:至少 6 个字符,Zui长 128 个字符使用“基于 Web的管理”进行组态5.7 “Security”菜单SCALANCE XB-200/XC-200/XP-200 Web BasedManagement282 配置手册, 07/2016, C79000-G8952-C360-045.7.4 AAA5.7.4.1常规网络节点登录使用“AAA"”的标识表示“Authentication,Authorization,Accounting”。该功能用于识别和允许网络节点,并为网络节点提供相应的服务。在此页面中组态登录信息。显示框说明该页面包含以下框:说明要使用登录验证“RADIUS”,必须存储和组态用于用户验证的RADIUS 服务器。使用“基于 Web 的管理”进行组态5.7 “Security”菜单SCALANCEXB-200/XC-200/XP-200 Web Based Management配置手册, 07/2016,C79000-G8952-C360-04 283● 登录验证 (Login Authentication)指定登录方式:– 本地(Local)必须在设备上进行本地验证。– RADIUS必须通过 RADIUS 服务器处理验证。– 本地和 RADIUS (Localand RADIUS)使用设备上的用户(用户名和密码)以及通过 RADIUS服务器都可以进行验证。在本地数据库中搜索用户。如果用户不存在,则将发送 ADIUS 请求。– RADIUS 和本地回退(RADIUS and fallback Local)必须通过 RADIUS 服务器处理验证。只有在无法在网络中访问 RADIUS服务器时,才执行本地验证。5.7.4.2 RADIUS 客户端通过外部服务器登录RADIUS的概念基于外部验证服务器。表中的每一行包含一台服务器的访问数据。按照搜索顺序,将查询主服务器。如果无法访问主服务器,则会以服务器的输入顺序查询其它辅助服务器。如果没有服务器响应,则表示没有验证。使用“基于Web 的管理”进行组态5.7 “Security”菜单SCALANCE XB-200/XC-200/XP-200 Web BasedManagement284 配置手册, 07/2016, C79000-G8952-C360-04显示框说明该表格包括以下列:● 选择(Select)选择要删除的行。● 身份验证服务器类型选择服务器将用于哪种身份验证方法。– 登录(Login)服务器仅用于登录验证。– 802.1X服务器仅用于 802.1X 身份验证。– 登录 &802.1X服务器用于两种身份验证程序。● RADIUS 服务器地址 (RADIUS Server Address)输入 RADIUS服务器的 IPv4 地址。● 服务器端口 (Server Port)在此处输入 RADIUS服务器的输入端口。默认情况下会设置输入端口 1812。取值范围:1 - 65535● 共享密钥 (Shared Secret)输入RADIUS 服务器的访问标识符。取值范围:1 ... 128 个字符● 共享密钥确认 (Shared SecretConf.)输入访问 ID 以进行确认。● Zui大重传次数 (Max.Retrans.)在此,输入尝试请求的Zui大重试次数。初始连接请求将重试此处指定的次数,才会查询另一个已组态的RADIUS服务器或将登录视为失败。由于默认设置为 3 次重试,这意味着会尝试进行 4次连接。取值范围:1 - 5● 主服务器(PrimaryServer)使用下拉菜单中的选项,指定一个服务器是否为主服务器。可选择选项“yes”或“no”之一。只能定义一个主服务器。使用“基于Web 的管理”进行组态5.7 “Security”菜单SCALANCE XB-200/XC-200/XP-200 Web BasedManagement配置手册, 07/2016, C79000-G8952-C360-04 285● 测试(Test)可以使用此按钮测试指定的 RADIUS服务器是否可用。该测试执行一次,并非循环执行。● 测试结果 (TestResult)显示 RADIUS 服务器是否可用:– 失败,未发送测试包 (Failed, no test packetsent)无法访问 IP 地址。可以访问 IP 地址,但 RADIUS 服务器尚未运行。– 可访问,但不接受密钥(Reachable, key not accepted)可以访问 IP 地址,但 RADIUS 服务器不接受指定的共享密钥。–可访问,且接受密钥 (Reachable, key accepted)可以访问 IP 地址,且 RADIUS服务器接受指定的共享密钥。测试结果不会自动更新。要删除测试结果,请单击“刷新”(Refresh) 按钮。组态步骤输入新服务器1.单击“创建”(Create) 按钮。会在表中生成一个新条目。在表中将输入以下默认值:– 身份验证服务器类型:登录 & 802.1X–RADIUS 服务器地址:0.0.0.0– 服务器端口 (Server Port):1812– Zui大重传次数 (Max.Retrans.):3– 主服务器 (Primary Server):否 (No)使用“基于 Web 的管理”进行组态5.7“Security”菜单SCALANCE XB-200/XC-200/XP-200 Web Based Management286配置手册, 07/2016, C79000-G8952-C360-042. 在相关行中,在输入框中输入以下数据:–身份验证服务器类型– RADIUS 服务器地址 (RADIUS Server Address)– 服务器端口 (ServerPort)– Shared Secret– 共享密钥确认 (Shared Secret Confirmation)– Zui大重传次数(Max. Retrans.):3– 主服务器:否 (No)3. 单击“设置值”(Set Values) 按钮。4. 如果必要,测试RADIUS 服务器的可访问性。对每个要输入的服务器重复此步骤。修改服务器1. 在相关行中,在输入框中输入以下数据:–身份验证服务器类型– RADIUS 服务器地址 (RADIUS Server Address)– 服务器端口 (ServerPort)– Shared Secret– 共享密钥确认 (Shared Secret Confirmation)– Zui大重传次数(Max. Retrans.)– 主服务器 (Primary Server)2. 单击“设置值”(Set Values) 按钮。3.如果必要,测试 RADIUS 服务器的可访问性。对要修改的输入内容所属的每台服务器重复此步骤。删除服务器1.单击第一列中要删除的行前的复选框,以选择要删除的条目。对所有要删除的条目重复此操作。2. 单击“删除”(Delete)按钮。会删除所有选中的条目并刷新显示。802.1x验证器设置网络访问只有在设备利用验证服务器对终端设备的登录数据进行验证后,该终端设备才能访问网络。可以通过 802.1X 或 MAC地址进行身份验证。使用 802.1X 进行身份验证时,终端设备和验证服务器都必须支持 EAP 协议(ExtensiveAuthenticationProtocol)。对单独的端口启用验证通过启用相应选项,可指定是否在此端口上启用符合 IEEE 802.1x 的网络访问保护。图5-11 802.1x 验证器 - 表的第一部分使用“基于 Web 的管理”进行组态5.7 “Security”菜单SCALANCEXB-200/XC-200/XP-200 Web Based Management288 配置手册, 07/2016,C79000-G8952-C360-04图 5-12 802.1X 验证器 - 表的第二部分显示框说明该页面包含以下框:● MACAuthentication为设备启用或禁用 MAC 验证。● Guest VLAN为设备启用或禁用“访客 VLAN”(GuestVLAN) 功能。表 1 包含以下列:● 第 1 列说明设置对于表 2 的所有端口都有效。● 802.1X 验证控制 (802.1XAuth.Control)选择所需设置。如果选择“无变化”(No Change),则表 2 中的条目保持不变。● 802.1x重新验证 (802.1x Re-authentication)选择所需设置。如果选择“无变化”(No Change),则表 2中的条目保持不变。● MAC 验证 (MAC Authentication)选择所需设置。如果选择“无变化”(NoChange),则表 2 中的条目保持不变。● 支持的 RADIUS VLAN 分配 (RADIUS VLAN AssignmentAllowed)选择所需设置。如果选择“无变化”(No Change),则表 2 中的条目保持不变。● MAC验证允许的Zui大地址数(MAC Auth.Max Allowed Addresses)指定可以在端口上通信的 MAC地址数目。如果选择了“无变化”(No Change),则表 2 中的条目保持不变。● 访客 VLAN (GuestVLAN)选择所需设置。如果选择“无变化”(No Change),则表 2 中的条目保持不变。● 访客 VLAN ID (GuestVLAN ID)选择所需设置。如果选择“无变化”(No Change),则表 2 中的条目保持不变。● 访客 VLAN允许的Zui大地址数 (Guest VLAN Max Allowed Addresses)指定“访客VLAN”中此端口上允许存在几个终端设备。如果选择“无变化”(No Change),则表 2 中的条目保持不变。● Copy totable如果单击此按钮,将为表 2 的所有端口应用这些设置。