路由功能 驗(yàn)證

時(shí)間：2021-08-03作者：上海騰希電氣技術(shù)有限公司瀏覽：110

驗(yàn)證



用戶管理概述

通過(guò)可組態(tài)的用戶設(shè)置來(lái)管理對(duì)設(shè)備的訪問(wèn)。使用密碼設(shè)置用戶以供驗(yàn)證。為用戶分配具有適當(dāng)權(quán)限的角色。

用戶的身份驗(yàn)證可在本地由設(shè)備執(zhí)行，也可由外部 RADIUS 服務(wù)器執(zhí)行?？稍凇鞍踩?> AAA > 常規(guī)”(Security > AAA > General) 頁(yè)面中組態(tài)身份驗(yàn)證的處理方式。

向 TIA 傳送設(shè)備組態(tài)時(shí)，不會(huì)傳送已組態(tài)的用戶、角色和組。

與先前版本的兼容性

對(duì)于固件版本 5.1，用戶管理通過(guò) RADIUS 身份驗(yàn)證模式“供應(yīng)商特定”擴(kuò)展。為確保對(duì) 5.0 及以下固件版本的兼容性，選擇的默認(rèn)設(shè)置應(yīng)保證，在固件升級(jí)后，之前的身份驗(yàn)證模式“傳統(tǒng)”(conventional) 將繼續(xù)使用。

本地登錄

用戶本地登錄時(shí)設(shè)備的工作方式如下：

用戶通過(guò)用戶名和密碼在設(shè)備上登錄。

設(shè)備檢查是否存在該用戶的條目。

→ 如果存在條目，該用戶成功登錄并具有所關(guān)聯(lián)角色的權(quán)限。

→ 如果不存在相應(yīng)的條目，則拒絕該用戶登錄。

通過(guò)外部 RADIUS 服務(wù)器登錄

RADIUS（Remote Authentication Dial-In User Service，撥入用戶遠(yuǎn)程認(rèn)證服務(wù)）是通過(guò)集中存儲(chǔ)用戶數(shù)據(jù)的服務(wù)器來(lái)驗(yàn)證用戶和為用戶授權(quán)的協(xié)議。

根據(jù)您在“安全 > AAA > RADIUS 客戶端”(Security > AAA > RADIUS Client) 頁(yè)面中所選擇的 RADIUS 身份驗(yàn)證模式，設(shè)備可評(píng)估 RADIUS 服務(wù)器的不同信息。

RADIUS 身份驗(yàn)證模式“conventional”

如果已設(shè)置身份驗(yàn)證模式“conventional”，則用戶在 RADIUS 服務(wù)器上的身份驗(yàn)證將按如下方式運(yùn)行：

用戶通過(guò)用戶名和密碼在設(shè)備上登錄。

設(shè)備將帶有登錄數(shù)據(jù)的身份驗(yàn)證請(qǐng)求發(fā)送到 RADIUS 服務(wù)器。

RADIUS 服務(wù)器執(zhí)行檢查并將結(jié)果發(fā)送回設(shè)備。

- RADIUS 服務(wù)器報(bào)告身份驗(yàn)證成功，并向設(shè)備的屬性“Service Type”返回值“Administrative User”。

→ 用戶登錄并帶有管理員權(quán)限。

- RADIUS 服務(wù)器會(huì)報(bào)告身份驗(yàn)證成功，并會(huì)向設(shè)備的屬性“Service Type”返回差異或甚至是無(wú)值。

→ 用戶登錄并具有讀取權(quán)限。

- RADIUS 服務(wù)器向設(shè)備報(bào)告身份驗(yàn)證失?。?/p>

→ 用戶被拒絕訪問(wèn)。

RADIUS 身份驗(yàn)證模式“供應(yīng)商特定”

要求

對(duì)于 RADIUS 驗(yàn)證模式“供應(yīng)商特定”(Vendor Specific)，需要在 RADIUS 服務(wù)器上設(shè)置以下需求：

制造商代碼：4196

屬性編號(hào)：1

屬性格式：字符型字符串（組名稱）

步驟

如果已設(shè)置身份驗(yàn)證模式“供應(yīng)商特定”(Vendor Specific)，則用戶在 RADIUS 服務(wù)器上的身份驗(yàn)證將按如下方式運(yùn)行：

用戶通過(guò)用戶名和密碼在設(shè)備上登錄。

設(shè)備將帶有登錄數(shù)據(jù)的身份驗(yàn)證請(qǐng)求發(fā)送到 RADIUS 服務(wù)器。

RADIUS 服務(wù)器執(zhí)行檢查并將結(jié)果發(fā)送回設(shè)備。

情況 A：RADIUS 服務(wù)器報(bào)告身份驗(yàn)證成功，并向設(shè)備返回已為用戶分配的組。

- 組已在設(shè)備中已知，但用戶并未在表“External User Accounts”中輸入。

→ 用戶將登錄并具有所分配組的權(quán)限。

- 組已在設(shè)備中已知，且用戶并已在表“External User Accounts”中輸入。

→ 已為用戶分配了較高的權(quán)限，用戶會(huì)登錄并擁有這些權(quán)限。

- 組已在設(shè)備中未知，且用戶并已在表“External User Accounts”中輸入。

→ 用戶將登錄并具有已鏈接到用戶帳戶的角色所對(duì)應(yīng)的權(quán)限。

- 組已在設(shè)備中未知，但用戶并未已在表“External User Accounts”中輸入。

→ 用戶將登錄并具有“Default”角色的權(quán)限。

情況 B：RADIUS 服務(wù)器會(huì)報(bào)告身份驗(yàn)證成功，但不會(huì)向設(shè)備返回一個(gè)組。

- 用戶已在“External User Accounts”表中輸入：

→ 用戶將登錄并具有所鏈接角色的權(quán)限。

- 用戶未在“External User Accounts”表中輸入：

→ 用戶將登錄并具有“Default”角色的權(quán)限。

情況 C：RADIUS 服務(wù)器向設(shè)備報(bào)告身份驗(yàn)證失?。?/p>

- 用戶被拒絕訪問(wèn)。

驗(yàn)證方法

您可以分別為每個(gè)端口組態(tài)驗(yàn)證方法“802.1x”和“MAC 身份驗(yàn)證”(MAC Authentication) 以及“Guest VLANGuest VLAN”選項(xiàng)。

這些功能按層級(jí)順序排列。如果啟用了全部三項(xiàng)功能，則較初會(huì)嘗試使用“802.1x”對(duì)終端設(shè)備進(jìn)行身份驗(yàn)證。如果驗(yàn)證不成功，將啟動(dòng)“MAC 身份驗(yàn)證”(MAC Authentication)。如果驗(yàn)證還不成功，則允許終端設(shè)備在“Guest VLAN”中通信。必須至少有一種身份驗(yàn)證方法激活，才能使用“Guest VLAN”。

這兩種身份驗(yàn)證方法都取決于終端設(shè)備。如果終端設(shè)備支持 EAP（Extensible Authentication Protocol，可擴(kuò)展身份驗(yàn)證），則可使用“802.1X”方法進(jìn)行身份驗(yàn)證。如果終端設(shè)備不支持 EAP，則可使用“MAC 身份驗(yàn)證”(MAC Authentication) 進(jìn)行身份驗(yàn)證。在這種情況下，工業(yè)以太網(wǎng)交換機(jī)采用終端設(shè)備的角色，并將設(shè)備的 MAC 地址用作身份驗(yàn)證參數(shù)。

802.1X

“802.1X”身份驗(yàn)證方法的作用方式如下：
支持 EAP 的終端設(shè)備向工業(yè)以太網(wǎng)交換機(jī)發(fā)送身份驗(yàn)證信息。工業(yè)以太網(wǎng)交換機(jī)將該信息轉(zhuǎn)發(fā)給驗(yàn)證服務(wù)器。身份驗(yàn)證服務(wù)器核對(duì)信息，從而允許或拒絕終端設(shè)備訪問(wèn)網(wǎng)絡(luò)。

MAC 身份驗(yàn)證 (MAC Authentication)

“MAC 身份驗(yàn)證”(MAC Authentication) 驗(yàn)證方法的作用方式如下：
工業(yè)以太網(wǎng)交換機(jī)收到終端設(shè)備發(fā)來(lái)的幀時(shí)，隨即向 RADIUS 服務(wù)器發(fā)出請(qǐng)求，從而允許或拒絕終端設(shè)備訪問(wèn)網(wǎng)絡(luò)。

通過(guò) RADIUS 或訪客 VLAN 分配 VLAN

更改 VLAN 組態(tài)情況下的身份驗(yàn)證

在身份驗(yàn)證期間，如果已使用“支持的 RADIUS VLAN 分配”(RADIUS VLAN Assignment Allowed) 或“訪客 VLAN”(Guest VLAN) 功能為 VLAN 動(dòng)態(tài)分配了端口，則會(huì)出現(xiàn)以下情況：

如果設(shè)備上尚未創(chuàng)建待分配的 VLAN，則會(huì)拒絕身份驗(yàn)證。

如果設(shè)備上已創(chuàng)建待分配的 VLAN：

- 該端口將成為已分配 VLAN 中的無(wú)標(biāo)記成員（如果尚未成為）。

- 端口的 PVID 將變?yōu)橐逊峙?VLAN 的 ID。

提示 如果端口只分配給一個(gè) VLAN，則需要相應(yīng)地手動(dòng)調(diào)整 VLAN 組態(tài)。默認(rèn)情況下，所有端口在“vlan 1”中均為無(wú)標(biāo)記成員。




如果取消身份驗(yàn)證（即通過(guò)鏈路中斷），則會(huì)取消動(dòng)態(tài)更改。

端口不再是已分配 VLAN 中的成員。

端口的 PVID 將恢復(fù)身份驗(yàn)證之前的值。

未更改 VLAN 組態(tài)情況下的身份驗(yàn)證

在身份驗(yàn)證期間，如果未通過(guò)“支持的 RADIUS VLAN 分配”(RADIUS VLAN Assignment Allowed) 或“訪客 VLAN”(Guest VLAN) 功能分配任何 VLAN，則端口的 VLAN 組態(tài)保持不變。




上海騰希電氣技術(shù)有限公司專注于西門子PLC,V90伺服,V20變頻器等, 歡迎致電 13681875601

• 詞條

  詞條說(shuō)明

• 有關(guān)移植指令的信息

  有關(guān)移植指令的信息指令的自動(dòng)移植在移植過(guò)程中，會(huì)將原程序中使用的指令盡可能多的傳遞給新程序。在此過(guò)程中，會(huì)在盡可能不更改原程序語(yǔ)義的情況下自動(dòng)進(jìn)行一些必要的修改。如果指令存在多個(gè)版本，那么移植操作始終使用較新的指令版本。并使用兼容或類似指令自動(dòng)替換 S7-1500 中不可用的指令。移植場(chǎng)景下表列出了移植指令時(shí)可能發(fā)生的情況：類別情況系統(tǒng)響應(yīng)手動(dòng)修改程序1該指令在兩個(gè) CPU 系列中相同。移植該指令

• 顯示 信息版本

  版本該頁(yè)面會(huì)顯示設(shè)備的硬件和軟件版本。提示只有與設(shè)備存在在線連接時(shí)才顯示該頁(yè)面。顯示值說(shuō)明表 1 包含以下列：Hardware-?Basic Device顯示基本設(shè)備-?CELL （** M87x）顯示所使用的無(wú)線模塊。-?xDSL (nur bei M81x)顯示所使用的 DSL 模塊。名稱 (Name)顯示設(shè)備名稱。修訂版 (Revision)顯示設(shè)備的硬件版本。

• 通過(guò)更改伙伴端口互聯(lián)端口

  通過(guò)更改伙伴端口互聯(lián)端口要求所有涉及到的設(shè)備均支持拓?fù)浣M態(tài)IO 控制器、更改的 IO 設(shè)備（擴(kuò)展單元）以及更改的 IO 設(shè)備賴于運(yùn)行的交換機(jī)（擴(kuò)展系統(tǒng)）必須支持此功能。必須使用支持 PROFINET 的“**化啟動(dòng)”功能的交換機(jī)（例如從 SCALANCE X200IRT 系列開始）連接擴(kuò)展單元。示例IO 控制器：CPU 416-3 PN/DP、CPU?1516?3?PN/DP擴(kuò)

• S7有關(guān)組態(tài)連接的簡(jiǎn)介

  有關(guān)組態(tài)連接的簡(jiǎn)介定義連接定義的是為執(zhí)行通信服務(wù)而對(duì)兩個(gè)通信伙伴進(jìn)行的邏輯分配。 連接定義了以下方面：涉及的通信伙伴連接類型（例如，S7 連接）特殊屬性（例如，連接是否是*建立，或是否是在用戶程序中動(dòng)態(tài)建立和終止，以及是否要發(fā)送狀態(tài)消息）連接路徑連接組態(tài)須知連接組態(tài)期間，需要為 S7 連接分配一個(gè)本地連接名稱作為一的本**識(shí)。在網(wǎng)絡(luò)視圖中，除顯示“網(wǎng)絡(luò)概覽”(Network overview)