Важно съобщение: |
Динамичното присвояване на VLAN разделя и изолира устройствата в различни мрежови сегменти въз основа на разрешението на устройството или потребителя и техните характеристики.
Настройка на NPS на Windows Server 2019
Сценарий и топология
В повечето мрежи администраторите може да се наложи да ограничат достъпа на устройствата до различни мрежови устройства с цел сигурност.
Често срещан начин за постигане на този вид мрежово ограничение е чрез статично присвояване на VLAN. Затова администраторите създават VLAN и конфигурират съответния VLAN номер за всеки switch порт с режим на достъп. Обратно, за динамичното VLAN присвояване администраторът трябва само да настрои switch порта като trunk и фиксиран порт и да зададе няколко правила на RADIUS сървъра. Това значително намалява действията/задачите на мрежовия администратор.
Целта на това ръководство за конфигуриране е да покаже всяка стъпка за конфигуриране на динамичното VLAN присвояване както на switch, така и на RADIUS сървъра.
Конфигурация
Следващите стъпки са приложими за switch, поддържащи комбинирана автентификация. Поддържаните switch са GS2220 и XGS2210 в самостоятелен режим и разположени заедно с RADIUS сървър (Windows Server 2019).
Конфигурация на Switch
- Конфигурирайте RADIUS IP адреса, споделения секретен ключ и AAA настройките в:
Разширени приложения > AAA > Настройка на RADIUS сървър и AAA- Конфигурирайте 802.1x, MAC удостоверяване и Guest VLAN, както и комбинирано удостоверяване на клиентския порт в
Разширени приложения > Удостоверяване на порт- Запазете режима на комбинирана автентификация като строг за клиентския порт
Настройте NPS на Windows Server 2019
Отворете Network Policy Server и кликнете с десния бутон върху RADIUS Clients > New, за да конфигурирате Friendly name, IP адрес и Shared secret.
Конфигурирайте политиките за заявки за връзка (CRP)
- Кликнете с десния бутон върхуCRP > New
- Посочете името на политиката за CRP
- Посочете условия
Препоръчваме да използвате NAS идентификатор (име на хоста на устройството) и NAS IPv4 адрес тук, ако не сте запознати с тази страница. Освен това, ако имате много устройства, които планирате да добавите към RADIUS клиенти, можете да използвате символа *, за да избегнете добавянето на много условия за CRP, например „GS22*“ или „192.168*“.
- Посочете препращане на заявки за връзка > Напред
- Посочете методи за удостоверяване > Напред
- Конфигуриране на настройките > Напред
- Проверете всичко, което току-що сте конфигурирали, и кликнете върху „Завърши“.
Конфигуриране на мрежови политики
- Кликнете с десния бутон върху Мрежови политики > Нова
- Посочете име на мрежовата политика
- Определете условия > Добави > изберете Windows групи
- Посочете разрешение за достъп > Напред
- Конфигуриране на методи за удостоверяване
- Конфигурирайте ограничения > Напред
- Конфигурирайте настройките.
- Проверете всичко, което сте конфигурирали, и кликнете върху Завърши.
Настройка на потребителски/устройствен акаунт на Windows Server 2019
- Отворете „Потребители и компютри в Active Directory“
- Кликнете с десния бутон върху домейна > Ново > Потребител
- Създайте акаунти за 802.1x и MAC удостоверяване
Забележка:за потребител с MAC удостоверяване, името за вход на потребителя трябва да бъде попълнено точно в същия формат, както е зададено на страницата за MAC удостоверяване на switch.
- Освен това, паролата на потребителя също трябва да съответства на настройката в switch.
Проверка
- Клиентът преминава комбинираната автентификация; получава IP адрес на Data VLAN
- Клиентът не преминава комбинираната автентификация; получава IP адрес от Guest VLAN
Забележка:
- Уверете се, че DHCP сървърът функционира в мрежата.
- L3 switch трябва да активира DHCP Smart Relay и да сочи към DHCP сървъра.
- Ако NPS сървърът ви е инсталиран във виртуална машина и NPS услугата не функционира, въпреки че работи, трябва да СПРЕТЕ и да СТАРТИРАТЕ отново NPS услугата.
Коментари
0 коментараВлезте в услугата, за да оставите коментар.