Switch Dynamické VLAN – Konfigurace serveru RADIUS pro dynamické přiřazování VLAN

Dynamické přiřazování VLAN odděluje a izoluje zařízení do různých síťových segmentů na základě oprávnění zařízení nebo uživatele a jejich charakteristik.

Scénář a topologie

Konfigurace Switch

Nastavení NPS na Windows Server 2019

Ověření

Scénář a topologie

Ve většině sítí mohou být správci nuceni z bezpečnostních důvodů omezit přístup zařízení k různým síťovým zařízením.

Běžným způsobem, jak tohoto druhu síťového omezení dosáhnout, je použití statických přiřazení VLAN. Správci proto vytvářejí VLAN a konfigurují odpovídající číslo VLAN pro každý port switch s přístupovým režimem. Naopak pro dynamické přiřazení VLAN stačí, aby správce nastavil port switch jako trunk a pevný port a definoval několik zásad na serveru RADIUS. To výrazně snižuje množství úkonů a práce pro správce sítě.

Účelem tohoto konfiguračního průvodce je demonstrovat všechny kroky k konfiguraci dynamického přiřazení VLAN jak na switch, tak na serveru RADIUS.

Konfigurace

Následující kroky platí pro zařízení switch podporující kombinované ověřování. Podporovaná zařízení switch jsou GS2220 a XGS2210 v samostatném režimu a umístěná společně s RADIUS serverem (Windows Server 2019).

Konfigurace Switch

• Nakonfigurujte IP adresu RADIUS, sdílený tajný klíč a nastavení AAA v:

Pokročilé aplikace > AAA > Nastavení serveru RADIUS a nastavení AAA

• Nakonfigurujte 802.1x, ověřování MAC a VLAN pro hosty, stejně jako složené ověřování na klientském portu v části

Pokročilé aplikace > Ověřování portu

• Nechte režim složeného ověřování pro klientský port nastavený na přísný

Nastavte NPS na Windows Serveru 2019

Otevřete Network Policy Server a klikněte pravým tlačítkem na RADIUS Clients > New, abyste nakonfigurovali Friendly name, IP adresu a Shared secret.

Nakonfigurujte zásady požadavků na připojení (CRP)

• Klikněte pravým tlačítkem myši naCRP > Nový
• Zadejte název zásady CRP
• Zadejte podmínky

Pokud nejste s touto stránkou obeznámeni, doporučujeme zde použít identifikátor NAS (název hostitele zařízení) a adresu IPv4 NAS. Pokud navíc plánujete přidat do klientů RADIUS mnoho zařízení, můžete použít symbol *, abyste se vyhnuli přidávání mnoha podmínek pro CRP, například „GS22*“ nebo „192.168*“.

• Zadejte přesměrování požadavků na připojení > Další
• Zadejte metody ověřování > Další
• Nakonfigurujte nastavení > Další
• Zkontrolujte vše, co jste právě nakonfigurovali, a klikněte na Dokončit.

Nakonfigurujte zásady sítě

• Klikněte pravým tlačítkem myši na Síťové zásady > Nové
• Zadejte název síťové zásady
• Zadejte podmínky > Přidat > vyberte skupiny Windows

• Zadejte oprávnění přístupu > Další
• Nakonfigurujte metody ověřování

• Nakonfigurujte omezení > Další
• Nakonfigurujte nastavení.

• Zkontrolujte vše, co jste nakonfigurovali, a klikněte na Dokončit.

Nastavení uživatelského/zařízení účtu na Windows Server 2019

• Otevřete okno Uživatelé a počítače služby Active Directory
• Klikněte pravým tlačítkem na doménu > Nový > Uživatel
• Vytvořte účty pro ověřování 802.1x a MAC
  
   

Upozornění:u uživatele pro ověřování MAC by mělo být přihlašovací jméno uživatele vyplněno přesně ve stejném formátu, jak je nastaveno na stránce ověřování MAC switch.

• Navíc by mělo heslo uživatele odpovídat nastavení v switch.

Ověření

• Klient projde kombinovaným ověřením; získá IP adresu datové VLAN

• Klient neprojde kombinovanou autentizací; získá IP adresu Guest VLAN

Poznámka:
 

1. Ujistěte se, že v síti funguje server DHCP.
2. L3 switch by měl povolit DHCP Smart Relay a směřovat na server DHCP.
3. Pokud je váš server NPS nainstalován ve virtuálním stroji a služba NPS nefunguje, i když je spuštěna, měli byste službu NPS zastavit a znovu spustit.