Vigtig meddelelse: |
Dynamisk VLAN-tildeling adskiller og isolerer enheder i forskellige netværkssegmenter baseret på enhedens eller brugerens autorisation og deres egenskaber.
Opsætning af NPS på Windows Server 2019
Scenarie og topologi
I de fleste netværk kan det være nødvendigt for administratorer at begrænse adgangen til forskellige netværksenheder af sikkerhedsmæssige årsager.
En almindelig måde at opnå denne form for netværksbegrænsning på er via statiske VLAN-tildelinger. Administratorer opretter derfor VLAN'er og konfigurerer det tilsvarende VLAN-nummer til hver switch-port med adgangstilstand. Omvendt behøver administratoren kun at indstille switch-porten som trunk og fast port samt et par politikker på RADIUS-serveren for dynamisk VLAN-tildeling. Dette mindsker arbejdsbyrden for netværksadministratoren betydeligt.
Formålet med denne konfigurationsvejledning er at demonstrere hvert trin i konfigurationen af dynamisk VLAN-tildeling på både switch og RADIUS-serveren.
Konfiguration
Følgende trin gælder for switch, der understøttes ved sammensat autentificering. Understøttede switch er GS2220 og XGS2210 i standalone-tilstand og placeret sammen med en RADIUS-server (Windows Server 2019).
Switch-konfiguration
- Konfigurer RADIUS-IP-adresse, delt hemmelighed og AAA-indstillinger under:
Avanceret applikation > AAA > RADIUS-serveropsætning og AAA-opsætning- Konfigurer 802.1x, MAC-godkendelse og gæst-VLAN samt sammensat godkendelse på klientporten under
Avanceret applikation > Portgodkendelse- Hold sammensat godkendelsestilstand som streng for klientport
Opsæt NPS på Windows Server 2019
Åbn Network Policy Server, højreklik på RADIUS-klienter > Ny for at konfigurere venligt navn, IP-adresse og delt hemmelighed.
Konfigurer forbindelsesanmodningspolitikker (CRP)
- Højreklik påCRP > Ny
- Angiv navn på CRP-politik
- Angiv betingelser
Vi anbefaler at bruge NAS-identifikator (enhedens værtsnavn) og NAS IPv4-adresse her, hvis du ikke er bekendt med denne side. Derudover kan du, hvis du har mange enheder, der skal tilføjes til RADIUS-klienter, bruge symbolet * for at undgå at tilføje mange betingelser til en CRP, for eksempel “GS22*” eller “192.168*”.
- Angiv videresendelse af forbindelsesanmodninger > Næste
- Angiv godkendelsesmetoder > Næste
- Konfigurer indstillinger > Næste
- Kontroller alt, hvad du lige har konfigureret, og klik på Afslut.
Konfigurer netværkspolitikker
- Højreklik på Netværkspolitikker > Ny
- Angiv navn på netværkspolitik
- Angiv betingelser > Tilføj > vælg Windows-grupper
- Angiv adgangstilladelse > Næste
- Konfigurer godkendelsesmetoder
- Konfigurer begrænsninger > Næste
- Konfigurer indstillinger.
- Kontroller alt, hvad du har konfigureret, og klik på Udfør.
Opret bruger-/enhedskonto på Windows Server 2019
- Åbn Active Directory-brugere og -computere
- Højreklik på domæne > Ny > Bruger
- Opret konti til 802.1x- og MAC-godkendelse
Bemærk:For brugere med MAC-godkendelse skal brugerens logonnavn udfyldes i nøjagtig samme format som angivet på siden switch MAC-godkendelse.
- Desuden skal brugeradgangskoden også stemme overens med indstillingen i switch.
Verifikation
- Klienten består den sammensatte godkendelse; den får IP-adressen til Data VLAN
- Klienten fejler sammensat godkendelse; den får IP-adressen for gæste-VLAN
Bemærk:
- Sørg for, at DHCP-serveren fungerer i netværket.
- L3 switch skal aktivere DHCP Smart Relay og pege på DHCP-serveren.
- Hvis din NPS-server er installeret i en VM, og NPS-tjenesten ikke fungerer, selvom den kører, skal du STOPPE og STARTE NPS-tjenesten igen.
Kommentarer
0 kommentarerLog ind for at kommentere.