Switch Dynamisk VLAN - Konfigurer RADIUS-server til dynamisk VLAN-tildeling

Har du flere spørgsmål? Indsend en anmodning

Dynamisk VLAN-tildeling adskiller og isolerer enheder i forskellige netværkssegmenter baseret på enhedens eller brugerens autorisation og deres karakteristika.

Scenario & Topologi

mceclip0.png

I de fleste netværk kan administratorer være nødt til at begrænse enheder på forskellige netværksenheder af sikkerhedsmæssige årsager.

En almindelig måde at opnå denne form for netværksbegrænsning på er via statiske VLAN-tildelinger. Administratorer opretter derfor VLAN’er og konfigurerer det tilsvarende VLAN-nummer til hver switch-port med adgangstilstand. Omvendt behøver administrator kun at sætte switch-porten som trunk og fast port samt nogle få politikker på RADIUS-serveren til Dynamisk VLAN-tildeling. Det mindsker betydeligt arbejdsbyrden for netværksadministratoren.

Formålet med denne konfigurationsvejledning er at demonstrere hvert trin til at konfigurere Dynamisk VLAN-tildeling både på switch og RADIUS-server.

Konfiguration

Følgende trin gælder for switches, der understøtter sammensat autentificering. Understøttede switches er GS2220 og XGS2210 i standalone-tilstand og placeret sammen med en RADIUS-server (Windows Server 2019).

Switch-konfiguration

  • Konfigurer RADIUS IP-adresse, Shared secret og AAA-indstillinger under:
Advanced Application > AAA > RADIUS Server Setup & AAA Setup

mceclip1.png

  • Konfigurer 802.1x, MAC-autentificering og Guest VLAN samt Sammensat Autentificering på klientport under
Advanced Application > Port Authentication

mceclip2.png

  • Behold Sammensat Autentificerings-tilstand som strict for klientport

Opsæt NPS på Windows Server 2019

Åbn Network Policy Server og højreklik på RADIUS Clients > New for at konfigurere Friendly name, IP-adresse og Shared secret.

mceclip3.png

Konfigurer Connection Request Policies (CRP)

  • Højreklik på CRP > New
  • Angiv navn på CRP-politik
  • Angiv betingelser

Vi anbefaler at bruge NAS Identifier (enhedens hostname) og NAS IPv4-adresse her, hvis du er usikker på denne side. Derudover, hvis du har mange enheder, der skal tilføjes som RADIUS-klienter, kan du bruge symbolet * for at undgå at tilføje mange betingelser til en CRP, for eksempel “GS22*” eller “192.168*”.

mceclip4.png

  • Angiv Connection Request Forwarding > Næste
  • Angiv Authentication Methods > Næste
  • Konfigurer Settings > Næste
  • Tjek alt, hvad du netop har konfigureret, og klik på Finish.

Konfigurer Netværkspolitikker

  • Højreklik på Network Policies > New
  • Angiv navn på netværkspolitik
  • Angiv betingelser > Tilføj > vælg Windows Groups

mceclip5.png

  • Angiv Access Permission > Næste
  • Konfigurer Authentication Methods

mceclip6.png

  • Konfigurer Constraints > Næste
  • Konfigurer Settings.

mceclip7.png

  • Tjek alt, hvad du har konfigureret, og klik på Finish.

Opsæt en bruger-/enhedskonto på Windows Server 2019

  • Åbn Active Directory Users and Computers
  • Højreklik på domænet > New > User
  • Opret konti til 802.1x og MAC-autentificering

Bemærk: for MAC-autentificeringsbrugere skal brugerens logon-navn udfyldes i præcis samme format som indstillet på switchens MAC-autentificeringsside.

mceclip8.png

  • Derudover bør brugerens adgangskode også matche switch-indstillingen.

mceclip9.png

Verifikation

  • Klienten gennemfører sammensat autentificering; den får IP-adresse fra Data VLAN

mceclip10.png

  • Klienten fejler sammensat autentificering; den får IP-adresse fra Guest VLAN

mceclip11.png

Bemærk:

  1. Sørg for, at DHCP-serveren fungerer i netværket.
  2. L3-switch skal aktivere DHCP Smart Relay og pege på DHCP-serveren.
  3. Hvis din NPS-server er installeret i en VM, og NPS-tjenesten ikke fungerer, selvom den kører, bør du STOPPE og STARTE NPS-tjenesten igen.

Artikler i denne sektion

Var denne artikel en hjælp?
3 ud af 4 fandt dette nyttigt
Del

Kommentarer

0 kommentarer

Log ind for at kommentere.