Dynamisk VLAN-tildeling adskiller og isolerer enheder i forskellige netværkssegmenter baseret på enhedens eller brugerens autorisation og deres karakteristika.
Scenario & Topologi
I de fleste netværk kan administratorer være nødt til at begrænse enheder på forskellige netværksenheder af sikkerhedsmæssige årsager.
En almindelig måde at opnå denne form for netværksbegrænsning på er via statiske VLAN-tildelinger. Administratorer opretter derfor VLAN’er og konfigurerer det tilsvarende VLAN-nummer til hver switch-port med adgangstilstand. Omvendt behøver administrator kun at sætte switch-porten som trunk og fast port samt nogle få politikker på RADIUS-serveren til Dynamisk VLAN-tildeling. Det mindsker betydeligt arbejdsbyrden for netværksadministratoren.
Formålet med denne konfigurationsvejledning er at demonstrere hvert trin til at konfigurere Dynamisk VLAN-tildeling både på switch og RADIUS-server.
Konfiguration
Følgende trin gælder for switches, der understøtter sammensat autentificering. Understøttede switches er GS2220 og XGS2210 i standalone-tilstand og placeret sammen med en RADIUS-server (Windows Server 2019).
Switch-konfiguration
- Konfigurer RADIUS IP-adresse, Shared secret og AAA-indstillinger under:
Advanced Application > AAA > RADIUS Server Setup & AAA Setup- Konfigurer 802.1x, MAC-autentificering og Guest VLAN samt Sammensat Autentificering på klientport under
Advanced Application > Port Authentication- Behold Sammensat Autentificerings-tilstand som strict for klientport
Opsæt NPS på Windows Server 2019
Åbn Network Policy Server og højreklik på RADIUS Clients > New for at konfigurere Friendly name, IP-adresse og Shared secret.
Konfigurer Connection Request Policies (CRP)
- Højreklik på CRP > New
- Angiv navn på CRP-politik
- Angiv betingelser
Vi anbefaler at bruge NAS Identifier (enhedens hostname) og NAS IPv4-adresse her, hvis du er usikker på denne side. Derudover, hvis du har mange enheder, der skal tilføjes som RADIUS-klienter, kan du bruge symbolet * for at undgå at tilføje mange betingelser til en CRP, for eksempel “GS22*” eller “192.168*”.
- Angiv Connection Request Forwarding > Næste
- Angiv Authentication Methods > Næste
- Konfigurer Settings > Næste
- Tjek alt, hvad du netop har konfigureret, og klik på Finish.
Konfigurer Netværkspolitikker
- Højreklik på Network Policies > New
- Angiv navn på netværkspolitik
- Angiv betingelser > Tilføj > vælg Windows Groups
- Angiv Access Permission > Næste
- Konfigurer Authentication Methods
- Konfigurer Constraints > Næste
- Konfigurer Settings.
- Tjek alt, hvad du har konfigureret, og klik på Finish.
Opsæt en bruger-/enhedskonto på Windows Server 2019
- Åbn Active Directory Users and Computers
- Højreklik på domænet > New > User
- Opret konti til 802.1x og MAC-autentificering
Bemærk: for MAC-autentificeringsbrugere skal brugerens logon-navn udfyldes i præcis samme format som indstillet på switchens MAC-autentificeringsside.
- Derudover bør brugerens adgangskode også matche switch-indstillingen.
Verifikation
- Klienten gennemfører sammensat autentificering; den får IP-adresse fra Data VLAN
- Klienten fejler sammensat autentificering; den får IP-adresse fra Guest VLAN
Bemærk:
- Sørg for, at DHCP-serveren fungerer i netværket.
- L3-switch skal aktivere DHCP Smart Relay og pege på DHCP-serveren.
- Hvis din NPS-server er installeret i en VM, og NPS-tjenesten ikke fungerer, selvom den kører, bør du STOPPE og STARTE NPS-tjenesten igen.

Kommentarer
0 kommentarerLog ind for at kommentere.