Dringend! Sicherheitshinweis - Firmware-Upgrade-Ratschläge für optimalen Schutz & VPN- und GUI-Stabilitäts-Probleme

Artikel lesen
Deutsch Български Čeština Dansk English Español Suomi Français Magyar Italiano Nederlands Norsk Polski Română Русский Slovenčina svenska Türkçe

Konfigurieren des RADIUS-Servers für die dynamische VLAN-Zuweisung mit Zyxel Switches VLAN icon

Avatar
  • Aktualisiert
Zurück nach oben

Die dynamische VLAN-Zuweisung trennt und isoliert Geräte basierend auf der Geräte- oder Benutzerautorisierung und ihren Eigenschaften in verschiedene Netzwerksegmente.

 

Szenario & Topologie

Switch-Konfiguration

Richten Sie NPS auf Windows Server 2019 ein

Überprüfung

 

Szenario & Topologie

mceclip0.png

In den meisten Netzwerken müssen Administratoren aus Sicherheitsgründen möglicherweise Geräte auf einer Vielzahl von Netzwerkgeräten einschränken.

Eine gängige Methode, um diese Art von Netzwerkeinschränkung zu erreichen, sind statische VLAN-Zuweisungen. Administratoren erstellen daher VLANs und konfigurieren jedem Switchport mit Zugriffsmodus die entsprechende VLAN-Nummer. Umgekehrt muss der Administrator nur den Switch-Port als Trunk und festen Port und einige Richtlinien auf dem RADIUS-Server für die dynamische VLAN-Zuweisung festlegen. Es mildert beträchtliche Aktionen/Jobs für den Netzwerkadministrator.

Der Zweck dieses Konfigurationsleitfadens demonsträt jeden Schritt zur Konfiguration der dynamischen VLAN-Zuweisung sowohl auf dem Switch als auch auf dem RADIUS-Server.

 

Aufbau

Die folgenden Schritte gelten für Switches, die von der zusammengesetzten Authentifizierung unterstützt werden. Unterstützte Switches sind GS2220 und XGS2210 im eigenständigen Modus und zusammen mit einem RADIUS-Server (Windows Server 2019).

 

Switch-Konfiguration

  • Konfigurieren Sie die RADIUS-IP-Adresse, das gemeinsame Geheimnis und die AAA-Einstellungen unter:
Advanced Application > AAA > RADIUS Server Setup & AAA Setup

mceclip1.png

  • Konfigurieren Sie 802.1x, MAC-Authentifizierung und Gast-VLAN sowie zusammengesetzte Authentifizierung am Client-Port unter
Advanced Application > Port Authentication

mceclip2.png

  • Behalten Sie den zusammengesetzten Authentifizierungsmodus für den Client-Port als strikt bei

 

Richten Sie NPS auf Windows Server 2019 ein

Öffnen Sie den Netzwerkrichtlinienserver und klicken Sie mit der rechten Maustaste auf RADIUS-Clients > Neu, um den Anzeigenamen, die IP-Adresse und das gemeinsame Geheimnis zu konfigurieren.

mceclip3.png

 

Verbindungsanforderungsrichtlinien (CRP) konfigurieren

  • Klicken Sie mit der rechten Maustaste auf CRP > Neu
  • Geben Sie den Namen der CRP-Richtlinie an
  • Bedingungen angeben

Wir empfehlen, hier die NAS-Kennung (Geräte-Hostname) und die NAS-IPv4-Adresse zu verwenden, wenn Sie mit dieser Seite nicht vertraut sind. Wenn Sie viele Geräte haben, die zu RADIUS-Clients hinzugefügt werden sollen, können Sie außerdem das Symbol * verwenden, um das Hinzufügen vieler Bedingungen für ein CRP zu vermeiden, z. B. „GS22*“ oder „192.168*“.

mceclip4.png

  • Geben Sie Verbindungsanforderungsweiterleitung > Weiter an
  • Geben Sie Authentifizierungsmethoden an > Weiter
  • Einstellungen konfigurieren > Weiter
  • Überprüfen Sie alles, was Sie gerade konfiguriert haben, und klicken Sie auf Fertig stellen.

 

Netzwerkrichtlinien konfigurieren

  • Klicken Sie mit der rechten Maustaste auf Netzwerkrichtlinien > Neu
  • Geben Sie den Namen der Netzwerkrichtlinie an
  • Bedingungen angeben > Hinzufügen > Windows-Gruppen auswählen

mceclip5.png

  • Zugriffsberechtigung angeben > Weiter
  • Authentifizierungsmethoden konfigurieren

mceclip6.png

  • Einschränkungen konfigurieren > Weiter
  • Einstellungen konfigurieren.

mceclip7.png

  • Überprüfen Sie alles, was Sie konfigurieren, und klicken Sie auf Fertig stellen.



Benutzer-/Gerätekonto auf Windows Server 2019 einrichten

  • Öffnen Sie Active Directory-Benutzer und -Computer
  • Klicken Sie mit der rechten Maustaste auf Domäne > Neu > Benutzer
  • Erstellen Sie Konten für die 802.1x- und MAC-Authentifizierung

Hinweis: Für MAC-Authentifizierungsbenutzer sollte der Anmeldename des Benutzers in genau demselben Format ausgefüllt werden wie die Einstellung auf der Switch-MAC-Authentifizierungsseite.

mceclip8.png

  • Außerdem sollte das Benutzerkennwort auch mit der Schaltereinstellung übereinstimmen.

mceclip9.png

Überprüfung

  • Der Client übergibt die zusammengesetzte Authentifizierung; Es erhält die IP-Adresse des Daten-VLAN

mceclip10.png

  • Client schlägt zusammengesetzte Authentifizierung fehl; Es erhält die IP-Adresse des Gast-VLANs

mceclip11.png

Notiz:

  1. Stellen Sie sicher, dass der DHCP-Server im Netzwerk funktioniert.
  2. Der L3-Switch sollte DHCP Smart Relay aktivieren und auf den DHCP-Server verweisen.
  3. Wenn Ihr NPS-Server in der VM installiert ist und der NPS-Dienst nicht funktioniert, obwohl er ausgeführt wird, sollten Sie den NPS-Dienst BEENDEN und erneut starten.

HAFTUNGSAUSSCHLUSS:

 Sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzungen verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise werden nicht alle Texte korrekt übersetzt. Bei Fragen oder Unstimmigkeiten zur Genauigkeit der Informationen in der übersetzten Version lesen Sie bitte den Originalartikel hier: Originalversion

Contact Us
War dieser Beitrag hilfreich?
2 von 2 fanden dies hilfreich
Haben Sie Fragen? Anfrage einreichen

Verwandte Beiträge

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.