Switch Dynamisches VLAN – RADIUS-Server für die dynamische VLAN-Zuweisung konfigurieren

Erstellt - Aktualisiert
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Haben Sie Fragen? Anfrage einreichen

Wichtiger Hinweis:
Sehr geehrte Kundin, sehr geehrter Kunde, bitte beachten Sie, dass wir maschinelle Übersetzungen verwenden, um Artikel in Ihrer Landessprache bereitzustellen. Möglicherweise wird nicht der gesamte Text korrekt übersetzt. Sollten Sie Fragen oder Unstimmigkeiten bezüglich der Richtigkeit der Informationen in der übersetzten Version haben, lesen Sie bitte den Originalartikel hier:Originalversion

Die dynamische VLAN-Zuweisung trennt und isoliert Geräte in verschiedene Netzwerksegmente, basierend auf der Geräte- oder Benutzerberechtigung und deren Eigenschaften.

 

Szenario & Topologie

Switch-Konfiguration

Einrichten von NPS auf Windows Server 2019

Überprüfung

 

Szenario & Topologie

mceclip0.png

In den meisten Netzwerken müssen Administratoren aus Sicherheitsgründen möglicherweise den Zugriff auf verschiedene Netzwerkgeräte einschränken.

Eine gängige Methode, um diese Art von Netzwerkeinschränkung zu erreichen, ist die Zuweisung statischer VLANs. Administratoren erstellen daher VLANs und konfigurieren die entsprechende VLAN-Nummer für jeden switch-Port mit Zugriffsmodus. Umgekehrt muss der Administrator für die dynamische VLAN-Zuweisung lediglich den switch-Port als Trunk- und festen Port festlegen und einige Richtlinien auf dem RADIUS-Server konfigurieren. Dies reduziert den Arbeitsaufwand für den Netzwerkadministrator erheblich.

Der Zweck dieses Konfigurationsleitfadens besteht darin, jeden Schritt zur Konfiguration der dynamischen VLAN-Zuweisung sowohl auf dem switch als auch auf dem RADIUS-Server zu veranschaulichen.

 

Konfiguration

Die folgenden Schritte gelten für switch-Geräte, die die kombinierte Authentifizierung unterstützen. Unterstützte switch-Geräte sind GS2220 und XGS2210 im Standalone-Modus, die zusammen mit einem RADIUS-Server (Windows Server 2019) betrieben werden.

 

Konfiguration des Switch

  • Konfigurieren Sie die RADIUS-IP-Adresse, das gemeinsame Geheimnis und die AAA-Einstellungen unter:
Erweiterte Anwendung > AAA > RADIUS-Server-Einrichtung & AAA-Einrichtung

mceclip1.png

  • Konfigurieren Sie 802.1x, MAC-Authentifizierung und Gast-VLAN sowie die zusammengesetzte Authentifizierung am Client-Port unter
Erweiterte Anwendung > Port-Authentifizierung

mceclip2.png

  • Behalten Sie den Modus für die zusammengesetzte Authentifizierung für den Client-Port auf „strict“ bei

 

Richten Sie NPS auf Windows Server 2019 ein

Öffnen Sie den Network Policy Server und klicken Sie mit der rechten Maustaste auf „RADIUS-Clients“ > „Neu“, um den Anzeigenamen, die IP-Adresse und das gemeinsame Geheimnis zu konfigurieren.

mceclip3.png

 

Konfigurieren Sie Verbindungsanforderungsrichtlinien (CRP)

  • Klicken Sie mit der rechten Maustaste aufCRP > Neu
  • Geben Sie den Namen der CRP-Richtlinie an
  • Geben Sie die Bedingungen an

Wir empfehlen, hier „NAS-Kennung“ (Geräte-Hostname) und „NAS-IPv4-Adresse“ zu verwenden, wenn Sie mit dieser Seite noch nicht vertraut sind. Wenn Sie zudem viele Geräte haben, die als RADIUS-Clients hinzugefügt werden sollen, können Sie das Symbol * verwenden, um zu vermeiden, dass viele Bedingungen für eine CRP hinzugefügt werden müssen, zum Beispiel „GS22*“ oder „192.168*“.

mceclip4.png

  • Leitwegfestlegung für Verbindungsanfragen festlegen > Weiter
  • Authentifizierungsmethoden festlegen > Weiter
  • Einstellungen konfigurieren > Weiter
  • Überprüfen Sie alle soeben vorgenommenen Konfigurationen und klicken Sie auf „Fertigstellen“.

 

Netzwerkrichtlinien konfigurieren

  • Klicken Sie mit der rechten Maustaste auf „Netzwerkrichtlinien“ > „Neu“
  • Geben Sie einen Namen für die Netzwerkrichtlinie an
  • Bedingungen festlegen > Hinzufügen > Windows-Gruppen auswählen

mceclip5.png

  • Zugriffsberechtigung festlegen > Weiter
  • Authentifizierungsmethoden konfigurieren

mceclip6.png

  • Konfigurieren Sie Einschränkungen > Weiter
  • Konfigurieren Sie die Einstellungen.

mceclip7.png

  • Überprüfen Sie alle Konfigurationen und klicken Sie auf „Fertigstellen“.



 

Benutzer-/Gerätekontos auf Windows Server 2019 einrichten

  • Öffnen Sie „Active Directory-Benutzer und -Computer“
  • Klicken Sie mit der rechten Maustaste auf die Domäne > Neu > Benutzer
  • Erstellen Sie Konten für die 802.1x- und MAC-Authentifizierung

     

Hinweis:Für Benutzer mit MAC-Authentifizierung muss der Anmeldename des Benutzers genau in demselben Format eingegeben werden, wie es auf der Seite „switch MAC-Authentifizierung“ eingestellt ist.

mceclip8.png

  • Außerdem muss das Benutzerkennwort ebenfalls mit der Einstellung unter „switch“ übereinstimmen.

mceclip9.png

Überprüfung

  • Der Client besteht die kombinierte Authentifizierung; er erhält eine IP-Adresse des Daten-VLAN

mceclip10.png

  • Der Client scheitert bei der kombinierten Authentifizierung; er erhält eine IP-Adresse des Gast-VLANs

mceclip11.png

Hinweis:
 

  1. Stellen Sie sicher, dass der DHCP-Server im Netzwerk funktioniert.
  2. L3 switch sollte DHCP Smart Relay aktivieren und auf den DHCP-Server verweisen.
  3. Wenn Ihr NPS-Server in einer VM installiert ist und der NPS-Dienst trotz laufendem Prozess nicht funktioniert, sollten Sie den NPS-Dienst beenden und neu starten.

Beiträge in diesem Abschnitt

Weitere anzeigen
War dieser Beitrag hilfreich?
3 von 4 fanden dies hilfreich
Teilen

Kommentare

0 Kommentare

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.