Switch Dynaaminen VLAN – RADIUS-palvelimen määrittäminen dynaamista VLAN-määritystä varten

Dynaaminen VLAN-määritys erottaa ja eristää laitteet eri verkkosegmentteihin laitteen tai käyttäjän valtuutuksen ja niiden ominaisuuksien perusteella.

Skenaario ja topologia

Switch-kokoonpano

NPS:n määrittäminen Windows Server 2019:ssä

Varmistus

Skenaario ja topologia

Useimmissa verkoissa järjestelmänvalvojat joutuvat turvallisuussyistä rajoittamaan laitteiden käyttöä erilaisissa verkkolaitteissa.

Yleinen tapa toteuttaa tällainen verkkorajoitus on staattisten VLAN-määritysten avulla. Järjestelmänvalvojat luovat siis VLAN-verkot ja määrittävät vastaavan VLAN-numeron kullekin switch-portille, jossa on pääsytila. Sitä vastoin järjestelmänvalvojan tarvitsee vain asettaa switch-portti trunk- ja kiinteäksi portiksi sekä määrittää muutama käytäntö RADIUS-palvelimelle dynaamisen VLAN-määrityksen toteuttamiseksi. Tämä vähentää huomattavasti verkon järjestelmänvalvojan työmäärää.

Tämän konfigurointiohjeen tarkoituksena on esitellä kaikki vaiheet dynaamisen VLAN-määrityksen konfiguroimiseksi sekä switch:ssa että RADIUS-palvelimessa.

Määritys

Seuraavat vaiheet koskevat switch-laitteita, jotka tukevat yhdistettyä todennusta. Tuetut switch-laitteet ovat GS2220 ja XGS2210 itsenäisessä tilassa ja sijoitettuina samaan paikkaan RADIUS-palvelimen (Windows Server 2019) kanssa.

Switch-määritykset

• Määritä RADIUS-IP-osoite, jaettu salaisuus ja AAA-asetukset kohdassa:

Advanced Application > AAA > RADIUS Server Setup & AAA Setup

• Määritä 802.1x, MAC-todennus ja vieras-VLAN sekä yhdistelmätodennus asiakasportissa kohdassa

Advanced Application > Port Authentication

• Pidä yhdistetty todennusmoodi tiukkana asiakasportille

Määritä NPS Windows Server 2019:ssä

Avaa Network Policy Server ja napsauta hiiren kakkospainikkeella RADIUS-asiakkaat > Uusi, jotta voit määrittää ystävällisen nimen, IP-osoitteen ja jaetun salaisuuden.

Määritä yhteyspyyntökäytännöt (CRP)

• Napsauta hiiren kakkospainikkeellaCRP > Uusi
• Määritä CRP-käytännön nimi
• Määritä ehdot

Suosittelemme käyttämään tässä NAS-tunnistetta (laitteen isäntänimeä) ja NAS-IPv4-osoitetta, jos et ole perehtynyt tähän sivuun. Lisäksi, jos sinulla on paljon laitteita, jotka aiot lisätä RADIUS-asiakkaiksi, voit käyttää symbolia * välttääksesi monien ehtojen lisäämisen CRP:lle, esimerkiksi ”GS22*” tai ”192.168*”.

• Määritä yhteyspyynnön välitys > Seuraava
• Määritä todennusmenetelmät > Seuraava
• Määritä asetukset > Seuraava
• Tarkista kaikki juuri määrittämäsi asetukset ja napsauta Valmis.

Määritä verkkokäytännöt

• Napsauta hiiren kakkospainikkeella Verkko-käytännöt > Uusi
• Määritä verkkokäytännön nimi
• Määritä ehdot > Lisää > valitse Windows-ryhmät

• Määritä käyttöoikeudet > Seuraava
• Määritä todennusmenetelmät

• Määritä rajoitukset > Seuraava
• Määritä asetukset.

• Tarkista kaikki määrittämäsi asetukset ja napsauta Valmis.

Käyttäjä-/laitetilin määrittäminen Windows Server 2019:ssä

• Avaa Active Directory -käyttäjät ja -tietokoneet
• Napsauta hiiren kakkospainikkeella toimialuetta > Uusi > Käyttäjä
• Luo tilit 802.1x- ja MAC-todennusta varten
  
   

Huomautus:MAC-todennuksen käyttäjän kohdalla käyttäjän kirjautumisnimi on täytettävä täsmälleen samassa muodossa kuin switch-MAC-todennussivulla.

• Lisäksi käyttäjän salasanan on vastattava switch-asetusta.

Vahvistus

• Asiakas läpäisee yhdistelmäautentikoinnin; se saa Data VLAN:n IP-osoitteen

• Asiakas epäonnistuu yhdistelmäautentikoinnissa; se saa vieras-VLAN:n IP-osoitteen

Huomautus:
 

1. Varmista, että DHCP-palvelin toimii verkossa.
2. L3 switch:n tulisi ottaa käyttöön DHCP Smart Relay ja osoittaa DHCP-palvelimeen.
3. Jos NPS-palvelin on asennettu virtuaalikoneeseen ja NPS-palvelu ei toimi, vaikka se on käynnissä, sinun tulee pysäyttää ja käynnistää NPS-palvelu uudelleen.