Switch Dinamikus VLAN – A RADIUS-kiszolgáló beállítása a dinamikus VLAN-hozzárendeléshez

Létrehozva - Frissítve
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
További kérdései vannak? Kérelem beküldése

Fontos tudnivaló:
Tisztelt Ügyfelünk! Felhívjuk figyelmét, hogy gépi fordítást használunk a cikkek helyi nyelven történő megjelenítéséhez. Előfordulhat, hogy nem minden szöveg fordítása pontos. Ha kérdése van, vagy eltérést észlel a fordított változatban szereplő információk pontosságával kapcsolatban, kérjük, olvassa el az eredeti cikket itt:Eredeti változat

A dinamikus VLAN-hozzárendelés az eszközök vagy a felhasználók jogosultságai és jellemzői alapján elkülöníti és szeparálja az eszközöket különböző hálózati szegmensekbe.

 

Forgatókönyv és topológia

Switch konfiguráció

NPS beállítása Windows Server 2019 rendszeren

Ellenőrzés

 

Forgatókönyv és topológia

mceclip0.png

A legtöbb hálózatban a rendszergazdáknak biztonsági okokból korlátozniuk kell az eszközöket a különböző hálózati eszközökön.

Az ilyen típusú hálózati korlátozások megvalósításának egyik általános módja a statikus VLAN-hozzárendelések használata. A rendszergazdák ezért VLAN-okat hoznak létre, és a megfelelő VLAN-számot konfigurálják az egyes switch portokhoz hozzáférési móddal. Ezzel szemben a dinamikus VLAN-hozzárendeléshez a rendszergazdának csak a switch portot kell trunkként és fix portként beállítania, valamint néhány szabályt kell megadnia a RADIUS-kiszolgálón. Ez jelentősen csökkenti a hálózati rendszergazda munkaterhelését.

Ennek a konfigurációs útmutatónak a célja, hogy bemutassa a dinamikus VLAN-hozzárendelés konfigurálásának minden lépését mind a switch-n, mind a RADIUS-kiszolgálón.

 

Konfiguráció

Az alábbi lépések a kombinált hitelesítést támogató switch eszközökre vonatkoznak. A támogatott switch eszközök a GS2220 és az XGS2210 önálló módban, valamint egy RADIUS-kiszolgálóval (Windows Server 2019) együtt elhelyezve.

 

Switch konfiguráció

  • A RADIUS IP-cím, a megosztott titkos kulcs és az AAA beállítások konfigurálása a következő helyen történik:
Speciális alkalmazás > AAA > RADIUS-kiszolgáló beállítása és AAA beállítása

mceclip1.png

  • Konfigurálja a 802.1x-et, a MAC-hitelesítést és a vendég VLAN-t, valamint az összetett hitelesítést az ügyfélporton a következő helyen:
Speciális alkalmazás > Port hitelesítés

mceclip2.png

  • A kliensporton tartsa a összetett hitelesítési módot szigorú beállításon

 

Állítsa be az NPS-t a Windows Server 2019 rendszeren

Nyissa meg a Hálózati házirend-kiszolgálót, kattintson a jobb gombbal a RADIUS-ügyfelek > Új elemre, majd konfigurálja a Barátságos nevet, az IP-címet és a Megosztott titkot.

mceclip3.png

 

Konfigurálja a kapcsolati kérelem-házirendeket (CRP)

  • Kattintson a jobb gombbal aCRP > Új elemre
  • Adja meg a CRP-házirend nevét
  • Adja meg a feltételeket

Ha még nem ismeri ezt az oldalt, javasoljuk, hogy itt használja a NAS azonosítót (az eszköz gazdagépnevét) és a NAS IPv4-címet. Ezenkívül, ha sok eszközt tervez hozzáadni a RADIUS-ügyfelekhez, a * szimbólummal elkerülheti, hogy túl sok feltételt kelljen hozzáadnia egy CRP-hez, például „GS22*” vagy „192.168*”.

mceclip4.png

  • Adja meg a kapcsolatkérelem továbbítását > Tovább
  • Adja meg a hitelesítési módszereket > Tovább
  • Beállítások konfigurálása > Tovább
  • Ellenőrizze az imént beállítottakat, majd kattintson a Befejezés gombra.

 

Hálózati házirendek konfigurálása

  • Kattintson a jobb gombbal a Hálózati házirendek elemre > Új
  • Adja meg a hálózati szabályzat nevét
  • Adja meg a feltételeket > Hozzáadás > válassza a Windows-csoportokat

mceclip5.png

  • Adja meg a hozzáférési engedélyt > Tovább
  • Hitelesítési módszerek konfigurálása

mceclip6.png

  • Konfigurálja a korlátozásokat > Tovább
  • Beállítások konfigurálása.

mceclip7.png

  • Ellenőrizze az összes beállítást, majd kattintson a Befejezés gombra.



 

Felhasználói/eszközfiók beállítása a Windows Server 2019 rendszeren

  • Nyissa meg az Active Directory felhasználók és számítógépek ablakot
  • Kattintson a jobb gombbal a tartományra > Új > Felhasználó
  • Hozzon létre fiókokat az 802.1x és a MAC hitelesítéshez

     

Megjegyzés:a MAC-hitelesítésű felhasználók esetében a Felhasználói bejelentkezési nevet pontosan ugyanolyan formátumban kell kitölteni, mint a switch MAC-hitelesítési oldalon.

mceclip8.png

  • Ezenkívül a felhasználói jelszónak is meg kell egyeznie a switch beállítással.

mceclip9.png

Ellenőrzés

  • Az ügyfél átmegy a kombinált hitelesítésen; megkapja a Data VLAN IP-címét

mceclip10.png

  • Az ügyfél nem felel meg a kombinált hitelesítésnek; a vendég VLAN IP-címét kapja meg

mceclip11.png

Megjegyzés:
 

  1. Győződjön meg arról, hogy a DHCP-kiszolgáló működik a hálózatban.
  2. Az L3 switch-nak engedélyeznie kell a DHCP Smart Relay funkciót, és a DHCP-kiszolgálóra kell mutatnia.
  3. Ha az NPS-kiszolgálója virtuális gépen van telepítve, és az NPS-szolgáltatás nem működik, annak ellenére, hogy fut, akkor le kell állítania, majd újra el kell indítania az NPS-szolgáltatást.

A szakasz cikkei

Több megjelenítése
Hasznos volt ez a cikk?
4/3 szavazó hasznosnak találta ezt
Megosztás

Hozzászólások

0 hozzászólás

Hozzászólások írásához jelentkezzen be.