Switch VLAN dinamica - Configurazione del server RADIUS per l'assegnazione dinamica delle VLAN

Creato - Aggiornato
Serhii Boiarynov
Idea generator
Great answers
Master (Platinum)
Print Friendly and PDF
Altre domande? Invia una richiesta

Avviso importante:
Gentile cliente, ti informiamo che utilizziamo la traduzione automatica per fornire articoli nella tua lingua locale. Non tutto il testo potrebbe essere tradotto in modo accurato. In caso di domande o discrepanze sull'accuratezza delle informazioni nella versione tradotta, ti invitiamo a consultare l'articolo originale qui:Versione originale

L'assegnazione dinamica delle VLAN separa e isola i dispositivi in diversi segmenti di rete in base all'autorizzazione del dispositivo o dell'utente e alle loro caratteristiche.

 

Scenario e topologia

Configurazione Switch

Configurazione di NPS su Windows Server 2019

Verifica

 

Scenario e topologia

mceclip0.png

Nella maggior parte delle reti, gli amministratori potrebbero dover limitare l'accesso a una varietà di dispositivi di rete per motivi di sicurezza.

Un modo comune per ottenere questo tipo di restrizione di rete è tramite assegnazioni VLAN statiche. Gli amministratori creano quindi delle VLAN e configurano il numero VLAN corrispondente a ciascuna porta switch con modalità di accesso. Al contrario, per l'assegnazione dinamica delle VLAN, l'amministratore deve solo impostare la porta switch come porta trunk e fissa e definire alcune politiche sul server RADIUS. Ciò riduce notevolmente le azioni e il carico di lavoro dell'amministratore di rete.

Lo scopo di questa guida alla configurazione è illustrare ogni fase della configurazione dell'assegnazione dinamica delle VLAN sia su switch che sul server RADIUS.

 

Configurazione

I seguenti passaggi sono applicabili ai modelli switch supportati dall'autenticazione composta. I modelli switch supportati sono GS2220 e XGS2210 in modalità standalone e collocati insieme a un server RADIUS (Windows Server 2019).

 

Configurazione del Switch

  • Configurare l'indirizzo IP RADIUS, il segreto condiviso e le impostazioni AAA in:
Applicazione avanzata > AAA > Configurazione server RADIUS e configurazione AAA

mceclip1.png

  • Configurare 802.1x, l'autenticazione MAC e la VLAN ospite, nonché l'autenticazione composta sulla porta client in
Applicazione avanzata > Autenticazione porta

mceclip2.png

  • Mantenere la modalità di autenticazione composta su "rigorosa" per la porta client

 

Configurare NPS su Windows Server 2019

Aprire Network Policy Server e fare clic con il tasto destro del mouse su Client RADIUS > Nuovo, per configurare il nome descrittivo, l'indirizzo IP e il segreto condiviso.

mceclip3.png

 

Configurare le politiche di richiesta di connessione (CRP)

  • Fare clic con il pulsante destro del mouse suCRP > Nuovo
  • Specificare il nome della politica CRP
  • Specificare le condizioni

Si consiglia di utilizzare l'identificatore NAS (nome host del dispositivo) e l'indirizzo IPv4 del NAS in questa sezione se non si ha familiarità con questa pagina. Inoltre, se si dispone di molti dispositivi che si intende aggiungere ai client RADIUS, è possibile utilizzare il simbolo * per evitare di aggiungere molte condizioni per una CRP, ad esempio "GS22*" o "192.168*".

mceclip4.png

  • Specificare Inoltro richiesta di connessione > Avanti
  • Specificare i metodi di autenticazione > Avanti
  • Configura le impostazioni > Avanti
  • Controlla tutto ciò che hai appena configurato e fai clic su Fine.

 

Configurare i criteri di rete

  • Fai clic con il pulsante destro del mouse su Criteri di rete > Nuovo
  • Specificare il nome della politica di rete
  • Specificare le condizioni > Aggiungi > scegliere Gruppi Windows

mceclip5.png

  • Specificare i permessi di accesso > Avanti
  • Configurare i metodi di autenticazione

mceclip6.png

  • Configurare i vincoli > Avanti
  • Configurare le impostazioni.

mceclip7.png

  • Controlla tutto ciò che hai configurato e fai clic su Fine.



 

Configurare l'account utente/dispositivo su Windows Server 2019

  • Apri Utenti e computer di Active Directory
  • Fai clic con il pulsante destro del mouse sul dominio > Nuovo > Utente
  • Crea account per l'autenticazione 802.1x e MAC

     

Avviso:per l'utente con autenticazione MAC, il nome di accesso dell'utente deve essere inserito esattamente nello stesso formato specificato nella pagina di autenticazione MAC di switch.

mceclip8.png

  • Inoltre, anche la password dell'utente deve corrispondere all'impostazione di switch.

mceclip9.png

Verifica

  • Il client supera l'autenticazione composta; ottiene l'indirizzo IP della VLAN dati

mceclip10.png

  • Il client non supera l'autenticazione composta; ottiene l'indirizzo IP della VLAN Guest

mceclip11.png

Nota:
 

  1. Assicurarsi che il server DHCP funzioni nella rete.
  2. L3 switch dovrebbe abilitare DHCP Smart Relay e puntare al server DHCP.
  3. Se il server NPS è installato in una macchina virtuale e il servizio NPS non funziona nonostante sia in esecuzione, è necessario arrestare e riavviare il servizio NPS.

Articoli in questa sezione

Vedi altro
Questo articolo ti è stato utile?
Utenti che ritengono sia utile: 3 su 4
Condividi

Commenti

0 commenti

Accedi per aggiungere un commento.