Belangrijke mededeling: |
Dynamische VLAN-toewijzing scheidt en isoleert apparaten in verschillende netwerksegmenten op basis van de autorisatie van het apparaat of de gebruiker en hun kenmerken.
NPS instellen op Windows Server 2019
Scenario & Topologie
In de meeste netwerken moeten beheerders om veiligheidsredenen mogelijk apparaten op verschillende netwerkapparaten beperken.
Een veelgebruikte manier om dit soort netwerkbeperkingen te realiseren is via statische VLAN-toewijzingen. Beheerders maken daarom VLAN's aan en configureren het bijbehorende VLAN-nummer voor elke switch-poort met toegangsmodus. Omgekeerd hoeft de beheerder voor dynamische VLAN-toewijzing alleen de switch-poort in te stellen als trunk- en vaste poort en enkele beleidsregels op de RADIUS-server. Dit bespaart de netwerkbeheerder aanzienlijk wat werk.
Het doel van deze configuratiegids is om elke stap te demonstreren voor het configureren van dynamische VLAN-toewijzing op zowel de switch als de RADIUS-server.
Configuratie
De volgende stappen zijn van toepassing op switch die samengestelde authenticatie ondersteunen. Ondersteunde switch-modellen zijn GS2220 en XGS2210 in standalone-modus en in combinatie met een RADIUS-server (Windows Server 2019).
Switch-configuratie
- Configureer het RADIUS-IP-adres, de gedeelde sleutel en de AAA-instellingen onder:
Geavanceerde toepassing > AAA > RADIUS-serverinstellingen & AAA-instellingen- Configureer 802.1x, MAC-authenticatie en gast-VLAN, evenals samengestelde authenticatie op de clientpoort onder
Geavanceerde toepassing > Poortverificatie- Houd de samengestelde authenticatiemodus strikt voor de clientpoort
Stel NPS in op Windows Server 2019
Open Network Policy Server en klik met de rechtermuisknop op RADIUS-clients > Nieuw om de vriendelijke naam, het IP-adres en het gedeelde geheim te configureren.
Configureer Connection Request Policies (CRP)
- Klik met de rechtermuisknop opCRP > Nieuw
- Geef de naam van het CRP-beleid op
- Geef de voorwaarden op
We raden aan om hier NAS-identificatie (hostnaam van het apparaat) en NAS IPv4-adres te gebruiken als u niet bekend bent met deze pagina. Als u bovendien veel apparaten hebt die u aan RADIUS-clients wilt toevoegen, kunt u het symbool * gebruiken om te voorkomen dat u veel voorwaarden voor een CRP moet toevoegen, bijvoorbeeld “GS22*” of “192.168*”.
- Geef het doorsturen van verbindingsverzoeken op > Volgende
- Geef authenticatiemethoden op > Volgende
- Configureer instellingen > Volgende
- Controleer alles wat u zojuist hebt geconfigureerd en klik op Voltooien.
Netwerkbeleidsregels configureren
- Klik met de rechtermuisknop op Netwerkbeleidsregels > Nieuw
- Geef de naam van het netwerkbeleid op
- Geef voorwaarden op > Toevoegen > kies Windows-groepen
- Toegangsrechten specificeren > Volgende
- Configureer authenticatiemethoden
- Configureer beperkingen > Volgende
- Configureer instellingen.
- Controleer alles wat u hebt geconfigureerd en klik op Voltooien.
Een gebruikers-/apparaataccount instellen op Windows Server 2019
- Open Active Directory-gebruikers en -computers
- Klik met de rechtermuisknop op het domein > Nieuw > Gebruiker
- Maak accounts aan voor 802.1x- en MAC-authenticatie
Opmerking:voor gebruikers met MAC-authenticatie moet de gebruikersaanmeldingsnaam in precies hetzelfde formaat worden ingevuld als de instelling op de switch-pagina voor MAC-authenticatie.
- Bovendien moet het wachtwoord van de gebruiker ook overeenkomen met de instelling in switch.
Verificatie
- De client doorstaat de samengestelde authenticatie; hij krijgt een IP-adres van het Data VLAN
- De client faalt bij de samengestelde authenticatie; hij krijgt het IP-adres van het gast-VLAN
Opmerking:
- Zorg ervoor dat de DHCP-server in het netwerk functioneert.
- L3 switch moet DHCP Smart Relay inschakelen en naar de DHCP-server verwijzen.
- Als uw NPS-server in een VM is geïnstalleerd en de NPS-service niet werkt, ook al is deze actief, moet u de NPS-service STOPPEN en opnieuw STARTEN.
Opmerkingen
0 opmerkingenU moet u aanmelden om een opmerking te plaatsen.