Viktig melding: |
Dynamisk VLAN-tildeling skiller og isolerer enheter i forskjellige nettverkssegmenter basert på enhetens eller brukerens autorisasjon og deres egenskaper.
Konfigurer NPS på Windows Server 2019
Scenario og topologi
I de fleste nettverk kan det hende at administratorer må begrense enheter på en rekke nettverksenheter av sikkerhetsmessige årsaker.
En vanlig måte å oppnå denne typen nettverksbegrensning på er via statiske VLAN-tildelinger. Administratorer oppretter derfor VLAN-er og konfigurerer det tilsvarende VLAN-nummeret til hver switch-port med tilgangsmodus. Omvendt trenger administratoren bare å sette switch-porten som trunk og fast port og noen få retningslinjer på RADIUS-serveren for dynamisk VLAN-tildeling. Dette reduserer arbeidsmengden for nettverksadministratoren betydelig.
Formålet med denne konfigurasjonsveiledningen er å vise hvert trinn for å konfigurere dynamisk VLAN-tildeling på både switch og RADIUS-serveren.
Konfigurasjon
Følgende trinn gjelder for switch som støttes ved sammensatt autentisering. Støttede switch er GS2220 og XGS2210 i frittstående modus og samlokalisert med en RADIUS-server (Windows Server 2019).
Switch-konfigurasjon
- Konfigurer RADIUS-IP-adresse, delt hemmelighet og AAA-innstillinger under:
Avansert applikasjon > AAA > RADIUS-serveroppsett og AAA-oppsett- Konfigurer 802.1x, MAC-autentisering og gjest-VLAN samt sammensatt autentisering på klientporten under
Avansert applikasjon > Portautentisering- Hold sammensatt autentiseringsmodus som streng for klientporten
Konfigurer NPS på Windows Server 2019
Åpne Network Policy Server og høyreklikk på RADIUS-klienter > Ny for å konfigurere Vennlig navn, IP-adresse og Delt hemmelighet.
Konfigurer tilkoblingsforespørselspolicyer (CRP)
- Høyreklikk påCRP > Ny
- Angi navn på CRP-policy
- Angi betingelser
Vi anbefaler å bruke NAS-identifikator (enhetens vertsnavn) og NAS IPv4-adresse her hvis du ikke er kjent med denne siden. I tillegg, hvis du har mange enheter som skal legges til i RADIUS-klienter, kan du bruke symbolet * for å unngå å legge til mange betingelser for en CRP, for eksempel «GS22*» eller «192.168*».
- Angi videresending av tilkoblingsforespørsel > Neste
- Angi autentiseringsmetoder > Neste
- Konfigurer innstillinger > Neste
- Kontroller alt du nettopp har konfigurert, og klikk på Fullfør.
Konfigurer nettverkspolicyer
- Høyreklikk på Nettverkspolicyer > Ny
- Angi navn på nettverkspolicy
- Angi betingelser > Legg til > velg Windows-grupper
- Angi tilgangstillatelse > Neste
- Konfigurer autentiseringsmetoder
- Konfigurer begrensninger > Neste
- Konfigurer innstillinger.
- Kontroller alt du har konfigurert, og klikk på Fullfør.
Konfigurer bruker-/enhetskonto på Windows Server 2019
- Åpne Active Directory-brukere og datamaskiner
- Høyreklikk på domenet > Ny > Bruker
- Opprett kontoer for 802.1x- og MAC-autentisering
Merk:For brukere med MAC-autentisering må brukernavnet fylles ut i nøyaktig samme format som angitt på siden for switch MAC-autentisering.
- I tillegg må brukerpassordet samsvare med innstillingen i switch.
Bekreftelse
- Klienten består sammensatt autentisering; den får IP-adressen til Data VLAN
- Klienten mislykkes i sammensatt autentisering; den får IP-adressen til gjest-VLAN
Merk:
- Sørg for at DHCP-serveren fungerer i nettverket.
- L3 switch bør aktivere DHCP Smart Relay og peke mot DHCP-serveren.
- Hvis NPS-serveren er installert i en VM, og NPS-tjenesten ikke fungerer selv om den kjører, bør du STOPPE og STARTE NPS-tjenesten på nytt.
Kommentarer
0 kommentarerLogg på hvis du vil legge inn en kommentar.