Ważna informacja: |
Dynamiczne przypisywanie sieci VLAN rozdziela i izoluje urządzenia w różnych segmentach sieci w oparciu o uprawnienia urządzenia lub użytkownika oraz ich cechy.
Skonfiguruj NPS na Windows Server 2019
Scenariusz i topologia
W większości sieci administratorzy mogą być zmuszeni do ograniczenia dostępu urządzeń na różnych urządzeniach sieciowych ze względów bezpieczeństwa.
Typowym sposobem na wprowadzenie tego rodzaju ograniczeń sieciowych jest statyczne przypisywanie sieci VLAN. Administratorzy tworzą więc sieci VLAN i konfigurują odpowiedni numer sieci VLAN dla każdego portu switch w trybie dostępu. Z drugiej strony, w przypadku dynamicznego przypisywania sieci VLAN administrator musi jedynie ustawić port switch jako port trunkowy i stały oraz skonfigurować kilka zasad na serwerze RADIUS. Znacznie zmniejsza to nakład pracy administratora sieci.
Celem niniejszego przewodnika konfiguracyjnego jest przedstawienie wszystkich kroków niezbędnych do skonfigurowania dynamicznego przypisywania sieci VLAN zarówno na switch, jak i na serwerze RADIUS.
Konfiguracja
Poniższe kroki mają zastosowanie do urządzeń switch obsługujących uwierzytelnianie złożone. Obsługiwane urządzenia switch to GS2220 i XGS2210 w trybie autonomicznym oraz w połączeniu z serwerem RADIUS (Windows Server 2019).
Konfiguracja Switch
- Skonfiguruj adres IP serwera RADIUS, wspólny sekret oraz ustawienia AAA w:
Zaawansowane aplikacje > AAA > Konfiguracja serwera RADIUS i konfiguracja AAA- Skonfiguruj 802.1x, uwierzytelnianie MAC i VLAN dla gości, a także uwierzytelnianie złożone na porcie klienta w
Zaawansowane aplikacje > Uwierzytelnianie portów- Ustaw tryb uwierzytelniania złożonego jako ścisły dla portu klienckiego
Skonfiguruj NPS na serwerze Windows Server 2019
Otwórz Network Policy Server i kliknij prawym przyciskiem myszy opcję Klienci RADIUS > Nowy, aby skonfigurować nazwę przyjazną, adres IP i wspólny sekret.
Skonfiguruj zasady żądań połączeń (CRP)
- Kliknij prawym przyciskiem myszyCRP > Nowy
- Określ nazwę zasady CRP
- Określ warunki
Jeśli nie znasz tej strony, sugerujemy użycie identyfikatora NAS (nazwy hosta urządzenia) i adresu IPv4 NAS. Ponadto, jeśli planujesz dodać wiele urządzeń do klientów RADIUS, możesz użyć symbolu *, aby uniknąć dodawania wielu warunków dla CRP, na przykład „GS22*” lub „192.168*”.
- Określ przekazywanie żądań połączeń > Dalej
- Określ metody uwierzytelniania > Dalej
- Skonfiguruj ustawienia > Dalej
- Sprawdź wszystko, co właśnie skonfigurowałeś, i kliknij Zakończ.
Skonfiguruj zasady sieciowe
- Kliknij prawym przyciskiem myszy opcję Zasady sieciowe > Nowa
- Określ nazwę zasady sieciowej
- Określ warunki > Dodaj > wybierz Grupy Windows
- Określ uprawnienia dostępu > Dalej
- Skonfiguruj metody uwierzytelniania
- Skonfiguruj ograniczenia > Dalej
- Skonfiguruj ustawienia.
- Sprawdź wszystkie skonfigurowane opcje i kliknij Zakończ.
Skonfiguruj konto użytkownika/urządzenia w systemie Windows Server 2019
- Otwórz okno „Użytkownicy i komputery usługi Active Directory”
- Kliknij prawym przyciskiem myszy domenę > Nowy > Użytkownik
- Utwórz konta dla uwierzytelniania 802.1x i MAC
Uwaga:w przypadku użytkownika korzystającego z uwierzytelniania MAC nazwa logowania użytkownika powinna być wpisana dokładnie w tym samym formacie, co ustawienie na stronie uwierzytelniania MAC switch.
- Ponadto hasło użytkownika powinno być zgodne z ustawieniem switch.
Weryfikacja
- Klient przechodzi uwierzytelnianie złożone; otrzymuje adres IP sieci VLAN danych
- Klient nie przechodzi uwierzytelniania złożonego; otrzymuje adres IP sieci VLAN dla gości
Uwaga:
- Upewnij się, że serwer DHCP działa w sieci.
- L3 switch powinien włączyć funkcję DHCP Smart Relay i wskazać serwer DHCP.
- Jeśli serwer NPS jest zainstalowany w maszynie wirtualnej, a usługa NPS nie działa, mimo że jest uruchomiona, należy zatrzymać i ponownie uruchomić usługę NPS.
Komentarze
Komentarze: 0Zaloguj się, aby dodać komentarz.