Динамическое назначение VLAN разделяет и изолирует устройства в разные сегменты сети на основе авторизации устройства или пользователя и их характеристик.
Настройка NPS на Windows Server 2019
Сценарий и топология
В большинстве сетей администраторам может потребоваться ограничить доступ к различным сетевым устройствам в целях безопасности.
Обычный способ добиться такого рода сетевых ограничений — использовать статические назначения VLAN. Поэтому администраторы создают VLAN и настраивают соответствующий номер VLAN для каждого порта коммутатора с режимом доступа. И наоборот, администратору нужно только установить порт коммутатора в качестве магистрального и фиксированного порта, а также несколько политик на сервере RADIUS для динамического назначения VLAN. Это смягчает значительные действия / задания для сетевого администратора.
Цель этого руководства по настройке demonпредставляет каждый шаг для настройки динамического назначения VLAN как на коммутаторе, так и на сервере RADIUS.
Конфигурация
Следующие шаги применимы для коммутаторов, поддерживаемых комплексной аутентификацией. Поддерживаемые коммутаторы: GS2220 и XGS2210 в автономном режиме и совместно с сервером RADIUS (Windows Server 2019).
Конфигурация Switch
- Настройте IP-адрес RADIUS, общий секрет и параметры AAA по адресу:
Advanced Application > AAA > RADIUS Server Setup & AAA Setup - Настройте 802.1x, аутентификацию MAC и гостевую VLAN, а также комплексную аутентификацию на клиентском порту по адресу
Advanced Application > Port Authentication
- Сохраняйте составной режим аутентификации строгим для клиентского порта.
Настройка NPS на Windows Server 2019
Откройте сервер политики сети и щелкните правой кнопкой мыши Клиенты RADIUS > Создать, чтобы настроить понятное имя, IP-адрес и общий секрет.
Настройка политик запросов на подключение (CRP)
- Щелкните правой кнопкой мыши CRP> Создать
- Укажите имя политики CRP
- Укажите условия
Мы предлагаем использовать здесь идентификатор NAS (имя хоста устройства) и адрес NAS IPv4, если вы не знакомы с этой страницей. Кроме того, если у вас есть много устройств, которые планируется добавить в клиенты RADIUS, вы можете использовать символ *, чтобы избежать добавления множества условий для CRP, например, «GS22*» или «192.168*».
- Укажите переадресацию запроса на подключение > Далее
- Укажите методы аутентификации > Далее
- Настроить параметры > Далее
- Проверьте все, что вы только что настроили, и нажмите «Готово».
Настройка сетевых политик
- Щелкните правой кнопкой мыши Политики сети > Создать.
- Укажите имя сетевой политики
- Укажите условия > Добавить > выберите Группы Windows
- Укажите разрешение на доступ > Далее
- Настроить методы аутентификации
- Настройка ограничений > Далее
- Настроить параметры.
- Проверьте все, что вы настроили, и нажмите «Готово».
Настройка учетной записи пользователя/устройства в Windows Server 2019
- Откройте пользователей и компьютеры Active Directory.
- Щелкните правой кнопкой мыши домен > Создать > Пользователь.
- Создайте учетные записи для аутентификации 802.1x и MAC
Примечание: для пользователя с аутентификацией по MAC-адресу имя пользователя для входа в систему должно быть заполнено точно в том же формате, что и настройка на странице аутентификации по MAC-адресу коммутатора.
- Кроме того, пароль пользователя также должен совпадать с настройкой переключателя.
Проверка
- Клиент проходит комплексную аутентификацию; он получает IP-адрес Data VLAN
- Клиент не проходит комплексную аутентификацию; он получает IP-адрес гостевой VLAN
Примечание:
- Убедитесь, что DHCP-сервер работает в сети.
- Коммутатор L3 должен включить DHCP Smart Relay и указать на DHCP-сервер.
- Если ваш сервер NPS установлен на виртуальной машине, а служба NPS не работает, даже если она запущена, вам следует ОСТАНОВИТЬ и снова ЗАПУСТИТЬ службу NPS.
ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ:
Уважаемый клиент, имейте в виду, что мы используем машинный перевод для предоставления статей на вашем родном языке. Не весь текст может быть переведен точно. Если есть вопросы или несоответствия в точности информации в переведенной версии, пожалуйста, ознакомьтесь с оригинальной статьей здесь: Оригинальная версия