Важное уведомление: |
Динамическое назначение VLAN разделяет и изолирует устройства в разные сегменты сети на основе авторизации устройства или пользователя и их характеристик.
Настройка NPS на Windows Server 2019
Сценарий и топология
В большинстве сетей администраторам может потребоваться ограничить доступ к различным сетевым устройствам в целях безопасности.
Обычно такие сетевые ограничения реализуются с помощью статического назначения VLAN. Поэтому администраторы создают VLAN и настраивают соответствующий номер VLAN для каждого порта switch с режимом доступа. Напротив, для динамического назначения VLAN администратору достаточно только настроить порт switch как магистральный и фиксированный, а также несколько политик на сервере RADIUS. Это значительно облегчает работу сетевого администратора.
Цель данного руководства по настройке — продемонстрировать все шаги по настройке динамического назначения VLAN как на switch, так и на сервере RADIUS.
Настройка
Следующие шаги применимы к устройствам switch, поддерживающим комбинированную аутентификацию. Поддерживаемые устройства switch — это GS2220 и XGS2210 в автономном режиме, размещенные вместе с сервером RADIUS (Windows Server 2019).
Настройка Switch
- Настройте IP-адрес RADIUS, общий секрет и параметры AAA в:
Дополнительные приложения > AAA > Настройка сервера RADIUS и настройка AAA- Настройте 802.1x, аутентификацию по MAC-адресу и гостевую VLAN, а также комбинированную аутентификацию на клиентском порте в разделе
Расширенные настройки > Аутентификация портов- Оставьте режим комбинированной аутентификации строгим для клиентского порта
Настройте NPS на Windows Server 2019
Откройте «Сервер сетевой политики» и щелкните правой кнопкой мыши «Клиенты RADIUS» > «Создать», чтобы настроить «Дружественное имя», IP-адрес и «Общий секрет».
Настройте политики запросов на подключение (CRP)
- Щелкните правой кнопкой мыши «CRP»> «Создать»
- Укажите имя политики CRP
- Укажите условия
Если вы не знакомы с этой страницей, мы рекомендуем использовать здесь идентификатор NAS (имя хоста устройства) и IPv4-адрес NAS. Кроме того, если у вас много устройств, которые планируется добавить в клиенты RADIUS, вы можете использовать символ *, чтобы избежать добавления множества условий для CRP, например, «GS22*» или «192.168*».
- Укажите «Перенаправление запросов на подключение» > «Далее»
- Укажите методы аутентификации > Далее
- Настройте параметры > Далее
- Проверьте все, что вы только что настроили, и нажмите «Готово».
Настройка сетевых политик
- Щелкните правой кнопкой мыши «Сетевые политики» > «Создать»
- Укажите имя сетевой политики
- Укажите условия > «Добавить» > выберите «Группы Windows»
- Укажите права доступа > «Далее»
- Настройте методы аутентификации
- Настройте ограничения > Далее
- Настройте параметры.
- Проверьте все настройки и нажмите «Готово».
Настройка учетной записи пользователя/устройства в Windows Server 2019
- Откройте «Active Directory: пользователи и компьютеры»
- Щелкните правой кнопкой мыши домен > «Создать» > «Пользователь»
- Создайте учетные записи для аутентификации 802.1x и MAC
Внимание:для пользователя с аутентификацией по MAC имя входа пользователя должно быть указано точно в том же формате, что и на странице настроек аутентификации по MAC switch.
- Кроме того, пароль пользователя также должен соответствовать настройке switch.
Проверка
- Клиент проходит комбинированную аутентификацию; он получает IP-адрес VLAN данных
- Клиент не проходит комбинированную аутентификацию; он получает IP-адрес гостевой VLAN
Примечание:
- Убедитесь, что DHCP-сервер работает в сети.
- L3 switch должен включить DHCP Smart Relay и указывать на DHCP-сервер.
- Если ваш сервер NPS установлен в виртуальной машине, и служба NPS не работает, даже если она запущена, вам следует остановить и запустить службу NPS заново.
Комментарии
0 комментариевВойдите в службу, чтобы оставить комментарий.