Switch Dynamická VLAN – Konfigurácia servera RADIUS pre dynamické prideľovanie VLAN

Dynamické prideľovanie VLAN oddeľuje a izoluje zariadenia do rôznych sieťových segmentov na základe autorizácie zariadenia alebo používateľa a ich charakteristík.

Scenár a topológia

Konfigurácia Switch

Nastavenie NPS na Windows Server 2019

Overenie

Scenár a topológia

Vo väčšine sietí môžu byť správcovia nútení obmedziť prístup zariadení na rôznych sieťových zariadeniach z bezpečnostných dôvodov.

Bežným spôsobom, ako dosiahnuť tento druh sieťového obmedzenia, je prostredníctvom statických priradení VLAN. Správcovia preto vytvárajú VLAN a konfigurujú príslušné číslo VLAN pre každý port switch s režimom prístupu. Naopak, pre dynamické priradenie VLAN stačí, ak správca nastaví port switch ako trunk a pevný port a na serveri RADIUS nastaví niekoľko pravidiel. Tým sa výrazne zníži množstvo úkonov a práce pre správcu siete.

Účelom tejto konfiguračnej príručky je demonštrovať každý krok konfigurácie dynamického priradenia VLAN na zariadení switch aj na serveri RADIUS.

Konfigurácia

Nasledujúce kroky platia pre zariadenia switch podporujúce kombinované overovanie. Podporované zariadenia switch sú GS2220 a XGS2210 v samostatnom režime a umiestnené spolu s RADIUS serverom (Windows Server 2019).

Konfigurácia Switch

• Nakonfigurujte IP adresu RADIUS, zdieľaný tajný kľúč a nastavenia AAA v:

Pokročilé nastavenia > AAA > Nastavenie servera RADIUS a nastavenie AAA

• Nakonfigurujte 802.1x, overovanie MAC a hosťovskú VLAN, ako aj zložené overovanie na klientskom porte na

Pokročilé aplikácie > Overovanie portu

• Režim zloženého overovania ponechajte nastavený na prísny pre klientský port

Nastavte NPS na Windows Server 2019

Otvorte Network Policy Server a kliknite pravým tlačidlom na RADIUS Clients > New, aby ste nakonfigurovali Friendly name, IP adresu a Shared secret.

Nakonfigurujte zásady žiadostí o pripojenie (CRP)

• Kliknite pravým tlačidlom naCRP > Nové
• Zadajte názov politiky CRP
• Zadajte podmienky

Ak nie ste s touto stránkou oboznámení, odporúčame použiť identifikátor NAS (názov hostiteľa zariadenia) a adresu IPv4 NAS. Okrem toho, ak máte veľa zariadení, ktoré plánujete pridať do klientov RADIUS, môžete použiť symbol *, aby ste sa vyhli pridávaniu mnohých podmienok pre CRP, napríklad „GS22*“ alebo „192.168*“.

• Zadajte Presmerovanie žiadostí o pripojenie > Ďalej
• Zadajte metódy overovania > Ďalej
• Konfigurácia nastavení > Ďalej
• Skontrolujte všetko, čo ste práve nakonfigurovali, a kliknite na Dokončiť.

Nakonfigurujte sieťové zásady

• Kliknite pravým tlačidlom na Sieťové zásady > Nové
• Zadajte názov sieťovej politiky
• Zadajte podmienky > Pridať > vyberte Skupiny Windows

• Zadajte prístupové oprávnenie > Ďalej
• Nakonfigurujte metódy overovania

• Nakonfigurujte obmedzenia > Ďalej
• Nakonfigurujte nastavenia.

• Skontrolujte všetko, čo ste nakonfigurovali, a kliknite na Dokončiť.

Nastavenie používateľského/zariadenia účtu v systéme Windows Server 2019

• Otvorte Používatelia a počítače služby Active Directory
• Kliknite pravým tlačidlom na doménu > Nový > Používateľ
• Vytvorte účty pre overovanie 802.1x a MAC
  
   

Upozornenie:pre používateľa s overovaním MAC by malo byť prihlasovacie meno používateľa vyplnené presne v tom istom formáte, ako je nastavené na stránke overovania MAC switch.

• Okrem toho by sa heslo používateľa malo zhodovať s nastavením switch.

Overenie

• Klient prejde zloženou autentizáciou; získa IP adresu dátovej VLAN

• Klient neprejde zloženou autentizáciou; získa IP adresu hosťovskej VLAN

Poznámka:
 

1. Uistite sa, že server DHCP v sieti funguje.
2. L3 switch by mal povoliť DHCP Smart Relay a smerovať na server DHCP.
3. Ak je váš server NPS nainštalovaný vo virtuálnom stroji a služba NPS nefunguje, hoci je spustená, mali by ste službu NPS zastaviť a znovu spustiť.