Viktigt meddelande: |
Dynamisk VLAN-tilldelning separerar och isolerar enheter i olika nätverkssegment baserat på enhetens eller användarens behörighet och deras egenskaper.
Konfigurera NPS på Windows Server 2019
Scenario och topologi
I de flesta nätverk kan administratörer behöva begränsa åtkomsten till olika nätverksenheter av säkerhetsskäl.
Ett vanligt sätt att uppnå denna typ av nätverksbegränsning är via statiska VLAN-tilldelningar. Administratörer skapar därför VLAN och konfigurerar motsvarande VLAN-nummer till varje switch-port med åtkomstläge. Omvänt behöver administratören endast ställa in switch-porten som trunk och fast port samt några policyer på RADIUS-servern för dynamisk VLAN-tilldelning. Detta minskar avsevärt arbetsbördan för nätverksadministratören.
Syftet med denna konfigurationsguide är att visa varje steg för att konfigurera dynamisk VLAN-tilldelning på både switch och RADIUS-servern.
Konfiguration
Följande steg gäller för switch som stöds vid sammansatt autentisering. switch som stöds är GS2220 och XGS2210 i fristående läge och placerade tillsammans med en RADIUS-server (Windows Server 2019).
Switch-konfiguration
- Konfigurera RADIUS-IP-adress, delad hemlighet och AAA-inställningar under:
Avancerade inställningar > AAA > RADIUS-serverinställningar och AAA-inställningar- Konfigurera 802.1x, MAC-autentisering och gäst-VLAN samt sammansatt autentisering på klientporten under
Avancerad applikation > Portautentisering- Behåll läget för sammansatt autentisering som strikt för klientporten
Konfigurera NPS på Windows Server 2019
Öppna Network Policy Server och högerklicka på RADIUS-klienter > Ny för att konfigurera vänligt namn, IP-adress och delad hemlighet.
Konfigurera anslutningsbegäranpolicyer (CRP)
- Högerklicka påCRP > Ny
- Ange namn på CRP-policy
- Ange villkor
Vi rekommenderar att du använder NAS-identifierare (enhetens värdnamn) och NAS IPv4-adress här om du inte är bekant med denna sida. Om du dessutom har många enheter som du planerar att lägga till som RADIUS-klienter kan du använda symbolen * för att undvika att lägga till många villkor för en CRP, till exempel ”GS22*” eller ”192.168*”.
- Ange vidarebefordran av anslutningsförfrågningar > Nästa
- Ange autentiseringsmetoder > Nästa
- Konfigurera inställningar > Nästa
- Kontrollera allt du just har konfigurerat och klicka på Slutför.
Konfigurera nätverkspolicyer
- Högerklicka på Nätverkspolicyer > Ny
- Ange namn på nätverkspolicy
- Ange villkor > Lägg till > välj Windows-grupper
- Ange åtkomstbehörighet > Nästa
- Konfigurera autentiseringsmetoder
- Konfigurera begränsningar > Nästa
- Konfigurera inställningar.
- Kontrollera allt du har konfigurerat och klicka på Slutför.
Konfigurera användar-/enhetskonto på Windows Server 2019
- Öppna Active Directory-användare och datorer
- Högerklicka på domänen > Ny > Användare
- Skapa konton för 802.1x- och MAC-autentisering
Observera:för användare med MAC-autentisering ska användarens inloggningsnamn fyllas i exakt i samma format som inställningen på sidan för switch MAC-autentisering.
- Dessutom måste användarlösenordet stämma överens med inställningarna på switch.
Verifiering
- Klienten klarar den kombinerade autentiseringen och får en IP-adress i Data VLAN
- Klienten misslyckas med sammansatt autentisering; den får IP-adressen för gäst-VLAN
Obs:
- Se till att DHCP-servern fungerar i nätverket.
- L3 switch bör aktivera DHCP Smart Relay och peka på DHCP-servern.
- Om din NPS-server är installerad i en virtuell maskin och NPS-tjänsten inte fungerar trots att den körs, bör du stoppa och starta NPS-tjänsten igen.
Kommentarer
0 kommentarerlogga in för att lämna en kommentar.