Switch Dinamik VLAN - Dinamik VLAN Ataması için RADIUS Sunucusunu Yapılandırma

Dinamik VLAN Ataması, cihaz veya kullanıcı yetkilendirmelerine ve özelliklerine göre cihazları farklı ağ segmentlerine ayırır ve izole eder.

Senaryo ve Topoloji

Switch yapılandırması

Windows Server 2019'da NPS'yi Kurma

Doğrulama

Senaryo ve Topoloji

Çoğu ağda, yöneticiler güvenlik amacıyla çeşitli ağ cihazlarındaki cihazları kısıtlamak zorunda kalabilir.

Bu tür bir ağ kısıtlamasını sağlamanın yaygın bir yolu, statik VLAN atamalarıdır. Bu nedenle yöneticiler, VLAN'lar oluşturur ve erişim moduna sahip her switch bağlantı noktasına karşılık gelen VLAN numarasını yapılandırır. Buna karşılık, yönetici Dinamik VLAN Ataması için yalnızca switch bağlantı noktasını trunk ve sabit bağlantı noktası olarak ayarlaması ve RADIUS sunucusunda birkaç ilke belirlemesi yeterlidir. Bu, ağ yöneticisinin yapması gereken eylemleri/işleri önemli ölçüde azaltır.

Bu yapılandırma kılavuzunun amacı, hem switch hem de RADIUS Sunucusunda Dinamik VLAN Atamasını yapılandırmak için gerekli tüm adımları göstermektir.

Yapılandırma

Aşağıdaki adımlar, bileşik kimlik doğrulama tarafından desteklenen switch'ler için geçerlidir. Desteklenen switch'ler, bağımsız modda çalışan ve bir RADIUS Sunucusu (Windows Server 2019) ile aynı yerde bulunan GS2220 ve XGS2210'dur.

Switch yapılandırması

• RADIUS IP adresini, paylaşılan gizli anahtarı ve AAA ayarlarını şu konumda yapılandırın:

Gelişmiş Uygulama > AAA > RADIUS Sunucu Kurulumu ve AAA Kurulumu

• 802.1x, MAC kimlik doğrulama ve Misafir VLAN'ın yanı sıra istemci bağlantı noktasında Bileşik Kimlik Doğrulama'yı şu konumda yapılandırın

Gelişmiş Uygulama > Bağlantı Noktası Kimlik Doğrulama

• İstemci bağlantı noktası için Bileşik Kimlik Doğrulama Modunu sıkı olarak bırakın

Windows Server 2019'da NPS'yi kurun

Ağ İlkesi Sunucusunu açın ve RADIUS İstemcileri > Yeni öğesine sağ tıklayarak Anlaşılır ad, IP adresi ve Paylaşılan gizli anahtarı yapılandırın.

Bağlantı İsteği İlkelerini (CRP) yapılandırın

• CRP > Yeniöğesine sağ tıklayın
• CRP ilke adını belirtin
• Koşulları belirtin

Bu sayfaya aşina değilseniz, burada NAS Tanımlayıcı (cihaz ana bilgisayarı adı) ve NAS IPv4 Adresi'ni kullanmanızı öneririz. Ayrıca, RADIUS istemcilerine eklenecek çok sayıda cihazınız varsa, bir CRP için çok sayıda koşul eklemekten kaçınmak için * sembolünü kullanabilirsiniz, örneğin, “GS22*” veya “192.168*”.

• Bağlantı İsteği Yönlendirme'yi belirtin > İleri
• Kimlik Doğrulama Yöntemlerini Belirtin > İleri
• Ayarları Yapılandırın > İleri
• Az önce yapılandırdığınız her şeyi kontrol edin ve Bitir'i tıklayın.

Ağ İlkelerini Yapılandırın

• Ağ İlkeleri'ne sağ tıklayın > Yeni
• Ağ İlkesi adını belirtin
• Koşulları belirtin > Ekle > Windows Gruplarını seçin

• Erişim İznini Belirtin > İleri
• Kimlik Doğrulama Yöntemlerini Yapılandırın

• Kısıtlamaları yapılandırın > İleri
• Ayarları yapılandırın.

• Yapılandırdığınız her şeyi kontrol edin ve Bitir'i tıklayın.

Windows Server 2019'da kullanıcı/cihaz hesabı oluşturma

• Active Directory Kullanıcıları ve Bilgisayarları'nı açın
• Etki alanına sağ tıklayın > Yeni > Kullanıcı
• 802.1x ve MAC kimlik doğrulaması için hesaplar oluşturun
  
   

Uyarı:MAC kimlik doğrulama kullanıcısı için, Kullanıcı oturum açma adı, switch MAC kimlik doğrulama sayfasındaki ayarla tam olarak aynı biçimde doldurulmalıdır.

• Ayrıca, kullanıcı şifresi de switch ayarıyla eşleşmelidir.

Doğrulama

• İstemci bileşik kimlik doğrulamayı geçer; Data VLAN'ın IP adresini alır

• İstemci bileşik kimlik doğrulamasını geçemez; Konuk VLAN'ın IP adresini alır

Not:
 

1. Ağda DHCP Sunucusunun çalıştığından emin olun.
2. L3 switch, DHCP Akıllı Aktarımı etkinleştirmeli ve DHCP sunucusuna yönlendirmelidir.
3. NPS sunucunuz VM'ye kuruluysa ve NPS hizmeti çalışıyor olmasına rağmen işlev görmüyorsa, NPS hizmetini DURDURUN ve yeniden BAŞLATIN.