基于802.1x+AD+DHCP+NPS实现网络权限动态分配
来源:小编 时间:2021-07-01 09:20:43阅读:0
作者简介:王志强,五阿哥钢铁电商平台(wauge.com) 运维部IT高级工程师
近年,网络安全被企业经常所提及,对安全越来越重视。在企业组建局域网中如何能对网络接入用户身份进行确认,用户接入网络后,如何能随着办公地点的转移而保证网络权限不变,在本方案进行阐述和表达,本方案在公司内已经运行多年,成熟、稳定,希望能帮助那些还在奔波在手动调整网络权限、识别接入网络用户身份的同学脱离水深火热的“坑”走向自动化,提高企业网络准入的安全性。
组网规划方案
-
需求描述
实现方案
3.组网环境IBM服务器
Cisco网络设备
客户端网络
注:在核心网络交换机中把划分的VLAN对应到用户所在安全组,这样在调整用户所在安全组后,即继承了划分VLAN的网络权限。4、架构图
一、 组网实施部署 - 接入交换机(WS-C2960X-48LPS-L)开启802.1x认证,以Cisco 2960为例(注:不同IOS版本命令略有差异)
注:把预规划好的所有部门VLAN配置到每台接入交换机和无线AC控制器上,并在核心交换机中配置指向到DHCP服务器地址,这样既可实现不同用户安全组获得动态VLAN地址。第二步进入网络端口下启用802.1x配置
2.NPS(Radius)策略配置2.1 使用配置向导新建连接策略
2.3 选择EAP类型为Microsoft:受保护的EAP(PEAP)2.4 NPS(Radius)服务器申请计算机证书
2.5 添加账号认证系统AD中的用户test01所在部门“全局作用域安全组”
2.6 配置网络策略,动态VLAN和访问控制列表(ACL)
Tunnel-Type: VLAN
2.7 配置完成,NPS(Radius)客户端显示状态2.8 配置完成,连接请求策略显示状态
2.9 配置完成,网络策略显示状态
2.10 注意:网络策略中,通过配置向导创建的默认是“windows组”,需要手动改为“用户组”,后续熟练后可对NPS(Radius)客户端、连接请求策略和网络策略分开逐一按需求创建。
2.11 注意:连接请求策略,如无线和有线IP段分开,需分开创建,如不分开,创建一条把无线和有线都勾选即可。
2.12 其他部门网络策略,可右键选择重复策略进行创建
至此基于802.1x+AD+DHCP+NPS认证实现动态VLAN配置完成,可开始在PC、移动客户端等设备接入网络,使用域账号及密码进行登录尝试。
2.设置有线网络(Wired AutoConfig)和无线网络(WLAN AutoConfig)服务开机自动启动802.1x服务
3.有线网卡属性“身份验证”选项,启用802.1X和受保护的EAP选项,然后打开“设置”EAP属性,取消“验证证书服务器”,点击配置属性,将自动使用的登录和密码选项取消,然后确定保存关闭。
4.返回网卡属性“身份验证”选项,打开“其他设置”,勾选“指定身份验证模式”,确定保存。
5.待电脑屏幕右下角,弹出如下窗口选择点击左键,
6.弹出如下网络身份验证窗口,输入自己公司的域账号(或用户名)和密码点击确定即可。
注:使用无线的用户需先配置连接网络的SSID,然后对其进行身份验证设置再连接登录。推荐以上所有设置规则在AD中使用组策略推送配置,方便域账号登录系统自动连接网络。
声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:shawn.lee@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
本站原创内容未经允许不得转载,或转载时需注明出处:https://news.kd010.com/fwqjs/31.html
TAG标签: