基于802.1x+AD+DHCP+NPS实现网络权限动态分配

小编发布于：2021-07-01阅读：0

作者简介：王志强，五阿哥钢铁电商平台（wauge.com）运维部IT高级工程师

近年，网络安全被企业经常所提及，对安全越来越重视。在企业组建局域网中如何能对网络接入用户身份进行确认，用户接入网络后，如何能随着办公地点的转移而保证网络权限不变，在本方案进行阐述和表达，本方案在公司内已经运行多年，成熟、稳定，希望能帮助那些还在奔波在手动调整网络权限、识别接入网络用户身份的同学脱离水深火热的“坑”走向自动化，提高企业网络准入的安全性。

组网规划方案

需求描述

实现方案
3．组网环境

IBM服务器
Cisco网络设备
客户端网络
注：在核心网络交换机中把划分的VLAN对应到用户所在安全组，这样在调整用户所在安全组后，即继承了划分VLAN的网络权限。

4、架构图
一、组网实施部署
接入交换机（WS-C2960X-48LPS-L）开启802.1x认证，以Cisco 2960为例（注：不同IOS版本命令略有差异）
注：把预规划好的所有部门VLAN配置到每台接入交换机和无线AC控制器上，并在核心交换机中配置指向到DHCP服务器地址，这样既可实现不同用户安全组获得动态VLAN地址。

第二步进入网络端口下启用802.1x配置
2.NPS（Radius）策略配置

2.1 使用配置向导新建连接策略
2.3 选择EAP类型为Microsoft:受保护的EAP（PEAP）

2.4 NPS(Radius)服务器申请计算机证书

2.5 添加账号认证系统AD中的用户test01所在部门“全局作用域安全组”

2.6 配置网络策略，动态VLAN和访问控制列表（ACL）

Tunnel-Type： VLAN
2.7 配置完成，NPS（Radius）客户端显示状态

2.8 配置完成，连接请求策略显示状态

2.9 配置完成，网络策略显示状态

2.10 注意：网络策略中，通过配置向导创建的默认是“windows组”，需要手动改为“用户组”，后续熟练后可对NPS（Radius）客户端、连接请求策略和网络策略分开逐一按需求创建。

2.11 注意：连接请求策略，如无线和有线IP段分开，需分开创建，如不分开，创建一条把无线和有线都勾选即可。

2.12 其他部门网络策略，可右键选择重复策略进行创建

至此基于802.1x+AD+DHCP+NPS认证实现动态VLAN配置完成，可开始在PC、移动客户端等设备接入网络，使用域账号及密码进行登录尝试。
2.设置有线网络（Wired AutoConfig）和无线网络(WLAN AutoConfig)服务开机自动启动802.1x服务

3.有线网卡属性“身份验证”选项，启用802.1X和受保护的EAP选项，然后打开“设置”EAP属性，取消“验证证书服务器”，点击配置属性，将自动使用的登录和密码选项取消，然后确定保存关闭。
```
    4.返回网卡属性“身份验证”选项，打开“其他设置”，勾选“指定身份验证模式”，确定保存。
```
5.待电脑屏幕右下角，弹出如下窗口选择点击左键，

6.弹出如下网络身份验证窗口，输入自己公司的域账号(或用户名)和密码点击确定即可。
```
注：使用无线的用户需先配置连接网络的SSID，然后对其进行身份验证设置再连接登录。推荐以上所有设置规则在AD中使用组策略推送配置，方便域账号登录系统自动连接网络。
```