企业组网建设方案——基于802.1x+AD+DHCP+NPS实现网络权限动态分配

最新推荐文章于 2024-05-10 10:55:13 发布
最新推荐文章于 2024-05-10 10:55:13 发布
阅读量2.8k 收藏 11
点赞数 1
文章标签: 网络安全 网络 安全
原文链接:https://www.sohu.com/a/195345396_115128
版权

企业组网建设方案——基于802.1x+AD+DHCP+NPS实现网络权限动态分配 

2017-09-29 09:05

作者简介:王志强,五阿哥钢铁电商平台(wauge.com) 运维部IT高级工程师

近年,网络安全被企业经常所提及,对安全越来越重视。在企业组建局域网中如何能对网络接入用户身份进行确认,用户接入网络后,如何能随着办公地点的转移而保证网络权限不变,在本方案进行阐述和表达,本方案在公司内已经运行多年,成熟、稳定,希望能帮助那些还在奔波在手动调整网络权限、识别接入网络用户身份的同学脱离水深火热的“坑”走向自动化,提高企业网络准入的安全性。

组网规划方案

  1. 需求描述

    1.1 LDAP统一帐户管理,无终端管理软件

    1.2 使用用户名与密码认证就接入网络

    1.3 用户可支持多个终端,在手机、笔记本、台式机上登录,具有同样网络权限

    1.4 各部门获得自己独立IP网段,且具有各自网络权限

    1.5 方便部署后运维管理,减少网络维护工作

  2. 实现方案

    2.1 基于802.1x协议,实现端口访问控制和认证

    2.2 搭建Windows Server系统环境,实现AD+DHCP+NP(Radius)统一用户认证管理以及方便运维管理

    2.3 选择支持802.1x协议认证网络设备,实现动态VLAN实现获得各终端网络登录具有各自网络权限,减少网络维护工作

3.组网环境

IBM服务器

Cisco网络设备

客户端网络

注:在核心网络交换机中把划分的VLAN对应到用户所在安全组,这样在调整用户所在安全组后,即继承了划分VLAN的网络权限。

4、架构图

一、 组网实施部署

这里AD、DHCP、无线AC服务配置本文忽略,本文主要介绍关键配置有线网络设备上开启802.1X认证和认证服务器NPS(Radius)的配置。

  1. 接入交换机(WS-C2960X-48LPS-L)开启802.1x认证,以Cisco 2960为例(注:不同IOS版本命令略有差异)

    第一步:进入配置模式开启802.1x认证、指定radius-server

    aaa new-model

    ! 启用 aaa

    aaa authentication dot1x default group radius

    ! dot1x使用radius做认证

    aaa authorization network default group radius

    ! 使用802.1x协议去动态分配vlan的话,上边的这句命令一定要有

    dot1x system-auth-control

    ! 允许802.1x port-based 认证

    dot1x guest-vlan supplicant

    ! 允许交换机在端口802.1x认证失败后,指定vlan到guest-vlan

    radius-server host IP auth-port 1812 acct-port 1813 key Password

    ! 指定radius服务器IP、端口号和进行交互的使用的密码

    radius-server retry method reorder

    ! 允许有多个radius服务器冗余切换

    radius-server timeout 10

    ! 指定radius服务认证超时时间

注:把预规划好的所有部门VLAN配置到每台接入交换机和无线AC控制器上,并在核心交换机中配置指向到DHCP服务器地址,这样既可实现不同用户安全组获得动态VLAN地址。

第二步进入网络端口下启用802.1x配置

interface GigabitEthernet1/0/46

switchport mode access

! dot1x指定vlan, switchport mode必须为access

switchport voice vlan 195

! dot1x指定语音vlan

authentication event fail action authorize vlan 107

! 认证失败获得隔离vlan

authentication event no-response action authorize vlan 107

! 认证无响应获得隔离vlan

authentication port-control auto

! 端口认证控制

authentication timer inactivity 30

! 认证响应超时

dot1x pae authenticator

! 认证端口开启

2.NPS(Radius)策略配置

2.1 使用配置向导新建连接策略

2.2添加NPS客户端(接入交换机和无线AC),输入交接机IP和与其认证交互的Password

2.3 选择EAP类型为Microsoft:受保护的EAP(PEAP)

2.4 NPS(Radius)服务器申请计算机证书

2.5 添加账号认证系统AD中的用户test01所在部门“全局作用域安全组”

2.6 配置网络策略,动态VLAN和访问控制列表(ACL)

Tunnel-Type: VLAN

Tunnel-Medium-Type: 802.1x

Tunnel-Pvt-Group-ID: 100 (为VLAN ID),这样不同用户安全组对应不同网络VLAN即可得到不同的网络访问权限,从而大大减少网络层对终端接入设备访问权限的频繁设置。

2.7 配置完成,NPS(Radius)客户端显示状态

2.8 配置完成,连接请求策略显示状态

2.9 配置完成,网络策略显示状态

2.10 注意:网络策略中,通过配置向导创建的默认是“windows组”,需要手动改为“用户组”,后续熟练后可对NPS(Radius)客户端、连接请求策略和网络策略分开逐一按需求创建。

2.11 注意:连接请求策略,如无线和有线IP段分开,需分开创建,如不分开,创建一条把无线和有线都勾选即可。

2.12 其他部门网络策略,可右键选择重复策略进行创建

至此基于802.1x+AD+DHCP+NPS认证实现动态VLAN配置完成,可开始在PC、移动客户端等设备接入网络,使用域账号及密码进行登录尝试。

二、客户端连接网络,网卡验证配置

Windows 7系统客户端:

1.开始菜单运行输入services.msc打开本地服务设置

2.设置有线网络(Wired AutoConfig)和无线网络(WLAN AutoConfig)服务开机自动启动802.1x服务

3.有线网卡属性“身份验证”选项,启用802.1X和受保护的EAP选项,然后打开“设置”EAP属性,取消“验证证书服务器”,点击配置属性,将自动使用的登录和密码选项取消,然后确定保存关闭。

4.返回网卡属性“身份验证”选项,打开“其他设置”,勾选“指定身份验证模式”,确定保存。

6.弹出如下网络身份验证窗口,输入自己公司的域账号(或用户名)和密码点击确定即可。

注:使用无线的用户需先配置连接网络的SSID,然后对其进行身份验证设置再连接登录。推荐以上所有设置规则在AD中使用组策略推送配置,方便域账号登录系统自动连接网络。

m0_66083967
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
通过Windows NPS,配置有线802.1x认证
夜邢的博客
06-22 3755
通过Windows NPS,配置有线802.1x认证 华为,华三配置802.1x认证
企业网VLAN与DHCP配置笔记
临海听风的博客
08-27 4949
介绍企业小型局网配置过程。包括三层交换、二层交换机配置,VLAN和DHCP的配置方法。
NPS】微软NPS配置802.1x,验证账号,动态分配VLAN(NPS篇)
最新发布
u012153104的博客
05-10 1092
Network Policy Server(NPS)是微软Windows Server中的一个网络服务,它作为RADIUS服务器实现,用于集中管理网络接入请求。NPS处理对网络资源的认证、授权和审计请求,通常用于控制远程访问VPN和无线网络的接入。NPS可以与Active Directory集成,利用基于证书的认证增强安全性,允许网络策略的集中创建和实施。通过NPS网络管理员能够定义哪些用户或设备可以连接到网络,以及连接的条件是什么,从而帮助维护网络的完整性和安全性。
详细教你用NPS搭建内网穿透服务,外出时轻薄本轻松连接家里的游戏主机远程玩耍
热门推荐
微瑟秋风的博客
07-21 1万+
NPS是一款轻量级、高性能、功能强大的内网穿透代理服务器,支持tcp、udp、http等几乎所有流量转发,支持WEB界面管理主机连接。
802.1x+AD+DHCP+NPS动态下发vlan Windows Server 2008端配置
weixin_34198881的博客
04-07 728
本文转载自:http://www.iyunv.com/thread-7865-1-1.html基于802.1x+AD+NPS+DHCP动态下发VLAN配置作者:闫欢 QQ:253408824一、准备工作1.AD Windows Server 2008 R2服务器:创建帐号和组 硬件需求: 内存:2G以上 硬盘:20G以上 ...
华为设备802.1X认证(认证点在汇聚层交换机)
Tony_long7483的博客
09-02 9425
1.配置网络互通 (1)配置终端IP地址 (2)创建WLAN并允许通过vlan,保证网络畅通 [LSW1]vlan batch 11 12 [LSW1-Vlanif11]ip add 10.1.11.1 24 [LSW1-Vlanif12]ip add 10.1.12.1 24 [LSW1-GigabitEthernet0/0/1]port link-type access [LSW1-GigabitEthernet0/0/1]port default vlan 11 [LSW1-GigabitEt.
使用802.1x和NAP实现动态vlan的划分-by 联科教育
weixin_34149796的博客
12-11 473
实验拓扑图 实验描述 公司内部有多个部门,创建了的架构,并搭建了DHCP服务器和Radius服务器,要求每个部门都独享一个网段,实现每位用户插上网线后,跳出窗体进行身份验证,如果用户通过验证,根据用户所在的部门分配IP地址。例如销售部地址段为192.168.1.0/24则销售部员工Alice 获取的地址应该为192.168.1.1,市场部地址段为192.168.2....
一、基于802.1x+AD+NPS+DHCP动态下发VLAN配置 (第1篇、准备工作及需求)
m0_66083967的博客
01-06 976
基于802.1x+AD+NPS+DHCP动态下发VLAN配置 作者:闫欢 Q Q:253408824 一、准备工作 1. AD Windows Server 2008 R2服务器:创建帐号和组 硬件需求: 内存:2G以上 硬盘:20G以上 CPU:1.4GHz(X64架构) 2. NPS:通过NPS做访问策略 3. DHCP:验证通过后分配ip地址 4. 网络设备H3C S5120、华为S5700、华为S7712 二、需求 1、 拓扑图 2、基于802.1x动态下发vl..
windows NPS 结合 Cisco 交换机实现802.1x身份验证
08-29
使用Windows NPS服务结合Cisco交换机实现802.1x身份验证
802.1X 基于 Windows server 2008 AD RADIUS 认证
09-16
802.1X 基于 Windows Server 2008 Active Directory (AD) 和 Radius 认证是一种网络接入控制技术,用于强化网络安全。它允许网络管理员对连接到网络的设备进行身份验证和授权,确保只有经过身份验证的用户才能访问...
利用windows server 2008 NPS实现802.1X认证
08-21
Windows Server 2008 NPS 实现 802.1X 认证的配置指南 Windows Server 2008 NPS(Network Policy Server)可以...Windows Server 2008 NPS 可以实现基于证书的 802.1X 认证,该认证方式可以提供安全网络访问控制。
802.1X+AD+CA
11-01
Cisco 3645 802.1X+AD+CA+IAS进行802.1x身份验证(有线网)on GNS3
利用win2008 NPS实现802.1X验证
10-22
20页中文文档详解利用win2008 NPS实现802.1X验证
IEEE 802.1x实施方案.docx
11-18
IEEE 802.1x 是一种基于端口的网络访问控制协议,它主要用于实现网络接入点的认证,以提升企业网络安全性。该协议允许网络设备(如交换机)在终端设备试图连接到网络之前对其进行身份验证。在本文中,我们将详细...
使用nps搭建内网穿透服务
qq_45430571的博客
06-21 6583
🚀 nps是一款开源的内网穿透工具,它可以帮助用户将内网中的服务通过代理服务器映射到公网上,从而实现公网访问内网服务的功能。nps支持TCP和UDP协议,可以转发任何上层协议,例如HTTP、HTTPS、SSH等等。 除了内网穿透功能之外,nps还支持内网HTTP代理、内网socks5代理、p2p等特性,以及带有强大的Web管理端,可以方便地管理和配置代理服务器。 nps具有轻量、高性能、易于部署和配置等特点,广泛应用于企业内网、个人网络和云服务等领。例如,开发人员可以使用nps来调试内网接口......
【割接梳理】Cisco设备替换为Huawei/H3C的安全准入(AAA/Radius/Dot1X/MAC绑定)配置梳理
m0_51770049的博客
07-04 2696
某局点需要将数台Cisco Catalyst 2960接入交换机替换为Huawei S5731/H3C S5130交换机。本人的职责是负责检查及补充由Cisco翻译后的Huawei/H3C配置,现场支持设备割接。
组策略应用——限制计算机接入
weixin_34075268的博客
06-21 304
企业员工经常将属于个人的笔记本电脑带到公司的网络环境(网络部署DHCP服务器)中,拔下原来电脑网线,接上个人笔记本电脑后通过自动获得网络参数,然后访问公司的网络资源或者直接上网玩游戏。因此,管理者做出以下决定。·管理规定:个人计算机不能接入到公司网络环境。·技术要求:即使个人计算机带到公司也不能正常使用。本章将以此为目标,探讨在网络环境中不在三...
思科二层交换机系列------设备更换详细配置命令
qq_40408065的博客
04-26 3713
背景 某大厂自主研发的交换机已到年限,现将所有的二层交换机替换为cisco2960系列,计划在周六,除更换交换机外,不引起网络波动。 问题 1:自主研发交换机与思科交换机命令不同,需要更改; 2:此大厂添加了思科ISE,所以交换机配置aaa认证 3:认证优化 解决 由于是二层设备替换,不影响三层,所以这次操作很简单,第一步将他们自主研发的命令更改为思科命令(命令更改时最好打上ip routing);tacacs与radius服务器地址更改只需要cisco网站查看命令配置就行,主要配置如下: (简单二层交换机
CCNP之802.1x实验案例
weixin_33849215的博客
11-08 611
实验要求: VLAN4终端及外部Web Server使用路由器模拟,ACS Server使用一台2003 Server,Laptop使用任意笔记本(需开启EAP服务),各节点地址见拓扑,各VLAN网关为本网段的最后一个可用地址,请按拓扑要求选择设备,尽量使用固定拓扑连接。 1、 Catalyst 3560实现VLAN间路由(共4个VLAN),并做为DHCP服务器...
基于802.1x+AD+NPS+DHCP动态下发VLAN配置 (
04-05
一、802.1x认证的原理 802.1x是一种认证协议,它定义了一种在局网中对用户进行身份验证的标准方法。基本原理是在用户设备连接到网络时,先要进行身份验证,只有通过认证的用户才能访问网络资源。 具体实现方式是,用户设备连接到交换机后,首先会发送一个认证请求,请求接入认证服务器进行身份验证。交换机收到请求后,会将该请求转发给认证服务器,认证服务器再根据用户提供的用户名和密码等认证信息,判断用户是否能够通过认证。如果认证通过,则认证服务器会通知交换机将该用户设备接入到指定的VLAN中,从而实现对用户访问网络资源的控制。 二、ADNPS的配置 AD(Active Directory)是一种由微软公司开发的目录服务,用于管理网络中的所有资源和用户。NPS(Network Policy Server)是一种基于Windows Server的认证服务器,可以用于实现802.1x认证,并对用户进行身份验证。下面是ADNPS的配置步骤: 1、在AD中创建用户账户 首先需要在AD中创建用户账户,用于用户设备进行身份验证。具体步骤如下: ①打开“Active Directory用户和计算机”管理工具; ②右键单击“Users”文件夹,选择“New”→“User”,创建一个新用户; ③设置该用户的用户名和密码等信息,并确保该用户具备访问网络资源的权限。 2、在NPS中配置网络策略 接下来需要在NPS中配置网络策略,用于对用户进行身份验证。具体步骤如下: ①打开“Network Policy Server”管理工具; ②右键单击“Policies”文件夹,选择“New”→“Network Policy”,创建一个新的网络策略; ③在“Network Policy Properties”对话框中,设置策略名称和条件,并配置认证方法和授权方式等参数; ④在“Constraints”选项卡中,可以设置限制条件,例如限制用户在特定时间段内才能访问网络资源; ⑤在“Settings”选项卡中,可以设置一些其他参数,例如可用的VLAN列表、IP地址等信息; ⑥在“Policy Enabled”选项中,勾选“Enable this network policy”选项,使该策略生效。 三、DHCP动态下发VLAN配置 在进行802.1x认证的同时,还可以通过DHCP动态下发VLAN配置信息,从而实现对用户访问网络资源的控制。具体实现方式是,当用户设备通过802.1x认证后,交换机会将其接入到指定的VLAN中,并向DHCP服务器发送请求,获取IP地址和VLAN配置信息。 下面是DHCP动态下发VLAN配置的配置步骤: 1、在DHCP服务器中创建VLAN范围 首先需要在DHCP服务器中创建VLAN范围,用于为接入不同VLAN的用户设备分配IP地址。具体步骤如下: ①打开“DHCP管理控制台”; ②右键单击“IPv4”文件夹,选择“New Scope”,创建一个新的VLAN范围; ③设置该范围的起始IP地址、子网掩码、租约时间和网关等信息; ④为该VLAN范围创建一个名称和描述,以便于管理和识别。 2、在交换机上配置DHCP Helper地址 接下来需要在交换机上配置DHCP Helper地址,用于将DHCP请求转发给DHCP服务器。具体步骤如下: ①打开交换机的CLI界面; ②输入“configure terminal”命令,进入配置模式; ③输入“interface vlan x”命令,进入指定的VLAN配置界面; ④输入“ip helper-address dhcp-server-ip”命令,将DHCP Helper地址配置为DHCP服务器的IP地址; ⑤重复以上步骤,为每个需要进行DHCP动态下发VLAN配置的VLAN配置DHCP Helper地址。 3、在DHCP服务器中配置VLAN信息 最后需要在DHCP服务器中配置VLAN信息,用于为接入不同VLAN的用户设备动态下发VLAN配置。具体步骤如下: ①打开“DHCP管理控制台”; ②右键单击“IPv4”文件夹,选择“Server Options”→“Configure Options”,打开“Server Options”对话框; ③在“Server Options”对话框中,选择“066 Boot Server Host Name”和“067 Bootfile Name”选项,分别设置DHCP服务器的名称和文件路径,以便于DHCP服务器能够识别VLAN信息; ④在“Scope Options”对话框中,选择“New Option”,创建一个新的选项; ⑤在“New Option”对话框中,设置选项的名称、代码和数据类型等信息; ⑥在“Value”字段中,输入VLAN配置信息,例如“VLAN ID=10”等信息。 四、总结 基于802.1x AD NPS DHCP动态下发VLAN配置的实现方法,可以有效地控制用户对网络资源的访问权限,从而提高网络安全性和管理效率。但是,该方法需要对ADNPSDHCP等多个系统进行配置,需要一定的技术水平和经验,因此在实施时需要慎重考虑。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值