【NPS】哑终端设备如何实现域VLAN动态分配

于 2024-06-24 16:51:54 发布
阅读量1.2k 收藏 24
点赞数 28
分类专栏: Network Windows 网络安全 文章标签: 网络 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012153104/article/details/139927714
版权
Windows 同时被 3 个专栏收录
53 篇文章 4 订阅
订阅专栏
Network
9 篇文章 0 订阅
订阅专栏
网络安全
8 篇文章 0 订阅
订阅专栏

【NPS】微软NPS配置802.1x,验证域账号,动态分配VLAN(有线网络续篇)中,已经通过C3PL策略配置实现了802.1x验证没有通过时,自动分配一个Guest VLAN,以确保用户至少能够访问基本的网络服务。问题一个接着一个的出现,如果是一个哑终端,譬如打印机,又不在Guest VLAN中又该如何解决呢?

对于哑终端,如打印机或IP摄像头等设备,它们通常不具备执行802.1X认证的能力。在这种情况下,我们可以使用MAC地址绑定(MAC Address Binding,简称MAB)来进行网络访问控制。MAB是一种基于设备MAC地址的认证方法,它允许网络设备根据MAC地址来授权或拒绝设备的网络访问。

MAB简介

MAB是一种网络访问控制技术,它通过将设备的MAC地址与网络策略相关联,来实现对网络访问的控制。MAB的关键优势在于其简单性和对设备类型的广泛兼容性,特别是对于那些不支持802.1X认证的哑终端设备。

NPS和Cisco交换机的配置

为了实现MAB,我们需要在AD域控服务器,网络策略服务器(NPS)和Cisco交换机上进行相应的配置。

AD域控服务器

  1. 创建以哑终端的MAC地址为用户名的用户名,并将同一个VLAN下的设备放入同一个组中。(在我的例子中,终端的MAC地址00-E0-4C-68-01-17
    在这里插入图片描述
    在这里插入图片描述

  2. 默认情况下是不允许使用设备的MAC地址作为密码的,我们需要通过FINE GRAINED PASSWORD POLICIES(细粒度密码策略),降低密码策略要求。
    在这里插入图片描述

  • 打开Active Directory Administrative Center
  • 导航到你的域,然后到系统,再到Password Settings Container
  • 右边任务栏选择新建 > 密码设置
  • 为新策略命名,例如Password-Settings-for-MAB
  • 根据你的需求配置密码策略参数。因为你想要使用设备的MAC地址作为密码,你可能需要设置策略以允许简单密码,不设置密码过期,并且可能没有复杂性要求。

在这里插入图片描述

  1. 修改哑终端设备用户名的密码为MAC地址。

在这里插入图片描述

网络策略服务器(NPS)

为MAB认证创建一个新的网络策略。
命名该策略,例如安全有线(以太网)连接for MAB
配置策略参数以使用MAB认证。你需要指定以下内容:

条件:
	Windows组 - LST\MAB_Devices
	NAS端口类型 - 以太网
约束:
	身份验证方法 - 未加密的身份验证(PAP, SPAP)
	NAS端口类型 - 以太网
设置:
	 标准:
		Service-Type: Framed
		Tunnel-Medium-Type: 802 (includes all 802 media plus Ethernet canonical format)
		Tunnel-Private-Group-ID:  112
	 	Tunnel-Type: Virtual LANs (VLAN)

在这里插入图片描述

Cisco交换机

1. 服务模板配置(Service-Template)

首先,定义一个一个名为GUEST_VLAN的服务模板,指定VLAN号为114。这个模板将用于认证失败的客户端,使他们能够访问Guest VLAN,从而获得有限的网络服务。

service-template GUEST_VLAN
  vlan 114
2. 类映射配置(Class-Map)

定义两个类映射,DOT1X-FAILED和MAB-FAILED,用于匹配认证失败的客户端:

  • DOT1X-FAILED 类映射匹配使用802.1x认证方法但认证状态为未授权的客户端。
  • MAB-FAILED 类映射匹配使用MAC地址绑定(MAB)认证方法但认证状态为未授权的客户端
class-map type control subscriber match-all DOT1X-FAILED
 match method dot1x
 match authorization-status unauthorized

class-map type control subscriber match-all MAB-FAILED
 match method mab
 match authorization-status unauthorized
3. 策略映射配置(Policy-Map)

创建一个名为DOT1X-DEFAULT的策略映射,用于处理认证失败事件:

  • 在会话开始时,首先尝试使用MAB认证。
  • 如果MAB认证失败(MAB-FAILED),则终止MAB认证并尝试使用802.1x认证。
  • 如果802.1x认证也失败(DOT1X-FAILED),则授权客户端到Guest VLAN,激活GUEST_VLAN服务模板,并终止802.1x认证过程。
policy-map type control subscriber DOT1X-DEFAULT
 event session-started match-all
  10 class always do-until-failure
   10 authenticate using mab priority 10
 event authentication-failure match-all
  10 class MAB-FAILED do-all
   10 terminate mab
   20 authenticate using dot1x priority 20
  20 class DOT1X-FAILED do-all
   10 authorize
   20 activate service-template GUEST_VLAN
   30 terminate dot1x
4. 接口配置(Interface)

将策略应用到接口上。

interface GigabitEthernet1/0/31
 description D019
 switchport mode access
 authentication periodic
 authentication timer reauthenticate server
 access-session port-control auto
 mab
 dot1x pae authenticator
 dot1x timeout tx-period 7
 spanning-tree portfast
 service-policy type control subscriber DOT1X-DEFAULT

测试

使用Cisco的命令行工具来检查认证状态和会话详细信息。

show access-session interface GigabitEthernet1/0/31 details

情况1:通过MAB认证。(计算机关闭Wired AutoConfig服务,模拟哑终端)
在这里插入图片描述在这里插入图片描述

情况2:未通过MAB认证,通过802.1x认证。(计算机开启Wired AutoConfig服务,并将MAC地址用户名从MAB_Devices中去除)
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

情况3:未通过MAB认证,也未通过802.1x认证(计算机关闭Wired AutoConfig服务,并将MAC地址用户名从MAB_Devices中去除)
在这里插入图片描述

结语

随着MAB策略的实施,我们的网络环境现在能够更加智能和安全地处理哑终端设备的接入。通过对MAC地址的精细管理,我们不仅提高了网络的访问控制能力,还为哑终端设备提供了必要的网络服务,确保了业务的连续性和数据的安全性。
最后,鼓励大家持续关注网络技术的最新动态,不断更新和优化网络策略,以应对日益复杂的网络安全挑战。通过精心设计的网络访问控制策略,我们可以为用户创造一个更加安全、可靠和高效的网络环境。

KnightYangHJ
关注
专栏目录
五、(H3C)基于802.1x+AD+DHCP+NPS动态下发vlan 华三交换机配置
weixin_34152820的博客
07-30 1411
一、配置网络设备以下为拓扑图1、配置核心交换机(华为S7712)sysname Core-Switch 更改主机名vlan batch 31 32 222 223 批量创建vlanint vlan 32 创建管理vlan 32虚...
Windows server 2019从头搭建私网***
weixin_39963973的博客
08-22 3959
环境:windows 2019 vpn采取用户的认证方式。所以请将vpn服务器提前加入到中。 使用nps网络策略控制vpn接入协议及权限账户 首先修改好计算机名称;自行修改。 先配置安全证书,vpn传输安全还是很重要的。证书自行购买 运行mmc,添加“证书管理单元” 在“证书”管理单元中选择“计算机账户”,本地账户 最后完成。 然后,我们准备导入申请过的证书吧...
基于Windows2012 NPS的Radius 动态VLAN
weixin_33924770的博客
03-27 1957
以前有介绍过基于Windows2012 NPS的Radius 无线认证方案,文章:http://blog.51cto.com/hubuxcg/1636719?cid=702921#702921 今天介绍下,基于Windows 2012 NPS Radius配置动态VLANNPS的初始配置部分,请参考前在的文章,这里只介绍和VLAN配置相关的。1、 在NPS的策略中,添加连接策略,选择安全有线(...
NPS】微软NPS配置802.1x,验证账号,动态分配VLANNPS篇)
u012153104的博客
05-10 2185
Network Policy Server(NPS)是微软Windows Server中的一个网络服务,它作为RADIUS服务器实现,用于集中管理网络接入请求。NPS处理对网络资源的认证、授权和审计请求,通常用于控制远程访问VPN和无线网络的接入。NPS可以与Active Directory集成,利用基于证书的认证增强安全性,允许网络策略的集中创建和实施。通过NPS网络管理员能够定义哪些用户或设备可以连接到网络,以及连接的条件是什么,从而帮助维护网络的完整性和安全性。
NPS】微软NPS配置802.1x,验证账号,动态分配VLAN(WLC篇)
u012153104的博客
05-24 1005
距离上一篇已经过去了近两周了,因为工作原因一直没有来得及更新在WLC上的设置,接下来我们来看一下如何在 Cisco Catalyst 9800-L Wireless Controller上配置,去使用之前配置的NPS
如何根据MAC地址实现无感知免密认证入网?
yuzijiang11111的博客
03-28 719
根据MAC地址进行无感知入网认证,可以增强企业内网安全性与可控性,并给用户带来最佳的入网体验。
802.1x 命令说明以及配置方法
lansefengbaolele的专栏
01-18 5166
802.1x 命令说明以及配置方法 配置802.1x任务列表 配置端口的802.1x认证 配置802.1x多主机端口认证 配置802.1x的重认证 配置802.1x的认证重试次数 配置802.1x发送频率 配置混合MAB认证的刷新时间 配置混合MAB认证的老化时间 配置802.1x用户绑定 配置802.1xmac地址绑定 配置802.1x端口的认证方法 选择802.1x端口的认证类型 配置端口的mab认证 配置802.1x记账 配置802.1x guest-vlan 禁止.
802.1x和MAC认证
SZX_tfd的博客
08-20 5113
(自看用) 关于准入认证 准入认证有三种:802.1x、MAC认证以及Portal认证。下面是三种认证方式的优缺点: 802.1x优点:安全性高。缺点:部署不灵活,需要安装客户端。 MAC 优点:不需要安装客户端。 缺点:等级MAC地址、管理复杂。 Portal 优点:不需要客户端、部署灵活。缺点:安全性不高。 准入认证概述: (截图自b站泰克教育) ...
windows NPS 结合 Cisco 交换机实现802.1x身份验证
08-29
### Windows NPS 结合 Cisco 交换机实现802.1x身份验证 #### 实验背景及目标 本文档详细介绍了如何使用Windows Server 2008 R2上的网络策略服务器(NPS)服务与Cisco交换机相结合来实现802.1x身份验证的过程。实验的...
基于802.1x+AD+NPS+DHCP动态下发VLAN配置 (
04-05
基于802.1x AD NPS DHCP动态下发VLAN配置的实现方法,可以有效地控制用户对网络资源的访问权限,从而提高网络安全性和管理效率。但是,该方法需要对AD、NPS和DHCP等多个系统进行配置,需要一定的技术水平和经验,...
利用windows-server-2008-NPS实现802.1X认证.docx
最新发布
07-24
windows
利用windows server 2008 NPS实现802.1X认证
08-21
Windows Server 2008 NPS 实现 802.1X 认证的配置指南 Windows Server 2008 NPS(Network Policy Server)可以实现 802.1X 认证,该认证方式可以提供安全的网络访问控制。下面将详细介绍如何在 Windows Server 2008...
Windows Server 2008 NPS 操作指南
07-07
Server 2008 NPS 操作指南
身份认证——802.1x认证和MAC认证讲解
热门推荐
m0_49864110的博客
03-16 1万+
用户通过802.1x客户端输入用户和密码来向接入设备发送EAPoL-Start报文来触发认证,接入控制器收到客户端发送的EAPoL-Start报文之后,会向客户端发送EAP-Request/Identity报文,要求用户发送身份标识。EAP中继方式中,用来对用户密码进行加密处理的挑战字由认证服务器生成,设备端只是负责将EAP报文封装在RADIUS报文中透传认证服务器,整个认证处理都由认证服务器来完成。其实就是接入控制端主动触发进行802.1x认证,不过不通过用户密码认证了,而是通过MAC进行认证。
windows 2012 NPS 为 H3C&CISCO提供 radius服务
weixin_34384915的博客
08-06 1192
windows 2008和2012内嵌了NPS,其可以作为radius服务器,参数什么的和Freeradius差不多,指南很少,文档很少接下来主要记录的是NPS为cisco&h3c 提供telnet认证服务ipsec用户认证(测试中,逐渐补完)TheNetworkPolicyandAccessServicesincludethefollowingro...
华为AD+NPS+DHCP+MAC地址认证配置(二)华为篇
weixin_33922672的博客
08-27 1172
配置核心交换机、服务器交换机、接入交换机作者:闫欢Q Q:253408824七、 配置网络设备(华为篇)1、 配置核心交换机(华为S7712) sysname Core-Switch 更改主机名 vlan batch 31 32 90 100 批量创建vlan int vlan 32 创建管理vlan 32虚拟接口 ip address 172.16.32.254 24 配置...
MAC认证原理描述
ssslq的博客
03-23 2267
MAC地址认证
CISCO dot1x mac-authentication + Windows nap
weixin_33777877的博客
01-22 707
实验拓扑相关文档http://yanhuan.blog.51cto.com/1761673/1283665http://bbs.hh010.com/thread-397676-1-1.htmlhttp://bbs.51cto.com/thread-1025131-1.html三个文档按顺序看ps: 在二层设备上用 authentication 命令替代三层中 dot1...
一、基于802.1x+AD+NPS+DHCP动态下发VLAN配置 (第1篇、准备工作及需求)
m0_66083967的博客
01-06 1073
基于802.1x+AD+NPS+DHCP动态下发VLAN配置 作者:闫欢 Q Q:253408824 一、准备工作 1. AD Windows Server 2008 R2服务器:创建帐号和组 硬件需求: 内存:2G以上 硬盘:20G以上 CPU:1.4GHz(X64架构) 2. NPS:通过NPS做访问策略 3. DHCP:验证通过后分配ip地址 4. 网络设备H3C S5120、华为S5700、华为S7712 二、需求 1、 拓扑图 2、基于802.1x动态下发vl..
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值