網絡安全三:利用AD + NPS實現有線的802.1x准入認證功能


實驗環境


 GNS3橋接兩台虛擬機,一台win server 2008,一台win 7

拓撲:

 

預先配置


 服務器(這里以win2008為例)預先安裝好服務,如AD、DNS、DHCP等:

 

 

 在服務器上創建賬號user1

 

DHCP上創建好對應網段的地址池

 

 PC入域

 

在AD上創建4個用戶組

 

 

服務器配置


復制RAS和IAS服務器和工作站身份驗證模板

 

 

在證書模板中新建兩個模板

 

 編輯組策略

 

 

 

AD申請證書 

 

 配置NPS策略

 

 

 

 

 

 

客戶端配置


 電腦在運行輸入services.msc進行設置

 

 PC使用gpupdate /force獲取證書 

 

 

交換機配置

aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
ip radius source-interface Vlan10 
!
radius server WIN2008R2
address ipv4 192.168.10.11
key 0 123
!
dot1x system-auth-control
!
interface gigabitEthernet0/3
 switchport access vlan 30
 authentication host-mode multi-auth
 authentication port-control auto
 dot1x pae authenticator
!
radius-server vsa send authentication

 

 

 

 

 

 

 

以上是根據策略來分配vlan的,其實還有很多種情況,例如用戶身份認證,MAC認證,Guest-vlan等,截圖太多了。。。有興趣的同學可以研究一下

 

 

以下是新內容,補充之前沒上傳的內容,希望能幫助到有需要的人,謝謝。


在AD上把組策略改成用戶驗證

 

 NPS服務器

 

 

 

 

default vlan 認證方法:(即接口配置哪個vlan,用戶就划入哪個vlan,不需要AD來動態分配vlan) 

 

 

 

 

 

 

 

 

 配置 guest vlan ,使得用戶認證失敗后進入guest vlan 

 交換機接口配置

interface GigabitEthernet0/0
 switchport access vlan 20
 switchport mode access
 authentication event no-response action authorize vlan 30
 authentication host-mode multi-domain
 authentication port-control auto
 dot1x pae authenticator
 dot1x timeout quiet-period 5
 dot1x timeout tx-period 5
 dot1x timeout supp-timeout 5
 spanning-tree portfast edge

 

MAC認證:


NPS配置:

 

 

 

 

 


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM