實驗環境
GNS3橋接兩台虛擬機,一台win server 2008,一台win 7
拓撲:
預先配置
服務器(這里以win2008為例)預先安裝好服務,如AD、DNS、DHCP等:
在服務器上創建賬號user1
DHCP上創建好對應網段的地址池
PC入域
在AD上創建4個用戶組
服務器配置
復制RAS和IAS服務器和工作站身份驗證模板
在證書模板中新建兩個模板
編輯組策略
AD申請證書
配置NPS策略
客戶端配置
電腦在運行輸入services.msc進行設置
PC使用gpupdate /force獲取證書
交換機配置
aaa new-model aaa authentication dot1x default group radius aaa authorization network default group radius ip radius source-interface Vlan10 ! radius server WIN2008R2 address ipv4 192.168.10.11 key 0 123 ! dot1x system-auth-control ! interface gigabitEthernet0/3 switchport access vlan 30 authentication host-mode multi-auth authentication port-control auto dot1x pae authenticator ! radius-server vsa send authentication
以上是根據策略來分配vlan的,其實還有很多種情況,例如用戶身份認證,MAC認證,Guest-vlan等,截圖太多了。。。有興趣的同學可以研究一下
以下是新內容,補充之前沒上傳的內容,希望能幫助到有需要的人,謝謝。
在AD上把組策略改成用戶驗證
NPS服務器
default vlan 認證方法:(即接口配置哪個vlan,用戶就划入哪個vlan,不需要AD來動態分配vlan)
配置 guest vlan ,使得用戶認證失敗后進入guest vlan
交換機接口配置
interface GigabitEthernet0/0
switchport access vlan 20
switchport mode access
authentication event no-response action authorize vlan 30
authentication host-mode multi-domain
authentication port-control auto
dot1x pae authenticator
dot1x timeout quiet-period 5
dot1x timeout tx-period 5
dot1x timeout supp-timeout 5
spanning-tree portfast edge
MAC認證:
NPS配置: