雖然我們都是干網絡的,但是每位網絡工程師都必定遇到過“IT系統不智能”的bug。
就以企業網搭建來說吧:
很多時候,為了對網絡接入用戶身份進行確認,確保用戶權限不受辦公地點變更的影響,很多網工都會開啟 “手動模式”來操作,這時候,難免會有“加班模式”伴隨出現。
任何事情都是有方法的,而企業組建局域網的配置,當然也是有“套路”的。
今天分享一個操作,讓你輕松幾步,飛速提高企業網絡準入的安全性。
今日文章閱讀福利:《華為UC Visio 最全圖標庫》
畫拓撲圖還在到處找圖標的,建議保存一份。私信老楊,好友驗證備注“圖標”,前8名粉絲優先領取資源。
01 方案規劃
對于企業 IT工程師來說,什么樣的企業網絡是我們需要的呢,是快捷,還是安全,讓我們來想象一下。
1. 員工入職即生成個人賬戶,一套賬戶“走遍天下”,包含接入網絡,OA,內網,ERP,甚至打印和復印等;
2. 支持多個終端,在手機、筆記本、臺式機上登錄,不論在公司什么位置,你有擁有相同的網絡權限;
3. 員工調崗或者更換部門,僅需再組織架構中進行調整,這個“新”員工自動獲取新部門的網絡權限;
4. 員工離職,僅需要將賬號“一鍵禁用”。
好了,所有的權限都關了,“蒼蠅”你都別想飛進來。
有句話說“理想很豐滿,現實很骨感,但是,這都不是夢,我來告訴你理想的實現方法。
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
- 基于 802.1x協議,實現端口訪問控制和認證;
- 搭建 windows Server系統環境,實現 AD+DHCP+DNS,這部分搭建網上大把大把的教程,這部分忽略不在進行贅述;
- NPS(radius),用戶認證管理管理;
- 選擇支持 802.1x協議認證網絡設備,實現動態 VLAN實現獲得各終端網絡登錄具有各自網絡權限。
02 組網環境(實驗)
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
重點:
調整用戶所在安全組后,如何繼承了劃分 VLAN的網絡權限?答:在核心網絡交換機中把劃分的 vlan一定要對應到用戶所在安全組,如上圖。
03 方案實施
本文主要介紹關鍵配置:有線網絡設備上開啟 802.1X認證和認證服務器 NPS(Radius)的配置,其他搭建過程請參照文章底部附錄。
1. 接入交換機(WS-C2960X-48LPS-L)開啟 802.1x認證,以 Cisco 2960為例(注:不同 IOS版本命令略有差異)
第一步:進入配置模式開啟 802.1x認證,指定 Radius-server
aaa new-model
!啟用 aaa
aaa authentication dot1x default group radius
! dot1x使用 radius做認證
aaa authorization.NETwork default group radius
!使用 802.1x協議去動態分配 vlan的話,上邊的這句命令一定要有
dot1x system-auth-control
!允許 802.1x port-based認證
dot1x guest-vlan supplicant
!允許交換機在端口 802.1x認證失敗后,指定 vlan到 guest-vlan
radius-server host IP auth-port 1812 acct-port 1813 key Password
!指定 radius服務器 IP、端口號和進行交互的使用的密碼
radius-server retry method reorder
!允許有多個 radius服務器冗余切換
radius-server timeout 10
!指定 radius服務認證超時時間
重點:不同用戶安全組如何獲得動態 VLAN地址?
把預規劃好的所有 VLAN配置到每臺接入交換機和無線 AC控制器上,并在核心交換機中配置指向到 DHCP服務器地址 。
第二步:進入網絡端口下啟用 802.1x配置
interface GigabitEthernet1/0/46
switchport mode access
! dot1x指定 vlan, switchport mode必須為 access
switchport voice vlan 195
! dot1x指定語音 vlan
authentication event fail action authorize vlan 107
!認證失敗獲得隔離 vlan
authentication event no-response action authorize vlan 107
!認證無響應獲得隔離 vlan
authentication port-control auto
!端口認證控制
authentication timer inactivity 30
!認證響應超時
dot1x pae authenticator
!認證端口開啟
2. NPS(Radius)策略配置(注意了,這個方案最重要的 12步,一定要注意)
第一步:使用配置向導新建連接策略
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
第二步:添加 NPS客戶端(接入交換機和無線 AC),輸入交接機 IP和與其認證交互的 Password
添加圖片注釋,不超過 140 字(可選)
添加圖片注釋,不超過 140 字(可選)
第三步:選擇 EAP類型為 Microsoft:受保護的 EAP(PEAP)
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
第四步:NPS(Radius)服務器申請計算機證書
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
第五步:添加賬號認證系統 AD中的用戶 test01所在部門“全局作用域安全組”
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
第六步:配置網絡策略,動態 VLAN和訪問控制列表(ACL)
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
Tunnel-Type:VLANTunnel-Medium-Type:
802.1xTunnel-Pvt-Group-ID: 100 (為 VLAN ID),這樣不同用戶安全組對應不同網絡 VLAN即可得到不同的網絡訪問權限,從而大大減少網絡層對終端接入設備訪問權限的頻繁設置。
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
第七步:配置完成,NPS(Radius)客戶端顯示狀態
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
第八步:配置完成,連接請求策略顯示狀態
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
第九步:配置完成,網絡策略顯示狀態
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
注意:
網絡策略中,通過配置向導創建的默認是“windows組”,需要手動改為“用戶組”,后續熟練后可對 NPS(Radius)客戶端、連接請求策略和網絡策略分開逐一按需求創建。
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
注意:連接請求策略,如無線和有線 IP段分開,需分開創建,如不分開,創建一條把無線和有線都勾選即可。
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
第十步:其他部門網絡策略,可右鍵選擇重復策略進行創建
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
至此基于 802.1x+AD+DHCP+NPS認證實現動態 VLAN配置完成,可開始在 PC、移動客戶端等設備接入網絡,使用域賬號及密碼進行登錄嘗試。
04 方案驗證
1. 開始菜單運行輸入 services.msc打開本地服務設置
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
2. 設置有線網絡(Wired AutoConfig)和無線網絡 (WLAN AutoConfig)服務開機自動啟動 802.1x服務
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
3. 有線網卡屬性“身份驗證”選項,啟用 802.1X和受保護的 EAP選項,然后打開“設置”EAP屬性,取消“驗證證書服務器”,點擊配置屬性,將自動使用的登錄和密碼選項取消,然后確定保存關閉。
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
4. 返回網卡屬性“身份驗證”選項,打開“其他設置”,勾選“指定身份驗證模式”,確定保存。
編輯切換為居中
添加圖片注釋,不超過 140 字(可選)
5. 待電腦屏幕右下角,彈出如下窗口選擇點擊左鍵。
添加圖片注釋,不超過 140 字(可選)
6. 彈出如下網絡身份驗證窗口,輸入自己公司的域賬號 (或用戶名)和密碼點擊確定即可。
添加圖片注釋,不超過 140 字(可選)
整理:老楊丨9年資深網絡工程師,更多網工提升干貨,請關注公眾號:網絡工程師俱樂部
