雖然我們都是干網(wǎng)絡(luò)的,但是每位網(wǎng)絡(luò)工程師都必定遇到過(guò)“IT系統(tǒng)不智能”的bug。
就以企業(yè)網(wǎng)搭建來(lái)說(shuō)吧:
很多時(shí)候,為了對(duì)網(wǎng)絡(luò)接入用戶身份進(jìn)行確認(rèn),確保用戶權(quán)限不受辦公地點(diǎn)變更的影響,很多網(wǎng)工都會(huì)開(kāi)啟 “手動(dòng)模式”來(lái)操作,這時(shí)候,難免會(huì)有“加班模式”伴隨出現(xiàn)。
任何事情都是有方法的,而企業(yè)組建局域網(wǎng)的配置,當(dāng)然也是有“套路”的。
今天分享一個(gè)操作,讓你輕松幾步,飛速提高企業(yè)網(wǎng)絡(luò)準(zhǔn)入的安全性。
今日文章閱讀福利:《華為UC Visio 最全圖標(biāo)庫(kù)》
畫(huà)拓?fù)鋱D還在到處找圖標(biāo)的,建議保存一份。私信老楊,好友驗(yàn)證備注“圖標(biāo)”,前8名粉絲優(yōu)先領(lǐng)取資源。
01 方案規(guī)劃
對(duì)于企業(yè) IT工程師來(lái)說(shuō),什么樣的企業(yè)網(wǎng)絡(luò)是我們需要的呢,是快捷,還是安全,讓我們來(lái)想象一下。
1. 員工入職即生成個(gè)人賬戶,一套賬戶“走遍天下”,包含接入網(wǎng)絡(luò),OA,內(nèi)網(wǎng),ERP,甚至打印和復(fù)印等;
2. 支持多個(gè)終端,在手機(jī)、筆記本、臺(tái)式機(jī)上登錄,不論在公司什么位置,你有擁有相同的網(wǎng)絡(luò)權(quán)限;
3. 員工調(diào)崗或者更換部門,僅需再組織架構(gòu)中進(jìn)行調(diào)整,這個(gè)“新”員工自動(dòng)獲取新部門的網(wǎng)絡(luò)權(quán)限;
4. 員工離職,僅需要將賬號(hào)“一鍵禁用”。
好了,所有的權(quán)限都關(guān)了,“蒼蠅”你都別想飛進(jìn)來(lái)。
有句話說(shuō)“理想很豐滿,現(xiàn)實(shí)很骨感,但是,這都不是夢(mèng),我來(lái)告訴你理想的實(shí)現(xiàn)方法。
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
- 基于 802.1x協(xié)議,實(shí)現(xiàn)端口訪問(wèn)控制和認(rèn)證;
- 搭建 windows Server系統(tǒng)環(huán)境,實(shí)現(xiàn) AD+DHCP+DNS,這部分搭建網(wǎng)上大把大把的教程,這部分忽略不在進(jìn)行贅述;
- NPS(radius),用戶認(rèn)證管理管理;
- 選擇支持 802.1x協(xié)議認(rèn)證網(wǎng)絡(luò)設(shè)備,實(shí)現(xiàn)動(dòng)態(tài) VLAN實(shí)現(xiàn)獲得各終端網(wǎng)絡(luò)登錄具有各自網(wǎng)絡(luò)權(quán)限。
02 組網(wǎng)環(huán)境(實(shí)驗(yàn))
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
重點(diǎn):
調(diào)整用戶所在安全組后,如何繼承了劃分 VLAN的網(wǎng)絡(luò)權(quán)限?答:在核心網(wǎng)絡(luò)交換機(jī)中把劃分的 vlan一定要對(duì)應(yīng)到用戶所在安全組,如上圖。
03 方案實(shí)施
本文主要介紹關(guān)鍵配置:有線網(wǎng)絡(luò)設(shè)備上開(kāi)啟 802.1X認(rèn)證和認(rèn)證服務(wù)器 NPS(Radius)的配置,其他搭建過(guò)程請(qǐng)參照文章底部附錄。
1. 接入交換機(jī)(WS-C2960X-48LPS-L)開(kāi)啟 802.1x認(rèn)證,以 Cisco 2960為例(注:不同 IOS版本命令略有差異)
第一步:進(jìn)入配置模式開(kāi)啟 802.1x認(rèn)證,指定 Radius-server
aaa new-model
!啟用 aaa
aaa authentication dot1x default group radius
! dot1x使用 radius做認(rèn)證
aaa authorization.NETwork default group radius
!使用 802.1x協(xié)議去動(dòng)態(tài)分配 vlan的話,上邊的這句命令一定要有
dot1x system-auth-control
!允許 802.1x port-based認(rèn)證
dot1x guest-vlan supplicant
!允許交換機(jī)在端口 802.1x認(rèn)證失敗后,指定 vlan到 guest-vlan
radius-server host IP auth-port 1812 acct-port 1813 key Password
!指定 radius服務(wù)器 IP、端口號(hào)和進(jìn)行交互的使用的密碼
radius-server retry method reorder
!允許有多個(gè) radius服務(wù)器冗余切換
radius-server timeout 10
!指定 radius服務(wù)認(rèn)證超時(shí)時(shí)間
重點(diǎn):不同用戶安全組如何獲得動(dòng)態(tài) VLAN地址?
把預(yù)規(guī)劃好的所有 VLAN配置到每臺(tái)接入交換機(jī)和無(wú)線 AC控制器上,并在核心交換機(jī)中配置指向到 DHCP服務(wù)器地址 。
第二步:進(jìn)入網(wǎng)絡(luò)端口下啟用 802.1x配置
interface GigabitEthernet1/0/46
switchport mode access
! dot1x指定 vlan, switchport mode必須為 access
switchport voice vlan 195
! dot1x指定語(yǔ)音 vlan
authentication event fail action authorize vlan 107
!認(rèn)證失敗獲得隔離 vlan
authentication event no-response action authorize vlan 107
!認(rèn)證無(wú)響應(yīng)獲得隔離 vlan
authentication port-control auto
!端口認(rèn)證控制
authentication timer inactivity 30
!認(rèn)證響應(yīng)超時(shí)
dot1x pae authenticator
!認(rèn)證端口開(kāi)啟
2. NPS(Radius)策略配置(注意了,這個(gè)方案最重要的 12步,一定要注意)
第一步:使用配置向?qū)陆ㄟB接策略
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
第二步:添加 NPS客戶端(接入交換機(jī)和無(wú)線 AC),輸入交接機(jī) IP和與其認(rèn)證交互的 Password
添加圖片注釋,不超過(guò) 140 字(可選)
添加圖片注釋,不超過(guò) 140 字(可選)
第三步:選擇 EAP類型為 Microsoft:受保護(hù)的 EAP(PEAP)
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
第四步:NPS(Radius)服務(wù)器申請(qǐng)計(jì)算機(jī)證書(shū)
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
第五步:添加賬號(hào)認(rèn)證系統(tǒng) AD中的用戶 test01所在部門“全局作用域安全組”
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
第六步:配置網(wǎng)絡(luò)策略,動(dòng)態(tài) VLAN和訪問(wèn)控制列表(ACL)
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
Tunnel-Type:VLANTunnel-Medium-Type:
802.1xTunnel-Pvt-Group-ID: 100 (為 VLAN ID),這樣不同用戶安全組對(duì)應(yīng)不同網(wǎng)絡(luò) VLAN即可得到不同的網(wǎng)絡(luò)訪問(wèn)權(quán)限,從而大大減少網(wǎng)絡(luò)層對(duì)終端接入設(shè)備訪問(wèn)權(quán)限的頻繁設(shè)置。
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
第七步:配置完成,NPS(Radius)客戶端顯示狀態(tài)
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
第八步:配置完成,連接請(qǐng)求策略顯示狀態(tài)
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
第九步:配置完成,網(wǎng)絡(luò)策略顯示狀態(tài)
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
注意:
網(wǎng)絡(luò)策略中,通過(guò)配置向?qū)?chuàng)建的默認(rèn)是“windows組”,需要手動(dòng)改為“用戶組”,后續(xù)熟練后可對(duì) NPS(Radius)客戶端、連接請(qǐng)求策略和網(wǎng)絡(luò)策略分開(kāi)逐一按需求創(chuàng)建。
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
注意:連接請(qǐng)求策略,如無(wú)線和有線 IP段分開(kāi),需分開(kāi)創(chuàng)建,如不分開(kāi),創(chuàng)建一條把無(wú)線和有線都勾選即可。
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
第十步:其他部門網(wǎng)絡(luò)策略,可右鍵選擇重復(fù)策略進(jìn)行創(chuàng)建
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
至此基于 802.1x+AD+DHCP+NPS認(rèn)證實(shí)現(xiàn)動(dòng)態(tài) VLAN配置完成,可開(kāi)始在 PC、移動(dòng)客戶端等設(shè)備接入網(wǎng)絡(luò),使用域賬號(hào)及密碼進(jìn)行登錄嘗試。
04 方案驗(yàn)證
1. 開(kāi)始菜單運(yùn)行輸入 services.msc打開(kāi)本地服務(wù)設(shè)置
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
2. 設(shè)置有線網(wǎng)絡(luò)(Wired AutoConfig)和無(wú)線網(wǎng)絡(luò) (WLAN AutoConfig)服務(wù)開(kāi)機(jī)自動(dòng)啟動(dòng) 802.1x服務(wù)
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
3. 有線網(wǎng)卡屬性“身份驗(yàn)證”選項(xiàng),啟用 802.1X和受保護(hù)的 EAP選項(xiàng),然后打開(kāi)“設(shè)置”EAP屬性,取消“驗(yàn)證證書(shū)服務(wù)器”,點(diǎn)擊配置屬性,將自動(dòng)使用的登錄和密碼選項(xiàng)取消,然后確定保存關(guān)閉。
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
4. 返回網(wǎng)卡屬性“身份驗(yàn)證”選項(xiàng),打開(kāi)“其他設(shè)置”,勾選“指定身份驗(yàn)證模式”,確定保存。
編輯切換為居中
添加圖片注釋,不超過(guò) 140 字(可選)
5. 待電腦屏幕右下角,彈出如下窗口選擇點(diǎn)擊左鍵。
添加圖片注釋,不超過(guò) 140 字(可選)
6. 彈出如下網(wǎng)絡(luò)身份驗(yàn)證窗口,輸入自己公司的域賬號(hào) (或用戶名)和密碼點(diǎn)擊確定即可。
添加圖片注釋,不超過(guò) 140 字(可選)
整理:老楊丨9年資深網(wǎng)絡(luò)工程師,更多網(wǎng)工提升干貨,請(qǐng)關(guān)注公眾號(hào):網(wǎng)絡(luò)工程師俱樂(lè)部
