人妻巨乳系列中文字幕_性高湖婬AAA片A片中国_新妺妺窝777777粗,诱女偷伦初尝云雨H,国产亚洲精品久久无亚洲,99re6在线视频国产精品欧美

802.1X和NAP整合實(shí)驗(yàn)手冊
iLync   發(fā)表于 : 2017-03-30 09:55
分享到:

實(shí)驗(yàn)拓?fù)鋱D

 

 

實(shí)驗(yàn)描述

       公司內(nèi)部有多個部門,創(chuàng)建了域的架構(gòu),并搭建了DHCP服務(wù)器和Radius服務(wù)器,要求每個部門都獨(dú)享一個網(wǎng)段,實(shí)現(xiàn)每位用戶插上網(wǎng)線后,跳出窗體進(jìn)行身份驗(yàn)證,如果用戶通過驗(yàn)證,根據(jù)用戶所在的部門分配IP地址。例如銷售部地址段為192.168.1.0/24則銷售部員工Alice 獲取的地址應(yīng)該為192.168.1.1,市場部地址段為192.168.2.0/24則市場部員工Bob獲取的地址應(yīng)該為192.168.2.1。未經(jīng)過身份驗(yàn)證的,無法獲取的IP地址,并提示身份驗(yàn)證失敗。

 

實(shí)驗(yàn)主要分解為三個部分

◆  服務(wù)器端配置

◆  交換機(jī)配置

◆  客戶端配置

 

服務(wù)器端配置

服務(wù)器端需要安裝如下角色、Active Directory 域服務(wù)、Active Directory證書服務(wù)、DNS服務(wù)器、DHCP服務(wù)器、網(wǎng)絡(luò)策略和訪問服務(wù)(可以將這些服務(wù)分別安裝在兩臺虛擬機(jī)上,建議其前三項(xiàng)角色安裝在一臺Server上,后兩項(xiàng)角色安裝在同一臺Server上)

本實(shí)驗(yàn)環(huán)境中,將以上所有的角色安裝在同一臺Server上

 

 

DHCP服務(wù)器,創(chuàng)建Sales部門的作用域,并且對此作用域禁用網(wǎng)絡(luò)訪問保護(hù)(右鍵“作用域”à屬性à網(wǎng)絡(luò)訪問保護(hù))

 

在AD中為用戶創(chuàng)建好賬號,并且創(chuàng)建相應(yīng)的組,在后期的動態(tài)VLAN劃分就是根據(jù)用戶所屬的組來決定的。

 

 

 

(如果公司購買的是公網(wǎng)證書,可以跳過證書配置的步驟)

安裝活動目錄證書服務(wù),并且為Radius服務(wù)器申請一張證書,用于向客戶端證明服務(wù)器端的可信。在本環(huán)境中由于所有的角色都在一臺服務(wù)器上,默認(rèn)已經(jīng)安裝了IIS,可以通過IIS來申請證書(如果Radius服務(wù)器在獨(dú)立的一臺計(jì)算機(jī)上,且并未安裝IIS,可以通過WEB頁面方式來申請證書,申請地址為https://證書頒發(fā)機(jī)構(gòu)FQDN/certsrv)

*如果通過WEB頁面方式來申請證書,必須要在安裝證書服務(wù)器時勾選“證書頒發(fā)機(jī)構(gòu)WEB注冊”,并且只允許通過HTTPS方式來申請證書。

 

 

創(chuàng)建域證書”,填寫相應(yīng)的組織信息。通用名稱一欄需要特別注意,必須填寫發(fā)布到公共網(wǎng)上的域名。例如WEB服務(wù)器通常發(fā)布www.contoso.com、郵件服務(wù)器通常發(fā)布mail.contoso.com等。

 

 

注意,如果當(dāng)“選擇”按鈕灰掉時,很大的可能性是并未成功建立與證書頒發(fā)機(jī)構(gòu)服務(wù)器的信任。

 

配置網(wǎng)絡(luò)策略服務(wù)器(NPS),安裝“網(wǎng)絡(luò)策略和訪問服務(wù)”角色,然后勾選“網(wǎng)絡(luò)策略服務(wù)器

*NPS服務(wù)器還可以結(jié)合網(wǎng)絡(luò)健康策略來決定分配給客戶端哪些IP地址,網(wǎng)絡(luò)健康策略一般包含:防火墻是否開啟,自動更新是否開啟,是否安裝了殺毒軟件等一系列客戶端安全評估標(biāo)準(zhǔn)。

 

 

 

 

建議采用向?qū)У姆绞絹砼渲?02.1x身份驗(yàn)證。具體流程如下

標(biāo)準(zhǔn)配置選擇“用于802.1X無線或有線連接的RADIUS服務(wù)器”à配置802.1X

 

 

 

連接類型是有線還是無線,需要根據(jù)公司現(xiàn)有的環(huán)境來決定。本實(shí)驗(yàn)中我們采用的是有線的環(huán)境,所以選擇“安全有線(以太網(wǎng))連接

 

 

 

指定RADIUS客戶端,這里的客戶端并不是指PC,而是指RADIUS網(wǎng)絡(luò)訪問服務(wù)器,身份驗(yàn)證交換機(jī)、無線AP等。

點(diǎn)擊“添加”à輸入RADIUS客戶端基本信息。輸入預(yù)共享密鑰cisco。

*此處的共享機(jī)密必須與稍后在身份驗(yàn)證交換機(jī)上配置的Raduis-Server key保持一致。

 

 

EAP的類型必須要選擇“Microsoft:受保護(hù)的EAP(PEAP)

 

 

點(diǎn)擊“配置”,證書選擇剛剛我們通過IIS申請好的證書。EAP類型默認(rèn)選擇“安全密碼(EAP-MSCHAP v2)”不變。

 

 

為策略指定生效的組,例如詞條策略我們是為Sales部門創(chuàng)建的,剛剛也已經(jīng)創(chuàng)建好了Sales Group,此處我們只需要將Sales Group添加進(jìn)來就可以了。

 

 

 

配置流量控制,可以通過劃分VLAN和ACL來控制流量,本實(shí)驗(yàn)中我們是采用的劃分VLAN來控制客戶端的訪問的。點(diǎn)擊“配置”->選擇“Tunnel-Type”,點(diǎn)擊“編輯”屬性信息->點(diǎn)擊“添加”,選擇“Virtual LANs(VLAN)”,確定。

 

 

選擇“Tunnel-Medium-Type”,點(diǎn)擊“編輯”->選擇“802(include all 802 media plus Ethernet canonical format)”,確定。

 

 

選擇“Tunnel-Pvt-Group-ID”,點(diǎn)擊“編輯”->點(diǎn)擊“添加”->選擇“字符串”,輸入2,確定。

 

*由于我們在Switch上給Sales部門劃分的VLAN ID為2,所以在此處我們創(chuàng)建Sales部門的策略時,必須要指定與Switch上對應(yīng)的ID。假如劃分給Sales部門的VLAN ID為100,那么此處也填寫100。

 

流量配置完成,點(diǎn)擊下一步,顯示策略信息概覽,如果確認(rèn)無誤,點(diǎn)擊完成。

 

 

向?qū)瓿梢院螅覀儠l(fā)現(xiàn),在Radius客戶端和服務(wù)器下,Radius客戶端會多出一個名為 Cisco 3550 Switch的身份驗(yàn)證交換機(jī)。這就是剛剛通過向?qū)?chuàng)建的。此操作可以在向?qū)ч_始之前提前創(chuàng)建好。

 

 

再去查看策略,在“連接請求策略”和“網(wǎng)絡(luò)策略”當(dāng)中,都會分別生成一條新的策略,就是剛剛我們通過向?qū)镾ales部門創(chuàng)建的策略,如果不通過向?qū)У脑?,可以直接?strong>連接請求策略和網(wǎng)絡(luò)策略中添加新的策略。

 

 

*連接請求策略和網(wǎng)絡(luò)策略的區(qū)別:

從字面意思上就可以看出,客戶端發(fā)送連接請求,先響應(yīng)連接請求策略,通過連接請求策略來決定此驗(yàn)證是由本地計(jì)算機(jī)進(jìn)行,還是轉(zhuǎn)發(fā)到遠(yuǎn)程Radius 服務(wù)器進(jìn)行。

當(dāng)PC機(jī)通過了連接請求策略,然后才回去響應(yīng)網(wǎng)絡(luò)策略,由網(wǎng)絡(luò)策略來決定將PC分配到哪一個VLAN,獲取哪一個網(wǎng)段的IP地址。

 

提醒:安裝好NPS服務(wù)器后,需要注意,該NPS是否已在Active Directory中注冊過。
檢查方法,右鍵NPS,如果“在Active Directory中注冊服務(wù)器”灰掉了,說明該NPS服務(wù)器已經(jīng)在AD中注冊過了。

 

 

 

交換機(jī)配置

Switch(config) #vlan 2                                      /* 新建VLAN 2 */

Switch(config-vlan) #name Sales                       /* 為VLAN取名為Sales */

Switch(config-vlan) #int vlan 2                          /* 進(jìn)入VLAN2交換虛擬接口 */

Switch(config-if) #ip add 192.168.0.1 255.255.255.0         /* 為VLAN2的交換虛擬接口配置一個IP地址,和DHCP的Sales作用域保持在同一網(wǎng)段 */

Switch(config-if) #ip helper-address 10.0.0.2                           /* 設(shè)置DHCP中繼,指向DHCP服務(wù)器10.0.0.2 */

Switch(config-if) #exit

Switch(config) #vlan 100                                         

Switch(config-vlan) #name ServerVlan                     

Switch(config-vlan) #int vlan 100                      

Switch(config-if) #ip add 10.0.0.1 255.255.255.0  /* 為VLAN100的交換虛擬接口配置一個IP地址,和內(nèi)部Server保持在同一網(wǎng)段 */

Switch(config-if) #exit

Switch(config) #int f0/23

Switch(config-if) #switchport mode access        /* 將接口設(shè)置成為access接口 */

Switch(config-if) #switchport access vlan 100    /* 將f0/23接口劃入VLAN100 */

Switch(config-if) #exit

Switch(config) #aaa new-model                 /* 啟用AAA認(rèn)證 */

Switch(config) #aaa authentication login nologin line none

/*設(shè)置登錄驗(yàn)證,即使驗(yàn)證不通過,也能登錄*/

Switch(config-line)#line con 0

Switch(config-line)#login authentication nologin

Switch(config-line)#exit

Switch(config)#radius-server host 10.0.0.2 key cisco /* 指定Radius服務(wù)器,并且輸入在Server端指定的共享機(jī)密 */

Switch(config)#aaa authentication dot1x default group radius  /* 使用radius驗(yàn)證dot1x */

Switch(config)#aaa authorization network default group radius     /* 由Radius服務(wù)器授權(quán)與網(wǎng)絡(luò)相關(guān)的服務(wù)請求 */

Switch(config)#dot1x system-auth-control         /* 全局啟用dot1x */

Switch(config)#interface fastEthernet 0/1

Switch(config-if)#dot1x port-control auto                /*接口下啟用dot1x */

 

 

 

 

 

 

客戶端配置

首先導(dǎo)入信任證書,如果部署使用的是公網(wǎng)購買的證書,那么客戶端如果是XP只需啟用Wireless Zero Configuration服務(wù)即可,Windows7 的客戶端只需啟用Wired AutoConfig即可。

首先將信任證書拷到客戶端計(jì)算機(jī)本地,然后將信任證書導(dǎo)入。

開始->運(yùn)行->輸入mmc“文件”菜單->添加/刪除管理單元

 

 

 

點(diǎn)擊“添加”,->選擇“證書”,點(diǎn)擊“添加”->選擇“計(jì)算機(jī)賬戶”,點(diǎn)擊下一步->選擇 “本地計(jì)算機(jī)”,點(diǎn)擊完成。

 

 

 

回到“添加獨(dú)立管理單元”界面,點(diǎn)擊關(guān)閉à返回到“添加/刪除管理單元”,點(diǎn)擊確定。

 

 

選擇“受信任的根證書頒發(fā)機(jī)構(gòu)”à右擊“證書”,所有任務(wù)à導(dǎo)入,通過向?qū)?,將證書導(dǎo)入到計(jì)算機(jī)。

 

 

證書導(dǎo)入完成以后,打開CMD,輸入“net start WZCSVC”

 

 

如果是Windows7 客戶端的話,輸入“net start dot3svc”

 

 

打開“網(wǎng)絡(luò)連接”-雙擊“本地連接”屬性驗(yàn)證

 

 

 

選擇啟用PEAP的認(rèn)證方式,點(diǎn)擊“屬性”。

 

選擇EAP-MSCHAP V2認(rèn)證方式,點(diǎn)擊“配置”,清除自動使用Windows登錄名和密碼復(fù)選框。

 

 

以上所有客戶端配置,windows7 和Windows XP基本相同。

 

 

測試結(jié)果

連上網(wǎng)線,跳出身份驗(yàn)證窗體

 

 

輸入用戶名contoso\alice和密碼

 

驗(yàn)證成功,本地連接顯示已經(jīng)進(jìn)入contoso.com 4的網(wǎng)絡(luò)位置。

 

 

ipconfig 顯示目前所獲取的IP地址

 

 

 

 

 

回到交換機(jī)上查看VLAN信息,發(fā)現(xiàn)F0/24已經(jīng)被劃入VLAN 2

 

 

查看F0/24端口上是否有dot1x的驗(yàn)證信息,可以看到驗(yàn)證已經(jīng)成功,顯示Authenticated.