802.1X和NAP整合操作手册-联科教育
实验拓扑图 http://pic6.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/c763e6ca-76ae-4f1f-aac6-e8be0bfb644a.png实验描述 公司内部有多个部门,创建了域的架构,并搭建了DHCP服务器和Radius服务器,要求每个部门都独享一个网段,实现每位用户插上网线后,跳出窗体进行身份验证,如果用户通过验证,根据用户所在的部门分配IP地址。例如销售部地址段为192.168.1.0/24则销售部员工Alice 获取的地址应该为192.168.1.1,市场部地址段为192.168.2.0/24则市场部员工Bob获取的地址应该为192.168.2.1。未经过身份验证的,无法获取的IP地址,并提示身份验证失败。
实验主要分解为三个部分◆服务器端配置◆交换机配置◆客户端配置
服务器端配置服务器端需要安装如下角色、Active Directory 域服务、Active Directory证书服务、DNS服务器、DHCP服务器、网络策略和访问服务(可以将这些服务分别安装在两台虚拟机上,建议其前三项角色安装在一台Server上,后两项角色安装在同一台Server上)本实验环境中,将以上所有的角色安装在同一台Server上 http://pic4.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/c084d24f-9f7d-4124-8d0a-fdca683cec43.png
DHCP服务器,创建Sales部门的作用域,并且对此作用域禁用网络访问保护(右键“作用域”à属性à网络访问保护) http://pic3.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/f8fc20df-d882-43f2-bfff-0df0d8e75782.png在AD中为用户创建好账号,并且创建相应的组,在后期的动态VLAN划分就是根据用户所属的组来决定的。 http://pic4.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/ec22eb04-4a13-4c8f-9c97-120e1c447116.png
(如果公司购买的是公网证书,可以跳过证书配置的步骤)安装活动目录证书服务,并且为Radius服务器申请一张证书,用于向客户端证明服务器端的可信。在本环境中由于所有的角色都在一台服务器上,默认已经安装了IIS,可以通过IIS来申请证书(如果Radius服务器在独立的一台计算机上,且并未安装IIS,可以通过WEB页面方式来申请证书,申请地址为https://证书颁发机构FQDN/certsrv)*如果通过WEB页面方式来申请证书,必须要在安装证书服务器时勾选“证书颁发机构WEB注册”,并且只允许通过HTTPS方式来申请证书。 http://pic1.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/f7461afb-262d-4381-9523-21e3dffc3773.png
“创建域证书”,填写相应的组织信息。通用名称一栏需要特别注意,必须填写发布到公共网上的域名。例如WEB服务器通常发布www.contoso.com、邮件服务器通常发布mail.contoso.com等。 http://pic3.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/7c7113f8-99db-483f-bb8d-8ffd9a04ee66.png
注意,如果当“选择”按钮灰掉时,很大的可能性是并未成功建立与证书颁发机构服务器的信任。
配置网络策略服务器(NPS),安装“网络策略和访问服务”角色,然后勾选“网络策略服务器”*NPS服务器还可以结合网络健康策略来决定分配给客户端哪些IP地址,网络健康策略一般包含:防火墙是否开启,自动更新是否开启,是否安装了杀毒软件等一系列客户端安全评估标准。 http://pic5.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/366c699f-719d-480e-a07b-d75c0281de20.png
建议采用向导的方式来配置802.1x身份验证。具体流程如下标准配置选择“用于802.1X无线或有线连接的RADIUS服务器”à配置802.1X http://pic3.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/bee1131f-7407-4296-9202-edcff0a3e798.png
连接类型是有线还是无线,需要根据公司现有的环境来决定。本实验中我们采用的是有线的环境,所以选择“安全有线(以太网)连接” http://pic3.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/b1579cfe-5701-4531-b6df-0ff2f6f031ba.png
指定RADIUS客户端,这里的客户端并不是指PC,而是指RADIUS网络访问服务器,身份验证交换机、无线AP等。点击“添加”à输入RADIUS客户端基本信息。输入预共享密钥cisco。*此处的共享机密必须与稍后在身份验证交换机上配置的Raduis-Server key保持一致。 http://pic5.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/86c46453-5758-441a-b0ac-e19e1f1aa668.png
EAP的类型必须要选择“Microsoft:受保护的EAP(PEAP)” http://pic5.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/2efb1d94-afa0-4eb8-ba84-29e216b6e1c9.png
点击“配置”,证书选择刚刚我们通过IIS申请好的证书。EAP类型默认选择“安全密码(EAP-MSCHAP v2)”不变。 http://pic5.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/ac10cdf0-69f4-426d-930f-017db7530e91.png
为策略指定生效的组,例如词条策略我们是为Sales部门创建的,刚刚也已经创建好了Sales Group,此处我们只需要将Sales Group添加进来就可以了。 http://pic1.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/a37f9499-b425-46e1-acaa-6537dca70e18.png
配置流量控制,可以通过划分VLAN和ACL来控制流量,本实验中我们是采用的划分VLAN来控制客户端的访问的。点击“配置”->选择“Tunnel-Type”,点击“编辑”属性信息->点击“添加”,选择“Virtual LANs(VLAN)”,确定。 http://pic6.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/5e672014-3703-412a-b3ed-a8b95c0131a3.png
选择“Tunnel-Medium-Type”,点击“编辑”->选择“802(include all 802 media plus Ethernet canonical format)”,确定。 http://pic4.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/4db23454-474e-47c0-b804-da41c9b80f4b.png
选择“Tunnel-Pvt-Group-ID”,点击“编辑”->点击“添加”->选择“字符串”,输入2,确定。 http://pic2.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/90eb769d-283a-4e42-8ac3-90464c655461.png*由于我们在Switch上给Sales部门划分的VLAN ID为2,所以在此处我们创建Sales部门的策略时,必须要指定与Switch上对应的ID。假如划分给Sales部门的VLAN ID为100,那么此处也填写100。 http://pic1.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/dcef894b-a7ae-4c3f-98a6-22384b3e6a91.png流量配置完成,点击下一步,显示策略信息概览,如果确认无误,点击完成。 http://pic1.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/fb232f12-04ab-4b2c-afc4-2b62cad6ab32.png
向导完成以后,我们会发现,在Radius客户端和服务器下,Radius客户端会多出一个名为 Cisco 3550 Switch的身份验证交换机。这就是刚刚通过向导创建的。此操作可以在向导开始之前提前创建好。 http://pic6.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/b52639fb-f3c8-4d51-b625-7cf43bae1567.png
再去查看策略,在“连接请求策略”和“网络策略”当中,都会分别生成一条新的策略,就是刚刚我们通过向导为Sales部门创建的策略,如果不通过向导的话,可以直接在连接请求策略和网络策略中添加新的策略。http://pic4.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/f0d42407-3416-4fd0-8029-9b7c8dae96fa.png
*连接请求策略和网络策略的区别:从字面意思上就可以看出,客户端发送连接请求,先响应连接请求策略,通过连接请求策略来决定此验证是由本地计算机进行,还是转发到远程Radius 服务器进行。当PC机通过了连接请求策略,然后才回去响应网络策略,由网络策略来决定将PC分配到哪一个VLAN,获取哪一个网段的IP地址。
提醒:安装好NPS服务器后,需要注意,该NPS是否已在Active Directory中注册过。
检查方法,右键NPS,如果“在Active Directory中注册服务器”灰掉了,说明该NPS服务器已经在AD中注册过了。 http://pic2.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/45a6ebbf-af9b-4523-8945-020bc21b0371.png
交换机配置Switch(config) #vlan 2 /* 新建VLAN 2 */Switch(config-vlan) #name Sales /* 为VLAN取名为Sales */Switch(config-vlan) #int vlan 2 /* 进入VLAN2交换虚拟接口 */Switch(config-if) #ip add 192.168.0.1 255.255.255.0 /* 为VLAN2的交换虚拟接口配置一个IP地址,和DHCP的Sales作用域保持在同一网段 */Switch(config-if) #ip helper-address 10.0.0.2 /* 设置DHCP中继,指向DHCP服务器10.0.0.2 */Switch(config-if) #exitSwitch(config) #vlan 100 Switch(config-vlan) #name ServerVlan Switch(config-vlan) #int vlan 100 Switch(config-if) #ip add 10.0.0.1 255.255.255.0/* 为VLAN100的交换虚拟接口配置一个IP地址,和内部Server保持在同一网段 */Switch(config-if) #exitSwitch(config) #int f0/23Switch(config-if) #switchport mode access /* 将接口设置成为access接口 */Switch(config-if) #switchport access vlan 100 /* 将f0/23接口划入VLAN100 */Switch(config-if) #exitSwitch(config) #aaa new-model /* 启用AAA认证 */Switch(config) #aaa authentication login nologin line none/*设置登录验证,即使验证不通过,也能登录*/Switch(config-line)#line con 0Switch(config-line)#login authentication nologinSwitch(config-line)#exitSwitch(config)#radius-server host 10.0.0.2 key cisco /* 指定Radius服务器,并且输入在Server端指定的共享机密 */Switch(config)#aaa authentication dot1x default group radius/* 使用radius验证dot1x */Switch(config)#aaa authorization network default group radius /* 由Radius服务器授权与网络相关的服务请求 */Switch(config)#dot1x system-auth-control /* 全局启用dot1x */Switch(config)#interface fastEthernet 0/1Switch(config-if)#dot1x port-control auto /*接口下启用dot1x */
客户端配置首先导入信任证书,如果部署使用的是公网购买的证书,那么客户端如果是XP只需启用Wireless Zero Configuration服务即可,Windows7 的客户端只需启用Wired AutoConfig即可。首先将信任证书拷到客户端计算机本地,然后将信任证书导入。开始->运行->输入mmc“文件”菜单->添加/删除管理单元 http://pic1.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/52adf7a0-739a-443d-8bd0-e602bbc9ac81.png
点击“添加”,->选择“证书”,点击“添加”->选择“计算机账户”,点击下一步->选择 “本地计算机”,点击完成。 http://pic4.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/a1821d9f-3dc0-43f9-be05-1a431c566756.png
回到“添加独立管理单元”界面,点击关闭à返回到“添加/删除管理单元”,点击确定。 http://pic2.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/707466e4-dae2-4bf9-970d-0bd75993fcb6.png
选择“受信任的根证书颁发机构”à右击“证书”,所有任务à导入,通过向导,将证书导入到计算机。 http://pic2.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/c9a8aa83-887a-423e-a279-e9e6d7609258.png
证书导入完成以后,打开CMD,输入“net start WZCSVC”http://pic6.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/77a3e172-ded6-479d-b6ef-5d5d8a31a8b4.png
如果是Windows7 客户端的话,输入“net start dot3svc” http://pic3.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/3e344026-da4f-4d7b-96da-19092f1df5f9.png
打开“网络连接”-双击“本地连接”属性验证http://pic6.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/91b5739a-9eaf-4b95-a4f5-b69aaf730311.png
选择启用PEAP的认证方式,点击“属性”。http://pic2.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/eb386b4e-cd5b-4cf9-aabe-d86cf282b217.png 选择EAP-MSCHAP V2认证方式,点击“配置”,清除自动使用Windows登录名和密码复选框。 http://pic1.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/3316e27a-ec71-4713-8a01-f161998c889e.png
以上所有客户端配置,windows7 和Windows XP基本相同。
测试结果连上网线,跳出身份验证窗体 http://pic5.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/388405e5-6aa9-4360-b749-67e282cedadd.jpg
输入用户名contoso\alice和密码 http://pic5.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/2ef9f403-a31a-4d12-98d9-6fc341a04606.jpg验证成功,本地连接显示已经进入contoso.com 4的网络位置。 http://pic6.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/a9c9def1-7506-4ae6-a822-bff0bea7a54d.jpg
ipconfig 显示目前所获取的IP地址 http://pic1.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/ce7299ba-9275-47fd-b92c-4280c27c801b.jpg
回到交换机上查看VLAN信息,发现F0/24已经被划入VLAN 2 http://pic6.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/4ce17bd3-1d7e-4319-aa73-b136225dc299.jpg
查看F0/24端口上是否有dot1x的验证信息,可以看到验证已经成功,显示Authenticated. http://pic1.ablesky.cn/content/pic/communitythreadphoto/2017/03/30/4f9864ae-b0a0-4cc2-99ea-cb75889231fc.jpg 更多详情:http://www.ilync.cn/org/6818_ld_510570_1
{:6_267:}{:6_267:}{:6_267:}
页:
[1]