发布日期:2023-06-18 09:21:03 已有1359人浏览并咨询
虽然我们都是干网络的,但是每位网络工程师都必定遇到过“it系统不智能”的bug。
就以企业网搭建来说吧:
很多时候,为了对网络接入用户身份进行确认,确保用户权限不受办公地点变更的影响,很多网工都会开启 “手动模式”来操作,这时候,难免会有“加班模式”伴随出现。
任何事情都是有方法的,而企业组建局域网的配置,当然也是有“套路”的。
今天分享一个操作,让你轻松几步,飞速提高企业网络准入的安全性。
今日文章阅读福利:《华为uc visio 最全图标库》
画拓扑图还在到处找图标的,建议保存一份。私信老杨,好友验证备注“图标”,前8名粉丝优先领取资源。
01 方案规划
对于企业 it工程师来说,什么样的企业网络是我们需要的呢,是快捷,还是安全,让我们来想象一下。
1. 员工入职即生成个人账户,一套账户“走遍天下”,包含接入网络,oa,内网,erp,甚至打印和复印等;
2. 支持多个终端,在手机、笔记本、台式机上登录,不论在公司什么位置,你有拥有相同的网络权限;
3. 员工调岗或者更换部门,仅需再组织架构中进行调整,这个“新”员工自动获取新部门的网络权限;
4. 员工离职,仅需要将账号“一键禁用”。
好了,所有的权限都关了,“苍蝇”你都别想飞进来。
有句话说“理想很丰满,现实很骨感,但是,这都不是梦,我来告诉你理想的实现方法。
编辑切换为居中
添加图片注释,不超过 140 字(可选)
基于 802.1x协议,实现端口访问控制和认证;
搭建 windows server系统环境,实现 ad+dhcp+dns,这部分搭建网上大把大把的教程,这部分忽略不在进行赘述;
nps(radius),用户认证管理管理;
选择支持 802.1x协议认证网络设备,实现动态 vlan实现获得各终端网络登录具有各自网络权限。
02 组网环境(实验)
编辑切换为居中
添加图片注释,不超过 140 字(可选)
编辑切换为居中
添加图片注释,不超过 140 字(可选)
重点:
调整用户所在安全组后,如何继承了划分 vlan的网络权限?答:在核心网络交换机中把划分的 vlan一定要对应到用户所在安全组,如上图。
03 方案实施
本文主要介绍关键配置:有线网络设备上开启 802.1x认证和认证服务器 nps(radius)的配置,其他搭建过程请参照文章底部附录。
1. 接入交换机(ws-c2960x-48lps-l)开启 802.1x认证,以 cisco 2960为例(注:不同 ios版本命令略有差异)
第一步:进入配置模式开启 802.1x认证,指定 radius-server
aaa new-model
!启用 aaa
aaa authentication dot1x default group radius
! dot1x使用 radius做认证
aaa authorization network default group radius
!使用 802.1x协议去动态分配 vlan的话,上边的这句命令一定要有
dot1x system-auth-control
!允许 802.1x port-based认证
dot1x guest-vlan supplicant
!允许交换机在端口 802.1x认证失败后,指定 vlan到 guest-vlan
radius-server host ip auth-port 1812 acct-port 1813 key password
!指定 radius服务器 ip、端口号和进行交互的使用的密码
radius-server retry method reorder
!允许有多个 radius服务器冗余切换
radius-server timeout 10
!指定 radius服务认证超时时间
重点:不同用户安全组如何获得动态 vlan地址?
把预规划好的所有 vlan配置到每台接入交换机和无线 ac控制器上,并在核心交换机中配置指向到 dhcp服务器地址 。
第二步:进入网络端口下启用 802.1x配置
interface gigabitethernet1/0/46
switchport mode access
! dot1x指定 vlan, switchport mode必须为 access
switchport voice vlan 195
! dot1x指定语音 vlan
authentication event fail action authorize vlan 107
!认证失败获得隔离 vlan
authentication event no-response action authorize vlan 107
!认证无响应获得隔离 vlan
authentication port-control auto
!端口认证控制
authentication timer inactivity 30
!认证响应超时
dot1x pae authenticator
!认证端口开启
2. nps(radius)策略配置(注意了,这个方案最重要的 12步,一定要注意)
第一步:使用配置向导新建连接策略
编辑切换为居中
添加图片注释,不超过 140 字(可选)
第二步:添加 nps客户端(接入交换机和无线 ac),输入交接机 ip和与其认证交互的 password
编辑
添加图片注释,不超过 140 字(可选)
编辑
添加图片注释,不超过 140 字(可选)
第三步:选择 eap类型为 microsoft:受保护的 eap(peap)
编辑切换为居中
添加图片注释,不超过 140 字(可选)
第四步:nps(radius)服务器申请计算机证书
编辑切换为居中
添加图片注释,不超过 140 字(可选)
第五步:添加账号认证系统 ad中的用户 test01所在部门“全局作用域安全组”
编辑切换为居中
添加图片注释,不超过 140 字(可选)
编辑切换为居中
添加图片注释,不超过 140 字(可选)
编辑切换为居中
添加图片注释,不超过 140 字(可选)
第六步:配置网络策略,动态 vlan和访问控制列表(acl)
编辑切换为居中
添加图片注释,不超过 140 字(可选)
tunnel-type:vlantunnel-medium-type:
802.1xtunnel-pvt-group-id: 100 (为 vlan id),这样不同用户安全组对应不同网络 vlan即可得到不同的网络访问权限,从而大大减少网络层对终端接入设备访问权限的频繁设置。
编辑切换为居中
添加图片注释,不超过 140 字(可选)
编辑切换为居中
添加图片注释,不超过 140 字(可选)
第七步:配置完成,nps(radius)客户端显示状态
编辑切换为居中
添加图片注释,不超过 140 字(可选)
第八步:配置完成,连接请求策略显示状态
编辑切换为居中
添加图片注释,不超过 140 字(可选)
第九步:配置完成,网络策略显示状态
编辑切换为居中
添加图片注释,不超过 140 字(可选)
注意:
网络策略中,通过配置向导创建的默认是“windows组”,需要手动改为“用户组”,后续熟练后可对 nps(radius)客户端、连接请求策略和网络策略分开逐一按需求创建。
编辑切换为居中
添加图片注释,不超过 140 字(可选)
注意:连接请求策略,如无线和有线 ip段分开,需分开创建,如不分开,创建一条把无线和有线都勾选即可。
编辑切换为居中
添加图片注释,不超过 140 字(可选)
第十步:其他部门网络策略,可右键选择重复策略进行创建
编辑切换为居中
添加图片注释,不超过 140 字(可选)
至此基于 802.1x+ad+dhcp+nps认证实现动态 vlan配置完成,可开始在 pc、移动客户端等设备接入网络,使用域账号及密码进行登录尝试。
04 方案验证
1. 开始菜单运行输入 services.msc打开本地服务设置
编辑切换为居中
添加图片注释,不超过 140 字(可选)
2. 设置有线网络(wired autoconfig)和无线网络 (wlan autoconfig)服务开机自动启动 802.1x服务
编辑切换为居中
添加图片注释,不超过 140 字(可选)
3. 有线网卡属性“身份验证”选项,启用 802.1x和受保护的 eap选项,然后打开“设置”eap属性,取消“验证证书服务器”,点击配置属性,将自动使用的登录和密码选项取消,然后确定保存关闭。
编辑切换为居中
添加图片注释,不超过 140 字(可选)
4. 返回网卡属性“身份验证”选项,打开“其他设置”,勾选“指定身份验证模式”,确定保存。
编辑切换为居中
添加图片注释,不超过 140 字(可选)
5. 待电脑屏幕右下角,弹出如下窗口选择点击左键。
编辑
添加图片注释,不超过 140 字(可选)
6. 弹出如下网络身份验证窗口,输入自己公司的域账号 (或用户名)和密码点击确定即可。
编辑
添加图片注释,不超过 140 字(可选)
整理:老杨丨9年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部
通过上面的了解,我们知道了"网络公司注册 网络公司注册资金最低标准"相关知识信息,如果您对此类业务还有其它的问题,可以向我们的专业顾问了解更多相关信息。
标签:网络公司注册名
标题:网络公司注册 网络公司注册资金最低标准
链接:https://m.sjzzzdb.com/key/4957.html
相关推荐