数据分析网站,wordpress建站 app访问,wordpress是pass么,wordpress标签生成图片不显示虽说干的是信息化智能化的行当#xff0c;但每个IT工程师都必定踩过“IT系统不智能”的坑。就拿企业组建局域网来说#xff0c;为了对网络接入用户身份进行确认#xff0c;确保用户权限不受办公地点变更的影响#xff0c;许多IT工程师都习惯开启 “手动模式”和苦逼的“加班… 虽说干的是信息化智能化的行当但每个IT工程师都必定踩过“IT系统不智能”的坑。就拿企业组建局域网来说为了对网络接入用户身份进行确认确保用户权限不受办公地点变更的影响许多IT工程师都习惯开启 “手动模式”和苦逼的“加班模式”。 其实企业组建局域网的配置也是有“套路”的。IT新人也能现学现用轻松几步教你飞速提高企业网络准入的安全性。 方案规划 对于企业IT工程师来说什么样的企业网络是我们需要的呢是快捷还是安全让我们来想象一下。 员工入职即生成个人账户一套账户“走遍天下”包含接入网络OA内网ERP甚至打印和复印等 支持多个终端在手机、笔记本、台式机上登录不论在公司什么位置你有拥有相同的网络权限 员工调岗或者更换部门仅需再组织架构中进行调整这个“新”员工自动获取新部门的网络权限 员工离职仅需要将账号“一键禁用”。好了所有的权限都关了“苍蝇”你都别想飞进来。 有句话说“理想很丰满现实很骨干‘’但是我在这里想说这都不是梦资深IT来告诉你理想的实现方法。 架构图 基于802.1x协议实现端口访问控制和认证 搭建Windows Server系统环境实现ADDHCPDNS这部分搭建网上大把大把的教程这部分忽略不在进行赘述 NPSRadius用户认证管理管理 选择支持802.1x协议认证网络设备实现动态VLAN实现获得各终端网络登录具有各自网络权限。 组网环境试验样例最终根据自己实际情况决定 服务器 Cisco网络设备 客户端网络 重点1调整用户所在安全组后如何继承了划分VLAN的网络权限 答在核心网络交换机中把划分的VLAN一定要对应到用户所在安全组如上图。 方案实施 本文主要介绍关键配置有线网络设备上开启802.1X认证和认证服务器NPS(Radius)的配置其他搭建过程请参照文章底部附录。 1.接入交换机WS-C2960X-48LPS-L开启802.1x认证以Cisco 2960为例注不同IOS版本命令略有差异 第一步进入配置模式开启802.1x认证、指定radius-server aaa new-model
! 启用 aaa
aaa authentication dot1x default group radius
! dot1x使用radius做认证
aaa authorization network default group radius
! 使用802.1x协议去动态分配vlan的话,上边的这句命令一定要有
dot1x system-auth-control
! 允许802.1x port-based 认证
dot1x guest-vlan supplicant
! 允许交换机在端口802.1x认证失败后,指定vlan到guest-vlan
radius-server host IP auth-port 1812 acct-port 1813 key Password
! 指定radius服务器IP、端口号和进行交互的使用的密码
radius-server retry method reorder! 允许有多个radius服务器冗余切换radius-server timeout 10
! 指定radius服务认证超时时间 重点2不同用户安全组如何获得动态VLAN地址 答把预规划好的所有VLAN配置到每台接入交换机和无线AC控制器上并在核心交换机中配置指向到DHCP服务器地址 。 第二步进入网络端口下启用802.1x配置 interface GigabitEthernet1/0/46switchport mode access
! dot1x指定vlan, switchport mode必须为accessswitchport voice vlan 195! dot1x指定语音vlanauthentication event fail action authorize vlan 107! 认证失败获得隔离vlanauthentication event no-response action authorize vlan 107! 认证无响应获得隔离vlanauthentication port-control auto! 端口认证控制authentication timer inactivity 30! 认证响应超时dot1x pae authenticator! 认证端口开启 2.NPSRadius策略配置注意了这个方案最重要的12步一定要注意 a.使用配置向导新建连接策略 b.添加NPS客户端接入交换机和无线AC输入交接机IP和与其认证交互的Password c.选择EAP类型为Microsoft:受保护的EAPPEAP d.NPS(Radius)服务器申请计算机证书 e.添加账号认证系统AD中的用户test01所在部门“全局作用域安全组” f.配置网络策略动态VLAN和访问控制列表ACL Tunnel-Type VLAN Tunnel-Medium-Type: 802.1x Tunnel-Pvt-Group-ID: 100 (为VLAN ID)这样不同用户安全组对应不同网络VLAN即可得到不同的网络访问权限从而大大减少网络层对终端接入设备访问权限的频繁设置。 g.配置完成NPSRadius客户端显示状态 h.配置完成连接请求策略显示状态 i.配置完成网络策略显示状态 j.注意网络策略中通过配置向导创建的默认是“windows组”需要手动改为“用户组”后续熟练后可对NPSRadius客户端、连接请求策略和网络策略分开逐一按需求创建。 k.注意连接请求策略如无线和有线IP段分开需分开创建如不分开创建一条把无线和有线都勾选即可。 l.其他部门网络策略可右键选择重复策略进行创建 至此基于802.1xADDHCPNPS认证实现动态VLAN配置完成可开始在PC、移动客户端等设备接入网络使用域账号及密码进行登录尝试。 方案验证 m.开始菜单运行输入services.msc打开本地服务设置 a.设置有线网络Wired AutoConfig和无线网络(WLAN AutoConfig)服务开机自动启动802.1x服务 b.有线网卡属性“身份验证”选项启用802.1X和受保护的EAP选项然后打开“设置”EAP属性取消“验证证书服务器”点击配置属性将自动使用的登录和密码选项取消然后确定保存关闭。 c.返回网卡属性“身份验证”选项打开“其他设置”勾选“指定身份验证模式”确定保存。 d.待电脑屏幕右下角弹出如下窗口选择点击左键 e.弹出如下网络身份验证窗口输入自己公司的域账号(或用户名)和密码点击确定即可。 注使用无线的用户需先配置连接网络的SSID然后对其进行身份验证设置再连接登录。推荐以上所有设置规则在AD中使用组策略推送配置方便域账号登录系统自动连接网络。 Mac和移动端Android和iOS的连接方式也很简单不在这里进行重复赘述。到这里我们整个方案就已经介绍完成了希望能帮助企业里IT同学。如果在实施过程中有任何问题请在知乎上联系五阿哥运维部的同学他必会倾力相助。 附录 方案涉及ADDNS搭建请参照 https://zhuanlan.zhihu.com/p/29706040 https://zhuanlan.zhihu.com/p/29706120 https://zhuanlan.zhihu.com/p/29706174 DHCP搭建请参照 https://zhuanlan.zhihu.com/p/29706251 作者简介王志强五阿哥钢铁电商平台wauge.com 运维部IT高级工程师。2016年加入五阿哥钢铁电商平台负责公司IT相关工作曾在阿里巴巴、高德等知名互联网公司负责IT工作在企业网络建设拥有10年资深的经验。 全天候聚焦IaaS/PaaS/SaaS最新技术动态深度挖掘技术大咖第一手实践及时推送云行业重大新闻一键关注总览国内外云计算大势
