windows NPS 结合 Cisco 交换机实现802.1x身份验证

### Windows NPS 结合 Cisco 交换机实现802.1x身份验证 #### 实验背景及目标 本文档详细介绍了如何使用Windows Server 2008 R2上的网络策略服务器(NPS)服务与Cisco交换机相结合来实现802.1x身份验证的过程。实验的目的在于通过RADIUS服务器对不同的AD组中的用户进行身份验证，并根据其所属组的不同将其分配到相应的DHCP作用域。此外，还实现了基于MAC地址的身份验证功能。 #### 实验环境配置 **实验设备:** - 台式机1台作为RADIUS服务器 - 笔记本电脑1台作为客户端 - Cisco 4948交换机 **实验拓扑结构:** 所有设备均直接连接至Cisco交换机。 **交换机管理地址:** 192.168.200.1 #### RADIUS服务器配置步骤 1. **安装Windows Server 2008 Enterprise:** - 设置IP地址为192.168.100.254, 网关为192.168.100.1, DNS为192.168.100.254。 2. **安装Active Directory (AD) 服务:** - 运行`dcpromo`启动向导, 在新林中建立域。 - 解决可能遇到的错误: 在命令提示符下输入`net user administrator /passwordreq:yes`。 - 输入要创建的域名, 按照向导完成AD服务的安装并重启服务器。 3. **安装DHCP服务:** - 添加DHCP角色, 不启用WINS, 禁用IPv6无状态模式。 - 创建DHCP作用域时, 配合交换机进行创建, 以便根据用户组分配不同的IP地址。 4. **安装证书服务:** - 默认设置完成安装。 5. **创建AD对象:** - 建立组织单位(OU): AD-User, PC-MAC, AD-Group。 - 创建域帐户: sunjianyao, congliang; 分别属于IT组(sunjianyao)和HR组(congliang)。 - 创建基于MAC地址的帐户: d4bed94de590, 密码与MAC地址相同。 6. **创建DHCP作用域:** - 例如, 为guest-vlan创建作用域, 并添加相关VLAN的网关地址。 7. **安装网络策略服务(NPS):** - 添加“网络策略和访问服务”角色。 - 添加“网络策略服务器”角色服务。 8. **配置RADIUS服务器:** - 配置安全有线(以太网)连接, 定义策略(例如: IT、HR)。 - 添加Cisco交换机为RADIUS客户端。 - 友好名称、地址(192.168.200.1)、共享密钥(需记住)。 - 配置流量控制: - Tunnel-Type: VLAN - Tunnel-Medium-Type: 802.1x - Tunnel-Pvt-Group-ID: 根据策略分配不同的VLAN ID(例如: IT组为20, HR组为30)。 9. **配置MAC地址绑定策略:** - 新建策略, 选择相应的用户组, 配置验证类型及加密类型。 #### 网络设备配置 1. **Cisco交换机配置:** - 初始化配置省略。 - 创建VLANs: - SW(config)#vlan10 (创建VLAN 10) - SW(config-vlan)#name it (命名) - SW(config)#int vlan10 (进入逻辑接口) - SW(config-if)#ip add 192.168.10.1 255.255.255.0 (设置IP地址) - SW(config-if)#ip helper-address 192.168.100.254 (设置DHCP中继) - 同样方法创建VLAN 20、30、40。 - 开启AAA模型: SW(config)#aaa new-model - 配置802.1x认证: SW(config)#aaa authentication dot1x default group radius - 配置网络授权: SW(config)#aaa authorization network default group radius - 全局启用802.1x认证: SW(config)#dot1x system-auth-control - 设置802.1x未通过验证后的guest VLAN: SW(config)#dot1x guest-vlan supplicant - 配置RADIUS服务器: - SW(config)#radius-server host 192.168.100.254 auth-port 1812 acct-port 1813 key qihoo 通过以上步骤, 我们成功地实现了使用Windows NPS服务与Cisco交换机相结合来实现802.1x身份验证的目标。这种方式不仅能够有效地管理网络资源, 还能确保网络的安全性。