企业网组建套路多，谁还在“手动”折腾？

虽然我们都是干网络的，但是每位网络工程师都必定遇到过“IT系统不智能”的bug。

就以企业网搭建来说吧：

很多时候，为了对网络接入用户身份进行确认，确保用户权限不受办公地点变更的影响，很多网工都会开启 “手动模式”来操作，这时候，难免会有“加班模式”伴随出现。

任何事情都是有方法的，而企业组建局域网的配置，当然也是有“套路”的。

今天分享一个操作，让你轻松几步，飞速提高企业网络准入的安全性。

今日文章阅读福利：《华为UC Visio 最全图标库》

画拓扑图还在到处找图标的，建议保存一份。私信老杨，好友验证备注“图标”，前8名粉丝优先领取资源。

01 方案规划

对于企业 IT工程师来说，什么样的企业网络是我们需要的呢，是快捷，还是安全，让我们来想象一下。

1. 员工入职即生成个人账户，一套账户“走遍天下”，包含接入网络，OA，内网，ERP，甚至打印和复印等；

2. 支持多个终端，在手机、笔记本、台式机上登录，不论在公司什么位置，你有拥有相同的网络权限；

3. 员工调岗或者更换部门，仅需再组织架构中进行调整，这个“新”员工自动获取新部门的网络权限；

4. 员工离职，仅需要将账号“一键禁用”。

好了，所有的权限都关了，“苍蝇”你都别想飞进来。

有句话说“理想很丰满，现实很骨感，但是，这都不是梦，我来告诉你理想的实现方法。

编辑切换为居中

添加图片注释，不超过 140 字（可选）

• 基于 802.1x协议，实现端口访问控制和认证；
• 搭建 windows Server系统环境，实现 AD+DHCP+DNS，这部分搭建网上大把大把的教程，这部分忽略不在进行赘述；
• NPS（radius），用户认证管理管理；
• 选择支持 802.1x协议认证网络设备，实现动态 VLAN实现获得各终端网络登录具有各自网络权限。

02 组网环境（实验）

编辑切换为居中

添加图片注释，不超过 140 字（可选）

编辑切换为居中

添加图片注释，不超过 140 字（可选）

重点：

调整用户所在安全组后，如何继承了划分 VLAN的网络权限？答：在核心网络交换机中把划分的 vlan一定要对应到用户所在安全组，如上图。

03 方案实施

本文主要介绍关键配置：有线网络设备上开启 802.1X认证和认证服务器 NPS(Radius)的配置，其他搭建过程请参照文章底部附录。

1. 接入交换机（WS-C2960X-48LPS-L）开启 802.1x认证，以 Cisco 2960为例（注：不同 IOS版本命令略有差异）

第一步：进入配置模式开启 802.1x认证，指定 Radius-server

aaa new-model

!启用 aaa

aaa authentication dot1x default group radius

! dot1x使用 radius做认证

aaa authorization.NETwork default group radius

!使用 802.1x协议去动态分配 vlan的话,上边的这句命令一定要有

dot1x system-auth-control

!允许 802.1x port-based认证

dot1x guest-vlan supplicant

!允许交换机在端口 802.1x认证失败后,指定 vlan到 guest-vlan

radius-server host IP auth-port 1812 acct-port 1813 key Password

!指定 radius服务器 IP、端口号和进行交互的使用的密码

radius-server retry method reorder

!允许有多个 radius服务器冗余切换

radius-server timeout 10

!指定 radius服务认证超时时间

重点：不同用户安全组如何获得动态 VLAN地址？

把预规划好的所有 VLAN配置到每台接入交换机和无线 AC控制器上，并在核心交换机中配置指向到 DHCP服务器地址 。

第二步：进入网络端口下启用 802.1x配置

interface GigabitEthernet1/0/46

switchport mode access

! dot1x指定 vlan, switchport mode必须为 access

switchport voice vlan 195

! dot1x指定语音 vlan

authentication event fAIl action authorize vlan 107

!认证失败获得隔离 vlan

authentication event no-response action authorize vlan 107

!认证无响应获得隔离 vlan

authentication port-control auto

!端口认证控制

authentication timer inactivity 30

!认证响应超时

dot1x pae authenticator

!认证端口开启

2. NPS（Radius）策略配置（注意了,这个方案最重要的 12步，一定要注意）

第一步：使用配置向导新建连接策略

编辑切换为居中

添加图片注释，不超过 140 字（可选）

第二步：添加 NPS客户端（接入交换机和无线 AC），输入交接机 IP和与其认证交互的 Password

添加图片注释，不超过 140 字（可选）

添加图片注释，不超过 140 字（可选）

第三步：选择 EAP类型为 Microsoft:受保护的 EAP（PEAP）

编辑切换为居中

添加图片注释，不超过 140 字（可选）

第四步：NPS(Radius)服务器申请计算机证书

编辑切换为居中

添加图片注释，不超过 140 字（可选）

第五步：添加账号认证系统 AD中的用户 test01所在部门“全局作用域安全组”

编辑切换为居中

添加图片注释，不超过 140 字（可选）

编辑切换为居中

添加图片注释，不超过 140 字（可选）

编辑切换为居中

添加图片注释，不超过 140 字（可选）

第六步：配置网络策略，动态 VLAN和访问控制列表（ACL）

编辑切换为居中

添加图片注释，不超过 140 字（可选）

Tunnel-Type：VLANTunnel-Medium-Type:

802.1xTunnel-Pvt-Group-ID: 100 (为 VLAN ID)，这样不同用户安全组对应不同网络 VLAN即可得到不同的网络访问权限，从而大大减少网络层对终端接入设备访问权限的频繁设置。

编辑切换为居中

添加图片注释，不超过 140 字（可选）

编辑切换为居中

添加图片注释，不超过 140 字（可选）

第七步：配置完成，NPS（Radius）客户端显示状态

编辑切换为居中

添加图片注释，不超过 140 字（可选）

第八步：配置完成，连接请求策略显示状态

编辑切换为居中

添加图片注释，不超过 140 字（可选）

第九步：配置完成，网络策略显示状态

编辑切换为居中

添加图片注释，不超过 140 字（可选）

注意：

网络策略中，通过配置向导创建的默认是“windows组”，需要手动改为“用户组”，后续熟练后可对 NPS（Radius）客户端、连接请求策略和网络策略分开逐一按需求创建。

编辑切换为居中

添加图片注释，不超过 140 字（可选）

注意：连接请求策略，如无线和有线 IP段分开，需分开创建，如不分开，创建一条把无线和有线都勾选即可。

编辑切换为居中

添加图片注释，不超过 140 字（可选）

第十步：其他部门网络策略，可右键选择重复策略进行创建

编辑切换为居中

添加图片注释，不超过 140 字（可选）

至此基于 802.1x+AD+DHCP+NPS认证实现动态 VLAN配置完成，可开始在 PC、移动客户端等设备接入网络，使用域账号及密码进行登录尝试。

04 方案验证

1. 开始菜单运行输入 services.msc打开本地服务设置

编辑切换为居中

添加图片注释，不超过 140 字（可选）

2. 设置有线网络（Wired AutoConfig）和无线网络 (WLAN AutoConfig)服务开机自动启动 802.1x服务

编辑切换为居中

添加图片注释，不超过 140 字（可选）

3. 有线网卡属性“身份验证”选项，启用 802.1X和受保护的 EAP选项，然后打开“设置”EAP属性，取消“验证证书服务器”，点击配置属性，将自动使用的登录和密码选项取消，然后确定保存关闭。

编辑切换为居中

添加图片注释，不超过 140 字（可选）

4. 返回网卡属性“身份验证”选项，打开“其他设置”，勾选“指定身份验证模式”，确定保存。

编辑切换为居中

添加图片注释，不超过 140 字（可选）

5. 待电脑屏幕右下角，弹出如下窗口选择点击左键。

添加图片注释，不超过 140 字（可选）

6. 弹出如下网络身份验证窗口，输入自己公司的域账号 (或用户名)和密码点击确定即可。

添加图片注释，不超过 140 字（可选）

整理：老杨丨9年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部