企业组网方案

1、 企业组网方案CSDN云计算 微信号 CSDNcloud功能介绍 CSDN作为国内最专业的云计算服务平台，提供云计算、大数据、虚拟化、数据中心、OpenStack、CloudStack、Hadoop、Spark、机器学习、智能算法等相关云计算观点，云计算技术，云计算平台，云计算实践，云计算产业咨询等服务。虽说干的是信息化智能化的行当，但每个IT工程师都必定踩过“IT系统不智能”的坑。就拿企业组建局域网来说，为了对网络接入用户身份进行确认，确保用户权限不受办公地点变更的影响，许多IT工程师都习惯开启 “手动模式”和苦逼的“加班模式”。其实，企业组建局域网的配置也是有“套路”的。IT新人也能现学现

2、用，轻松几步，教你飞速提高企业网络准入的安全性。方案规划对于企业IT工程师来说，什么样的企业网络是我们需要的呢，是快捷，还是安全，让我们来想象一下。员工入职即生成个人账户，一套账户“走遍天下”，包含接入网络，OA，内网，ERP，甚至打印和复印等；支持多个终端，在手机、笔记本、台式机上登录，不论在公司什么位置，你有拥有相同的网络权限；员工调岗或者更换部门，仅需再组织架构中进行调整，这个“新”员工自动获取新部门的网络权限；员工离职，仅需要将账号“一键禁用”。好了，所有的权限都关了，“苍蝇”你都别想飞进来。有句话说“理想很丰满，现实很骨干，但是我在这里想说，这都不是梦，资深IT来告诉你理想的实现方法

3、。架构图基于802.1x协议，实现端口访问控制和认证；搭建Windows Server系统环境，实现AD+DHCP+DNS，这部分搭建网上大把大把的教程，这部分忽略不在进行赘述；NPS（Radius），用户认证管理管理；选择支持802.1x协议认证网络设备，实现动态VLAN实现获得各终端网络登录具有各自网络权限。组网环境（试验样例，最终根据自己实际情况决定）服务器Cisco网络设备客户端网络重点1：调整用户所在安全组后，如何继承了划分VLAN的网络权限？答：在核心网络交换机中把划分的VLAN一定要对应到用户所在安全组，如上图。方案实施本文主要介绍关键配置：有线网络设备上开启802.1X认证和认

4、证服务器NPS(Radius)的配置，其他搭建过程请参照文章底部附录。1.接入交换机（WS-C2960X-48LPS-L）开启802.1x认证，以Cisco 2960为例（注：不同IOS版本命令略有差异）第一步：进入配置模式开启802.1x认证、指定radius-serveraaa new-model! 启用 aaaaaa authentication dot1x default group radius! dot1x使用radius做认证aaa authorization network default group radius! 使用802.1x协议去动态分配vlan的话,上边的这句命令一

5、定要有dot1x system-auth-control! 允许802.1x port-based 认证dot1x guest-vlan supplicant! 允许交换机在端口802.1x认证失败后,指定vlan到guest-vlanradius-server host IP auth-port 1812 acct-port 1813 key Password! 指定radius服务器IP、端口号和进行交互的使用的密码radius-server retry method reorder! 允许有多个radius服务器冗余切换radius-server timeout 10! 指定radius

6、服务认证超时时间重点2：不同用户安全组如何获得动态VLAN地址？答：把预规划好的所有VLAN配置到每台接入交换机和无线AC控制器上，并在核心交换机中配置指向到DHCP服务器地址 。第二步：进入网络端口下启用802.1x配置interface GigabitEthernet1/0/46 switchport mode access ! dot1x指定vlan, switchport mode必须为access switchport voice vlan 195! dot1x指定语音vlan authentication event fail action authorize vlan 107!

7、认证失败获得隔离vlan authentication event no-response action authorize vlan 107! 认证无响应获得隔离vlan authentication port-control auto! 端口认证控制 authentication timer inactivity 30! 认证响应超时 dot1x pae authenticator! 认证端口开启2.NPS（Radius）策略配置（注意了！这个方案最重要的12步，一定要注意！）a.使用配置向导新建连接策略b.添加NPS客户端（接入交换机和无线AC），输入交接机IP和与其认证交互的Passw

8、ordc.选择EAP类型为Microsoft:受保护的EAP（PEAP）d.NPS(Radius)服务器申请计算机证书e.添加账号认证系统AD中的用户test01所在部门“全局作用域安全组”f.配置网络策略，动态VLAN和访问控制列表（ACL）Tunnel-Type： VLANTunnel-Medium-Type: 802.1xTunnel-Pvt-Group-ID: 100 (为VLAN ID)，这样不同用户安全组对应不同网络VLAN即可得到不同的网络访问权限，从而大大减少网络层对终端接入设备访问权限的频繁设置。g.配置完成，NPS（Radius）客户端显示状态h.配置完成，连接请求策略显示

9、状态i.配置完成，网络策略显示状态j.注意：网络策略中，通过配置向导创建的默认是“windows组”，需要手动改为“用户组”，后续熟练后可对NPS（Radius）客户端、连接请求策略和网络策略分开逐一按需求创建。k.注意：连接请求策略，如无线和有线IP段分开，需分开创建，如不分开，创建一条把无线和有线都勾选即可。l.其他部门网络策略，可右键选择重复策略进行创建至此基于802.1x+AD+DHCP+NPS认证实现动态VLAN配置完成，可开始在PC、移动客户端等设备接入网络，使用域账号及密码进行登录尝试。方案验证m.开始菜单运行输入services.msc打开本地服务设置a.设置有线网络（Wired AutoConfig）和无线网络(WLAN AutoConfig)服务开机自动启动802.1x服务b.有线网卡属性“身份验证”选项，启用802.1X和受保护的EAP选项，然后打开“设置”EAP属性，取消“验证证书服务器”，点击配置属性，将自动使用的登录和密码选项取消，然后确定保存关闭。c.返回网卡属性“身份验证”选项，打开“其他设置”，勾选“指定身份验证模式”，确定保存。d.待电脑屏幕右下角，弹出如下窗口选择点击左键e.弹出如下网络身份验证窗口，输入自己公司的域账号(或用户名)和密码点击确定即可。注：使用无线的用户需先配置连接网络的SSID，然后对其进行身份验证设置再