Step By Step Guide: Demonstrate 802.1X NAP Enforcement
1)网络拓扑规划, 服务器角色介绍,交换机的初始化配置。
2)在创建AD mingjiao.org ,添加DHCP ,CA角色。
创建NAP ou,在NAP ou里创建用户napuser,将napuser添加到domain admin组里 。在NAP ou里创建 nap client computer组。
3)将添加NPS服务器添加到AD,将win7客户端添加到AD,在AD中将win7计算机帐户添加到nap client computer组中。
4)NPS服务器添加NPS角色:
A 服务器管理器- >角色->添加网络策略服务器
B 服务器管理器->功能->添加组策略管理
C 为PEAP认证申请计算机证书
5) NPS配置上部分:
服务器管理器->角色->网络策略和访问服务->NPS->配置NAP->网络连接方法:IEEE 802.1x(有线)->Radius客户端:添加sw3560->配置用户和计算机(默认)->身份验证验证方法(默认)->配置流量控制:完全访问网络指定
Tunnel-Type:Virtual LANs,Tunnel-Medium-Type:802,Tunnel-Pvt-Group-ID:20,受限访问网络指定Tunnel-Type:Virtual LANs,Tunnel-Medium-Type:802,Tunnel-Pvt-Group-ID:30->定义NAP健康策略(默认)->完成
检验NAP配置结果
6)NPS配置中部分:
服务器管理器->角色->网络策略和访问服务->NPS->网络访问保护->系统健康验证程序->windows 安全健康验证程序->设置->默认配置:防火墙设置勾选,防病毒设置只勾选防病毒应用程序已启用,间谍软件保护设置只勾选反间谍软件应用程序已启用,自动更新设置勾选。
7)NPS配置下部分:
针对NAPclient的组策略设置:gpme.msc->新建组策略对象为nap,双击开始编辑组策略:1)计算机配置->策略->Windows setting->安全->有线网络策略->为Windows Vista及更高版本创建新的有线网络策略,安全选项卡 属性里选择根证书以及勾选强制执行网络访问保护。
2) 计算机配置->策略->Windows setting->安全->系统服务:服务network access protection agent启用,服务wired Auto config启用,服务Windows update启用,服务Windows firewall启用。
3) 计算机配置->策略->Windows setting->安全->网络访问保护->NAP客户端配置->强制客户端->EAP隔离强制客户端启用。
4) 计算机配置->策略->管理模板->Windows 组件->安全中心:启用安全中心。
8)NAP上关联GPO
gpmc.msc- 林-域-mingjiao.org-nap(上面定义的组策略对象)-安全筛选:移除 默认的authentication users,然后添加nap client computer组。
9)最后 在SW3560开启dot1x认证,配置如下:
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
dot1x system-auth-control
radius-server host 10.1.100.102 auth-port 1645 acct-port 1646 key cisco
interface FastEthernet0/23
switchport access vlan 20
switchport mode access
dot1x pae authenticator
authentication port-control auto
到此整个NAP配置结束。
测试:重新启动Win7客户端 进行验证!
如需获取配套录像请通过如下链接购买:
http://item.taobao.com/item.htm?id=13380279796&
本文转自Yeslab教主 51CTO博客,原文链接:http://blog.51cto.com/xrmjjz/711234