Сега аз съм на работа за изпълнение на проекта Microsoft NAP решения в голяма организация. Microsoft NAP е планирано да се използва в съчетание с активно мрежово оборудване Cisco, достъп на клиента до мрежата за корпоративна информация - така наречения сценарий 802.1X Изпълнение. Microsoft NAP се планира също да бъдат използвани в организацията на VPN достъп до корпоративната мрежа.

При изпълнението на проекта (802.1X), имаше няколко проблема. В Microsoft Deployment Guide NAP инфраструктура, за да се говори за необходимостта от подкрепа на мрежово оборудване RADIUS атрибути за VLAN:

Един слой 2 или слой 3 превключвател, който поддържа 802.1X порт-базирано разпознаване и RADIUS тунелни атрибути за задача VLAN.

Оказва се, че не всички Cisco оборудване поддържа промяна на IEEE 802.1x (Не се споменава за други производители като 3Com, D-Link и др.) - VLAN задача. Ние открихме, че следните Cisco устройствата трябва да поддържат тази функция (списъкът не е пълен - само, че е възможно да се провери):

• 2940 IOS 12.1 (22) EA4
• 2960 IOS 12.2 (25) SED
• 2980 CatOS 8.4GLX
• 3550 IOS 12.1 (14) ЕА1
• 3560 IOS 12.2 (25) SED
• 3750 IOS 12.2 (25) SED
• 4000 CatOS 8.4GLX или IOS 12.1 (19) EW
• 4500 CatOS 8.4GLX или IOS 12.1 (19) EW
• 6500 CatOS 7.2 или IOS 12.1 (13) Е4

На Cisco устройства, направете следното: ааа удостоверяване dot1x подразбиране група радиус никой
dot1x система удостоверяване е-контрол
!
интерфейс FastEthernet0 / 5
switchport достъп режим
dot1x порт-автоматичен контрол
dot1x гост-VLAN 50
обхващаща дърво portfast
!
радиус-сървър домакин 10.1.200.254 упълномощаване-порт 1812 пр-порт 1813 клавиш

На RADIUS сървър (известен още като NAP), трябва да се определят следните характеристики за потребителите:

Тунел-Type [64] = VLAN
Тунел-Medium-Type [65] = 802
Тунел-частно Група-Id [81] = NAME_OF-VLAN

Това е, което идва при проблеми с частта мрежа. Когато настроите Microsoft NAP, че има проблем с клиентската част на продукта. Като цяло, Microsoft NAP работи на операционни системи, започващи с Microsoft Windows XP SP3 или по-висока. В Windows XP SP3 съдържа всички необходими за NAP, в допълнение към графичната конзола за конфигуриране НПД функции. Тази конзола, като цяло, не се нуждаят от корпоративна мрежа - като всички настройки за клиентски компютри са разпределени централно през Group Policy. Така че, за правилната работа на НАП изисква клиентски компютри автоматично стартиране на услугата NAP Agent - тя е изключена по подразбиране. Активиране на него и други необходими не е трудно за NAP услуга чрез Group Policy. Въпреки това, ако изведнъж, когато конфигурирате Group Policy, вие умишлено или случайно кликнали на разрешение за редактиране (вж. Фигура), а след това на Windows XP SP3 това действие ще доведе до повреда в автоматичната система за NAP Агент започва операционни системи.

Вижте също Как да се промени Microsoft Office сериен номер

При тестване NAP инфраструктура е прекарал няколко часа по идентифициране и премахване на причините да не работят правилно NAP, причинени от неспазване на услугата NAP агент е започнал.

Надявам се някой с тази информация, когато се разгърне Microsoft NAP инфраструктура, която ще бъде от полза.

Оригиналната статия на английски език.

Свързани статии

• защита на достъпа до мрежата Защита на мрежовия достъп (дрямка) за прозорци

• Конфигурирането на защита на достъпа до мрежата за сървър на операционната система Windows 2018 - статия за