顧武雄台灣微軟特約資深講師[email protected]
Windows Server 2008Windows Server 2008NAPNAP 整合整合 802.1x802.1x網路安全控網路安全控管管
Windows Server 2008 NAP課程課程名稱 時間NAP 整合 VPN 網路安全控管 6/12NAP 整合終端機服務安全控管 6/19NAP 整合 802.1x 網路安全控管 6/26
Level 200
預備知識• 使用過 Windows Server 2008
• 了解 Active Directory 架構
課程大綱• NAP for 802.1x架構介紹• 802.1x設備組態配置• NAP for 802.1x原則設定• NAP for 802.1x用戶端設定• NAP for 802.1x用戶端連線測試• NAP運作監視與事件通知• Q&A
NAP for 802.1x運作元件
建立 NAP for 802.1x測試環境
三種 802.1x網路保護法• 將非法用戶端隔離至特定的 VLAN
–網路設備必須支援動態 VLAN
• 使用 IP 篩選器進行有限資源存取控管• 直接拒絕存取(連接埠由綠燈變橘燈)
–用戶端電腦需要重新拔插連接網路線
建構以 VLAN的隔離法• 必須在初始的 VLAN 中規劃 DHCP 服務
–VLAN1 :初始預設連線的 VLAN ,可置放矯正伺服器–VLAN2 :置放隔離用戶端的 VLAN
–VLAN3 :置放合法用戶端與網路資源的 VLAN
• 請透過 ACLs 將 VLAN2 與 VLAN3 設為無法相互存取• 用戶端必須以 DHCP 方式連線網路
課程大綱• NAP for 802.1x架構介紹• 802.1x設備組態配置• NAP for 802.1x原則設定• NAP for 802.1x用戶端設定• NAP for 802.1x用戶端連線測試• NAP運作監視與事件通知• Q&A
VLAN網路位址配置• 以 Cisco Catalyst 3560G 為範例• 使用 Cisco Network Assistant 介面設定
–或 IOS 命令
啟用設備連接埠的 AAA設定• AAAAAA= Authentication 、 Authorization 、 Accounting
設定 RADIUS伺服器連線• NPS 主機 =RADIUS 伺服器• 802.1x 設備 = RADIUS 用戶端• 設定方法
–radius-server host 192.168.2.1 auth-port 1812
acct-port 1813 key 1234
DHCP Relay設定• 以 ip helper-address 命令指向位在 VLAN1 網路中的
DHCP 伺服器
變更 Supplicant Timeout設定• 預設 supp-timeout=5 秒• 建議設定在 15 以上,避免 NAP 的健康狀態訊息( SoH ),還
來不及透過此交換器完成驗證動作就已經逾時,而導致經常無法成功連線的問題。
重新驗證間隔時間 (選用 )
• 預設 reauthentication 功能 =Disable–使用 dot1x reauthentication 命令來啟用
• 啟用後預設時間 =6 分鐘–使用 dot1x timeout reauth-period 秒數
• 請注意!每一次的重新驗證作業都會讓 NPS 主機上,產生新的合法驗證或非法驗證事件。
啟用 Port Fast
• 縮短預設需 30 秒進入連線狀態的問題
課程大綱• NAP for 802.1x架構介紹• 802.1x設備組態配置• NAP for 802.1x原則設定• NAP for 802.1x用戶端設定• NAP for 802.1x用戶端連線測試• NAP運作監視與事件通知• Q&A
NPS健康原則設定• 設定健康狀態檢驗程式
NAP for 802.1x原則配置( 1/5)
NAP for 802.1x原則配置( 2/5)
NAP for 802.1x原則配置( 3/5)
NAP for 802.1x原則配置( 4/5)
VLAN3 – 合法網路
NAP for 802.1x原則配置( 5/5)• 回到了 [RADIUS標準屬性 ]頁面,請切換到 [特定廠商屬性 ]頁面。
繼續設定!
VLAN2 : 隔離的網路
NAP for 802.1x原則設定
課程大綱• NAP for 802.1x架構介紹• 802.1x設備組態配置• NAP for 802.1x原則設定• NAP for 802.1x用戶端設定• NAP for 802.1x用戶端連線測試• NAP運作監視與事件通知• Q&A
NAP for 802.1x用戶端設定• 可以群組原則統一配置• 可以採手動設定每一部用戶端
–Windows XP SP3設定會比較複雜
群組原則設定 NAP用戶端• 啟用 EAP隔離強制用戶端• 啟用Wired AutoConfig服務(自動)• 啟用 Network Access Protection Agent服務(自動)• 啟用資訊安全中心
設定用戶端有線區域網路• 啟用 IEEE 802.1x驗證
關於Windows Vista 的 802.1x設定• 使用 Active Directory 群組原則來統一配置• 以命令工具語法 netsh lan 來設定 802.1x 的組
態–http://go.microsoft.com/fwlink/?LinkId=70195
802.1x用戶端設定方法
課程大綱• NAP for 802.1x架構介紹• 802.1x設備組態配置• NAP for 802.1x原則設定• NAP for 802.1x用戶端設定• NAP for 802.1x用戶端連線測試• NAP運作監視與事件通知• Q&A
查看動態 VLAN狀態
VLAN1 : NAP 用戶端尚未連接到網路設備!VLAN2: 遭隔離的 NAP用戶端
測試拒絕非法用戶端連線修改不符合標準的原則設定!
已被 NAP拒絕連線的 802.1x用戶端!
NAP for 802.1x用戶端展示
NAP事件檢視隔離用戶端事件
合法用戶端事件
拒絕用戶端事件
隔離或拒絕事件 Email通知• 簡易作法
–直接在 NPS 主機事件上附加 Email 通知工作–IT 無法第一時間掌握到是哪一部電腦無法連線
• 絕佳作法–整合 System Center Operations Manager 2007
• 在這一些重要的用戶端電腦上安裝 SCOM Agent• 當 NAP 隔離或拒絕事件發生時以 IM 或 Email 通知 IT 人員• 優點 : 可讓 IT 立即掌握到哪一部電腦無法連線!
使用效能監視器• NPS 系統健康狀態驗證• NPS 遠端驗證伺服器• NPS 遠端帳戶處理伺服器• NPS 原則引擎• NPS 驗證伺服器• NPS 驗證 Proxy• NPS 驗證用戶端• NPS 帳戶處理伺服器• NPS 帳戶處理 Proxy• NPS 帳戶處理用戶端
NAP網路運作的監控
Q&A
更多參考資訊…• TechNet
www.microsoft.com/taiwan/technet
• TechNet 技術論壇www.microsoft.com/taiwan/technet/forum
• Windows Server 2008www.microsoft.com/taiwan/windowsserver2008
• 顧大俠的 Blog tw.myblog.yahoo.com/chivalrous_ku/