五阿哥钢铁电商资深运维工程师手把手教你这样玩企业组网

虽说干的是信息化智能化的行当,但每个IT工程师都必定踩过“IT系统不智能”的坑。就拿企业组建局域网来说,为了对网络接入用户身份进行确认,确保用户权限不受办公地点变更的影响,许多IT工程师都习惯开启 “手动模式”和苦逼的“加班模式”。

其实,企业组建局域网的配置也是有“套路”的。IT新人也能现学现用,轻松几步,教你飞速提高企业网络准入的安全性。

方案规划


对于企业IT工程师来说,什么样的企业网络是我们需要的呢,是快捷,还是安全,让我们来想象一下。

  • 员工入职即生成个人账户,一套账户“走遍天下”,包含接入网络,OA,内网,ERP,甚至打印和复印等;

  • 支持多个终端,在手机、笔记本、台式机上登录,不论在公司什么位置,你有拥有相同的网络权限;

  • 员工调岗或者更换部门,仅需再组织架构中进行调整,这个“新”员工自动获取新部门的网络权限;

  • 员工离职,仅需要将账号“一键禁用”。好了,所有的权限都关了,“苍蝇”你都别想飞进来。


有句话说“理想很丰满,现实很骨干‘’,但是我在这里想说,这都不是梦,资深IT来告诉你理想的实现方法。 



架构图

  • 基于802.1x协议,实现端口访问控制和认证;

  • 搭建Windows Server系统环境,实现AD+DHCP+DNS,这部分搭建网上大把大把的教程,这部分忽略不在进行赘述;

  • NPS(Radius),用户认证管理管理;

  • 选择支持802.1x协议认证网络设备,实现动态VLAN实现获得各终端网络登录具有各自网络权限。


组网环境(试验样例,最终根据自己实际情况决定)

服务器 


Cisco网络设备 


客户端网络 


重点1:调整用户所在安全组后,如何继承了划分VLAN的网络权限? 

答:在核心网络交换机中把划分的VLAN一定要对应到用户所在安全组,如上图。

方案实施


本文主要介绍关键配置:有线网络设备上开启802.1X认证和认证服务器NPS(Radius)的配置,其他搭建过程请参照文章底部附录。

1.接入交换机(WS-C2960X-48LPS-L)开启802.1x认证,以Cisco 2960为例(注:不同IOS版本命令略有差异)

第一步:进入配置模式开启802.1x认证、指定radius-server

aaa new-model
! 启用 aaa
aaa authentication dot1x default group radius
! dot1x使用radius做认证
aaa authorization network default group radius
! 使用802.1x协议去动态分配vlan的话,上边的这句命令一定要有
dot1x system-auth-control
! 允许802.1x port-based 认证
dot1x guest-vlan supplicant
! 允许交换机在端口802.1x认证失败后,指定vlan到guest-vlan
radius-server host IP auth-port 1812 acct-port 1813 key Password
! 指定radius服务器IP、端口号和进行交互的使用的密码
radius-server retry method reorder! 允许有多个radius服务器冗余切换radius-server timeout 10
! 指定radius服务认证超时时间


重点2:不同用户安全组如何获得动态VLAN地址?

答:把预规划好的所有VLAN配置到每台接入交换机和无线AC控制器上,并在核心交换机中配置指向到DHCP服务器地址 。

第二步:进入网络端口下启用802.1x配置

interface GigabitEthernet1/0/46switchport mode access 
! dot1x指定vlan, switchport mode必须为accessswitchport voice vlan 195! dot1x指定语音vlanauthentication event fail action authorize vlan 107! 认证失败获得隔离vlanauthentication event no-response action authorize vlan 107! 认证无响应获得隔离vlanauthentication port-control auto! 端口认证控制authentication timer inactivity 30! 认证响应超时dot1x pae authenticator! 认证端口开启


2.NPS(Radius)策略配置(注意了!这个方案最重要的12步,一定要注意!)

a.使用配置向导新建连接策略 




b.添加NPS客户端(接入交换机和无线AC),输入交接机IP和与其认证交互的Password 



c.选择EAP类型为Microsoft:受保护的EAP(PEAP) 



d.NPS(Radius)服务器申请计算机证书 



e.添加账号认证系统AD中的用户test01所在部门“全局作用域安全组”




f.配置网络策略,动态VLAN和访问控制列表(ACL) 



Tunnel-Type: VLAN 
Tunnel-Medium-Type: 802.1x 
Tunnel-Pvt-Group-ID: 100 (为VLAN ID),这样不同用户安全组对应不同网络VLAN即可得到不同的网络访问权限,从而大大减少网络层对终端接入设备访问权限的频繁设置。


g.配置完成,NPS(Radius)客户端显示状态 



h.配置完成,连接请求策略显示状态 

i.配置完成,网络策略显示状态 



j.注意:网络策略中,通过配置向导创建的默认是“windows组”,需要手动改为“用户组”,后续熟练后可对NPS(Radius)客户端、连接请求策略和网络策略分开逐一按需求创建。 



k.注意:连接请求策略,如无线和有线IP段分开,需分开创建,如不分开,创建一条把无线和有线都勾选即可。 



l.其他部门网络策略,可右键选择重复策略进行创建 



至此基于802.1x+AD+DHCP+NPS认证实现动态VLAN配置完成,可开始在PC、移动客户端等设备接入网络,使用域账号及密码进行登录尝试。

方案验证


m.开始菜单运行输入services.msc打开本地服务设置 



a.设置有线网络(Wired AutoConfig)和无线网络(WLAN AutoConfig)服务开机自动启动802.1x服务 



b.有线网卡属性“身份验证”选项,启用802.1X和受保护的EAP选项,然后打开“设置”EAP属性,取消“验证证书服务器”,点击配置属性,将自动使用的登录和密码选项取消,然后确定保存关闭。 



c.返回网卡属性“身份验证”选项,打开“其他设置”,勾选“指定身份验证模式”,确定保存。 



d.待电脑屏幕右下角,弹出如下窗口选择点击左键



e.弹出如下网络身份验证窗口,输入自己公司的域账号(或用户名)和密码点击确定即可。 



注:使用无线的用户需先配置连接网络的SSID,然后对其进行身份验证设置再连接登录。推荐以上所有设置规则在AD中使用组策略推送配置,方便域账号登录系统自动连接网络。

Mac和移动端(Android和iOS)的连接方式也很简单,不在这里进行重复赘述。到这里,我们整个方案就已经介绍完成了,希望能帮助企业里IT同学。如果在实施过程中有任何问题,请在知乎上联系五阿哥运维部的同学,他必会倾力相助。

附录:

方案涉及AD+DNS搭建请参照:

https://zhuanlan.zhihu.com/p/29706040 
https://zhuanlan.zhihu.com/p/29706120 
https://zhuanlan.zhihu.com/p/29706174

DHCP搭建请参照:

https://zhuanlan.zhihu.com/p/29706251

作者简介:王志强,五阿哥钢铁电商平台(wauge.com) 运维部IT高级工程师。2016年加入五阿哥钢铁电商平台,负责公司IT相关工作,曾在阿里巴巴、高德等知名互联网公司负责IT工作,在企业网络建设拥有10年资深的经验。




全天候聚焦IaaS/PaaS/SaaS最新技术动态,深度挖掘技术大咖第一手实践,及时推送云行业重大新闻,一键关注,总览国内外云计算大势! 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/525822.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

linux程序 option,long-option.c/解析命令行参数

#include //继续ing。。。#include "version-etc.h"//初始化结构体static struct option const long_options[] {{"help", no_argument, NULL, h},{"version", no_argument, NULL, v},{NULL, 0, NULL, 0}};这里贴一下从网上找到的中文解释(出自h…

预告:Intel、Hulu、阿里、京东、携程等大数据实战直播

前言:由CSDN主办的SDCC 2017之大数据技术实战线上峰会将在CSDN学院举行。作为SD系列技术峰会的一部分,本次线上峰会秉承干货实料(案例)的内容原则,将邀请圈内顶尖的布道师、技术专家和技术引领者,共话大数据…

Linux添加gcc软连接,linux静态库,动态库和硬链接,软连接

静态库1、命令gcc -c a.c b.c生成a.o和b.o;2、命令ar -r libname.a a.o b.o生成包含名为libname.a的静态库;3、命令gcc main.c libname.a可以在main中链接静态库libname.a。动态库(共享库)1、命令gcc -c a.…

微服务应用容器化场景中常见问题总结

简介:云原生技术栈是下一代应用转型的必然选择,它包含了微服务架构,DevOps和容器技术。对于微服务架构来说,应用是“第一公民”,他逐渐蚕食原来底层软件或者硬件的功能,例如服务注册与发现以及负载均衡&…

linux用date指令,Linux中date指令的使用

1. 只输入date就会显示年月日时间二.date的设置 使用 -s设置时间和日期的的命令1..date –s 11:32:342..date –s 20101232就会显示年月日,但这样会把时间清零3..date –s ‘2010-10-2 11:22:21’这样就会显示修改的信息4.. date –s “2010-10-2 11:22…

Swarm的进化和大规模应用

目前在容器编排领域,Kubernetes、Mesos以及Swarm呈现“三分天下”的格局,各自都有着不同的应用场景。短期内,很难看到“一统天下”的局面,本文,来自阿里云高级专家陈萌辉将带你了解阿里内部在推行容器化过程中的一些着…

linux可以用dos命令是什么意思,Linux系统常用命令与DOS命令的类似之处和本质区别各是什么?...

满意答案iedsa3641推荐于 2019.09.13采纳率:56% 等级:8已帮助:361人Linux是一个非常优秀的操作系统,与MS-WINDOWS相比具有可靠、稳定、速度快等优点,且拥有丰富的根据UNIX版本改进的强大功能。下面做一个…

从 0 到 300,Instagram 创始人 CTO 分享工程团队成长的经验

最初,Instagram 被 Facebook 收购时公司只有六个工程师,且都是全栈。本文Instagram 创始人兼 CTO Mike Krieger 分享了创业初期并在资源有限的情况下,人才招聘、技术专攻的实践经验,将时间、精力用在最有价值的地方。以下为译文&a…

深度揭秘Twitter的新一代流处理引擎Heron

流计算又称实时计算,是继以Map-Reduce为代表的批处理之后的又一重要计算模型。随着互联网业务的发展以及数据规模的持续扩大,传统的批处理计算难以有效地对数据进行快速低延迟处理并返回结果。由于数据几乎处于不断增长的状态中,及时处理计算…

linux生成图片快捷方式,在Deepin Linux系统下给AppImage格式软件创建快捷方式的方法...

这两天使用deepin的过程中,无意中发现了一个叫krita的程序,是一个图像处理软件,类似Photoshop,于是就下载krita-4.2.8-x86_64的这个版本。但是麻烦的就是他是一个AppImage格式,每次我打开的时候需要打开相应文件夹中的…

图数据库在CMDB领域的应用

【导语】在上期的图数据库介绍中,我们对什么是图数据库,以及图数据库所擅长的领域做了一个初步的介绍,也收到了众多的反馈和咨询,特别要求我们对图数据库在一些具体行业的应用能做一些深入介绍。为此,从本期文档开始&a…

北理在线作业答案c语言,北理工19春《面向对象程序设计》在线作业【标准答案】...

北理工《面向对象程序设计》在线作业-0003试卷总分:100 得分:0一、 单选题 (共 38 道试题,共 76 分)1.对虚函数的调用()A.一定使用动态联编B.必须使用动态联编C.一定使用静态联编D.不一定使用动态联编2.下列关于派生类的描述中,错误的是()。A.派生类继承了基类的…

从分布式到微服务,深挖Service Mesh

原文:Pattern: Service Mesh (作者/Phil Calado,翻译/雁惊寒,责编/魏伟 ) 摘要:在前一段时间,我们CSDN推出了《深度剖析Service Mesh服务网格新生代Istio》一…

c语言程序设计安徽区笔试部分,2021年安徽省二级C语言程序设计笔试样题-20210419093521.doc-原创力文档...

第1套 C语言程序设计笔试样题一 单项选取题(每题1分,共40分)1.某微型计算机型号规格标有PentiuШ600字样,其中PentiuШ是指 __C____A. 厂家名称 B. 机器名称 C. CPU型号 D. 显示屏名称2.当前微型机上普通使用光驱及光盘,它采用是__C____A. 超…

应用开发者必须了解的Kubernetes网络二三事

Kubernetes网络基本的部署调度单元:Pod Kubernetes中的基本管理单元并非是一个容器,而是一个叫做pod的东西。我们认为部署了一个或多个容器的环境是一个pod单元。通常情况下,它们代表了提供部分服务的单个功能端点。 举两个有效的pods单元为例…

c51编程语言基础习题,《单片机基础》练习题及答案

单片机基础(第3版)第1章计算机基础知识(一)填空题1.十进制数14对应的二进制数表示为(1110B),十六进制数表示为(0EH)。十进制数-100的补码为(9CH),100的补码为(64H)。2.在一个非零的无符号二进制整数的末尾加两个0后,形成一个新的无符号二进制…

高可用Docker容器云在58集团的实践

58私有云平台是58同城架构线基于容器技术为内部服务开发的一套业务实例管理平台,支持业务实例按需扩展,秒级伸缩,平台提供友好的用户交互过程,规范化的测试、上线流程,旨在将开发、测试人员从基础环境的配置与管理中解…

c语言程序设计课件数组,数组(C语言程序设计)课件

数组(C语言程序设计)课件 前牙反颌和开颌的原因多由于不良喂养方式和吮指等不良习惯造成,也可因多颗乳磨牙过早缺失,迫使儿童用前牙咀嚼,下颌逐渐前伸移位造成。 前牙反颌和开颌的原因多由于不良喂养方式和吮指等不良习惯造成,也可…

Docker CE/EE 原生支持Kubernetes

在今天的 DockerCon EU (2017) 上,Solomon 宣布 Docker 将原生支持 Kubernetes,也就是说 Kubernetes 将和 Swarm 一样作为 Docker 平台的编排管理系统。这包括 Docker EE、Docker CE 以及 Docker for Mac/Windows 等全平台的支持。 Docker for Mac/Windo…

c语言创建一个hello.txt文件,并检查是否成功,广东工业大学C语言验(上机)任务书2015版.doc...

广东工业大学C语言验(上机)任务书2015版广东工业大学实验(上机)任务书(2015 — 2016 学年度第 1 学期)课程名称 高级语言程序设计 课程设计 实验室名称及地点: 实验2号楼306指导教师: 孟安波、王星华 周次节次实验主要内容每组学生人数具体任务要求65-8熟…