EqLlyHJ5w6,694hQRgLWm

交换机江湖故事之一个门卫NAC的故事(第二篇)

来源:济南磐龙笔记本交换机维修作者:济南磐龙交换机维修网址:http://www.pldtwx.com

交换机江湖故事之一个门卫NAC的故事(第二篇)



上一集我们介绍了NAC在江湖中流传最为广泛的那些,大家对NAC应该有了一定的了解吧?当然了,故事毕竟是故事,光听一些八卦事儿而不能近距离接触故事的主角,大家心中肯定会意犹未尽!OK,今天就让我们以NAC中的802.1x为例来一起瞅一瞅NAC到底是咋一步一步奠定自己的江湖地位

话说在N年之前,档案局刚刚建立。此时由于没有安排门卫,因此人来人往,好不热闹,我们能够看到老李想进档案局就可以进去,全无阻拦。

图一:未部署NAC的档案局环境

交换机江湖故事之一个门卫NAC的故事(第二篇)

图二未部署NAC情况下老李访问档案室资源

交换机江湖故事之一个门卫NAC的故事(第二篇)

长此以往,档案局内混乱不堪,为了扭转局面,保证档案局内各类资源的安全。档案局决定在大门处SwitchA部署NAC的802.1x认证功能下面就让我们一起看看部署过程中的各个重要步骤。

图三部署NAC的档案局环境

交换机江湖故事之一个门卫NAC的故事(第二篇)

步骤AAA服务器上配置对接的接入设备(SwitchA)各参数。(AAA服务器以华为公司Policy Center为例进行说明)

  • 登陆Policy Certer后首先在其上添加接入设备。保证张局长交换机江湖故事之一个门卫NAC的故事(第二篇)能够联系上门卫交换机江湖故事之一个门卫NAC的故事(第二篇)
  • 选择接入控制策略 > 接入设备 > 接入设备 > 设备
  • 单击“增加”
  • 设置设备的连接参数。
  • 交换机江湖故事之一个门卫NAC的故事(第二篇)
  • 增加授权结果。
  • 选择接入控制策略 >认证授权 >授权结果
  • 单击 ,修改缺省授权规则。(此处直接使用缺省授权规则,也可以创建新的授权规则
  • 交换机江湖故事之一个门卫NAC的故事(第二篇)
  • 步骤二:在服务器上添加账号(保证老李交换机江湖故事之一个门卫NAC的故事(第二篇)在访问档案局时,张局长交换机江湖故事之一个门卫NAC的故事(第二篇)能够认识他)

    首先上张全景图,然后在做详细介绍。

    交换机江湖故事之一个门卫NAC的故事(第二篇)

  • 创建部门
  • 选择“用户与终端 > 部门用户 > 部门用户管理”。
  • 在右侧操作区域选择“部门”页签。
  • 在部门导航树选择待创建部门的上级部门。
  • 待创建部门隶属于所选择的上级部门。
  • 在“部门”页签下方单击“增加”。
  • 输入部门的参数。
  • 交换机江湖故事之一个门卫NAC的故事(第二篇)
  • 创建用户
  • 选择“用户与终端 > 部门用户 > 部门用户管理”。
  • 在右侧操作区域选择“用户”页签。
  • 在部门导航树选择需要创建终端用户的目标部门,即“档案局”
  • 在“用户”页签下方单击“增加”。
  • 输入用户的相关参数。
  • 交换机江湖故事之一个门卫NAC的故事(第二篇)
  • 创建账号
  • 选择“用户与终端 > 部门用户 > 部门用户管理”。
  • 在右侧操作区域选择“用户”页签。
  • 在“部门用户管理”界面左侧的部门导航树选择需要创建账号的目标部门,即“档案局”
  • 在需要创建账号的用户(即:老李右侧单击
  • 单击“增加”,输入账号的相关参数。
  • 交换机江湖故事之一个门卫NAC的故事(第二篇)
  • 步骤SwitchA部署NAC的802.1x功能。

  • SwitchA配置RADIUS方案。
  • # 创建RADIUS服务器模板。配置RADIUS认证服务器、共享密钥。
  • 交换机江湖故事之一个门卫NAC的故事(第二篇)
  • # 配置认证方案。
  • 交换机江湖故事之一个门卫NAC的故事(第二篇)
  • # 配置域,在域下应用认证方案auth、 RADIUS服务器模板rad
  • 交换机江湖故事之一个门卫NAC的故事(第二篇)
  • # 配置全局默认域为“zhangjuzhang”。
  • 交换机江湖故事之一个门卫NAC的故事(第二篇)
  • SwitchB使能802.1x报文透传功能 (如果门卫和老李之间不存在二层交换机设备,则无需配置本步骤
  • 交换机江湖故事之一个门卫NAC的故事(第二篇)
  • SwitchA使能802.1x认证
  • # NAC配置模式切换成统一模式。(在交换机SV200R005C00及其之后版本,NAC支持统一配置模式与传统配置模式。推荐使用NAC统一配置模式进行配置。)
  • 交换机江湖故事之一个门卫NAC的故事(第二篇)

  • # 使能802.1x认证
  • 交换机江湖故事之一个门卫NAC的故事(第二篇)


    OK,到这里,NAC部署就完成了这时NAC即刻走马上任门卫的工作,后如果用户没有认证成功,将无法访问网络喽。

  • 交换机江湖故事之一个门卫NAC的故事(第二篇)

  • 在部署完成NAC功能后,如果用户需要访问档案局中的资源,则必须通过认证才可以。下面以华为公司NAC Agent客户端软件为例介绍启动802.1x认证过程。

    老李在进行认证时,交换机江湖故事之一个门卫NAC的故事(第二篇)启动认证即可


    交换机江湖故事之一个门卫NAC的故事(第二篇)


    如果输入的用户名和密码正确,则老李即能够通过认证。这时,我们在SwitchA上能够看到老李认证成功的信息。

    交换机江湖故事之一个门卫NAC的故事(第二篇)

    这样,老李能够访问档案局中的网络资源了啊!

    交换机江湖故事之一个门卫NAC的故事(第二篇)


    看到这里,大家对NAC的部署流程有一定了解了吗?说实话,NAC的门卫工作真的是博大精深,他会遇到各种各样的人,会遇到各种各样的紧急情况、特殊情况。为了应对这些人、这些事儿,NAC门卫工作也在不断的扩展、细化,而他身上发生的故事也在不断的增加……

    本文到这里仅仅为大家讲述了NAC流传较为广泛的故事,以及他最常见的工作方式。如果大家对NAC产生了强烈的兴趣,想更深入的了解NAC的故事,那就请访问华为公司网站吧,那里有更多的精彩在等着你!

EqLlyHJ5w6