【NPS】哑终端设备如何实现域VLAN动态分配

news2024/11/25 5:32:00

在【NPS】微软NPS配置802.1x,验证域账号,动态分配VLAN(有线网络续篇)中,已经通过C3PL策略配置实现了802.1x验证没有通过时,自动分配一个Guest VLAN,以确保用户至少能够访问基本的网络服务。问题一个接着一个的出现,如果是一个哑终端,譬如打印机,又不在Guest VLAN中又该如何解决呢?

对于哑终端,如打印机或IP摄像头等设备,它们通常不具备执行802.1X认证的能力。在这种情况下,我们可以使用MAC地址绑定(MAC Address Binding,简称MAB)来进行网络访问控制。MAB是一种基于设备MAC地址的认证方法,它允许网络设备根据MAC地址来授权或拒绝设备的网络访问。

MAB简介

MAB是一种网络访问控制技术,它通过将设备的MAC地址与网络策略相关联,来实现对网络访问的控制。MAB的关键优势在于其简单性和对设备类型的广泛兼容性,特别是对于那些不支持802.1X认证的哑终端设备。

NPS和Cisco交换机的配置

为了实现MAB,我们需要在AD域控服务器,网络策略服务器(NPS)和Cisco交换机上进行相应的配置。

AD域控服务器

  1. 创建以哑终端的MAC地址为用户名的用户名,并将同一个VLAN下的设备放入同一个组中。(在我的例子中,终端的MAC地址00-E0-4C-68-01-17
    在这里插入图片描述
    在这里插入图片描述

  2. 默认情况下是不允许使用设备的MAC地址作为密码的,我们需要通过FINE GRAINED PASSWORD POLICIES(细粒度密码策略),降低密码策略要求。
    在这里插入图片描述

  • 打开Active Directory Administrative Center
  • 导航到你的域,然后到系统,再到Password Settings Container
  • 右边任务栏选择新建 > 密码设置
  • 为新策略命名,例如Password-Settings-for-MAB
  • 根据你的需求配置密码策略参数。因为你想要使用设备的MAC地址作为密码,你可能需要设置策略以允许简单密码,不设置密码过期,并且可能没有复杂性要求。

在这里插入图片描述

  1. 修改哑终端设备用户名的密码为MAC地址。

在这里插入图片描述

网络策略服务器(NPS)

为MAB认证创建一个新的网络策略。
命名该策略,例如安全有线(以太网)连接for MAB
配置策略参数以使用MAB认证。你需要指定以下内容:

条件:
	Windows组 - LST\MAB_Devices
	NAS端口类型 - 以太网
约束:
	身份验证方法 - 未加密的身份验证(PAP, SPAP)
	NAS端口类型 - 以太网
设置:
	 标准:
		Service-Type: Framed
		Tunnel-Medium-Type: 802 (includes all 802 media plus Ethernet canonical format)
		Tunnel-Private-Group-ID:  112
	 	Tunnel-Type: Virtual LANs (VLAN)

在这里插入图片描述

Cisco交换机

1. 服务模板配置(Service-Template)

首先,定义一个一个名为GUEST_VLAN的服务模板,指定VLAN号为114。这个模板将用于认证失败的客户端,使他们能够访问Guest VLAN,从而获得有限的网络服务。

service-template GUEST_VLAN
  vlan 114
2. 类映射配置(Class-Map)

定义两个类映射,DOT1X-FAILED和MAB-FAILED,用于匹配认证失败的客户端:

  • DOT1X-FAILED 类映射匹配使用802.1x认证方法但认证状态为未授权的客户端。
  • MAB-FAILED 类映射匹配使用MAC地址绑定(MAB)认证方法但认证状态为未授权的客户端
class-map type control subscriber match-all DOT1X-FAILED
 match method dot1x
 match authorization-status unauthorized

class-map type control subscriber match-all MAB-FAILED
 match method mab
 match authorization-status unauthorized
3. 策略映射配置(Policy-Map)

创建一个名为DOT1X-DEFAULT的策略映射,用于处理认证失败事件:

  • 在会话开始时,首先尝试使用MAB认证。
  • 如果MAB认证失败(MAB-FAILED),则终止MAB认证并尝试使用802.1x认证。
  • 如果802.1x认证也失败(DOT1X-FAILED),则授权客户端到Guest VLAN,激活GUEST_VLAN服务模板,并终止802.1x认证过程。
policy-map type control subscriber DOT1X-DEFAULT
 event session-started match-all
  10 class always do-until-failure
   10 authenticate using mab priority 10
 event authentication-failure match-all
  10 class MAB-FAILED do-all
   10 terminate mab
   20 authenticate using dot1x priority 20
  20 class DOT1X-FAILED do-all
   10 authorize
   20 activate service-template GUEST_VLAN
   30 terminate dot1x
4. 接口配置(Interface)

将策略应用到接口上。

interface GigabitEthernet1/0/31
 description D019
 switchport mode access
 authentication periodic
 authentication timer reauthenticate server
 access-session port-control auto
 mab
 dot1x pae authenticator
 dot1x timeout tx-period 7
 spanning-tree portfast
 service-policy type control subscriber DOT1X-DEFAULT

测试

使用Cisco的命令行工具来检查认证状态和会话详细信息。

show access-session interface GigabitEthernet1/0/31 details

情况1:通过MAB认证。(计算机关闭Wired AutoConfig服务,模拟哑终端)
在这里插入图片描述在这里插入图片描述

情况2:未通过MAB认证,通过802.1x认证。(计算机开启Wired AutoConfig服务,并将MAC地址用户名从MAB_Devices中去除)
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

情况3:未通过MAB认证,也未通过802.1x认证(计算机关闭Wired AutoConfig服务,并将MAC地址用户名从MAB_Devices中去除)
在这里插入图片描述

结语

随着MAB策略的实施,我们的网络环境现在能够更加智能和安全地处理哑终端设备的接入。通过对MAC地址的精细管理,我们不仅提高了网络的访问控制能力,还为哑终端设备提供了必要的网络服务,确保了业务的连续性和数据的安全性。
最后,鼓励大家持续关注网络技术的最新动态,不断更新和优化网络策略,以应对日益复杂的网络安全挑战。通过精心设计的网络访问控制策略,我们可以为用户创造一个更加安全、可靠和高效的网络环境。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1870891.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

数字时代的文化革命:Facebook的社会影响

随着数字技术的飞速发展和互联网的普及,社交网络如今已成为人们日常生活中不可或缺的一部分。在众多社交平台中,Facebook作为最大的社交网络之一,不仅连接了全球数十亿用户,更深刻影响了人们的社会互动方式、文化认同和信息传播模…

展开说说:Android列表之RecyclerView

RecyclerView 它是从Android5.0出现的全新列表组件,更加强大和灵活。用于显示列表形式 (list) 或者网格形式 (grid) 的数据,替代ListView和GridView成为Android主流的列表组件。可以说Android客户端只要有表格的地方就有RecyclerView。 RecyclerView 内…

【linux】使用vnc连接远程桌面,需要安装tigervnc,并在服务端期待,然后在客户端使用tigervnc-viewer进行连接即可

vnc 远程设置方法 需要服务端安装软件: sudo apt install -y tigervnc-standalone-server# 先配置密码使用: tightvncpasswd启动服务,禁用本机 vncserver -localhost no -geometry 1924x1080 :1客户端安装软件: sudo apt insta…

JavaScript高级程序设计(第四版)--学习记录之基本引用类型

Date Date类型将日期保存为自协调世界时间1970年1月1日午夜至今所经过的毫秒数。 创建日期对象 let now new Date() Date.parse()方法接收一个表示日期的字符串参数,尝试将这个字符串转换为表示该日期的毫秒数。 let time new Date(Date.parse("May 24,2024&…

Jmeter+InfluxDB+Grafana性能测试数据展示

JmeterInfluxDBGrafana提供了一种更好的对Jmeter压测结果的实时监控展示。可以理解为数据源产生的数据加上时间记录并存储,然后使用各种开源图表组件进行展示。实现jmeter报告的更好的可视化展示 1)方便测试结果数据落地以及更好的分析 2)将…

超好用的思维导图—万兴亿图脑图 v10解锁版安装教程 (思维导图软件和头脑风暴工具)

前言 万兴亿图脑图 (Wondershare EdrawMind) 是一款多平台协作思维导图软件和头脑风暴工具,亿图思维导图提供丰富的布局,样式,主题及配色方案,集成拥有数万幅原创思维导图作品的思维导图社区,涵盖教育,职场,自我提升等各大领域精华知识.支持会议演示,多端创作,云端存储,导图分…

BioCLIP:物种图像的基础视觉模型

从无人机到个人手机,各种相机收集的自然世界图像是越来越丰富的生物信息来源。从图像中提取生物相关信息用于科学的计算方法和工具激增,尤其是计算机视觉。然而,其中大多数都是为特定任务设计的,不容易适应或扩展到新的问题、环境…

第30课 绘制原理图——放置网络标签

什么是网络标签? 我们在很多电路图中都能看到,为了让图纸更加简洁,并不是每一根导线都要确确实实地画出来。可以在导线悬空的一端添加一个名称标签,接着在另一根导线的悬空一端添加上一个同名的名称标签,那么就可以让…

1.回溯算法.基础

1.回溯算法 基础知识题目1.组合2.组合-优化3.组合总和|||4.电话号码和字母组合5.组合总和6.组合总和II7.分割回文串8.复原IP地址 基础知识 回溯法也可以叫做回溯搜索法,它是一种搜索的方式。回溯是递归的副产品,只要有递归就会有回溯 因为回溯的本质是穷…

【毛毛虫案例-重力 Objective-C语言】

一、接下来,我们给这个毛毛虫,添加一下重力 1.把我们之前的代码,复制粘贴一份儿,改个名字,叫做:17-毛毛虫案例-重力, 重力的话,实际上,就比较简单了啊,那我们重力的话,去添加的时候,我也要在外面,去添加, 重力的话,叫做啥,UIGravityBehavior,啊, UIGravity…

2024年度临沂市安全文化书画摄影展开幕

人海信息网山东讯 6月27日,2024年度临沂市安全文化书画摄影作品展,在临沂高新区隆重开幕。本次书画摄影展深入贯彻“以人为本,安全发展”的重要思想,立意高远,内涵丰富,思想深邃,承载着健康、幸…

【公开数据集获取】

Open Images Dataset https://www.youtube.com/watch?vdLSFX6Jq-F0

MySQL锁和使用

在MySQL中,锁用于控制并发访问,以保证数据的一致性和完整性。MySQL提供了多种类型的锁,包括表级锁、行级锁和页面级锁。以下是MySQL中各种锁的详细介绍及其使用方法: 1. 表级锁(Table Locks) 表级锁用于锁…

AI绘画Stable Diffusion 超强一键去除图片中的物体,免费使用!

大家好,我是设计师阿威 在生成图像时总有一些不完美的小瑕疵,比如多余的物体或碍眼的水印,它们破坏了图片的美感。但别担心,今天我们将介绍一款神奇的工具——sd-webui-cleaner,它可以帮助我们使用Stable Diffusion轻…

简易深度学习(1)深入分析神经元及多层感知机

一、神经元 单个神经元结构其实可以认为是一个线性回归模型。例如下图中 该神经元输入为三个特征(x1,x2,x3),为了方便理解,大家可以认为每条线上都有一个权重和特征对应(w1,w2&…

62.指针和二维数组(2)

一.指针和二维数组 1.如a是一个二维数组,则数组中的第i行可以看作是一个一维数组,这个一维数组的数组名是a[i]。 2.a[i]代表二维数组中第i行的首个元素的地址,即a[i][0]的地址。 二.进一步思考 二维数组可以看作是数组的数组,本…

算法入门:二分查找及其Java实现

在程序开发中,算法是解决问题的核心。本篇博客将详细讲解一种高效的查找算法——二分查找,并通过Java代码示例帮助你理解其实现和应用。 如果你觉得这篇文章对你有帮助,不要忘记点赞、收藏和关注我,这将是对我最大的支持和鼓励&am…

Vue.js中的虚拟DOM

一.节点和状态 在我们平常对DOM操作的时候,之前在vue没有诞生之前,以命令式的方式对DOM进行操作,页面上的每一个元素都可以看做成一个节点状态。 二.剔除和渲染 框架都有自己渲染的方式,假设一个页面的状态,随着Ajax请求的放松,状态发生改变,有以下的两种方式供你选择&#…

CVE-2024-37032漏洞预警:尽快升级Ollama

实时了解业内动态,论文是最好的桥梁,专栏精选论文重点解读热点论文,围绕着行业实践和工程量产。若在某个环节出现卡点,可以回到大模型必备腔调或者LLM背后的基础模型重新阅读。而最新科技(Mamba,xLSTM,KAN)…

生成随机函数f3,利用f3生成f18(python)

一、题目 给定一个完全随机函数f3。能够完全随机产生1~3之间任意一个自然数。现在要构造一个f18,让其能随机产生1~18之间任意一个自然数,要求写出f18的函数,另外要测试是否符合预期,f18要用f3 二、代码 欢迎大家给我更优解&…