下面经过一个试验来演示Windows 2008实现和配置 NPS。

时间  2020-05-26
标签 下面 经过 一个 试验 演示 windows 实现 配置 nps 栏目 Windows 繁體版
原文   原文链接

   下面经过一个试验来演示Windows 2008实现和配置 NPS。
a) 拓扑环境
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
b) 实现DHCP NAP强制
一、 配置DHCP组件
在布署NAP服务机器配置DHCP,若是未在本地计算机上安装 DHCP,则还必须进行下列配置:
 在运行 DHCP 的计算机上安装 NPS。
 在远程 DHCP NPS 服务器上将 NPS 配置为 RADIUS 代理,以将链接请求转发到本地 NPS 服务器。
在K8上安装DHCP服务,具体操做以下:
A、添加DHCP服务器角色,选择DHCP服务器,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
B、进入DHCP简介,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
C、绑定DHCP服务器网络链接,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
D、指定 IPV4 DNS 服务器设置,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
E、没有采用WINS服务设置,固然也能够选用,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
F、添加DHCP做用域,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
G、禁用DHCPV6无状态模式,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
H、指定凭据,点击下一步:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
I、肯定安装选择,开始安装:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
J、安装DHCP完成。
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
二、 安装NPS组件
A、进入服务器管理面板,添加角色:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
B、下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
C、选择“网络策略和访问服务”角色,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
D、服务简介,点击下一步:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
E、选择“网络策略服务器”, 点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
F、确认安装选择,开始安装:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
G、NPS服务安装完成。
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
三、 配置NPS
A、运行nps.msc,点击肯定:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
B、在网络策略服务器,选择‘网络访问保护’,并启动‘配置NAP’:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
C、选择网络链接方法‘DHCP’,点击下一步:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
D、本地计算机运行DHCP,点击下一步:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
E、对DHCP做用域启用,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
F、应用于全部用户,点击下一步:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
G、指定NAP更新服务器组和URL,这里添加‘K8’为更新服务器,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
H、能够不设置URL,这里临时输入URL,点击下一步:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
I、定义NAP健康策略,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
J、验证NAP的配置,向导配置完成。(能够根据实际状况自定义配置)
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 安全

四、 配置DHCP服务
A、运行dhcpmgmt.msc,点击肯定:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
B、进入DHCP管理器:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
C、选择测试做用域,进入属性面板,选择‘网络访问保护’,配置以下图:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
D、进入做用域选项,点击‘高级’选择卡,选择‘默认的网络访问保护级别’,配置以下:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
E、查看保护级别配置。
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 服务器

五、 安装GPMC组件(可选)
调整NPS策略,须要添加GPMC组件。
A、进入服务管理器,选择功能,添加功能,点击下一步:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
B、选择‘组策略管理’, 点击下一步:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
C、开始安装:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
D、GPMC安装完成。
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 网络

六、 配置NAP客户端设置
没有采用域环境,也能够布署NAP,但采用AD管理计算机环境,将更加高效,下面以域环境为便统一配置客户端。
A、选择gpmc.msc,点击肯定:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
B、进入组策略管理器,建立‘NAP Setting’策略:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
C、编辑建立的策略选项,以下图:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”dom

 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”

七、 测试NPS
A、先验证‘安全健康验证程序’:ide

Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
 B、为方便测试,在K8上开启 ICMP回显:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
C、下图显示是WindosXP计算机名及网络链接:(提示XP安装SP3)
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”oop

D、在服务管理器,确认‘Network Access Protection Agent’启动并运行
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
E、客户自动获取地址,并显示受限设置‘reload.domain.ms’:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
F、网络访问保护气泡提示,没有安装防毒软件,和健康程序策略不符合:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
H、显示路由表,能够验证,有到K8更新服务器的链接:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
I、能够链接到受限网络组,不能链接到企业其余主机:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
J、链接到K8,下载安装防毒软件,网络访问保护策略检测试成功。
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”测试

经过上面的配置,微软的NPS布署安全可靠,结合客户端计算机运行WindowsXP、Vista、Windows7更为快捷,易于实践。
接下来,咱们将经过交换机配置,补充DHCP美中不足。
c) 实现 Dhcp Snooping、Arp Inspection
在交换机的配置比较简单,下面以思科3550交换机为例。
A、 实现Dhcp Snooping,能够避免DHCP服务欺骗
假设客户机所在VLAN  ID为100,服务器所在VLAN ID为10。具体配置以下:
3550(config)# ip dhcp snooping      /* 启用 Dhcp Snooping
3550(config)# ip dhcp snooping vlan 100    /* 定义哪些VLAN 启用 DHCP 嗅探
默认全部的交换机接口不能为客户端计算机分配置IP地址, 如今容许K8服务器所接链接口为客户端分配IP地址,接口命令为:
3550(config-if)# ip dhcp snooping trust
B、 实现 Arp Inspection,客户端IP必须从DHCP服务申请,静态设置无效
3550(config)# ip arp inspection vlan 100    /* 定义哪些VLAN进行ARP报文检测
5、 结论
微软的Windows2008提供了实现和配置 NPS 的最佳方法,配合交换Dhcp Snooping、Arp Inspection将更加完善,为中小企业提供易布署、安全、可靠、网络接入控制代理

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程