b)實(shí)現(xiàn)DHCP NAP強(qiáng)制
1���、配置DHCP組件
在布署NAP服務(wù)機(jī)器配置DHCP,如果未在本地計(jì)算機(jī)上安裝 DHCP��,則還必須進(jìn)行下列配置:
在運(yùn)行 DHCP 的計(jì)算機(jī)上安裝 NPS��。
在遠(yuǎn)程 DHCP NPS 服務(wù)器上將 NPS 配置為 RADIUS 代理��,以將連接請求轉(zhuǎn)發(fā)到本地 NPS 服務(wù)器���。
在K8上安裝DHCP服務(wù)����,具體操作如下:
A、添加DHCP服務(wù)器角色�,選擇DHCP服務(wù)器,點(diǎn)擊下一步:
�
B����、進(jìn)入DHCP簡介,點(diǎn)擊下一步:
�
C���、綁定DHCP服務(wù)器網(wǎng)絡(luò)連接�,點(diǎn)擊下一步:
�
D、指定 IPV4 DNS 服務(wù)器設(shè)置�����,點(diǎn)擊下一步:
�
E���、沒有采用WINS服務(wù)設(shè)置�����,當(dāng)然也可以選用�����,點(diǎn)擊下一步:
�
F���、添加DHCP作用域�����,點(diǎn)擊下一步:
G�、禁用DHCPV6無狀態(tài)模式��,點(diǎn)擊下一步:
�
H����、指定憑據(jù),點(diǎn)擊下一步:
�
I�����、確定安裝選擇�,開始安裝:
�
J、安裝DHCP完成�。
�
2、安裝NPS組件
A���、進(jìn)入服務(wù)器管理面板��,添加角色:
B���、下一步:
�
C�、選擇“網(wǎng)絡(luò)策略和訪問服務(wù)”角色�,點(diǎn)擊下一步:
�
D、服務(wù)簡介�����,點(diǎn)擊下一步:
�
E�����、選擇“網(wǎng)絡(luò)策略服務(wù)器”�����, 點(diǎn)擊下一步:
F�����、確認(rèn)安裝選擇��,開始安裝:
�
G�����、NPS服務(wù)安裝完成�。
3、配置NPS
A����、運(yùn)行nps.msc,點(diǎn)擊確定:
B����、在網(wǎng)絡(luò)策略服務(wù)器,選擇‘網(wǎng)絡(luò)訪問保護(hù)’�,并啟動‘配置NAP’:
�
C、選擇網(wǎng)絡(luò)連接方法‘DHCP’����,點(diǎn)擊下一步:
D、本地計(jì)算機(jī)運(yùn)行DHCP���,點(diǎn)擊下一步:
�
E�����、對DHCP作用域啟用�,點(diǎn)擊下一步:
�
F、應(yīng)用于所有用戶�����,點(diǎn)擊下一步:
�
G��、指定NAP更新服務(wù)器組和URL���,這里添加‘K8’為更新服務(wù)器����,點(diǎn)擊下一步:
�
H����、可以不設(shè)置URL���,這里臨時(shí)輸入U(xiǎn)RL���,點(diǎn)擊下一步:
�
I、定義NAP健康策略,點(diǎn)擊下一步:
�
J�、驗(yàn)證NAP的配置,向?qū)渲猛瓿?��。(可以根?jù)實(shí)際情況自定義配置)
�
4�、�配置DHCP服務(wù)
A�����、運(yùn)行dhcpmgmt.msc�,點(diǎn)擊確定:
�
B、進(jìn)入DHCP管理器:
C�、選擇測試作用域,進(jìn)入屬性面板�����,選擇‘網(wǎng)絡(luò)訪問保護(hù)’��,配置如下圖:
�
D�、進(jìn)入作用域選項(xiàng),點(diǎn)擊‘高級’選擇卡�����,選擇‘默認(rèn)的網(wǎng)絡(luò)訪問保護(hù)級別’,配置如下:
�
E�、查看保護(hù)級別配置。
5��、�安裝GPMC組件(可選)
調(diào)整NPS策略�����,需要添加GPMC組件���。
A��、進(jìn)入服務(wù)管理器����,選擇功能����,添加功能,點(diǎn)擊下一步:
B��、選擇‘組策略管理’���, 點(diǎn)擊下一步:
C、開始安裝:
�
D、GPMC安裝完成����。
�
6、 配置NAP客戶端設(shè)置
沒有采用域環(huán)境��,也可以布署NAP��,但采用AD管理計(jì)算機(jī)環(huán)境�����,將更加高效����,下面以域環(huán)境為便統(tǒng)一配置客戶端。
A�、選擇gpmc.msc,點(diǎn)擊確定:
B�、進(jìn)入組策略管理器,創(chuàng)建‘NAP Setting’策略:
C��、編輯創(chuàng)建的策略選項(xiàng)�,如下圖:
7、 測試NPS
A�、先驗(yàn)證‘安全健康驗(yàn)證程序’:
B����、為方便測試��,在K8上開啟 ICMP回顯:
C�、下圖顯示是WindosXP計(jì)算機(jī)名及網(wǎng)絡(luò)連接:(提示XP安裝SP3)
D、在服務(wù)管理器����,確認(rèn)‘Network Access Protection Agent’啟動并運(yùn)行
E、客戶自動獲取地址�,并顯示受限設(shè)置‘reload.domain.ms’:
F、網(wǎng)絡(luò)訪問保護(hù)氣泡提示�,沒有安裝防毒軟件,和健康程序策略不符合:
H���、顯示路由表�,可以驗(yàn)證�,有到K8更新服務(wù)器的連接:
I、可以連接到受限網(wǎng)絡(luò)組����,不能連接到企業(yè)其他主機(jī):
J、連接到K8��,下載安裝防毒軟件,網(wǎng)絡(luò)訪問保護(hù)策略檢測試成功����。
通過上面的配置����,微軟的NPS布署安全可靠,結(jié)合客戶端計(jì)算機(jī)運(yùn)行WindowsXP�、Vista、Windows7更為快捷���,易于實(shí)踐���。
接下來,我們將通過交換機(jī)配置���,補(bǔ)充DHCP美中不足���。
c) 實(shí)現(xiàn) Dhcp Snooping、Arp Inspection
在交換機(jī)的配置比較簡單���,下面以思科3550交換機(jī)為例��。
A�����、 實(shí)現(xiàn)Dhcp Snooping����,可以避免DHCP服務(wù)欺騙
假設(shè)客戶機(jī)所在VLAN ID為100,服務(wù)器所在VLAN ID為10���。具體配置如下:
3550(config)# ip dhcp snooping /* 啟用 Dhcp Snooping
3550(config)# ip dhcp snooping vlan 100 /* 定義哪些VLAN 啟用 DHCP 嗅探
默認(rèn)所有的交換機(jī)接口不能為客戶端計(jì)算機(jī)分配置IP地址�, 現(xiàn)在允許K8服務(wù)器所接連接口為客戶端分配IP地址���,接口命令為:
3550(config-if)# ip dhcp snooping trust
B�����、 實(shí)現(xiàn) Arp Inspection�����,客戶端IP必須從DHCP服務(wù)申請�,靜態(tài)設(shè)置無效
3550(config)# ip arp inspection vlan 100 /* 定義哪些VLAN進(jìn)行ARP報(bào)文檢測
五、結(jié)論
微軟的Windows2008提供了實(shí)現(xiàn)和配置 NPS 的最佳方法���,配合交換Dhcp Snooping����、Arp Inspection將更加完善���,為中小企業(yè)提供易布署、安全��、可靠���、網(wǎng)絡(luò)接入控制����。
