还在手调网络权限？可以这样玩企业组网！

虽说干的是信息化智能化的行当，但每个 IT工程师都必定踩过“IT系统不智能”的坑。就拿企业组建局域网来说，为了对网络接入用户身份进行确认，确保用户权限不受办公地点变更的影响，许多 IT工程师都习惯开启 “手动模式”和苦逼的“加班模式”。

其实，企业组建局域网的配置也是有“套路”的。IT新人也能现学现用，轻松几步，教你飞速提高企业网络准入的安全性。

方案规划

对于企业 IT工程师来说，什么样的企业网络是我们需要的呢，是快捷，还是安全，让我们来想象一下。

有句话说“理想很丰满，现实很骨干‘’，但是我在这里想说，这都不是梦，资深 IT来告诉你理想的实现方法。

组网环境（试验样例有线网络手动设置，最终根据自己实际情况决定）

重点 1：调整用户所在安全组后，如何继承了划分 VLAN的网络权限？答：在核心网络交换机中把划分的 VLAN一定要对应到用户所在安全组，如上图。

方案实施

本文主要介绍关键配置：有线网络设备上开启 802.1X认证和认证服务器 NPS(Radius)的配置，其他搭建过程请参照文章底部附录。

1、接入交换机（WS-C2960X-48LPS-L）开启 802.1x认证，以 Cisco 2960为例（注：不同 IOS版本命令略有差异）第一步：进入配置模式开启 802.1x认证、指定 radius-server

aaa new-model

!启用 aaa

aaa authentication dot1x default group radius

! dot1x使用 radius做认证

aaa authorization network default group radius

!使用 802.1x协议去动态分配 vlan的话,上边的这句命令一定要有

dot1x system-auth-control

!允许 802.1x port-based认证

dot1x guest-vlan supplicant

!允许交换机在端口 802.1x认证失败后,指定 vlan到 guest-vlan

radius-server host IP auth-port 1812 acct-port 1813 key Password

!指定 radius服务器 IP、端口号和进行交互的使用的密码

radius-server retry method reorder

!允许有多个 radius服务器冗余切换

radius-server timeout 10

!指定 radius服务认证超时时间

重点 2：不同用户安全组如何获得动态 VLAN地址？

答：把预规划好的所有 VLAN配置到每台接入交换机和无线 AC控制器上，并在核心交换机中配置指向到 DHCP服务器地址 。

第二步进入网络端口下启用 802.1x配置

interface GigabitEthernet1/0/46

switchport mode access

! dot1x指定 vlan, switchport mode必须为 access

switchport voice vlan 195

! dot1x指定语音 vlan

authentication event fail action authorize vlan 107

!认证失败获得隔离 vlan

authentication event no-response action authorize vlan 107

!认证无响应获得隔离 vlan

authentication port-control auto

!端口认证控制

authentication timer inactivity 30

!认证响应超时

dot1x pae authenticator

!认证端口开启

2 、NPS（Radius）策略配置（注意了！这个方案最重要的 12步，一定要注意！）

a、使用配置向导新建连接策略

b、添加 NPS客户端（接入交换机和无线 AC），输入交接机 IP和与其认证交互的 Password

c、选择 EAP类型为 Microsoft:受保护的 EAP（PEAP）

d、NPS(Radius)服务器申请计算机证书

e、添加账号认证系统 AD中的用户 test01所在部门“全局作用域安全组”

f、配置网络策略，动态 VLAN和访问控制列表（ACL）

Tunnel-Type： VLANTunnel-Medium-Type: 802.1xTunnel-Pvt-Group-ID: 100 (为 VLAN ID)，这样不同用户安全组对应不同网络 VLAN即可得到不同的网络访问权限，从而大大减少网络层对终端接入设备访问权限的频繁设置。

g、配置完成，NPS（Radius）客户端显示状态

h、配置完成，连接请求策略显示状态

i、配置完成，网络策略显示状态

j、注意：网络策略中，通过配置向导创建的默认是“windows组”，需要手动改为“用户组”，后续熟练后可对 NPS（Radius）客户端、连接请求策略和网络策略分开逐一按需求创建。

k、注意：连接请求策略，如无线和有线 IP段分开，需分开创建，如不分开，创建一条把无线和有线都勾选即可。

l、其他部门网络策略，可右键选择重复策略进行创建

至此基于 802.1x+AD+DHCP+NPS认证实现动态 VLAN配置完成，可开始在 PC、移动客户端等设备接入网络，使用域账号及密码进行登录尝试。

方案验证

m、开始菜单运行输入 services.msc打开本地服务设置

a、设置有线网络（Wired AutoConfig）和无线网络 (WLAN AutoConfig)服务开机自动启动 802.1x服务

b、有线网卡属性“身份验证”选项，启用 802.1X和受保护的 EAP选项，然后打开“设置”EAP属性，取消“验证证书服务器”，点击配置属性，将自动使用的登录和密码选项取消，然后确定保存关闭。

c、返回网卡属性“身份验证”选项，打开“其他设置”有线网络手动设置，勾选“指定身份验证模式”，确定保存。

d、待电脑屏幕右下角，弹出如下窗口选择点击左键，

e、弹出如下网络身份验证窗口，输入自己公司的域账号 (或用户名)和密码点击确定即可。