nhận định bóng đá kèo nhà cái thích về các điểm chính của Windows Server đan xen phối hợp độc đáo của CTC
ngày 5 tháng 12 năm 2007
yêu thích chính của NAP
Như đã đề cập trong Vol3, có một số phương pháp triển khai cho NAP Windows 2008 và tôi tin rằng hầu hết chúng là phương pháp sử dụng 8021x Điều này là do 8021x cho phép các thiết bị mạng như công tắc và điểm truy cập để cho phép và từ chối các kết nối trên mỗi cổng, cho phép chúng cách ly chúng khỏi mạng của công ty Trong các phương pháp khác, lớp 3 trở lên được phân lập khỏi mạng, trong khi mức lớp 2 là rất đáng kể Tất nhiên, để đạt được điều này, một công tắc hỗ trợ 8021x là bắt buộc, nhưng trong trường hợp các công tắc thực hiện các chức năng như vậy, nhiều người trong số chúng thực hiện các chức năng xác thực địa chỉ MAC và bằng cách kết hợp chúng, có thể duy trì thêm bảo mật mạng LAN 8021x cho phép người dùng và máy tính được sử dụng để xác thực và PEAP và TLS được sử dụng làm phương thức xác thực chính và phương thức được xác định dựa trên chính sách bảo mật của công ty Ví dụ: nếu bạn không bắt buộc phải kết nối PC của mình với mạng, thì việc sử dụng TLS để xác thực máy tính có khả năng có mức bảo mật cao nhất NAP sử dụng 8021X Sử dụng công nghệ này và quyết định xem chúng có ổn với mạng hay liệu họ có phải là người dùng hay không, và ngoài các tiêu chí để xác định xem việc ngăn chặn virus và cài đặt tường lửa có phù hợp với chính sách của công ty hay không, họ đã quyết định cho phép/từ chối kết nối một cách toàn diện Chúng tôi sẽ để lại lời nhận định bóng đá kèo nhà cái thích chi tiết về 8021x cho các tài liệu kỹ thuật khác nhau và tiến hành kết quả xác minh ngay lập tức
Xác nhận hoạt động
Để nói một cách đơn giản, nó đã di chuyển Tôi nghĩ rằng sẽ rất khó để có được 8021x để hoạt động, nhưng tôi có ấn tượng rằng không có nhiều công tắc cần thiết để chạy ngủ trưa, và sẽ dễ dàng một khi bạn hiểu các bước Nói chung, các thiết bị mạng thường được kiểm soát bằng các lệnh chuyên dụng, nhưng nhiều thiết bị gần đây có thể được đặt bằng định dạng menu hoặc giao diện web, cho phép bạn thiết lập chúng bằng hướng dẫn trong tay Đầu tiên, chúng tôi đã kiểm tra hoạt động bằng một phương thức đơn giản Khi tường lửa Windows bị vô hiệu hóa, nó bị cô lập trong Vlan kiểm dịch và sau khi sửa chữa đó được thực hiện (tự động sửa chữa hoặc hướng dẫn sử dụng), nó ngay lập tức được kết nối với Vlan bình thường Hiện tượng không thể quay lại mạng bình thường như được báo cáo trong Vol 3 đã không xảy ra, và xác minh tiến hành rất suôn sẻ
Cài đặt tổng quan
Hình ảnh môi trường xác minh
Chúng tôi đã chuẩn bị một môi trường xác minh tương đối đơn giản như được hiển thị bên trái Về phía chuyển đổi, chỉ định NPS là bán kính cho 8021x và đặt Vlan được thay đổi theo các điều kiện cho các cổng mà máy khách kết nối Về phía NPS, sử dụng trình hướng dẫn để tạo các chính sách cần thiết và thực hiện các điều chỉnh tốt Khi sử dụng 8021x với NAP, chính sách phải được đặt để các VLAN khác nhau có thể được chuyển sang công tắc làm thuộc tính khi kết nối với máy khách bình thường và khi kết nối với máy khách cần được sửa chữa
Đặt chính sách
Nhập ID Vlan trong trường "Tunnel-PVT-Group-ID"
Người ta nói rằng hầu hết các chuyển đổi sử dụng các thuộc tính phổ biến cho ID Vlan, nhưng một số công tắc yêu cầu các thuộc tính cụ thể, vì vậy hãy tham khảo hướng dẫn sử dụng của công tắc bạn đang sử dụng và xác định các thuộc tính thích hợp trong chính sách truy cập từ xa Ngẫu nhiên, chuyển đổi Vlan có nghĩa là bạn sẽ được kết nối với một phân đoạn khác và bạn sẽ không thể kết nối với máy chủ sửa chữa như hiện tại Nếu bạn đang sử dụng 8021x, hãy cẩn thận không nhận thức được thiết kế mạng tổng thể, vì PC sẽ không bao giờ có thể tham gia vào mạng nữa Nhân tiện, tôi đã có một câu hỏi trong khi tôi đang tiến hành xác minh Xác thực EAP được kiểm soát bởi chính sách yêu cầu kết nối và chính sách truy cập từ xa chỉ sử dụng chap Tất nhiên, có thể đặt nó theo cách thủ công, nhưng đây là những gì chính sách tự động tạo ra bởi Wizard có Thứ tự trước tiên là xác định xem có thể kết nối với NP bằng cách sử dụng PEAP hay tương tự hay không, sau đó xác định xem nó có phù hợp với chính sách NAP hay không (hoặc là mức bảo mật bình thường) Theo một nghĩa nào đó, đó là một phương pháp hợp lý, nhưng tôi nghĩ rằng có thể đưa ra quyết định dựa trên chính sách truy cập từ xa Trong tương lai, chúng tôi muốn thay đổi chính sách của mình theo nhiều cách khác nhau và kiểm tra hoạt động của từng chính sách Chúng tôi cũng có kế hoạch để xác minh trường hợp mạng LAN không dây, vì vậy chúng tôi muốn báo cáo về một số điểm để cẩn thận trong trường hợp đó
(PDF/33MB)
