b)實現(xiàn)DHCP NAP強制
1、配置DHCP組件
在布署NAP服務機器配置DHCP�����,如果未在本地計算機上安裝 DHCP���,則還必須進行下列配置:
在運行 DHCP 的計算機上安裝 NPS。
在遠程 DHCP NPS 服務器上將 NPS 配置為 RADIUS 代理�����,以將連接請求轉發(fā)到本地 NPS 服務器����。
在K8上安裝DHCP服務,具體操作如下:
A�、添加DHCP服務器角色���,選擇DHCP服務器,點擊下一步:
�
B��、進入DHCP簡介���,點擊下一步:
�
C��、綁定DHCP服務器網(wǎng)絡連接����,點擊下一步:
�
D���、指定 IPV4 DNS 服務器設置�,點擊下一步:
�
E����、沒有采用WINS服務設置,當然也可以選用���,點擊下一步:
�
F����、添加DHCP作用域,點擊下一步:
G���、禁用DHCPV6無狀態(tài)模式���,點擊下一步:
�
H、指定憑據(jù)�,點擊下一步:
�
I、確定安裝選擇��,開始安裝:
�
J���、安裝DHCP完成�。
�
2����、安裝NPS組件
A����、進入服務器管理面板,添加角色:
B����、下一步:
�
C�、選擇“網(wǎng)絡策略和訪問服務”角色�����,點擊下一步:
�
D��、服務簡介���,點擊下一步:
�
E����、選擇“網(wǎng)絡策略服務器”�����, 點擊下一步:
F����、確認安裝選擇,開始安裝:
�
G��、NPS服務安裝完成�。
3�、配置NPS
A��、運行nps.msc��,點擊確定:
B����、在網(wǎng)絡策略服務器,選擇‘網(wǎng)絡訪問保護’���,并啟動‘配置NAP’:
�
C�、選擇網(wǎng)絡連接方法‘DHCP’�����,點擊下一步:
D����、本地計算機運行DHCP,點擊下一步:
�
E�、對DHCP作用域啟用,點擊下一步:
�
F����、應用于所有用戶,點擊下一步:
�
G���、指定NAP更新服務器組和URL��,這里添加‘K8’為更新服務器�����,點擊下一步:
�
H�、可以不設置URL�����,這里臨時輸入URL��,點擊下一步:
�
I�、定義NAP健康策略,點擊下一步:
�
J����、驗證NAP的配置,向導配置完成����。(可以根據(jù)實際情況自定義配置)
�
4�����、�配置DHCP服務
A���、運行dhcpmgmt.msc,點擊確定:
�
B�、進入DHCP管理器:
C、選擇測試作用域����,進入屬性面板,選擇‘網(wǎng)絡訪問保護’�,配置如下圖:
�
D、進入作用域選項����,點擊‘高級’選擇卡,選擇‘默認的網(wǎng)絡訪問保護級別’���,配置如下:
�
E����、查看保護級別配置�。
5�、�安裝GPMC組件(可選)
調整NPS策略���,需要添加GPMC組件。
A�����、進入服務管理器���,選擇功能���,添加功能,點擊下一步:
B�、選擇‘組策略管理’, 點擊下一步:
C�����、開始安裝:
�
D�����、GPMC安裝完成��。
�
6、 配置NAP客戶端設置
沒有采用域環(huán)境���,也可以布署NAP�,但采用AD管理計算機環(huán)境���,將更加高效�����,下面以域環(huán)境為便統(tǒng)一配置客戶端���。
A、選擇gpmc.msc���,點擊確定:
B��、進入組策略管理器����,創(chuàng)建‘NAP Setting’策略:
C����、編輯創(chuàng)建的策略選項���,如下圖:
7、 測試NPS
A����、先驗證‘安全健康驗證程序’:
B���、為方便測試,在K8上開啟 ICMP回顯:
C���、下圖顯示是WindosXP計算機名及網(wǎng)絡連接:(提示XP安裝SP3)
D���、在服務管理器,確認‘Network Access Protection Agent’啟動并運行
E��、客戶自動獲取地址�,并顯示受限設置‘reload.domain.ms’:
F、網(wǎng)絡訪問保護氣泡提示�,沒有安裝防毒軟件,和健康程序策略不符合:
H���、顯示路由表����,可以驗證,有到K8更新服務器的連接:
I��、可以連接到受限網(wǎng)絡組����,不能連接到企業(yè)其他主機:
J、連接到K8����,下載安裝防毒軟件,網(wǎng)絡訪問保護策略檢測試成功����。
通過上面的配置,微軟的NPS布署安全可靠��,結合客戶端計算機運行WindowsXP��、Vista�、Windows7更為快捷,易于實踐���。
接下來�����,我們將通過交換機配置��,補充DHCP美中不足�����。
c) 實現(xiàn) Dhcp Snooping�、Arp Inspection
在交換機的配置比較簡單��,下面以思科3550交換機為例���。
A�����、 實現(xiàn)Dhcp Snooping���,可以避免DHCP服務欺騙
假設客戶機所在VLAN ID為100,服務器所在VLAN ID為10��。具體配置如下:
3550(config)# ip dhcp snooping /* 啟用 Dhcp Snooping
3550(config)# ip dhcp snooping vlan 100 /* 定義哪些VLAN 啟用 DHCP 嗅探
默認所有的交換機接口不能為客戶端計算機分配置IP地址, 現(xiàn)在允許K8服務器所接連接口為客戶端分配IP地址����,接口命令為:
3550(config-if)# ip dhcp snooping trust
B、 實現(xiàn) Arp Inspection�,客戶端IP必須從DHCP服務申請,靜態(tài)設置無效
3550(config)# ip arp inspection vlan 100 /* 定義哪些VLAN進行ARP報文檢測
五���、結論
微軟的Windows2008提供了實現(xiàn)和配置 NPS 的最佳方法���,配合交換Dhcp Snooping、Arp Inspection將更加完善�����,為中小企業(yè)提供易布署�����、安全��、可靠���、網(wǎng)絡接入控制�����。
