现任明教教主NAC2011 微软NAP_第1张图片

 

Step By Step Guide: Demonstrate 802.1X NAP Enforcement

1)网络拓扑规划, 服务器角色介绍,交换机的初始化配置。

2)在创建AD mingjiao.org ,添加DHCP ,CA角色。

创建NAP ou,在NAP ou里创建用户napuser,将napuser添加到domain admin组里 。在NAP ou里创建 nap client computer组。

3)将添加NPS服务器添加到AD,将win7客户端添加到AD,在AD中将win7计算机帐户添加到nap client computer组中。

4)NPS服务器添加NPS角色:

A 服务器管理器- >角色->添加网络策略服务器

B 服务器管理器->功能->添加组策略管理

C 为PEAP认证申请计算机证书

5) NPS配置上部分:

服务器管理器->角色->网络策略和访问服务->NPS->配置NAP->网络连接方法:IEEE 802.1x(有线)->Radius客户端:添加sw3560->配置用户和计算机(默认)->身份验证验证方法(默认)->配置流量控制:完全访问网络指定

Tunnel-Type:Virtual LANs,Tunnel-Medium-Type:802,Tunnel-Pvt-Group-ID:20,受限访问网络指定Tunnel-Type:Virtual LANs,Tunnel-Medium-Type:802,Tunnel-Pvt-Group-ID:30->定义NAP健康策略(默认)->完成

检验NAP配置结果

6)NPS配置中部分:

服务器管理器->角色->网络策略和访问服务->NPS->网络访问保护->系统健康验证程序->windows 安全健康验证程序->设置->默认配置:防火墙设置勾选,防病毒设置只勾选防病毒应用程序已启用,间谍软件保护设置只勾选反间谍软件应用程序已启用,自动更新设置勾选。

7)NPS配置下部分:

针对NAPclient的组策略设置:gpme.msc->新建组策略对象为nap,双击开始编辑组策略:1)计算机配置->策略->Windows setting->安全->有线网络策略->为Windows Vista及更高版本创建新的有线网络策略,安全选项卡 属性里选择根证书以及勾选强制执行网络访问保护。

2) 计算机配置->策略->Windows setting->安全->系统服务:服务network access protection agent启用,服务wired Auto config启用,服务Windows update启用,服务Windows firewall启用。

3) 计算机配置->策略->Windows setting->安全->网络访问保护->NAP客户端配置->强制客户端->EAP隔离强制客户端启用。

4) 计算机配置->策略->管理模板->Windows 组件->安全中心:启用安全中心。

8)NAP上关联GPO

gpmc.msc- 林-域-mingjiao.org-nap(上面定义的组策略对象)-安全筛选:移除 默认的authentication users,然后添加nap client computer组。

9)最后 在SW3560开启dot1x认证,配置如下:

aaa new-model

aaa authentication dot1x default group radius

aaa authorization network default group radius

dot1x system-auth-control

radius-server host 10.1.100.102 auth-port 1645 acct-port 1646 key cisco

interface FastEthernet0/23

switchport access vlan 20

switchport mode access

dot1x pae authenticator

authentication port-control auto

到此整个NAP配置结束。

测试:重新启动Win7客户端 进行验证!

 

如需获取配套录像请通过如下链接购买:

http://item.taobao.com/item.htm?id=13380279796&