下面通过一个试验来演示Windows 2008实现和配置 NPS。

   下面通过一个试验来演示Windows 2008实现和配置 NPS。
a) 拓扑环境
 下面通过一个试验来演示Windows 2008实现和配置 NPS。_第1张图片
b) 实现DHCP NAP强制
1、 配置DHCP组件
在布署NAP服务机器配置DHCP,如果未在本地计算机上安装 DHCP,则还必须进行下列配置:
 在运行 DHCP 的计算机上安装 NPS。
 在远程 DHCP NPS 服务器上将 NPS 配置为 RADIUS 代理,以将连接请求转发到本地 NPS 服务器。
在K8上安装DHCP服务,具体操作如下:
A、添加DHCP服务器角色,选择DHCP服务器,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
B、进入DHCP简介,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
C、绑定DHCP服务器网络连接,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
D、指定 IPV4 DNS 服务器设置,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
E、没有采用WINS服务设置,当然也可以选用,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
F、添加DHCP作用域,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
G、禁用DHCPV6无状态模式,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
H、指定凭据,点击下一步:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
I、确定安装选择,开始安装:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
J、安装DHCP完成。
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
2、 安装NPS组件
A、进入服务器管理面板,添加角色:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
B、下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
C、选择“网络策略和访问服务”角色,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
D、服务简介,点击下一步:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
E、选择“网络策略服务器”, 点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
F、确认安装选择,开始安装:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
G、NPS服务安装完成。
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
3、 配置NPS
A、运行nps.msc,点击确定:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
B、在网络策略服务器,选择‘网络访问保护’,并启动‘配置NAP’:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
C、选择网络连接方法‘DHCP’,点击下一步:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
D、本地计算机运行DHCP,点击下一步:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
E、对DHCP作用域启用,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
F、应用于所有用户,点击下一步:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
G、指定NAP更新服务器组和URL,这里添加‘K8’为更新服务器,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
H、可以不设置URL,这里临时输入URL,点击下一步:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
I、定义NAP健康策略,点击下一步:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
J、验证NAP的配置,向导配置完成。(可以根据实际情况自定义配置)
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 

4、 配置DHCP服务
A、运行dhcpmgmt.msc,点击确定:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
B、进入DHCP管理器:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
C、选择测试作用域,进入属性面板,选择‘网络访问保护’,配置如下图:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
D、进入作用域选项,点击‘高级’选择卡,选择‘默认的网络访问保护级别’,配置如下:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
E、查看保护级别配置。
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 

5、 安装GPMC组件(可选)
调整NPS策略,需要添加GPMC组件。
A、进入服务管理器,选择功能,添加功能,点击下一步:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
B、选择‘组策略管理’, 点击下一步:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
C、开始安装:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
D、GPMC安装完成。
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 

6、 配置NAP客户端设置
没有采用域环境,也可以布署NAP,但采用AD管理计算机环境,将更加高效,下面以域环境为便统一配置客户端。
A、选择gpmc.msc,点击确定:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
B、进入组策略管理器,创建‘NAP Setting’策略:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
C、编辑创建的策略选项,如下图:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”

 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”

7、 测试NPS
A、先验证‘安全健康验证程序’:

Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
 B、为方便测试,在K8上开启 ICMP回显:
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
C、下图显示是WindosXP计算机名及网络连接:(提示XP安装SP3)
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”

D、在服务管理器,确认‘Network Access Protection Agent’启动并运行
Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection” 
E、客户自动获取地址,并显示受限设置‘reload.domain.ms’:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
F、网络访问保护气泡提示,没有安装防毒软件,和健康程序策略不符合:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
H、显示路由表,可以验证,有到K8更新服务器的连接:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
I、可以连接到受限网络组,不能连接到企业其他主机:
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”
J、连接到K8,下载安装防毒软件,网络访问保护策略检测试成功。
 Windows 2008 “DHCP NAP强制”结合 “Dhcp Snooping、Arp Inspection”

通过上面的配置,微软的NPS布署安全可靠,结合客户端计算机运行WindowsXP、Vista、Windows7更为快捷,易于实践。
接下来,我们将通过交换机配置,补充DHCP美中不足。
c) 实现 Dhcp Snooping、Arp Inspection
在交换机的配置比较简单,下面以思科3550交换机为例。
A、 实现Dhcp Snooping,可以避免DHCP服务欺骗
假设客户机所在VLAN  ID为100,服务器所在VLAN ID为10。具体配置如下:
3550(config)# ip dhcp snooping      /* 启用 Dhcp Snooping
3550(config)# ip dhcp snooping vlan 100    /* 定义哪些VLAN 启用 DHCP 嗅探
默认所有的交换机接口不能为客户端计算机分配置IP地址, 现在允许K8服务器所接连接口为客户端分配IP地址,接口命令为:
3550(config-if)# ip dhcp snooping trust
B、 实现 Arp Inspection,客户端IP必须从DHCP服务申请,静态设置无效
3550(config)# ip arp inspection vlan 100    /* 定义哪些VLAN进行ARP报文检测
五、 结论
微软的Windows2008提供了实现和配置 NPS 的最佳方法,配合交换Dhcp Snooping、Arp Inspection将更加完善,为中小企业提供易布署、安全、可靠、网络接入控制

你可能感兴趣的:(职场,休闲,2008实现和配置,NPS。)