下面通过一个试验来演示Windows 2008实现和配置 NPS。

   下面通过一个试验来演示Windows 2008实现和配置 NPS。
a) 拓扑环境
 
b) 实现DHCP NAP强制
1、 配置DHCP组件
在布署NAP服务机器配置DHCP，如果未在本地计算机上安装 DHCP，则还必须进行下列配置：
 在运行 DHCP 的计算机上安装 NPS。
 在远程 DHCP NPS 服务器上将 NPS 配置为 RADIUS 代理，以将连接请求转发到本地 NPS 服务器。
在K8上安装DHCP服务，具体操作如下：
A、添加DHCP服务器角色，选择DHCP服务器，点击下一步：
 
B、进入DHCP简介，点击下一步：
 
C、绑定DHCP服务器网络连接，点击下一步：
 
D、指定 IPV4 DNS 服务器设置，点击下一步：
 
E、没有采用WINS服务设置，当然也可以选用，点击下一步：
 
F、添加DHCP作用域，点击下一步：
 
G、禁用DHCPV6无状态模式，点击下一步：
 
H、指定凭据，点击下一步：
 
I、确定安装选择，开始安装：
 
J、安装DHCP完成。
 
2、 安装NPS组件
A、进入服务器管理面板，添加角色：
 
B、下一步：
 
C、选择“网络策略和访问服务”角色，点击下一步：
 
D、服务简介，点击下一步：
 
E、选择“网络策略服务器”， 点击下一步：
 
F、确认安装选择，开始安装：
 
G、NPS服务安装完成。
 
3、 配置NPS
A、运行nps.msc，点击确定：
 
B、在网络策略服务器，选择‘网络访问保护’，并启动‘配置NAP’：
 
C、选择网络连接方法‘DHCP’，点击下一步：
 
D、本地计算机运行DHCP，点击下一步：
 
E、对DHCP作用域启用，点击下一步：
 
F、应用于所有用户，点击下一步：
 
G、指定NAP更新服务器组和URL，这里添加‘K8’为更新服务器，点击下一步：
 
H、可以不设置URL，这里临时输入URL，点击下一步：
 
I、定义NAP健康策略，点击下一步：
 
J、验证NAP的配置，向导配置完成。（可以根据实际情况自定义配置）
 

4、 配置DHCP服务
A、运行dhcpmgmt.msc，点击确定：
 
B、进入DHCP管理器：
 
C、选择测试作用域，进入属性面板，选择‘网络访问保护’，配置如下图：
 
D、进入作用域选项，点击‘高级’选择卡，选择‘默认的网络访问保护级别’，配置如下：
 
E、查看保护级别配置。
 

5、 安装GPMC组件（可选）
调整NPS策略，需要添加GPMC组件。
A、进入服务管理器，选择功能，添加功能，点击下一步：
 
B、选择‘组策略管理’， 点击下一步：
 
C、开始安装：
 
D、GPMC安装完成。
 

6、 配置NAP客户端设置
没有采用域环境，也可以布署NAP，但采用AD管理计算机环境，将更加高效，下面以域环境为便统一配置客户端。
A、选择gpmc.msc，点击确定：
 
B、进入组策略管理器，创建‘NAP Setting’策略：
 
C、编辑创建的策略选项，如下图：

 
 

7、 测试NPS
A、先验证‘安全健康验证程序’：

 
 B、为方便测试，在K8上开启 ICMP回显：
 
C、下图显示是WindosXP计算机名及网络连接：（提示XP安装SP3）

D、在服务管理器，确认‘Network Access Protection Agent’启动并运行
 
E、客户自动获取地址，并显示受限设置‘reload.domain.ms’：
 
F、网络访问保护气泡提示，没有安装防毒软件，和健康程序策略不符合：
 
H、显示路由表，可以验证，有到K8更新服务器的连接：
 
I、可以连接到受限网络组，不能连接到企业其他主机：
 
J、连接到K8，下载安装防毒软件，网络访问保护策略检测试成功。
 

通过上面的配置，微软的NPS布署安全可靠，结合客户端计算机运行WindowsXP、Vista、Windows7更为快捷，易于实践。
接下来，我们将通过交换机配置，补充DHCP美中不足。
c) 实现 Dhcp Snooping、Arp Inspection
在交换机的配置比较简单，下面以思科3550交换机为例。
A、 实现Dhcp Snooping，可以避免DHCP服务欺骗
假设客户机所在VLAN  ID为100，服务器所在VLAN ID为10。具体配置如下：
3550（config）# ip dhcp snooping      /* 启用 Dhcp Snooping
3550（config）# ip dhcp snooping vlan 100    /* 定义哪些VLAN 启用 DHCP 嗅探
默认所有的交换机接口不能为客户端计算机分配置IP地址， 现在允许K8服务器所接连接口为客户端分配IP地址，接口命令为：
3550（config-if）# ip dhcp snooping trust
B、 实现 Arp Inspection，客户端IP必须从DHCP服务申请，静态设置无效
3550（config）# ip arp inspection vlan 100    /* 定义哪些VLAN进行ARP报文检测
五、 结论
微软的Windows2008提供了实现和配置 NPS 的最佳方法，配合交换Dhcp Snooping、Arp Inspection将更加完善，为中小企业提供易布署、安全、可靠、网络接入控制