Page 1

網工 83 期 MS Lab 第一組 陳秉林

DHCP-NAP Wireless-RADIUS ISA-VPN

指導老師-戴有煒 劉家聖 楊宏文

1


目 錄 公司簡介及需求 - - - - - - - - 3

拓樸規劃 - - - - - - - - - - - 4

ISA VPN 架構流程--------- - - -5

DHCP NAP,Wireless RADIUS-- - -13

Lab 心得 - - - - - - - - - - -34

2


公司簡介及需求 無敵科技公司(IT),接下威仁寶企業的委託,架構威仁寶機場的網路規劃。 內容包含第一航廈及第二航廈的重點項目:網站建置、系統維護、資源管理、 行動辦公室,以及資料安全防護。 其中,於機場資料安全防護上,本公司採用 ISA Server 來建構防火牆, 並在主要第一航廈以 Back-to-Back 的架設方式,讓防火牆達到更高的可用性 及安全性。航廈間透過 L2TP VPN 的方式來達到安全連線。另為確保安全,員 工使用電腦透過 DHCP 取得 IP 時加入 NAP 機制,而員工使用無線網路時也需 透過 RADIUS 機制驗證。

3


4


ISA-VPN

使用 VPN 網站間連線精靈 名稱輸入 branch(因須對應名稱此處不可亂打)

選擇安全加密類型

5


輸入分公司 ISA 外網卡位置

輸入用來起始連線的帳號密碼, 須在分公司電腦上有相對應的帳號

6


選擇憑證驗證

輸入分公司 IP 位置

7


取消負載平衡(分公司無負載平衡)

選擇預設

8


選擇所有的輸出流量

設定位置指派方法

9


為 Bnode1,2 輸入所要發放的 IP

進階設定指定 DNS 及 WINS

10


RADIUS 選項裡指定 RADIUS 伺服器

輸入 IP 以及共用密碼

11


確認規則是否正確

網路規則是否正確

前牆須開放規則使連線通過前牆到後牆

以及向 CA 申請憑證(伺服器管理員) 分公司建置步驟大同小異故不列出

12


DHCP-NAP and Wireless RADIUS 伺服器架構 Compuer1: -DC1(Server2003) Compuer2: -DC2(Server2008) *RADIUS 伺服器 *NAP 伺服器 Compuer3: -DHCP1(Server2008) *DHCP 伺服器 *RADIUS 代理伺服器 Compuer4: Client( Windows7)

13


1.將 Computer 2,3,(4)加入網域 AIR.COM

2.在 Compuer2 上安裝 RADIUS 以及 NAP

14


選擇網路原則與存取服務

點選網路原則伺服器

安裝完成

15


3.在 Computer2 上設定 NPS

系統管理工具->網路原則伺服器->設定 NAP

通訊協定選擇 DHCP

16


新增 RADIUS 用戶端,輸入 DHCP 伺服器的 IP 並新增共用密碼

領域設定直接點選下一步

17


設定電腦群組直接點選下一步

補救伺服器群組也點選下一步

18


點選下一步->完成

到 RADIUS 用戶端內容勾選可支援 NAP

19


網路存取保護->系統健康情況驗證程式->Windows 安全性健康驗證程式->設定裡面自訂規則 4.在 Computer2 上設定 Wireless RADIUS

網路原則伺服器->新增 RADIUS 用戶端

20


輸入無線 AP 的 IP 以及共用密碼 為了無線加密 需替 NPS(Computer2)這台電腦申請憑證 申請時選擇網頁伺服器,名稱需輸入 FQDN 申請完後需另把憑證放置至本機電腦-個人

21


到網路原則伺服器主控台新增 802.1x 連線

選擇安全的無線連線

22


加密類型為 Microsoft:Protected EAP(PEAP) 點選設定

若憑證正確安裝在本機電腦則可以選擇

23


下一步->完成

原則->連線要求原則->安全的無線連線內容->限制 只使用 PEAP 其他取消勾選

24


5.在 Computer3(DHCP 伺服器)上的設定

到已安裝 DHCP 伺服器上的電腦安裝 NPS(步驟如前)

在網路原則伺服器主控台新增遠端 RADIUS 伺服器

25


輸入遠端 RADIUS 伺服器的 IP

驗證/帳戶處理中輸入共用密碼

26


到原則->連線要求原則->Use Windows authentication for all users->內容

轉送到遠端 RADIUS 伺服器 DC2(Computer2)

27


開啟 DHCP 主控台->伺服器選項設定選項->進階->預設的網路存取保護類別 設定 006(DNS) 192.168.0.1 015(DNS 網域名稱)restricted.air.com

28


在 DHCP 伺服器領域上啟用網路存取保護 6.為用戶端開啟 NAP

群組原則管理->Windows 設定->安全性設定->系統服務 ->Network Access Protection->自動

29


網路存取保護->網路存取保護->DHCP 隔離強制用戶端->啟用

安全性篩選->移除預設後新增 NAP 用戶端(此群組 已在前面使用 AD 使用者和電腦中新增) *使用 DHCP 就會受到 NAP 管制 此動作為讓指定用戶端電腦開啟 NAP 功能,並非指定會受到 NAP 管制的電腦

7.客戶端無線設定 如使用未加入網域的實體電腦測試時 請先作信任 CA 的動作(加入網域的電腦則自動信任 CA)

安全性類型及加密部分視 Wireless AccessPoint 設定而異

30


網路驗證方法->選擇 Microsoft:Protected EAP(PEAP)

點選設定

31


點選設定

取消勾選自動使用 Windows 登入名稱及密碼

回到安全性的進階設定

指定驗證模式->使用者或電腦驗證

32


如設定成功再嘗試無線連線時則會跳出認證使用者的畫面

輸入正確並連線後即可連線到內部網路並使用資源 (此連線還是會受到 NAP 管制)

33


心得報告: 這次的 Lab 個人的部分(ISA 防火牆,VPN,NAP,Wireless RADIUS) 在驗收前一個月我就開始練習戴老師的 SOP 實作的時候蠻輕鬆的 也讓我有時間去做 exchange 以及研究其他部分

遇到比較嚴重的兩個問題就是使用學校的 HUB,CSS 常常抓不到前牆,host 互 ping 也不通 買了一個 switch 後就解決了 另一個問題-Host 的網卡撐不住 原本以為是網卡太便宜,買了貴的回來之後還是一樣 內部 WSUS 從外抓更新發佈 前後防火牆的前後的 NLB 的 ip 就不見了 這問題導致 VPN 暫時中斷,總公司 dc 連不到分公司 dc 導致後面一連串複寫錯誤出現 這有可能是 Host OS 使用 Win7 所導致的問題 而 VPN 連線會後 Ping 出現負數值的原因經上網搜尋後 原因為給虛擬機器兩個核心的關係 並無太大影響 最後感謝組員支持我在驗收前一天全部重新架設一次的決定 也謝謝某組員砍我憑證讓大家有第二次重架的練習機會

34

MS-LAB-Chen,Ping-Lin  

mslab first group Chen Ping Lin

Read more
Read more
Similar to
Popular now
Just for you