WinOS论坛 » Windows Server 相关技术 » 利用Win2008 NPS 实现网络 802.1X验证

天擎 发表于 2008-8-7 18:29

利用Win2008 NPS 实现网络 802.1X验证

利用Windows Server 2008的功能组件NPS（Network Policy and Access Services)和支持802.1X协议的Cisco 2950交换机，Windows XP SP3客户端证书，可以很方便的实现NAC（network access control)。
      因为以前一直是使用的Cisco ACS server实现的NAC,自从MS 的Windows server 2008发布以来，看到2008有NPS的功能，而且可以实现802.1X网络验证，所以就在网上搜索了很长时间，除了可以从微软的官方网站搜到一下文档外，国内关于NPS的介绍，最多的就是NPS如何和DHCP功能配合使用，却没有任何文档写到如何利用NPS和cisco 交换机实现802.1X网络验证，前一段时间，一直在研究这方面的东西，所以写篇文档，希望能给大家有所参考。
        
文档太长了，不想一个个打字了，就直接传附件吧。
欢迎大家提出宝贵意见。

zandyzhan 发表于 2008-8-9 14:09

不错，谢谢分享！

eyong1210 发表于 2008-8-9 19:43

好文章，继续努力！！！！

天擎 发表于 2008-8-10 10:20

我感觉，2008的NPS会使NAC在更多的企业得以部署，因为硬件上，只是需要支持802.1X的交换机，其他都是软件支持了，而且这些软件都很容易找到的。

[[i] 本帖最后由 天擎 于 2008-8-11 15:15 编辑 [/i]]

blacklucifer 发表于 2008-8-11 08:43

NAC是一个产品，不是一个简称......建议楼主Google下什么叫NAC......
国内大多介绍DHCP，主要是因为DHCP是最容易实现的，802.1X Enforce需要交换机、IPSec Enforce需要IPSec基础知识。
不过4个Enforce在MS都有Step by Step文档。

majian876 发表于 2008-8-11 14:19

还没接触过2008...:)

天擎 发表于 2008-8-11 15:32

[quote]原帖由 [i]blacklucifer[/i] 于 2008-8-11 08:43 发表 [url=http://bbs.winos.cn/redirect.php?goto=findpost&pid=221218&ptid=41386][img]http://bbs.winos.cn/images/common/back.gif[/img][/url]
NAC是一个产品，不是一个简称......建议楼主Google下什么叫NAC......
国内大多介绍DHCP，主要是因为DHCP是最容易实现的，802.1X Enforce需要交换机、IPSec Enforce需要IPSec基础知识。
不过4个Enforce在MS都有Step ... [/quote]
首先，NAC是一个产品，不是一个简称，恕我孤陋寡闻，我这里说的NAC恰恰是一个简称，Network Access Control,具体的产品有很多，很多厂家都有的，syamantec，Mcafee，Cisco等厂商都有。
其次，国内网上大多都是介绍DHCP的，这个我在做之前就搜了很久，确实都是介绍DHCP的，但是对于企业来说，DHCP的 NAP没有多少实用价值，至于您说的4个Enforce在MS都有Step by Step文档,这个确实有的，而且我就是按照这个文档做的，但是说实话，文档里面内容很多，而且只有英文的，对于绝大多数人来说，看起来很累的，所以我写个中文的给大家看看应该没有什么吧，而且我的文档里面不是介绍DHCP的。

mahq 发表于 2008-8-15 21:50

[quote]原帖由 [i]天擎[/i] 于 2008-8-11 15:32 发表 [url=http://bbs.winos.cn/redirect.php?goto=findpost&pid=221506&ptid=41386][img]http://bbs.winos.cn/images/common/back.gif[/img][/url]

首先，NAC是一个产品，不是一个简称，恕我孤陋寡闻，我这里说的NAC恰恰是一个简称，Network Access Control,具体的产品有很多，很多厂家都有的，syamantec，Mcafee，Cisco等厂商都有。
其次，国内网上大多都是介绍 ... [/quote]

文章不错，支持原创。有机会我也试试。
谢谢分享。:handshake

yy_waiwai 发表于 2008-8-16 23:58

不错。。偶也在搞这个

vv1001 发表于 2008-8-20 14:10

谢谢楼主，太有用了！

lovedocool 发表于 2008-8-27 13:37

好文章，继续努力！！！！

lovedocool 发表于 2008-8-27 13:38

好文章，继续努力！！！！

jzlx 发表于 2008-8-27 20:58

除了感谢，还说什么呢，楼主真是好人

天擎 发表于 2008-9-1 13:57

[quote]原帖由 [i]yy_waiwai[/i] 于 2008-8-16 23:58 发表 [url=http://bbs.winos.cn/redirect.php?goto=findpost&pid=224357&ptid=41386][img]http://bbs.winos.cn/images/common/back.gif[/img][/url]
不错。。偶也在搞这个 [/quote]
你们现在也用win2008的nap吗？多少客户端呀？
我感觉这个东西，端口验证的速度还是蛮快的，而且如果做健康检查，虽然功能上面比较简单，检查的也比较少，但是就是因为简单，所以检查的速度很快，就这样，在开始的时候，几百台电脑，还是有很多被隔离的，前期很忙的。

redshoe 发表于 2008-10-8 17:45

谢谢楼主的文章  我们公司最近也要用802.1X   公司有支持802.1X的交换机  

服务器是2003 R2的

请问这个应该怎么做  另外您说的MS的参考文档有LINK吗

天擎 发表于 2008-10-10 09:01

[quote]原帖由 [i]redshoe[/i] 于 2008-10-8 17:45 发表 [url=http://bbs.winos.cn/redirect.php?goto=findpost&pid=248972&ptid=41386][img]http://bbs.winos.cn/images/common/back.gif[/img][/url]
谢谢楼主的文章  我们公司最近也要用802.1X   公司有支持802.1X的交换机  

服务器是2003 R2的

请问这个应该怎么做  另外您说的MS的参考文档有LINK吗 [/quote]
服务器要用win2008 ，现在采购新的windows server 应该可以直接买2008了吧，价格应该差不多的。
文档，你到微软网站，找win 2008的内容，里面有，很多的，你可以先把我写的文档看一下，了解一个大体流程，然后有疑问的地方，可以去看看微软的文档。

jiangxxtt 发表于 2008-12-15 20:53

谢谢分享！

skvke 发表于 2008-12-15 22:09

不是很明白～～～～:victory:

charlie_she 发表于 2009-2-11 21:06

新人学习.

livio 发表于 2009-2-12 23:27

好东东，必须表态支持一下。如果能够增加跨VLAN部分验证的内容就更好了。。。

查看完整版本: 利用Win2008 NPS 实现网络 802.1X验证