การกำหนด VLAN แบบไดนามิกจะแยกและแยกอุปกรณ์ออกเป็นกลุ่มเครือข่ายที่แตกต่างกันตามการอนุญาตของอุปกรณ์หรือผู้ใช้และคุณลักษณะของอุปกรณ์เหล่านั้น

 

Scenario and Topology

การกำหนดค่า

ขั้นตอนต่อไปนี้ใช้ได้กับสวิตช์ที่รองรับการตรวจสอบสิทธิ์แบบผสม การตรวจสอบสิทธิ์ MAC + การกำหนด VLAN แบบไดนามิกรองรับเฉพาะบน GS2220, XGS2210, XGS2220, XGS4600 และ XS3800 ในโหมดสแตนด์อโลนขณะใช้เซิร์ฟเวอร์ RADIUS (Windows Server 2019)

1.  กำหนดค่าสวิตช์

1.1 กำหนดค่า VLAN และพอร์ต

  • XGS4600


Port 28 = PVID 10

  • GS2220

1.2 กำหนดค่าที่อยู่ IP ของ RADIUS, ความลับที่แชร์ และการตั้งค่า AAA ที่ แอปพลิเคชันขั้นสูง > AAA > การตั้งค่าเซิร์ฟเวอร์ RADIUS และการตั้งค่า AAA

1.3 กำหนดค่า 802.1x การตรวจสอบสิทธิ์ MAC และ VLAN แขก รวมถึงการตรวจสอบสิทธิ์แบบผสมบนพอร์ตไคลเอนต์ที่ แอปพลิเคชันขั้นสูง > การตรวจสอบสิทธิ์พอร์ต

 

1.4 รักษาโหมดการตรวจสอบความถูกต้องแบบผสมให้เข้มงวดสำหรับพอร์ตไคลเอนต์

 

 

2. ตั้งค่า NPS บน Windows Server 2019

2.1 เปิด Network Policy Server และคลิกขวาที่ RADIUS Clients > New เพื่อกำหนดค่าชื่อที่เป็นมิตร ที่อยู่ IP และความลับที่แชร์

 

2.2 กำหนดค่า Connection Request Policies (CRP)

  • คลิกขวาที่ CRP > New
  • ระบุชื่อนโยบาย CRP
  • ระบุเงื่อนไข

เราขอแนะนำให้ใช้ NAS Identifier (ชื่อโฮสต์ของอุปกรณ์) และที่อยู่ IPv4 ของ NAS ที่นี่ หากคุณไม่คุ้นเคยกับหน้านี้ นอกจากนี้ หากคุณมีอุปกรณ์จำนวนมากที่วางแผนจะเพิ่มลงในไคลเอนต์ RADIUS คุณสามารถใช้สัญลักษณ์ * เพื่อหลีกเลี่ยงการเพิ่มเงื่อนไขมากมายสำหรับ CRP เช่น “GS22*” หรือ “192.168*”

 

  • ระบุการส่งต่อคำขอการเชื่อมต่อ > ถัดไป
  • ระบุวิธีการตรวจสอบสิทธิ์ > ถัดไป
  • กำหนดค่าการตั้งค่า > ถัดไป
  • ตรวจสอบทุกอย่างที่คุณเพิ่งกำหนดค่าและคลิกเสร็จสิ้น

 

2.3 กำหนดค่านโยบายเครือข่าย

  • คลิกขวาที่นโยบายเครือข่าย > ใหม่
  • ระบุชื่อนโยบายเครือข่าย
  • ระบุเงื่อนไข > เพิ่ม > เลือกกลุ่ม Windows

  • ระบุสิทธิ์การเข้าถึง > ถัดไป
  • กำหนดค่าวิธีการตรวจสอบสิทธิ์

  • กำหนดค่าข้อจำกัด > ถัดไป
  • กำหนดค่าการตั้งค่า

  • ตรวจสอบทุกอย่างที่คุณกำหนดค่าแล้วคลิกเสร็จสิ้น

 

3. ตั้งค่าบัญชีผู้ใช้/อุปกรณ์บน Windows Server 2019

3.1 เปิด Active Directory Users and Computers

3.2 คลิกขวาที่โดเมน > ใหม่ > ผู้ใช้

3.3 สร้างบัญชีสำหรับการตรวจสอบสิทธิ์ 802.1x และ MAC

หมายเหตุ: สำหรับผู้ใช้การตรวจสอบสิทธิ์ MAC ชื่อเข้าสู่ระบบของผู้ใช้จะต้องกรอกในรูปแบบเดียวกันกับที่ตั้งค่าไว้ในหน้าการตรวจสอบสิทธิ์ MAC

นอกจากนี้รหัสผ่านผู้ใช้ควรตรงกับการตั้งค่าการสลับด้วย

 

4. การยืนยัน

4.1 ไคลเอนต์ผ่านการตรวจสอบความถูกต้องแบบผสมผสาน และได้รับที่อยู่ IP ของ VLAN ข้อมูล

4.2 ไคลเอนต์ล้มเหลวในการตรวจสอบสิทธิ์แบบรวม จึงได้รับที่อยู่ IP ของ VLAN แขก

หมายเหตุ:
1. ตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ DHCP ทำงานในเครือข่าย
2. สวิตช์ L3 ควรเปิดใช้งาน DHCP Smart Relay และชี้ไปที่เซิร์ฟเวอร์ DHCP
3. โปรดทราบว่าในขณะที่คุณเชื่อมต่อโทรศัพท์ IP กับพีซี/แล็ปท็อป (เชื่อมต่อด้านหลังโทรศัพท์ IP) คุณไม่จำเป็นต้องตั้งค่าแท็ก VLAN บนโทรศัพท์ IP ในแอปพลิเคชัน VLAN แบบไดนามิกนี้
4. หากคุณติดตั้งเซิร์ฟเวอร์นโยบายเครือข่าย (NPS) ใน VM และ NPS ไม่ทำงานแม้ว่าจะทำงานอยู่ คุณควรหยุดและเริ่ม NPS อีกครั้ง