雖說干的是信息化智能化的行當，但每個IT工程師都必定踩過“IT系統不智能”的坑。就拿企業組建局域網來說，為了對網絡接入用戶身份進行確認，確保用戶權限不受辦公地點變更的影響，許多IT工程師都習慣開啟 “手動模式”和苦逼的“加班模式”。

其實，企業組建局域網的配置也是有“套路”的。IT新人也能現學現用，輕松幾步，教你飛速提高企業網絡準入的安全性。

方案規劃

對于企業IT工程師來說，什么樣的企業網絡是我們需要的呢，是快捷，還是安全，讓我們來想象一下。

• 員工入職即生成個人賬戶，一套賬戶“走遍天下”，包含接入網絡，OA，內網，ERP，甚至打印和復印等；

• 支持多個終端，在手機、筆記本、臺式機上登錄，不論在公司什么位置，你有擁有相同的網絡權限；

• 員工調崗或者更換部門，僅需再組織架構中進行調整，這個“新”員工自動獲取新部門的網絡權限；

• 員工離職，僅需要將賬號“一鍵禁用”。好了，所有的權限都關了，“蒼蠅”你都別想飛進來。

有句話說“理想很豐滿，現實很骨干‘’，但是我在這里想說，這都不是夢，資深IT來告訴你理想的實現方法。?

架構圖

• 基于802.1x協議，實現端口訪問控制和認證；

• 搭建Windows Server系統環境，實現AD+DHCP+DNS，這部分搭建網上大把大把的教程，這部分忽略不在進行贅述；

• NPS（Radius），用戶認證管理管理；

• 選擇支持802.1x協議認證網絡設備，實現動態VLAN實現獲得各終端網絡登錄具有各自網絡權限。

組網環境（試驗樣例，最終根據自己實際情況決定）

服務器?

Cisco網絡設備?

客戶端網絡?

重點1：調整用戶所在安全組后，如何繼承了劃分VLAN的網絡權限？?

答：在核心網絡交換機中把劃分的VLAN一定要對應到用戶所在安全組，如上圖。

方案實施

本文主要介紹關鍵配置：有線網絡設備上開啟802.1X認證和認證服務器NPS(Radius)的配置，其他搭建過程請參照文章底部附錄。

1.接入交換機（WS-C2960X-48LPS-L）開啟802.1x認證，以Cisco 2960為例（注：不同IOS版本命令略有差異）

第一步：進入配置模式開啟802.1x認證、指定radius-server

aaa new-model ! 啟用 aaa aaa authentication dot1x default group radius ! dot1x使用radius做認證 aaa authorization network default group radius ! 使用802.1x協議去動態分配vlan的話,上邊的這句命令一定要有 dot1x system-auth-control ! 允許802.1x port-based 認證 dot1x guest-vlan supplicant ! 允許交換機在端口802.1x認證失敗后,指定vlan到guest-vlan radius-server host IP auth-port 1812 acct-port 1813 key Password ! 指定radius服務器IP、端口號和進行交互的使用的密碼 radius-server retry method reorder! 允許有多個radius服務器冗余切換radius-server timeout 10 ! 指定radius服務認證超時時間

重點2：不同用戶安全組如何獲得動態VLAN地址？

答：把預規劃好的所有VLAN配置到每臺接入交換機和無線AC控制器上，并在核心交換機中配置指向到DHCP服務器地址 。

第二步：進入網絡端口下啟用802.1x配置

interface GigabitEthernet1/0/46switchport mode access ! dot1x指定vlan, switchport mode必須為accessswitchport voice vlan 195! dot1x指定語音vlanauthentication event fail action authorize vlan 107! 認證失敗獲得隔離vlanauthentication event no-response action authorize vlan 107! 認證無響應獲得隔離vlanauthentication port-control auto! 端口認證控制authentication timer inactivity 30! 認證響應超時dot1x pae authenticator! 認證端口開啟

2.NPS（Radius）策略配置（注意了！這個方案最重要的12步，一定要注意！）

a.使用配置向導新建連接策略?

b.添加NPS客戶端（接入交換機和無線AC），輸入交接機IP和與其認證交互的Password?

c.選擇EAP類型為Microsoft:受保護的EAP（PEAP）?

d.NPS(Radius)服務器申請計算機證書?

e.添加賬號認證系統AD中的用戶test01所在部門“全局作用域安全組”

f.配置網絡策略，動態VLAN和訪問控制列表（ACL）?

Tunnel-Type： VLAN?
Tunnel-Medium-Type: 802.1x?
Tunnel-Pvt-Group-ID: 100 (為VLAN ID)，這樣不同用戶安全組對應不同網絡VLAN即可得到不同的網絡訪問權限，從而大大減少網絡層對終端接入設備訪問權限的頻繁設置。

g.配置完成，NPS（Radius）客戶端顯示狀態?

h.配置完成，連接請求策略顯示狀態?

i.配置完成，網絡策略顯示狀態?

j.注意：網絡策略中，通過配置向導創建的默認是“windows組”，需要手動改為“用戶組”，后續熟練后可對NPS（Radius）客戶端、連接請求策略和網絡策略分開逐一按需求創建。?

k.注意：連接請求策略，如無線和有線IP段分開，需分開創建，如不分開，創建一條把無線和有線都勾選即可。?

l.其他部門網絡策略，可右鍵選擇重復策略進行創建?

至此基于802.1x+AD+DHCP+NPS認證實現動態VLAN配置完成，可開始在PC、移動客戶端等設備接入網絡，使用域賬號及密碼進行登錄嘗試。

方案驗證

m.開始菜單運行輸入services.msc打開本地服務設置?

a.設置有線網絡（Wired AutoConfig）和無線網絡(WLAN AutoConfig)服務開機自動啟動802.1x服務?

b.有線網卡屬性“身份驗證”選項，啟用802.1X和受保護的EAP選項，然后打開“設置”EAP屬性，取消“驗證證書服務器”，點擊配置屬性，將自動使用的登錄和密碼選項取消，然后確定保存關閉。?

c.返回網卡屬性“身份驗證”選項，打開“其他設置”，勾選“指定身份驗證模式”，確定保存。?

d.待電腦屏幕右下角，彈出如下窗口選擇點擊左鍵

e.彈出如下網絡身份驗證窗口，輸入自己公司的域賬號(或用戶名)和密碼點擊確定即可。?

注：使用無線的用戶需先配置連接網絡的SSID，然后對其進行身份驗證設置再連接登錄。推薦以上所有設置規則在AD中使用組策略推送配置，方便域賬號登錄系統自動連接網絡。

Mac和移動端（Android和iOS）的連接方式也很簡單，不在這里進行重復贅述。到這里，我們整個方案就已經介紹完成了，希望能幫助企業里IT同學。如果在實施過程中有任何問題，請在知乎上聯系五阿哥運維部的同學，他必會傾力相助。

附錄：

方案涉及AD+DNS搭建請參照：

https://zhuanlan.zhihu.com/p/29706040?
https://zhuanlan.zhihu.com/p/29706120?
https://zhuanlan.zhihu.com/p/29706174

DHCP搭建請參照：

https://zhuanlan.zhihu.com/p/29706251

作者簡介：王志強，五阿哥鋼鐵電商平臺（wauge.com） 運維部IT高級工程師。2016年加入五阿哥鋼鐵電商平臺，負責公司IT相關工作，曾在阿里巴巴、高德等知名互聯網公司負責IT工作，在企業網絡建設擁有10年資深的經驗。

---

全天候聚焦IaaS/PaaS/SaaS最新技術動態，深度挖掘技術大咖第一手實踐，及時推送云行業重大新聞，一鍵關注，總覽國內外云計算大勢！?

總結

以上是生活随笔為你收集整理的五阿哥钢铁电商资深运维工程师手把手教你这样玩企业组网的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。