如何設定有線網路經過802.1X認證才能使用網路

802.1x ad nps ca

hawk 2019-03-19 09:18:49 ‧ 4802 瀏覽

分享至

您好
公司因為資安需求需管制電腦設備使用公司網路，想使用802.1X的認證來管制目前規劃想透過
AD 的NPS來認證，有幾個問體想請教高手

公司設備目前有支援802.1x 的網路設備不多，終端設備連線時一定只能直接連接到有802.1x 的swtich port嗎?還是可以上層switch 是有802.1x 的switch，下層是沒有電腦直接在這裡也可認證嗎?如下圖:
Core Swtich ==> 802.1x Swtich ==> Non-802.1x Switch ==> PC or NB
每台連線的設備都要有獨立的經過AD派發的 CA 才可連線，這應該如何設定?
如果未經認證的設備自己設定固定IP仍然可以使用網路嗎?
有相關的設定與注意事項可以提供參考嗎?
謝謝各位高手

sleeping_fish iT邦新手 3 級 ‧ 2019-03-19 12:12:14 檢舉

這個是要花很多$$的，找個SI的業務來規劃，應該會更清楚。

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

3 個回答

mytiny

iT邦超人 1 級 ‧ 2019-03-19 22:13:26

樓主想要做的方案有點複雜
小弟說下個人不太成熟的看法

支援802.1x的網路設備最好是在最終端
這個有點麻煩需要每台設備都去嵌入，想自動派發有實作困難
不能，不然802.1x就沒意義了
通常做在無線方案裡，而且AD需要做個認證中心，不是光開RADIUS就好
費用未必會很高，但絕非在網上三言兩語能說清楚網上

最後，建議樓主可以改用其他方案
有很多BYOD或Single Sign-On方案都會容易很多
不一定資安方案都非得要用AD上做好

回應 2
分享
檢舉

hawk iT邦新手 4 級 ‧ 2019-03-20 16:30:26 檢舉

謝謝您的回覆，不過因我們公司想管制外來設備不可以使公司內網，所以才想到這方法，請問您有其他好的方法嗎? 謝謝您

mytiny iT邦超人 1 級 ‧ 2019-03-20 22:38:22 檢舉

建議採用BYOD方案
或者稱設備識別管理方案
如果貴公司用的是Fortigate防火牆
該功能已經內建且可以免費使用
或詢問SI找其他類似方案

登入發表回應

tungwj

iT邦新手 5 級 ‧ 2019-03-20 07:43:02

你的規劃光是買Core Switch就要花很多錢
如換一下設備改用防火牆，讓Intelnet管制由防火牆來做會更容易
以下做個簡單的規劃圖
首先所有設備都一定是固定IP，每台電腦都需登入AD
intelnet -- 防火牆 -- Core Switch -- AD Server
　　　　　　　　　　　　　　-- User