locked
802.1X NAP 如何設定排除請單(Bypass)?? RRS feed

  • 問題

  • 請教各位先進

    在使用了802.1x的設定後,如何設定排除清單,因為有些設備不用限制,
    例如:Printer.linux base server...等等!
    請多多指導,謝謝!
    2009年11月12日 上午 09:36

所有回覆

  • 我幫你找了一篇文章..你可以參考看看

    NAP Enforcement Exemption for Printers and other Network Appliances
    http://blogs.technet.com/teamdhcp/archive/2008/06/15/nap-enforrcement-exemption-for-printers-and-other-network-appliances.aspx
    微軟技術支援服務
    2009年11月16日 上午 03:12
  • 謝謝您的指導

    文章中的步驟確實可實現,不過,僅適用於DHCP NAP,在802.1X的環境下,仍然是無效的!
    不過,還是很感謝您的協助!將持續測試....!
    2009年11月16日 上午 11:14
  • 之前我在上一篇文章提到的下面作法
    麻煩你測試一下把複製出來的原則(允許例外清單可以連線的原則)位置往上移..移到第一個後在測試看看是否有改善

    --------------------------------------------------------------------------------------
    連線要求原則部分

    1.在連線要求原則裡面對該802.1x原則點右鍵 - 重複原則 , 在對複本的原則點右鍵 - 啟用
    2.點開複本原則 , 條件 - 新增 - "RADIUS用戶端內"裡面的"發出呼叫的工作站識別碼" - 在裡面輸入Printer的MAC Address (格式為 aabbccddeeff , 如有多台請用"|"分隔)
    3.設定標籤 - 驗證 - 選擇"不確認認證及接受使用者"


    網路原則部分

    1.一樣先對802.1x的網路原則進行重複原則的動作,然後啟用該原則
    2.在條件裡面按造先前步驟加入Printer的MAC Address
    3.在限制 - 驗證方法 - 把全部驗證方式刪除 , 把較不安全的驗證方式全部取消勾選 , 然後勾選 "允許用戶端沒有交涉驗證方式仍然可以連線"


    按造上面動作設定完後測試看看是否PC & NB都需要進行802.1x驗證..而Printer則是可以bypass而正常使用網路連線


    微軟技術支援服務
    2009年11月17日 上午 02:30
  • 補充一點

    剛剛我在測試使用DHCP Enforcement & 指定特定一台Vista電腦不開啟NAP Client服務時可以正常上網
    透過上述類似的設定後..作下面測試

    順序一
    1.不支援NAP & 不能上網
    2.不支援NAP & 可以上網

    順序二
    1.不支援NAP & 可以上網
    2.不支援NAP & 不能上網

    把可以上網的網路原則往上移的話...Vista就可以正常上網(順序二)  (透過ipconfig /release & renew之後)
    把可以上網的網路原則往下移的話...Vista就會被判定為不支援NAP而限定網路存取(順序一)

    而還有觀察到一點也滿重要的是..當你完成原則設定並排好順序之後
    可以在NPS管理視窗的右上角 , 對NPS(本機)點右鍵 - 停止服務 & 開始服務 (進行服務重啟的動作) , 這樣可以直接讓設定生效

    因為我測試如果直接修改原則沒有作上述動作的話..設定似乎是會過一下下才會生效
    微軟技術支援服務
    2009年11月17日 上午 03:00
  • 謝謝您的回覆

    將原則位罝移至最上面,仍然是無效的!
    2009年11月17日 上午 08:49
  • 謝謝您的回覆

    測試結果跟您的一樣!
    不過,這些都是在DHCP NAP的作法,其實只要將設備設定成固定IP,就不受DHCP NAP 的限制了!
    期望是可以在802.1x NAP的限制下,仍然可以有排除或例外的作法!
    2009年11月17日 上午 08:54
  • 因為802.1x有牽扯到驗證的問題
    所以我想應該是這些Device在進行驗證的時候就不過了而導致沒辦法上網

    我在研究看看!!


    微軟技術支援服務

    2009年11月17日 上午 08:58
  • 之前的設定可能有點問題..可能會失效
    麻煩你在花點時間做下面設定試看看

    透過NPS的精靈界面設定了 802.1x NAP之後會多出下面幾個原則

    -------------------------------------

    連線要求原則
      NAP 802.1x(有線)

    網路原則
      NAP 802.1x(有線)符合標準
      NAP 802.1x(有線)不符合標準
      NAP 802.1x(有線)不支援NAP

    -------------------------------------

    1.分別對 "NAP 802.1x(有線)" & "NAP 802.1x(有線)不支援NAP" 兩個原則按右鍵 - 重覆原則

    2.分別將兩個原則都移到最上面

    3.修改剛複製的"連線要求原則"

       a.條件 - 新增 - "RADIUS用戶端內"裡面的"發出呼叫的工作站識別碼" - 在裡面輸入例外的MAC Address (格式為 aabbccddeeff , 如有多台請用"|"分隔)
       b.設定標籤 - 驗證 - 選擇"不確認認證及接受使用者"
       c.設定標籤 - 驗證方法 - 勾選"允許用戶端沒有交涉驗證方法仍然可以連線"  & 把EAP類型內的選項刪除

    4.修改剛複製的"網路原則"

      a.條件那邊新增例外的MAC Address 同 3a 的做法
      b.限制標籤 - 驗證方法 - 取消勾選下面所有設定 & 勾選 "允許用戶端沒有交涉驗證方式仍然可以連線"
      c.設定 - NAP強制 - 勾選"允許完整的網路存取權" & 取消自動修復的功能


    微軟技術支援服務
    2009年11月17日 上午 09:23
  • 謝謝您的指導

    還是行不通,無法bypass,甚至在事件檢視器中,也沒有出現任何的Log,感覺上NSP似乎沒有收到任何驗証請求,
    Switch(Cisco 3560G)上的燈號也是橘燈 (黃燈代表connected)!!

    另外請教:
    1."發出呼叫的工作站識別碼"的格式為aabbccddeeff,最前面要加"^"最後面要加"$"嗎?
     如您之前提供的參考網址中所提到的,好像跟您提示的不太一樣

    2.我在測試時,有將Network Access Protection agent 與Wired AutoConfig這兩個服務停用,
     會有影響嗎?不過,我覺得應該是要停用測試比較準,因為要bypass的設備上,也不會有這
     兩個服務!

    3.在上述3b步驟中,設定完"不確認認證及接受使用者"後,3c中的驗証方法就會變成反白,無法設定!

    2009年11月17日 上午 10:16
  • 試試修改下面地方

    把3b 改成"驗證這個伺服器的要求"
    然後3C改成原先的設定,勾選"複寫網路原則驗證設定" & 勾選 "允許用戶端沒有交涉驗證方法仍然可以連線"

    工作識別碼的部分我在DHCP環境下是沒有加 "^" & "$" .. 也可以正常..保險起見你可以加看看
    微軟技術支援服務
    2009年11月17日 上午 11:02
  • 剛剛仔細的想了一下...
    如果你把Wired AutoConfig停用的話..應該是完全不能連線才對
    因為802.1x要使用到該服務

    請問你的Printer是否有支援802.1x? 


    微軟技術支援服務
    2009年11月17日 上午 11:50