下面經過一個試驗來演示Windows 2008實現和配置 NPS。

   下面經過一個試驗來演示Windows 2008實現和配置 NPS。
a) 拓撲環境
 
b) 實現DHCP NAP強制
一、 配置DHCP組件
在佈署NAP服務機器配置DHCP，若是未在本地計算機上安裝 DHCP，則還必須進行下列配置：
 在運行 DHCP 的計算機上安裝 NPS。
 在遠程 DHCP NPS 服務器上將 NPS 配置爲 RADIUS 代理，以將鏈接請求轉發到本地 NPS 服務器。
在K8上安裝DHCP服務，具體操做以下：
A、添加DHCP服務器角色，選擇DHCP服務器，點擊下一步：
 
B、進入DHCP簡介，點擊下一步：
 
C、綁定DHCP服務器網絡鏈接，點擊下一步：
 
D、指定 IPV4 DNS 服務器設置，點擊下一步：
 
E、沒有采用WINS服務設置，固然也能夠選用，點擊下一步：
 
F、添加DHCP做用域，點擊下一步：
 
G、禁用DHCPV6無狀態模式，點擊下一步：
 
H、指定憑據，點擊下一步：
 
I、肯定安裝選擇，開始安裝：
 
J、安裝DHCP完成。
 
二、 安裝NPS組件
A、進入服務器管理面板，添加角色：
 
B、下一步：
 
C、選擇「網絡策略和訪問服務」角色，點擊下一步：
 
D、服務簡介，點擊下一步：
 
E、選擇「網絡策略服務器」， 點擊下一步：
 
F、確認安裝選擇，開始安裝：
 
G、NPS服務安裝完成。
 
三、 配置NPS
A、運行nps.msc，點擊肯定：
 
B、在網絡策略服務器，選擇‘網絡訪問保護’，並啓動‘配置NAP’：
 
C、選擇網絡鏈接方法‘DHCP’，點擊下一步：
 
D、本地計算機運行DHCP，點擊下一步：
 
E、對DHCP做用域啓用，點擊下一步：
 
F、應用於全部用戶，點擊下一步：
 
G、指定NAP更新服務器組和URL，這裏添加‘K8’爲更新服務器，點擊下一步：
 
H、能夠不設置URL，這裏臨時輸入URL，點擊下一步：
 
I、定義NAP健康策略，點擊下一步：
 
J、驗證NAP的配置，嚮導配置完成。（能夠根據實際狀況自定義配置）
 

四、 配置DHCP服務
A、運行dhcpmgmt.msc，點擊肯定：
 
B、進入DHCP管理器：
 
C、選擇測試做用域，進入屬性面板，選擇‘網絡訪問保護’，配置以下圖：
 
D、進入做用域選項，點擊‘高級’選擇卡，選擇‘默認的網絡訪問保護級別’，配置以下：
 
E、查看保護級別配置。
 

五、 安裝GPMC組件（可選）
調整NPS策略，須要添加GPMC組件。
A、進入服務管理器，選擇功能，添加功能，點擊下一步：
 
B、選擇‘組策略管理’， 點擊下一步：
 
C、開始安裝：
 
D、GPMC安裝完成。
 

六、 配置NAP客戶端設置
沒有采用域環境，也能夠佈署NAP，但採用AD管理計算機環境，將更加高效，下面以域環境爲便統一配置客戶端。
A、選擇gpmc.msc，點擊肯定：
 
B、進入組策略管理器，建立‘NAP Setting’策略：
 
C、編輯建立的策略選項，以下圖：

 
 

七、 測試NPS
A、先驗證‘安全健康驗證程序’：

 
 B、爲方便測試，在K8上開啓 ICMP回顯：
 
C、下圖顯示是WindosXP計算機名及網絡鏈接：（提示XP安裝SP3）

D、在服務管理器，確認‘Network Access Protection Agent’啓動並運行
 
E、客戶自動獲取地址，並顯示受限設置‘reload.domain.ms’：
 
F、網絡訪問保護氣泡提示，沒有安裝防毒軟件，和健康程序策略不符合：
 
H、顯示路由表，能夠驗證，有到K8更新服務器的鏈接：
 
I、能夠鏈接到受限網絡組，不能鏈接到企業其餘主機：
 
J、鏈接到K8，下載安裝防毒軟件，網絡訪問保護策略檢測試成功。
 

經過上面的配置，微軟的NPS佈署安全可靠，結合客戶端計算機運行WindowsXP、Vista、Windows7更爲快捷，易於實踐。
接下來，咱們將經過交換機配置，補充DHCP美中不足。
c) 實現 Dhcp Snooping、Arp Inspection
在交換機的配置比較簡單，下面以思科3550交換機爲例。
A、 實現Dhcp Snooping，能夠避免DHCP服務欺騙
假設客戶機所在VLAN  ID爲100，服務器所在VLAN ID爲10。具體配置以下：
3550（config）# ip dhcp snooping      /* 啓用 Dhcp Snooping
3550（config）# ip dhcp snooping vlan 100    /* 定義哪些VLAN 啓用 DHCP 嗅探
默認全部的交換機接口不能爲客戶端計算機分配置IP地址， 如今容許K8服務器所接鏈接口爲客戶端分配IP地址，接口命令爲：
3550（config-if）# ip dhcp snooping trust
B、 實現 Arp Inspection，客戶端IP必須從DHCP服務申請，靜態設置無效
3550（config）# ip arp inspection vlan 100    /* 定義哪些VLAN進行ARP報文檢測
5、 結論
微軟的Windows2008提供了實現和配置 NPS 的最佳方法，配合交換Dhcp Snooping、Arp Inspection將更加完善，爲中小企業提供易佈署、安全、可靠、網絡接入控制