Kuidas luua automaatseid profiile teie kasutatava WiFi-võrgu põhjal

  • Võrguprofiilid võimaldavad teil automatiseerida IP-aadressi, DNS-i, tulemüüri, VPN-i ja jagatud ressursse WiFi-võrgu või asukoha põhjal.
  • Tööriistad nagu Easy Net Switch, NetSetMan või TCP/IP Manager laiendavad Windowsi loomulikke funktsioone keskkondade vahetamiseks ühe klõpsuga.
  • Ettevõttekeskkondades levitab Intune WiFi-profiile (sh PSK ja EAP XML-vormingus) tsentraalselt mitmele platvormile.
  • Täiendavad turvaprofiilid, näiteks ühendusprofiilid ja IPsec-profiilid ruuterites, täiendavad kaitset ja automatiseerimist kõigis saitides.
Joaquin Romero

19 minutit

Kuidas luua oma WiFi-võrgu jaoks automaatseid profiile

Kui vahetad pidevalt koduse WiFi, kontorivõrgu, ülikooli võrgu või mobiilse leviala vahel, on võrgusätete käsitsi muutmine tõeline tüütus. Õnneks pakuvad Windows ja teised operatsioonisüsteemid selleks võimalusi. loo automaatsed profiilid teie ühendatud WiFi-võrgu põhjal, kontrollida, milline liides igal ajahetkel aktiveeritakse, ja rakendada igale keskkonnale kohandatud turvapoliitikaid või tulemüüre.

Selles artiklis näete üksikasjalikult, kuidas need toimivad võrguprofiilidMida need Windowsis teha võimaldavad, kuidas neid integreerida selliste tööriistadega nagu Intune või turvalahendustega, milliseid kolmanda osapoole programme on vaja edasiseks kasutamiseks ja kuidas see kõik sobib kokku selliste kontseptsioonidega nagu asukohad, liidese prioriteetide rühmad või IPsec-profiilid ettevõtte ruuterites.

Mis on võrguprofiil ja miks peaksite seda kasutama?

Võrguprofiil on põhimõtteliselt kogum ühendusele rakendatavad eelnevalt määratletud parameetrid (või mitu) olenevalt teatud tingimustest: WiFi-võrk, millega ühendate, aktiivne liides, asukoht jne. Need parameetrid võivad ulatuda IP-st ja DNS-ist kuni tulemüürireeglite, VPN-i kasutamise, printerite, jagatud ressursside või isegi kohandatud skriptideni.

Windowsis liigitab süsteem võrgud juba järgmiselt avalik või privaatneKui loote esimest korda ühenduse WiFi- või LAN-võrguga, küsib süsteem, kas see on usaldusväärne võrk. Kui vastate jaatavalt, loetakse see privaatseks; kui eitavalt, siis avalikuks. Selle otsuse põhjal kohandab see tulemüüri ja teie seadme nähtavust võrgus, leevendades turvalisust koduvõrkudes või väikestes kontorites ning tugevdades seda hotellide, lennujaamade või kohvikute võrkudes.

Ühes privaatvõrkWindows eeldab, et teie kontrollite, kes ühendub ja et seadmed on teada. See võimaldab teil näiteks avastada võrgus teisi arvuteid, pääseda juurde jagatud kaustadele, saata printimistöid võrguprinteritele või kasutada selliseid funktsioone nagu HomeGroup või voogesitus nutitelerisse. Süsteem vähendab piiranguid, kuna see mõistab, et keskkond on suhteliselt turvaline.

Ühes avalik võrkWindows eeldab, et võrku ei usaldata. Seetõttu keelab see seadmete tuvastamise, failide ja printerite jagamise ning muud teenused, mis võivad teid teiste ühendatud seadmete rünnakute ohtu seada. haavatavused, nagu need, mis on WhatsAppisSaate ikka veel internetis surfata, kuid teie seade on muust isoleeritud, mis on ülioluline, kui loote ühenduse WiFi-ga kaubanduskeskuses, lennujaamas või avatud võrgus.

Probleem tekib siis, kui sama sülearvutit ringi liigutatakse. mitu võrku väga erinevate nõuetegaÜks võib vajada staatilist IP-aadressi, teine ​​DHCP-d; üks võib nõuda ettevõtte puhverserveri kasutamist, kolmas VPN-i aktiveerimist ja kolmas mitte. Selle käsitsi muutmine iga kord on tüütu ja vigadele kalduv. Siin tulevadki mängu täiustatud võrguprofiilid, nii Windowsis kui ka spetsiaalsete programmide kaudu.

Automatiseerige seaded Windowsi WiFi-võrkude vahetamisel

Windows võimaldab teil määrata erinevad parameetrid iga võrguprofiili (avalik või privaatne) ja konkreetse ühenduse jaoks, kuid integreeritud haldus jääb soovi korral puudulikuks. Muutke IP-aadressi, DNS-i, puhverserverit, VPN-i ja tulemüüri korraga iga kord, kui tuvastate erineva SSID. Selleks on tavaline lähenemisviis kombineerida süsteemi pakutavat väliste tööriistadega, mis haldavad täiustatud profiile.

Mõnede keskkondade graafilises võrguhaldusliideses (näiteks distributsioonides, mis kasutavad Solarise NCP-dega sarnaseid kontseptsioone) tehakse vahet reaktiivsed ja fikseeritud võrguprofiilidReaktiivne profiil „Automaatne” proovib esmalt luua juhtmega ühenduse ja kui see ebaõnnestub, kasutab traadita ühendust. Fikseeritud profiil „VaikimisiFikseeritud” määratleb staatilise liideste komplekti, mis jääb samaks, kuni neid käsurea tööriistade abil muudetakse.

Need profiilid kontrollivad, milliseid liideseid saab igal ajal aktiveerida või deaktiveeridaTavalisel sülearvutil, millel on nii Ethernet kui ka WiFi, võiksite kaabli olemasolul kasutada ainult Etherneti ja turvalisuse huvides WiFi välja lülitada või vastupidi. Võrgueelistuste graafiline kasutajaliides pakub tavaliselt ühenduse oleku, võrguprofiili ja ühenduse omaduste vaateid, kus näete praegust olekut, aktiivset profiili ja konkreetseid omadusi (IP-aadress, IPv4/IPv6, lemmiktraadita võrgud jne).

Lisaks saate määratleda asukohad Need seaded koondavad konfiguratsioone, nagu nimeteenused, tulemüür ja IPsec, ning neid aktiveeritakse käsitsi või tingimuslikult vastavalt reeglitele (näiteks asukoht „Kontor”, kui saate IP-aadressi teatud vahemikust, ja asukoht „Kodu”, millel on erinevad poliitikad). Korraga saab olla aktiivne ainult üks asukoht ja seda saab muuta võrgu oleku ikoonilt või selliste käskudega nagu netadm Solarise-laadsetes süsteemides.

Programmid WiFi-võrgu automaatsete profiilide loomiseks

Windowsi vaikimisi pakutavast kaugemale minemiseks on olemas spetsiaalsed tööriistad, mis võimaldavad luua ja rakendada täielikke võrguprofiile See sõltub võrgust (SSID), millega te ühenduse loote, või aktiivsest adapterist. Paljud neist toetavad Windows XP-d kuni Windows 11-ni.

Lihtne võrguvahetus

Lihtne võrguvahetus See on tasuline Windowsi programm, mis paistab silma tohutu hulga võrgusätete poolest, mida see suudab hallata. Kuigi selle liides meenutab Windows XP ajastut, on see ühilduv... Windows XP, 7, 8, 10 ja 11ning sisaldab nii graafilist kasutajaliidest kui ka käsurearežiimi edasijõudnutele kasutajatele.

Easy Net Switchiga saate määratleda profiile, mis kontrollivad praktiliselt kõike: IP-aadress, alamvõrgu mask, lüüs, DNS, WINS, NetBIOS, MAC-aadressi võltsimine, WiFi, VPN, puhverserver, tulemüür, vaikeprinter, võrgudraivid, staatilised marsruudidja isegi skripte käivitada või hosts-faili muuta. Iga parameeter on valikuline; saate piirduda IP ja DNS-iga või luua ettevõtte keskkonna jaoks väga keeruka profiili.

Profiili loomiseks klõpsatakse tavaliselt nupul „Uus“, kasutades lihtsat viisardit, mida saab seejärel kohandada. Jaotises „Võrk“ saate valida, kas IP-aadress ja DNS saadakse DHCP kaudu või on staatilised, ning jaotises „Täpsemalt“ saate muuta WINS-i, NetBIOS-i, muuta MAC-aadressi, tühjendada DNS-vahemälu ja palju muud. Profiili rakendamisel kuvab programm Muudatuste kokkuvõte ja võimalikud veadmis teeb diagnoosimise lihtsamaks, kui midagi ei tööta.

WiFi jaotises saate Easy Net Switch abil määrata kindlate SSID-dega seotud traadita profiilidSaate otsida saadaolevaid võrke või sisestada nime käsitsi ja autentimist reguleerida: eelnevalt jagatud võtmetest (PSK) kuni tugeva autentimiseni RADIUSe ja erinevate EAP-protokollidega. See võimaldab näiteks profiili õige võtmega, sobiva EAP-autentimise ja vajadusel VPN-i automaatselt ette valmistada iga kord, kui näete ettevõtte SSID-d.

Programm haldab ka seadeid ettevõtte volikiri (sh autentimine), sissehelistamine, VPN ja pakub isegi integreeritud tööriistu nagu ping ja traceroute, samuti töölaua vidinat praeguse IP-aadressi igal ajal vaatamiseks. Selle valikute hulka kuuluvad Windowsiga käivitamine, süsteemisalve minimeerimine, automaatse WiFi-võrgu tuvastamise keelamine ja programmile juurdepääsu parooliga kaitsmine volitamata muudatuste vältimiseks.

TCP/IP haldur

TCP/IP haldur See on tasuta ja avatud lähtekoodiga projekt, mis, kuigi seda pole aastaid uuendatud, töötab endiselt hästi Windowsi uuemate versioonidega. See keskendub piiramatute võrguprofiilide loomisele, mis muudavad kiiresti... IP-konfiguratsioon, alamvõrgu mask, lüüs, DNS, puhverserver, töörühma nimi ja MAC-aadress.

Üks selle eelistest on see, et see võimaldab impordi praegune konfiguratsioon Süsteem võimaldab teil luua profiili olemasolevate sätete põhjal ilma kõike käsitsi sisestamata. Samuti pakub see võimalust siduda iga profiiliga pakkfaile, nii et selle aktiveerimine käivitab automaatselt lisakäsklused (näiteks võrgudraivide ühendamine või VPN-i käivitamine).

Profiilide vahel saab vahetada liidese enda kaudu või kuumad võtmedIdeaalne kasutajatele, kes peavad kiiresti keskkondade vahel liikuma (ettevõtte võrk, labor, klient jne). Lisaks uuendub programm automaatselt veebi kaudu, kui uued versioonid on saadaval, välistades käsitsi allalaadimise vajaduse.

IP-aadressi vahetaja

IP-aadressi vahetaja See on kerge ja tasuta valik, mis on loodud neile, kes vajavad midagi lihtsamat. See toetab Windows XP-d ja uuemaid versioone, sealhulgas Windows 10 ja Windows 11ja töötab erinevate adapteritega, nii Etherneti kui ka WiFi-ga.

Selle peamine ülesanne on võimaldada teil muudatusi teha ilma taaskäivitamata. IP-konfiguratsioon, alamvõrgu mask, lüüs ja DNS adapteritest. See haldab ka puhverserveri konfiguratsioone brauseritele nagu Microsoft Edge või Firefox, integreerib kiire ping-käsu ning suudab tuvastada kohtvõrgus olevaid seadmeid ja kuvada avalikku IP-aadressi, mida internet näeb.

Sellel pole Easy Net Switchi või NetSetMani sügavust, aga ... kahe või kolme põhikeskkonna vahel vahetamine (näiteks staatiline IP-aadress tööstusvõrgus ja DHCP kodus) on tavaliselt piisav.

NetSetMan

NetSetMan See on ilmselt kõige võimsam tasuta alternatiiv Easy Net Switchile. Sellel on tasuta versioon kuni kaheksa profiiliga ja tasuline Pro versioon koos Piiramatu arv profiile ja rohkem ärikeskseid valikuidNende filosoofia on see, et ühe klõpsuga saab aktiveerida terve komplekti võrguseadeid.

Lubatud konfiguratsioonide hulgas on klassikalised (IP, mask, lüüs, DNS), töörühm, vaikeprinter, võrgudraivid, marsruutimistabel, SMTP-server, arvuti nimi, MAC-aadress, võrgukaardi olek, liidese kiirus, MTU, VLAN ja palju muud. Samuti saate määrata VPN-serveri parameetreid, käivitada profiilide vahetamisel partii-, VBScripti või JavaScripti skripte, käivitada muid programme ja isegi WiFi-seadeid üksikasjalikult hallata.

Pro versioon lisab funktsioone, näiteks täpsemad puhverserveri konfiguratsioonid ja võrgudomeenidNeed on väga kasulikud ettevõtte domeenikeskkondade ja tsentraliseeritud puhverserveritega integreerimiseks. Tasuta versiooni ei saa aga Windows Serveris kasutada ja see piirab profiilide arvu kaheksani, mida tuleks meeles pidada, kui haldate mitut asukohta.

Microsoft Intune'iga hallatavad WiFi-profiilid

Ettevõttekeskkondades, kus haldate sadu või tuhandeid seadmeid, ei saa te loota, et iga kasutaja konfigureerib oma WiFi-võrgu õigesti. Siin tulebki mängu Microsoft Intune, mis võimaldab teil Loo WiFi-profiile ja levita neid Windowsi, Androidi, iOS-i ja macOS-i seadmetesse. ja teised tsentraliseeritult.

Un Intune'i WiFi-profiil See on ühendusparameetrite kogum (SSID, turbetüüp, autentimismeetod, parool, sertifikaadid jne), mis on määratud kasutajate või seadmete rühmadele. Kui seade profiili kätte saab, kuvatakse võrk teadaolevate võrkude loendis ja kui see on leviala piires, saab seade automaatselt ühenduse luua ilma, et kasutaja peaks sätteid muutma.

Intune'is standardse WiFi-profiili loomiseks järgite sarnast protsessi nagu teiste poliitikate puhul: pääsete juurde Microsoft Intune'i halduskeskusMine menüüsse Seadmed (Devices), seejärel Seaded (Settings), loo uus poliitika, vali platvorm (Android, iOS, macOS, Windows 10/11 jne) ja vali profiilitüübiks „Wi-Fi” või vastav mall. Seejärel määra profiili nimi, kirjeldus ja konfigureeri platvormipõhised valikud: SSID, autentimistüüp (WPA2, WPA3, EAP-TLS jne), sertifikaadi kasutamine, täpsemad parameetrid ja lõpuks määra profiil vastavatele rühmadele.

Jaotust saab filtreerida järgmiselt: ulatuse sildidNeed on kasulikud vastutuse jagamiseks erinevate IT-meeskondade vahel (näiteks kohalik tugimeeskond, kes haldab ainult ühte riiki). Pärast profiili levitamist kuvatakse see Intune'i profiilide loendis ja seda rakendatakse automaatselt seadmete sünkroonimisel.

WiFi-profiilid PSK ja XML-konfiguratsiooniga Intune'i abil

Automaatsete profiilide loomise sammud WiFi-võrgus

Lisaks tavalistele WiFi-profiilidele võimaldab Intune teil määratleda Eeljagatud võtmel (PSK) ja EAP-l põhinevad WiFi-profiilid kasutades kohandatud direktiive ja WiFi CSP-d. Seda tehakse XML-failide kaudu, mis kirjeldavad traadita profiili ja saadetakse seadmetele OMA-URI kaudu.

Eeljagatud võtmeid kasutatakse tavaliselt autentida kasutajaid kodustes WiFi-võrkudes või väikestes traadita kohtvõrkudesIntune'i abil saate luua kohandatud seadme konfiguratsioonipoliitika, mis sisaldab XML-vormingus WiFi-profiili ja OMA-URI konfiguratsiooni, mis edastab selle operatsioonisüsteemile. See valik on saadaval Androidi (sh ettevõtte ja tööprofiili režiimid), Windowsi ja EAP-põhiste võrkude jaoks.

Selle toimimiseks peate ette valmistama XML-faili, mis kirjeldab profiili, sealhulgas Profiili nimi, SSID (tekstina ja kuueteistkümnendsüsteemis), autentimistüüp, krüptimistüüp, võti, ühendusrežiim, kas võrk on peidetudjne. Soovi korral saate selle XML-i ekstraheerida Windowsi arvutist, millel on võrk juba konfigureeritud, kasutades netsh-käske.

Kohandatud poliitika loomine Intune'is hõlmab seadmetesse naasmist, sätetesse naasmist, uue poliitika loomist, platvormi valimist ja tüübiks „Kohandatud” valimist. konfiguratsiooni valikud Lisa uus OMA-URI kirje, mis näitab:

  • nimi ja konfiguratsiooni kirjeldus.
  • El OMA-URI sobib näiteks:
    • Androidis: ./Vendor/MSFT/WiFi/Profile/{SSID}/Settings
    • Windowsi puhul: ./Vendor/MSFT/WiFi/Profile/{SSID}/WlanXml
  • Andmetüüp "String".
  • Väljal «Väärtus» kuvatakse WiFi profiili täielik XML.

On oluline, et {SSID} väärtus OMA-URI-s vastaks kirjeldav võrgunimi XML-profiilisKui nimi sisaldab tühikuid, tuleb need OMA-URI-s kodeerida kujul %20. Lisaks XML-is väli See peab jääma väärtusele „väär“, et võti saadetaks lihttekstina (halduskanali poolt krüpteerituna, kuid mitte XML-is hägustatuna). Kui see on seatud väärtusele „tõene“, võib seade oodata krüpteeritud parooli ja ühenduse loomine ebaõnnestuda.

Üldine näide PSK-ga WiFi-profiilist hõlmaks blokeerimist nime, SSID-i kuueteistkümnendsüsteemis ja tekstina, ESS , auto , plokk autentimistüübi (nt WPA2PSK) ja krüptimisega (AES) ning plokiga koos paroolfraas , vale ja parool , kus "parool" on lihtteksti võti.

EAP-põhiste võrkude puhul on XML palju keerulisem, kuna see sisaldab konfiguratsioone EapHostConfig, sertifikaadid, serveri valideerimine, CA räsiloendid, EKU jne.Määratletakse parameetrid, näiteks EAP tüüp (nt 13 EAP-TLS-i puhul), mandaadi allikas (sertifikaadihoidla), kas serveri valideerimine on lubatud või mitte, ja võimalikud sertifikaadifiltrid, mis kasutavad kliendi autentimise EKU-sid.

Kui kohandatud poliitika on loodud, määratakse see samadele rühmadele, mida kasutaksite tavalise WiFi-profiiliga. Registreerimisel või sünkroonimisel saab seade XML-faili, impordib selle traadita profiilina ja on valmis selle võrguga automaatselt ühenduse looma.

Looge olemasoleva WiFi-ühenduse XML-fail

Paljudel juhtudel on mugavam lasta Windowsil XML-i genereerida olemasolevast ja toimivast ühendusest. Selleks Windowsi arvutis saate järgida neid lihtsaid samme: Ekspordi WiFi profiil:

  1. Loo kohalik kaust, näiteks c:\WiFi.
  2. Avage käsuviip administraatorina.
  3. Jookse netsh wlan näidata profiilid olemasolevate profiilide nimede nägemiseks.
  4. Ekspordi soovitud profiil
    netsh wlan eksport profiili nimi=»ProfiiliNimi» kaust=c:\WiFi.

Kui profiil sisaldab eelnevalt jagatud võtit ja soovite, et XML sisaldaks parooli lihttekstina (vajalik Intune'i korrektseks kasutamiseks), lisatakse parameeter. võti = selge eksporti käsule. Loodud XML-faili (nimega, mis on sarnane Wi-Fi-ProfileName.xml-ile) saab avada tekstiredaktoriga, seda üle vaadata ja kopeerida otse Intune'i OMA-URI konfiguratsiooniväärtusse.

Teatud detaile, näiteks elementi, tuleb jälgida Eksporditud profiil ei sisalda tühikuid, mis võivad Intune'i kasutamisel põhjustada eraldusvigu või mille väärtus vastama määratud SSID-le. Lisaks tuleb XML-i erimärgid (näiteks ja-märk &) töötlemisvigade vältimiseks õigesti paostada.

Parimad tavad PSK ja pöörlevate klahvide kasutamisel

Ettevõtte keskkonnas PSK abil WiFi-võrkude haldamisel on oluline planeerida paroolivahetusParooli järsk ja planeerimata muutmine võib katkestada ühenduse paljude seadmetega, mis Intune'iga suhtlemiseks ja uute sätete vastuvõtmiseks sellest võrgust sõltuvad.

Soovitav on kõigepealt kontrollida, kas seadmed suudavad ühendu otse pääsupunktiga Planeeritud konfiguratsiooni korral kavandage võtmevahetus nii, et oleks olemas alternatiivne internetiühendus: külalisvõrk, ajutine paralleelne WiFi-võrk või mobiilne andmeside. Nii saavad seadmed uue profiili vastuvõtmiseks kasutada ka teisejärgulist ühendust isegi siis, kui ettevõtte WiFi muudab oma PSK-d.

Samuti on soovitatav uute profiilide juurutamine ajastada väljaspool tipptundi ja teavitada kasutajaid, et ühenduvus võib olla aja jooksul häiritud. See vähendab mõju tootlikkusele ja hõlbustab vigade või anomaaliate jälgimist protsessi ajal.

Võrguühenduse profiilid ja tulemüürireeglid

Mõned turvalahendused, näiteks lõpp-punkti kaitsepaketid (hexlock), võimaldavad määratleda kohandatud võrguühenduse profiilid Neid profiile rakendatakse konkreetsetele ühendustele päästikute või tingimuste põhjal. Need lisavad Windowsi konfiguratsioonile täiendava kihi, kohandades tulemüüri, seadme nähtavust ja muid kaitsemeetmeid vastavalt võrgule.

Täiustatud konfiguratsioonikonsoolis on tavaliselt jaotis "Võrguühenduse profiilid" eelmääratletud profiilidega, näiteks era- y Avalik Neid profiile ei saa muuta ega kustutada. Privaatne profiil on mõeldud usaldusväärsetele võrkudele (kodu või kontor), kus on lubatud juurdepääs jagatud failidele, printeritele, sissetulevale RPC-sidele ja kaugtöölauale. Avalik profiil seevastu blokeerib failide ja ressursside jagamise ning on mõeldud ebausaldusväärsetele võrkudele.

Lisaks neile profiilidele saate luua kohandatud profiilid ja kohandage parameetreid, nagu nimi, kirjeldus, täiendavad usaldusväärsed aadressid, kas ühendust peetakse usaldusväärseks (lisades turvalisse alasse terveid alamvõrke) ning lubage selliseid funktsioone nagu „Nõrga WiFi krüptimise aruanne”, mis annab teile märku, kui loote ühenduse avatud või halvasti kaitstud võrkudega.

Igal profiilil võib olla aktivaatoridSee tähendab tingimusi, mis peavad olema täidetud, et profiili ühendusele rakendataks: värava IP-aadress, Wi-Fi SSID, võrgu tüüp jne. Profiilid hinnatakse prioriteetsuse järjekorras ja rakendatakse esimest, mis tingimustele vastab. See võimaldab näiteks luua ettevõtte Wi-Fi jaoks spetsiifilise profiili, koduvõrkude jaoks üldise profiili ja tundmatute avalike võrkude jaoks väga piirava profiili.

Profiili- ja asukohahaldus keerukates keskkondades

Täiustatud süsteemides või ettevõttevõrkudes, kus kasutatakse Solarist või muid platvorme, on võrguprofiili mõiste kombineeritud Võrgu konfiguratsiooniüksused (NCU-d), prioriteetsed rühmad ja asukohadVõrgueelistuste graafilise liidese või selliste käskude nagu ipadm, dladm, netcfg ja netadm kaudu saate luua reaktiivseid ja fikseeritud profiile, grupeerida liideseid ja määratleda aktiveerimisreegleid.

GUI võrguprofiili vaates kuvatakse saadaolevate profiilide loendindikaatoritega, mis näitavad, milline neist on aktiivne. Süsteemi määratletud profiile, näiteks „Automaatne” ja „Vaikimisi fikseeritud”, ei saa muuta ega kustutada, kuid saate luua mitu kohandatud reaktiivset profiili. Iga profiil sisaldab ühenduste (NCU-de) komplekti, mis aktiveeritakse või deaktiveeritakse profiili jõustumisel.

Liideste korraldamiseks kasutatakse järgmist: prioriteetsed rühmad kolme peamise tüübiga:

  • Eksklusiivne: grupis saab olla aktiivne ainult üks ühendus ja kuni üks on aktiivne, siis madalama prioriteediga gruppe ei puudutata.
  • Jagatud: kõik grupi võimalikud ühendused aktiveeritakse ja seni, kuni vähemalt üks on aktiivne, madalamaid gruppe ei kasutata.
  • Kõik: kõik peavad olema aktiivsed; kui üks ebaõnnestub, deaktiveeritakse kõik, proovimata madalama prioriteediga gruppe.

Näiteks profiilil „Automaatne” on tavaliselt kõrgeima prioriteediga rühmas järgmised valikud: juhtmega liidesedTraadita ühendused on madalama prioriteediga. Seega, kui kaabel on saadaval, eelistatakse alati Etherneti ja WiFi-ühendust välditakse, kui see pole hädavajalik.

Kuna võrgu asukohadNeed sätted grupeerivad nimeteenuste (DNS, LDAP jne) ja turvalisuse (IP- ja IPsec-tulemüüride konfiguratsioonifailid) konfiguratsioone. Saab määratleda süsteemi asukohad (automaatne, NoNet, vaikimisi fikseeritud), käsitsi asukohad või tingimuslikud asukohad. Käsitsi asukohad aktiveeritakse käsitsi dialoogiboksi Asukohad kaudu, tingimuslikud asukohad aga reeglite (nt võrgu tüüp, hangitud IP-aadress jne) alusel.

GUI-st saate muuta asukoha aktiveerimisrežiimi, määrata selle väärtuseks „ainult käsitsi” või „reeglite alusel käivitatav” ja neid reegleid täpselt määratleda. Millistes olukordades iga poliitikakomplekti kasutatakse?Uue asukoha aktiveerimine deaktiveerib alati eelmise, tagades, et igal ajahetkel on aktiivne ainult üks.

Ruuterite IPsec-profiilid turvaliste ühenduste loomiseks

Kogu see profileerimissüsteem ei piirdu ainult lõppkasutajate seadmetega. See kehtib ka professionaalsete ruuterite, näiteks selle seeria kohta. Cisco RV160 ja RV260IPsec-profiile kasutatakse selleks, et määrata, kuidas VPN-i abil saitidevahelist liiklust kaitstakse.

Un IPsec-profiil See rühmitab võtmeläbirääkimistel (I etapp ja IKE) ja andmete krüptimisel (II etapp) kasutatavad algoritmid ja parameetrid. See hõlmab selliseid aspekte nagu krüpteerimisalgoritm (3DES, AES-128, AES-192, AES-256), autentimismeetod (MD5, SHA1, SHA2-256), Diffie-Hellmani rühm (nt 1024 bitti sisaldav 2. rühm või 1536 bitti sisaldav 5. rühm), turvaühenduste (SA) kestus ja see, kas kasutatakse automaatset võtmestamise režiimi (IKEv1 või IKEv2) või käsitsi võtmestamise režiimi.

La I faas See loob kahe VPN-i lõpp-punkti vahel turvalise ja autentitud side, lepib kokku võtmed ja autentib partnerid. Selles etapis valitakse IKEv1 või IKEv2 koos DH-rühma, krüpteerimisalgoritmi ja autentimisräsiga, samuti SA elueaga (näiteks 28800 sekundit). IKEv2 on tavaliselt eelistatud, kuna see on tõhusam, nõuab vähem pakettide vahetamist ja toetab rohkem autentimisvõimalusi.

La II faas See tegeleb tegeliku liikluse krüpteerimisega. Teie määrate, kas kasutada ESP-d (krüpteerimiseks ja valikuliselt autentimiseks) või AH-d (ainult autentimine ilma konfidentsiaalsuseta), valite uuesti krüpteerimis- ja räsialgoritmid, kontrollite, kas soovite täiuslikku edasisaladust (PFS), ja kohandate IPsec SA eluiga (näiteks 3600 sekundit). Tavaliselt on soovitatav, et I etapi eluiga oleks suurem kui II faasisnii et andmevõtmeid uuendatakse sagedamini kui kanalivõtmeid.

RV160/RV260 konfiguratsioonis minge VPN menüüsse > IPSec VPN > IPSec profiilid, lisage uus profiil, pange sellele nimi (näiteks "Kodukontor"), valige võtme loomise režiim (Automaatne), IKE versioon (ideaalis IKEv2, kui mõlemad pooled seda toetavad), I ja II faasi parameetrid, lubage PFS, kui võimalik, ja valige II faasi jaoks uuesti DH-grupp. Lõpuks rakendage ja salvestage konfiguratsioon nii, et see püsiks ka taaskäivituste korral, kopeerides käivitamisel töötav konfiguratsioon.

On ülioluline, et kohapealse tunneli mõlemas otsas oleks samad profiiliparameetrid (samad algoritmid, eluajad, IKE versioon, PSK või sertifikaadid jne). Vastasel juhul läbirääkimised ebaõnnestuvad ja tunnelit ei looda.

Kokkuvõttes võimaldab see WiFi-profiilide, võrguprofiilide, asukohtade, Intune'i konfiguratsiooni ja ruuterite IPsec-profiilide kombinatsioon luua keskkondi, kus teie arvuti, sülearvuti või mobiilseade kohandub peaaegu automaatselt võrguga, milles see on. Vali õige liides, rakenda õiged turvalisuse meetmed, loo ühendus WiFi-ga ilma kasutaja sekkumiseta, aktiveeri VPN vajadusel ja kohanda tulemüüri vastavalt kontekstile.See on lõppkokkuvõttes kõige praktilisem ja turvalisem viis automaatsete profiilide loomiseks teie kasutatava WiFi-võrgu põhjal. Jagage seda teavet, et rohkem kasutajaid saaksid teemast teada..