Jak tworzyć automatyczne profile na podstawie używanej sieci Wi-Fi

  • Profile sieciowe umożliwiają automatyzację adresów IP, DNS, zapory sieciowej, sieci VPN i udostępnianych zasobów na podstawie sieci Wi-Fi lub lokalizacji.
  • Narzędzia takie jak Easy Net Switch, NetSetMan czy TCP/IP Manager rozszerzają natywne funkcje systemu Windows, umożliwiając przełączanie środowisk jednym kliknięciem.
  • W środowiskach korporacyjnych usługa Intune centralnie dystrybuuje profile Wi-Fi (w tym PSK i EAP w formacie XML) na wiele platform.
  • Dodatkowe profile zabezpieczeń, takie jak profile połączeń i profile IPsec na routerach, uzupełniają ochronę i automatyzację w różnych lokalizacjach.
Joaquin Romero

19 minut

Jak tworzyć automatyczne profile dla swojej sieci Wi-Fi

Jeśli ciągle przełączasz się między domową siecią Wi-Fi, siecią biurową, siecią uniwersytecką a mobilnym hotspotem, ręczna zmiana ustawień sieciowych to prawdziwy problem. Na szczęście Windows i inne systemy operacyjne oferują sposoby na… twórz automatyczne profile na podstawie sieci Wi-Fi, z którą się łączysz, kontroluj, który interfejs jest aktywowany w danym momencie i stosuj polityki bezpieczeństwa lub zapory sieciowe dostosowane do każdego środowiska.

W tym artykule zobaczysz szczegółowo, jak działają profile siecioweCo umożliwiają w systemie Windows, jak je zintegrować z narzędziami takimi jak Intune lub rozwiązaniami zabezpieczającymi, jakie programy innych firm są potrzebne do bardziej zaawansowanych funkcji i jak to wszystko wpisuje się w takie koncepcje jak lokalizacje, grupy priorytetów interfejsów lub profile IPsec w routerach korporacyjnych.

Czym jest profil sieciowy i dlaczego warto go używać?

Profil sieciowy to zasadniczo zestaw wstępnie zdefiniowane parametry stosowane do połączenia (lub kilka) w zależności od pewnych warunków: sieci WiFi, z którą się łączysz, aktywnego interfejsu, lokalizacji itp. Parametry te mogą obejmować adres IP i DNS, reguły zapory sieciowej, użycie sieci VPN, drukarki, zasoby współdzielone, a nawet niestandardowe skrypty.

W systemie Windows sieci są już klasyfikowane jako publiczny czy prywatnyPodczas pierwszego połączenia z siecią Wi-Fi lub LAN system pyta, czy jest to sieć zaufana. Jeśli odpowiesz twierdząco, zostanie uznana za prywatną; jeśli nie, za publiczną. Na podstawie tej decyzji system dostosowuje zaporę sieciową i widoczność urządzenia w sieci, zmniejszając bezpieczeństwo w sieciach domowych lub małych biurach, a wzmacniając je w sieciach hotelowych, lotniskowych czy kawiarniach.

W jednym sieć prywatnaSystem Windows zakłada, że ​​to Ty kontrolujesz, kto się łączy i czy urządzenia są rozpoznawane. Pozwala to na przykład na wyszukiwanie innych komputerów w sieci, dostęp do folderów współdzielonych, wysyłanie zadań drukowania do drukarek sieciowych lub korzystanie z funkcji takich jak Grupa domowa czy strumieniowanie do telewizora Smart TV. System redukuje ograniczenia, ponieważ rozumie, że środowisko jest stosunkowo bezpieczne.

W jednym sieć publicznaSystem Windows zakłada, że ​​sieć jest niezaufana. Dlatego wyłącza wykrywanie urządzeń, udostępnianie plików i drukarek oraz inne usługi, które mogłyby narazić Cię na ataki z innych podłączonych urządzeń. luki w zabezpieczeniach, takie jak te w WhatsAppieNadal możesz przeglądać Internet, ale Twoje urządzenie będzie odizolowane od reszty, co jest szczególnie ważne, gdy łączysz się z siecią Wi-Fi w centrum handlowym, na lotnisku lub w otwartej sieci.

Problem pojawia się, gdy ten sam laptop jest przenoszony wiele sieci o bardzo różnych wymaganiachJeden może wymagać statycznego adresu IP, inny używać DHCP; jeden może wymagać korzystania z korporacyjnego serwera proxy, inny aktywacji VPN, a jeszcze inny nie. Ręczna zmiana tego za każdym razem jest żmudna i podatna na błędy. Właśnie tutaj z pomocą przychodzą zaawansowane profile sieciowe, zarówno w systemie Windows, jak i za pośrednictwem specjalistycznych programów.

Automatyzacja ustawień podczas przełączania sieci Wi-Fi w systemie Windows

W systemie Windows można zdefiniować różne parametry dla każdego profilu sieciowego (publicznego lub prywatnego) i dla każdego konkretnego połączenia, ale zintegrowane zarządzanie nie spełnia oczekiwań, jeśli chcesz Zmień adres IP, DNS, serwer proxy, sieć VPN i zaporę sieciową jednocześnie Za każdym razem, gdy wykryjesz inny SSID. W tym celu zazwyczaj łączy się funkcje oferowane przez system z zewnętrznymi narzędziami do zarządzania zaawansowanymi profilami.

W graficznym interfejsie zarządzania siecią niektórych środowisk (na przykład dystrybucji wykorzystujących koncepcje podobne do NCP systemu Solaris) wprowadzono rozróżnienie reaktywne i stałe profile siecioweProfil reaktywny „Automatyczny” najpierw próbuje nawiązać połączenie przewodowe, a jeśli się to nie powiedzie, przełącza się na połączenie bezprzewodowe. Profil stały „Domyślny, Stały” definiuje statyczny zestaw interfejsów, które pozostają niezmienione do momentu modyfikacji za pomocą narzędzi wiersza poleceń.

Profile te kontrolują, które interfejsy mogą być aktywować lub dezaktywować w dowolnym momencieNa typowym laptopie z Ethernetem i Wi-Fi możesz chcieć korzystać tylko z Ethernetu, gdy dostępny jest kabel, i wyłączyć Wi-Fi ze względów bezpieczeństwa lub odwrotnie. Interfejs graficzny Preferencji sieciowych zazwyczaj oferuje widoki stanu połączenia, profilu sieciowego i właściwości połączenia, gdzie można zobaczyć aktualny stan, aktywny profil oraz określone właściwości (adres IP, IPv4/IPv6, ulubione sieci bezprzewodowe itp.).

Dodatkowo możesz zdefiniować lokalizacje Ustawienia te grupują konfiguracje, takie jak usługi nazw, zapora sieciowa i protokół IPsec, i są aktywowane ręcznie lub warunkowo zgodnie z regułami (na przykład lokalizacja „Biuro”, jeśli uzyskasz adres IP z określonego zakresu, i lokalizacja „Dom” z innymi zasadami). Jednocześnie może być aktywna tylko jedna lokalizacja, którą można zmienić za pomocą ikony stanu sieci lub za pomocą poleceń takich jak netadm w systemach Solaris.

Programy do tworzenia automatycznych profili dla każdej sieci WiFi

Aby wyjść poza to, co oferuje domyślnie system Windows, dostępne są specjalne narzędzia, które umożliwiają: tworzyć i stosować kompletne profile sieciowe Zależy to od sieci (SSID), z którą się łączysz, lub od aktywnego adaptera. Wiele z nich obsługuje systemy Windows XP i Windows 11.

Łatwy przełącznik sieci

Łatwy przełącznik sieci To płatny program dla systemu Windows, który wyróżnia się ogromną liczbą obsługiwanych ustawień sieciowych. Choć jego interfejs przypomina erę Windows XP, pozostaje on kompatybilny z… Windows XP, 7, 8, 10 i 11i obejmuje zarówno interfejs graficzny, jak i tryb wiersza poleceń dla zaawansowanych użytkowników.

Dzięki Easy Net Switch możesz zdefiniować profile, które będą kontrolować praktycznie wszystko: Adres IP, maska ​​podsieci, brama, DNS, WINS, NetBIOS, podszywanie się pod adres MAC, WiFi, VPN, serwer proxy, zapora sieciowa, drukarka domyślna, dyski sieciowe, trasy statycznea nawet uruchamiać skrypty lub modyfikować plik hosts. Każdy parametr jest opcjonalny; możesz ograniczyć się do adresu IP i DNS lub skonfigurować bardzo złożony profil dla środowiska korporacyjnego.

Profil zazwyczaj tworzy się, klikając przycisk „Nowy” za pomocą prostego kreatora, który można następnie dostosować. W sekcji „Sieć” wybiera się, czy adres IP i DNS mają być uzyskiwane przez DHCP, czy statyczne, a w sekcji „Zaawansowane” można modyfikować ustawienia WINS, NetBIOS, zmieniać adres MAC, czy czyścić pamięć podręczną DNS i wiele więcej. Podczas stosowania profilu program wyświetla Podsumowanie zmian i czy wystąpiły jakieś błędyco ułatwia diagnozę, jeśli coś nie działa.

W sekcji WiFi Easy Net Switch umożliwia zdefiniowanie profile bezprzewodowe powiązane z określonymi identyfikatorami SSIDMożesz skanować dostępne sieci lub ręcznie wprowadzić nazwę i dostosować uwierzytelnianie: od kluczy współdzielonych (PSK) po silne uwierzytelnianie z protokołem RADIUS i różnymi protokołami EAP. Pozwala to na przykład na automatyczne przygotowanie profilu z prawidłowym kluczem, odpowiednie uwierzytelnianie EAP, a w razie potrzeby także sieci VPN za każdym razem, gdy zobaczysz identyfikator SSID firmy.

Program zarządza również ustawieniami pełnomocnik korporacyjny (w tym uwierzytelnianie), Dial-Up, VPN, a nawet oferuje zintegrowane narzędzia, takie jak ping i traceroute, a także widżet na pulpicie, umożliwiający podgląd aktualnego adresu IP w dowolnym momencie. Dostępne opcje obejmują uruchamianie w systemie Windows, minimalizowanie do zasobnika systemowego, wyłączanie automatycznego wykrywania sieci Wi-Fi oraz ochronę hasłem dostępu do programów, aby zapobiec nieautoryzowanym zmianom.

Menedżer TCP/IP

Menedżer TCP/IP To darmowy i otwarty projekt, który, choć nie był aktualizowany od lat, wciąż dobrze działa w najnowszych wersjach systemu Windows. Koncentruje się na tworzeniu nieograniczonej liczby profili sieciowych, które szybko zmieniają Konfiguracja IP, maska ​​podsieci, brama, DNS, serwer proxy, nazwa grupy roboczej i adres MAC.

Jedną z jego zalet jest to, że pozwala importuj bieżącą konfigurację System pozwala na utworzenie profilu na podstawie istniejących ustawień bez konieczności ręcznego wprowadzania wszystkich danych. Oferuje również możliwość powiązania plików wsadowych z każdym profilem, dzięki czemu aktywacja automatycznie uruchamia dodatkowe polecenia (na przykład montowanie dysków sieciowych lub uruchamianie sieci VPN).

Przełączanie między profilami może odbywać się z poziomu samego interfejsu lub za pośrednictwem klawisze skrótówIdealne dla użytkowników, którzy muszą szybko przemieszczać się między środowiskami (sieć korporacyjna, laboratorium, klient itp.). Co więcej, program aktualizuje się automatycznie przez internet, gdy tylko pojawią się nowe wersje, eliminując konieczność ręcznego pobierania.

Zmieniacz IP

Zmieniacz IP To lekka i darmowa opcja przeznaczona dla osób, które potrzebują czegoś prostszego. Obsługuje system Windows XP i nowsze wersje, w tym: Windows 10 i Windows 11i współpracuje z różnymi adapterami, zarówno Ethernetowymi jak i WiFi.

Jego główną funkcją jest umożliwienie zmiany bez konieczności ponownego uruchamiania Konfiguracja IP, maska ​​podsieci, brama i DNS adapterów. Obsługuje również konfiguracje proxy dla przeglądarek takich jak Microsoft Edge czy Firefox, integruje szybkie polecenie ping i może wykrywać urządzenia obecne w sieci LAN, a także wyświetlać publiczny adres IP widoczny dla Internetu.

Nie ma poziomu głębi Easy Net Switch lub NetSetMan, ale dla przełączać się między dwoma lub trzema podstawowymi środowiskami (na przykład statyczny adres IP w sieci przemysłowej i DHCP w domu) zazwyczaj wystarcza.

NetSetMana

NetSetMana To prawdopodobnie najpotężniejsza darmowa alternatywa dla Easy Net Switch. Dostępna jest darmowa wersja z maksymalnie ośmioma profilami oraz płatna wersja Pro z… Nieograniczona liczba profili i więcej opcji zorientowanych na biznesIch filozofia opiera się na przekonaniu, że jednym kliknięciem można aktywować cały zestaw ustawień sieciowych.

Wśród konfiguracji, które umożliwia, znajdują się te klasyczne (IP, maska, brama, DNS), grupa robocza, drukarka domyślna, dyski sieciowe, tabela routingu, serwer SMTP, nazwa komputera, adres MAC, stan karty sieciowej, prędkość interfejsu, MTU, VLAN i wiele więcej. Możesz także definiować parametry serwera VPN, uruchamiać pliki wsadowe, skrypty VBScript lub JavaScript podczas przełączania profili, uruchamiać inne programy, a nawet szczegółowo zarządzać ustawieniami Wi-Fi.

Wersja Pro dodaje takie funkcje jak: zaawansowane konfiguracje proxy i domeny siecioweSą one bardzo przydatne do integracji z korporacyjnymi środowiskami domenowymi i scentralizowanymi serwerami proxy. Jednak darmowa wersja nie może być używana w systemie Windows Server i ogranicza liczbę profili do ośmiu, o czym warto pamiętać, zarządzając wieloma lokalizacjami.

Profile Wi-Fi zarządzane za pomocą usługi Microsoft Intune

W środowiskach korporacyjnych, w których zarządzasz setkami lub tysiącami urządzeń, nie możesz polegać na tym, że każdy użytkownik poprawnie skonfiguruje swoją sieć Wi-Fi. W tym miejscu pojawia się Microsoft Intune, który pozwala… Twórz profile WiFi i udostępniaj je urządzeniom z systemami Windows, Android, iOS i macOS. i inne, w sposób scentralizowany.

Un Profil Wi-Fi Intune To zestaw parametrów połączenia (SSID, typ zabezpieczeń, metoda uwierzytelniania, hasło, certyfikaty itp.) przypisanych do grup użytkowników lub urządzeń. Po otrzymaniu profilu przez urządzenie, sieć pojawia się na liście znanych sieci, a jeśli jest w zasięgu, urządzenie może połączyć się automatycznie, bez konieczności zmiany ustawień przez użytkownika.

Aby utworzyć standardowy profil Wi-Fi w usłudze Intune, należy wykonać podobną procedurę, jak w przypadku innych zasad: uzyskać dostęp do Centrum administracyjne Microsoft IntunePrzejdź do sekcji Urządzenia, Ustawienia, utwórz nową politykę, wybierz platformę (Android, iOS, macOS, Windows 10/11 itd.) i wybierz „Wi-Fi” lub odpowiedni szablon jako typ profilu. Następnie zdefiniuj nazwę profilu, opis i skonfiguruj opcje specyficzne dla platformy: SSID, typ uwierzytelniania (WPA2, WPA3, EAP-TLS itd.), użycie certyfikatu, parametry zaawansowane, a na koniec przypisz profil do odpowiednich grup.

Przydział można filtrować za pomocą etykiety zakresuSą one przydatne do rozdzielania obowiązków między różne zespoły IT (na przykład lokalny zespół wsparcia zarządzający tylko jednym krajem). Po dystrybucji profil pojawia się na liście profili Intune i jest automatycznie stosowany podczas synchronizacji urządzeń.

Profile Wi-Fi z konfiguracją PSK i XML przy użyciu usługi Intune

Kroki tworzenia automatycznych profili w sieci Wi-Fi

Oprócz standardowych profili Wi-Fi Intune umożliwia definiowanie Profile Wi-Fi oparte na kluczu wstępnie współdzielonym (PSK) i protokole EAP Używając dyrektyw niestandardowych i WiFi CSP. Odbywa się to za pomocą plików XML, które opisują profil sieci bezprzewodowej i są wysyłane do urządzeń za pośrednictwem OMA-URI.

Klucze wstępnie współdzielone są powszechnie używane do uwierzytelnianie użytkowników w domowych sieciach WiFi lub małych sieciach LAN bezprzewodowychZa pomocą usługi Intune możesz utworzyć niestandardową zasadę konfiguracji urządzenia, która zawiera profil Wi-Fi w formacie XML oraz konfigurację OMA-URI, która przekazuje go do systemu operacyjnego. Ta opcja jest dostępna dla systemów Android (w tym w trybach profili Enterprise i Work), Windows oraz sieci opartych na protokole EAP.

Aby to zadziałało, należy przygotować plik XML opisujący profil, w tym: Nazwa profilu, SSID (w formacie tekstowym i szesnastkowym), typ uwierzytelniania, typ szyfrowania, klucz, tryb połączenia, czy sieć jest ukrytaitd. Opcjonalnie możesz wyodrębnić ten plik XML z komputera z systemem Windows, na którym sieć jest już skonfigurowana, za pomocą poleceń netsh.

Aby utworzyć niestandardową politykę w usłudze Intune, należy wrócić do sekcji Urządzenia, Ustawienia, utworzyć nową politykę, wybrać platformę i wybrać typ „Niestandardowa”. W opcje konfiguracji Dodaj nowy wpis OMA-URI wskazujący:

  • nazwa i opis konfiguracji.
  • El OMA-URI odpowiedni, na przykład:
    • W systemie Android: ./Vendor/MSFT/WiFi/Profile/{SSID}/Settings
    • W systemie Windows: ./Vendor/MSFT/WiFi/Profile/{SSID}/WlanXml
  • Typ danych „Ciąg”.
  • W sekcji „Wartość” znajduje się kompletny kod XML profilu WiFi.

Ważne jest, aby wartość {SSID} w OMA-URI była zgodna z opisowa nazwa sieci w profilu XMLJeśli nazwa zawiera spacje, muszą być one zakodowane jako %20 w OMA-URI. Dodatkowo w pliku XML pole Musi pozostać fałsz, aby klucz został wysłany w postaci jawnego tekstu (zaszyfrowany przez kanał zarządzania, ale nie zaciemniony w kodzie XML). Jeśli zostanie ustawiony na wartość prawda, urządzenie może oczekiwać zaszyfrowanego hasła i nie nawiązać połączenia.

Ogólny przykład profilu WiFi z PSK obejmowałby blok z nazwą, SSID w formacie szesnastkowym i tekstem, ES , samochód , blok z typem uwierzytelniania (np. WPA2PSK) i szyfrowaniem (AES) oraz blokiem z hasło , FAŁSZ I hasło , gdzie „hasło” jest kluczem w postaci jawnego tekstu.

W przypadku sieci opartych na protokole EAP kod XML jest znacznie bardziej złożony, ponieważ obejmuje konfiguracje EapHostConfig, certyfikaty, walidacja serwera, listy skrótów urzędów certyfikacji, EKU itp.Definiowane są takie parametry, jak typ EAP (np. 13 w przypadku EAP-TLS), źródło poświadczeń (magazyn certyfikatów), informacja o tym, czy walidacja serwera jest dozwolona, ​​oraz możliwe filtry certyfikatów wykorzystujące EKU uwierzytelniania klienta.

Po utworzeniu niestandardowej polityki jest ona przypisywana do tych samych grup, których używa się w przypadku standardowego profilu Wi-Fi. Podczas rejestracji lub synchronizacji urządzenie odbiera plik XML, importuje go jako profil sieci bezprzewodowej i jest gotowe do automatycznego połączenia z tą siecią.

Utwórz plik XML z istniejącego połączenia Wi-Fi

W wielu przypadkach wygodniej jest pozwolić systemowi Windows wygenerować plik XML z istniejącego, działającego połączenia. Aby to zrobić na komputerze z systemem Windows, wykonaj następujące podstawowe kroki: eksportuj profil WiFi:

  1. Utwórz folder lokalny, na przykład c:\WiFi.
  2. Otwórz wiersz poleceń jako administrator.
  3. bieg netsh wlan show profiles aby zobaczyć nazwy istniejących profili.
  4. Eksportuj żądany profil za pomocą
    netsh wlan export profile name=»ProfileName» folder=c:\WiFi.

Jeśli profil obejmuje klucz wstępnie udostępniony i chcesz, aby plik XML zawierał hasło w postaci zwykłego tekstu (jest to konieczne, aby usługa Intune mogła go poprawnie używać), dodawany jest parametr. klawisz = wyczyść do polecenia eksportu. Wygenerowany plik XML (o nazwie podobnej do Wi-Fi-ProfileName.xml) można otworzyć w edytorze tekstu, przejrzeć i skopiować bezpośrednio do wartości konfiguracji OMA-URI w usłudze Intune.

Należy monitorować pewne szczegóły, takie jak element Wyeksportowany profil nie zawiera spacji, które mogłyby powodować błędy alokacji podczas korzystania z usługi Intune lub których wartość pasować do określonego identyfikatora SSID. Dodatkowo, znaki specjalne w XML (takie jak ampersand &) muszą być poprawnie zastąpione znakami ucieczki, aby uniknąć błędów przetwarzania.

Najlepsze praktyki dotyczące korzystania z PSK i rotacji kluczy

W przypadku zarządzania sieciami WiFi z PSK w środowisku korporacyjnym, istotne jest zaplanowanie rotacja hasełNagła zmiana hasła bez ostrzeżenia może spowodować rozłączenie wielu urządzeń, które wykorzystują daną sieć do komunikacji z usługą Intune i odbioru nowych ustawień.

Zaleca się najpierw sprawdzić, czy urządzenia mogą połącz się bezpośrednio z punktem dostępowym W zaplanowanej konfiguracji zaprojektuj zmianę klucza tak, aby istniało alternatywne połączenie internetowe: sieć dla gości, tymczasowa, równoległa sieć Wi-Fi lub dane mobilne. W ten sposób, nawet jeśli firmowa sieć Wi-Fi zmieni swój klucz PSK, urządzenia będą mogły korzystać z połączenia dodatkowego, aby odebrać nowy profil.

Zaleca się również zaplanowanie wdrożenia nowych profili w poza godzinami szczytu i powiadamiać użytkowników o możliwości chwilowego braku łączności. Zmniejsza to wpływ na wydajność i ułatwia monitorowanie błędów lub anomalii w trakcie procesu.

Profile połączeń sieciowych i reguły zapory sieciowej

Niektóre rozwiązania zabezpieczające, takie jak pakiety ochrony punktów końcowych (hexlock), umożliwiają zdefiniowanie niestandardowe profile połączeń sieciowych Profile te są stosowane do określonych połączeń w oparciu o wyzwalacze lub warunki. Dodają one dodatkową warstwę do konfiguracji systemu Windows, dostosowując zaporę sieciową, widoczność urządzeń i inne zabezpieczenia do sieci.

W konsoli konfiguracji zaawansowanej znajduje się zazwyczaj sekcja „Profile połączeń sieciowych” zawierająca predefiniowane profile, takie jak: prywatny y Público Tych profili nie można modyfikować ani usuwać. Profil prywatny jest przeznaczony dla zaufanych sieci (domowych lub biurowych), w których dozwolony jest dostęp do współdzielonych plików, drukarek, przychodzącej komunikacji RPC i pulpitu zdalnego. Profil publiczny natomiast blokuje udostępnianie plików i zasobów i jest przeznaczony dla sieci niezaufanych.

Oprócz tych profili możesz tworzyć profile niestandardowe i dostosować parametry takie jak nazwa, opis, dodatkowe zaufane adresy, określić, czy połączenie jest uważane za zaufane (dodając całe podsieci do obszaru zabezpieczonego) oraz włączyć funkcje takie jak „Raport o słabym szyfrowaniu WiFi”, który ostrzega o połączeniu z otwartymi lub słabo zabezpieczonymi sieciami.

Każdy profil może mieć aktywatoryOznacza to, że muszą zostać spełnione warunki, aby profil został zastosowany do połączenia: adres IP bramy, identyfikator SSID Wi-Fi, typ sieci itp. Profile są oceniane według priorytetu, a pierwszy profil spełniający warunki jest stosowany. Pozwala to na przykład na utworzenie konkretnego profilu dla firmowej sieci Wi-Fi, ogólnego profilu dla sieci domowych i bardzo restrykcyjnego profilu dla dowolnej nieznanej sieci publicznej.

Zarządzanie profilami i lokalizacjami w zaawansowanych środowiskach

W bardziej zaawansowanych systemach lub sieciach przedsiębiorstw z systemem Solaris lub innymi platformami koncepcja profilu sieciowego jest łączona z Jednostki konfiguracji sieci (NCU), grupy priorytetowe i lokalizacjeZa pomocą graficznego interfejsu Preferencji sieciowych lub poleceń takich jak ipadm, dladm, netcfg i netadm można tworzyć profile reaktywne i stałe, grupować interfejsy i definiować reguły aktywacji.

Widok profilu sieciowego interfejsu graficznego wyświetla lista dostępnych profiliZe wskaźnikami wskazującymi, który z nich jest aktywny. Profile zdefiniowane przez system, takie jak „Automatyczny” i „Domyślnie stały”, nie mogą być edytowane ani usuwane, ale można utworzyć wiele niestandardowych profili reaktywnych. Każdy profil zawiera zestaw połączeń (NCU), które są aktywowane lub dezaktywowane po wejściu profilu w życie.

Do organizacji interfejsów wykorzystuje się: grupy priorytetowe z trzema głównymi typami:

  • Ekskluzywny: tylko jedno połączenie w grupie może być aktywne. Dopóki jedno połączenie jest aktywne, grupy o niższym priorytecie nie są modyfikowane.
  • Współdzielone: ​​wszystkie możliwe połączenia w grupie są aktywne i dopóki przynajmniej jedno jest aktywne, grupy niższego rzędu nie są używane.
  • Wszystkie: wszystkie muszą być aktywne; jeśli któraś z grup zawiedzie, wszystkie zostaną dezaktywowane, bez prób dezaktywacji grup o niższym priorytecie.

Przykładowo profil „Automatyczny” w grupie o najwyższym priorytecie zwykle zawiera następujące elementy: interfejsy przewodowePołączenia bezprzewodowe znajdują się w grupie o niższym priorytecie. Dlatego jeśli dostępny jest kabel, Ethernet zawsze ma priorytet, a Wi-Fi jest unikane, chyba że jest to absolutnie konieczne.

W lokalizacje siecioweTe ustawienia grupują konfiguracje usług nazw (DNS, LDAP itp.) oraz zabezpieczeń (pliki konfiguracyjne zapór sieciowych IP i IPsec). Można zdefiniować lokalizacje systemowe (Automatyczna, NoNet, Domyślnie Stała), lokalizacje ręczne lub lokalizacje warunkowe. Lokalizacje ręczne są aktywowane ręcznie w oknie dialogowym Lokalizacje, natomiast lokalizacje warunkowe są aktywowane na podstawie reguł (np. typu sieci, uzyskanego adresu IP itp.).

Z poziomu interfejsu graficznego można zmienić tryb aktywacji lokalizacji, ustawić go na „tylko ręczny” lub „wyzwalany przez reguły” i edytować te reguły, aby dokładnie je zdefiniować W jakich sytuacjach stosuje się poszczególne zestawy zasad?Aktywowanie nowej lokalizacji zawsze dezaktywuje poprzednią, co zapewnia, że ​​w danym momencie aktywna jest tylko jedna lokalizacja.

Profile IPsec na routerach zapewniające bezpieczne połączenia

Cały ten system profilowania nie ogranicza się do urządzeń użytkowników końcowych. Dotyczy on również routerów profesjonalnych, takich jak seria. Cisco RV160 i RV260Profile IPsec określają sposób ochrony ruchu między witrynami za pomocą sieci VPN.

Un Profil IPsec Grupuje algorytmy i parametry używane w negocjacjach klucza (faza I i IKE) oraz szyfrowaniu danych (faza II). Obejmuje to takie aspekty, jak algorytm szyfrowania (3DES, AES-128, AES-192, AES-256), metoda uwierzytelniania (MD5, SHA1, SHA2-256), grupa Diffie-Hellmana (np. grupa 2 o 1024 bitach lub grupa 5 o 1536 bitach), czas trwania skojarzeń zabezpieczeń (SA) oraz to, czy używany jest tryb automatycznego (IKEv1 lub IKEv2), czy też ręczny tryb kluczowania.

La faza I Nawiązuje bezpieczną, uwierzytelnioną komunikację między dwoma punktami końcowymi VPN, negocjując klucze i uwierzytelniając równorzędne urządzenia. Na tym etapie wybierany jest protokół IKEv1 lub IKEv2, a także grupa DH, algorytm szyfrowania i skrót uwierzytelniający, a także czas życia SA (na przykład 28 800 sekund). IKEv2 jest zazwyczaj preferowany, ponieważ jest bardziej wydajny, wymaga mniejszej wymiany pakietów i obsługuje więcej opcji uwierzytelniania.

La etap II Zajmuje się szyfrowaniem rzeczywistego ruchu. Definiujesz, czy chcesz używać ESP (do szyfrowania i opcjonalnie uwierzytelniania), czy AH (tylko uwierzytelnianie, bez poufności), ponownie wybierasz algorytmy szyfrowania i haszowania, sprawdzasz, czy wymagane jest Perfect Forward Secrecy (PFS) i dostosowujesz czas życia SA IPsec (na przykład 3600 sekund). Zazwyczaj zaleca się, aby czas życia Fazy I wynosił większy niż w fazie IItak aby klucze danych były odnawiane częściej niż klucze kanałów.

W konfiguracji RV160/RV260 przejdź do menu VPN > IPSec VPN > Profile IPSec, dodaj nowy profil, nadaj mu nazwę (np. „HomeOffice”), wybierz tryb tworzenia klucza (automatyczny), wersję IKE (najlepiej IKEv2, jeśli oba urządzenia ją obsługują), parametry fazy I i fazy II, włącz PFS, jeśli to możliwe, i ponownie wybierz grupę DH dla fazy II. Na koniec zastosuj i zapisz konfigurację, aby była ona zachowana po ponownym uruchomieniu, kopiując konfiguracja uruchamiana przy starcie.

Istotne jest, aby oba końce tunelu łączącego oba miejsca były te same parametry profilu (te same algorytmy, czasy życia, wersja IKE, PSK lub certyfikaty itp.). W przeciwnym razie negocjacje zakończą się niepowodzeniem, a tunel nie zostanie nawiązany.

Łącznie ta kombinacja profili Wi-Fi, profili sieciowych, lokalizacji, konfiguracji usługi Intune i profili IPsec na routerach umożliwia tworzenie środowisk, w których komputer, laptop lub urządzenie mobilne niemal automatycznie dostosuje się do sieci, w której się znajduje: Wybierz odpowiedni interfejs, zastosuj odpowiednie zabezpieczenia, połącz się z siecią Wi-Fi bez ingerencji użytkownika, aktywuj sieć VPN, gdy jest to konieczne, i dostosuj zaporę sieciową do danego kontekstu.To jest, koniec końców, najbardziej praktyczny i bezpieczny sposób tworzenia automatycznych profili na podstawie używanej sieci WiFi. Udostępnij tę informację, aby więcej użytkowników dowiedziało się o tym temacie..