hiep03
Intern
I. Mở đầu
Trong hệ thống mạng doanh nghiệp, 802.1X được dùng để kiểm soát thiết bị hoặc người dùng trước khi cho phép truy cập mạng. Khi máy Win PC cắm vào switch, Cisco Switch sẽ đóng vai trò kiểm soát port và gửi yêu cầu xác thực về Aruba ClearPass thông qua RADIUS.Trong bài lab này, chúng ta sẽ cấu hình Wired 802.1X với mô hình: Win PC Supplicant → Cisco Switch → ClearPass. Nếu user xác thực đúng, switch sẽ mở port cho phép truy cập mạng; nếu sai, truy cập sẽ bị từ chối.
II. Lý thuyết
1. 802.1X là gì ?
802.1X là cơ chế kiểm soát truy cập mạng dựa trên cổng (port-based network access control), ccho phép xác thực thiết bị hoặc người dùng trước khi cấp quyền truy cập vào mạng LAN hoặc WLAN.Giao thức 802.1X sử dụng các thành phần chính gồm Supplicant (thiết bị truy cập), Authenticator (switch hoặc access point), và Authentication Server (thường là máy chủ RADIUS) để thực hiện quá trình xác thực thông qua giao thức EAP.
Nếu xác thực thành công, thiết bị sẽ được phép truy cập mạng; nếu thất bại, truy cập sẽ bị từ chối hoặc cách ly. 802.1X giúp tăng cường bảo mật bằng cách đảm bảo chỉ những thiết bị và người dùng hợp lệ mới được phép truy cập vào hệ thống mạng.
III. Mô hình
IV. Cấu hình
1. Switch Cisco
Khai báo ClearPass làm radius Server
Mã:
conf t
aaa new-model
radius server CLEARPASS
address ipv4 10.0.200.20 auth-port 1812 acct-port 1813
key ClearPass@123
endCấu hình AAA và 802.1X
Mã:
aaa group server radius CPPM
server name CLEARPASS
aaa authentication dot1x default group CPPM
aaa authorization network default group CPPM
aaa accounting dot1x default start-stop group CPPM
dot1x system-auth-control
end
write memoryCấu hình Interface Gi0/1 cho phép xác thực 802.1X
Mã:
interface gi0/1
description CONNECT_TO_SUPPLICANT
switchport mode access
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
no shutdown
end
write memory2. Cấu hình CPPM
a. Thêm Switch Cisco vào Network DeviceConfiguration > Network > Device > Add
b. Tạo User Local
Với bài nài mình sẽ sử dụng User Local để dùng làm tài khoản xác thựcConfiguration > Identity > Local Users > Add
c. Cấu hình cho Wired 802.1X
Thiết lập Service cho Wired 802.1X
Configuration > Services > Add
Phần Service Rule là điều kiện để request khớp với Serivce
- 2 rule đầu đã có sẵn khi mình chọn Type 802.1X Wired
- Cấu hình thêm 1 rule nữa để chỉ chạy Service khi NAD đúng là IP của Switch Cisco
Tại mục Authentication
Authen Method để mặc định như gợi ý, ưu tiên EAP PEAP ở trên vì các máy Windows thường dùng
Phần Authen Source là nơi kiểm tra thông tin xác thực chọn Local User Repository
Phần Enforcement chưa gán vì mình sẽ tạo sau
Save
Tạo Enforcement Policy
Do phần này chỉ cấu hình cơ bản Accept và Deny mở Port Switch cho người dùng sử dụng nên mình sẽ sử dụng Allow Profile và Deny Profile mặc định của ClearPass
Configuration > Enforcement > Policy > Add
Thiết lập Rule
Chọn Rule là Tips = Là thông tin được tạo ra trong ClearPass
Role = Other
Còn thiết bị NAD phải đúng với IP của Switch Cisco thì mới cho phép thực hiện Policy
Save
Giờ vào lại Service và thêm Policy này vào
Save
d. Cấu hình Win PC
Vào Service > Chọn Wired Auto Config > Chuột phải Start
Sau đó vào Network & Internet Setting > Ethernet > Change apdapter option
Vào phần Authentication
Bỏ chọn phần mình khoanh đỏ
Sau đó vào Additional Setting > Chọn User or Computer authentication
Chọn User Authentication và Save
Sau đó chọn Save Cridential > Lúc đó một cửa sổ nhập Account hiện ra > Nhập thông tin đăng nhập đã tạo vào
Xác thực thành công
Cảm ơn các bạn đã xem !
Nguồn:
Wired Configuration: https://arubanetworking.hpe.com/tec...iceTypes8021XWired.htm?Highlight=802.1X Wired
Đính kèm
Bài viết liên quan
Được quan tâm
Bài viết mới