root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Dynamic VLAN Assignment base on Cisco ACS 5.8 and Switch 2960


Series lab config Dynamic VLAN Assignment with RADIUS server ACS 5.8 and Switch 2960
  1. Phần 1: Chuẩn bị: cấu hình Cisco ACS join domain và cấu hình DHCP
    [Lab 7.1] Dynamic VLAN Assignment with Cisco ACS and Switch

  2. Phần 2: Cấu hình Authorizatio Profiles trên Cisco ACS 5.8
    [Lab 7.2] Dynamic VLAN Assignment with Cisco ACS and Switch

  3. Cấu hình Authentication, Dot1x... trên Switch 2960. Test thử trường hợp PC không sử dụng 802.1x thì sẽ được assignment VLAN 30.
    [Lab 7.3] Dynamic VLAN Assignment with Cisco ACS and Switch

  4. Phần 4: Test Dynamic Assignment lab còn lại để đảm bảo hoàn thành đúng như yêu cầu:
    [Lab 7.4] Dynamic VLAN Assignment with Cisco ACS and Switch
- Video lab config Dynamic VLAN Assignment with Cisco ACS 5.8
  1. Config Dynamic Assignment VLAN trên Cisco ACS 5.8


  2. Config Dynamic Assignment VLAN trên Switch 2960


  3. Test tính năng 802.1x đã cấu hình

- Hoặc các bạn có thể tham khảo thêm các bài lab cấu hình Dynamic VLAN Assignment witch Microsoft NAPS.
  1. [Lab 3.1] Config dynamic Vlan Switch by Radius windows
  2. [Lab 3.2] Config dynamic Vlan Switch by Radius windows
  3. [Lab 3.3] Config dynamic Vlan Switch by Radius windows
  4. [Lab 3.4] Config dynamic Vlan Switch by Radius windows
- Xem thêm các bài lab AAA khác tại:

Giới thiệu Dot1x. Dynamic VLAN Assignment in Switch


Các cty thường có các port mạng đặt trong các phòng họp hay phòng làm việc của nhân viên. Một Attacker có thể giả dạng khách hàng của cty chúng ta để sử dụng những port mạng này để tấn công hệ thống của chúng ta.

Vì vậy chúng ta cần có giải pháp xác thực người dùng khi một truy cập vào hệ thống…

Giải pháp svuit.vn muốn đưa ra cho các bạn là sử dụng 802.1x của IEEE.
  • Khi người dùng truy cập vào hệ thống, họ sẽ yêu cầu gửi thông tin để server xác thực xem họ là ai. Trong lúc người dùng đang được server xác thực thì họ sẽ không sử dụng được bất kì dịch vụ nào hoặc truy cập bất cứ đâu trong hệ thống của chúng ta.
tLhUIJNkps4QRT3Al19ErktMR_wbjrsSBcj6l3xENA3-HZxmpQYYyIHMRmnGTa_ob3tffMf0tRCws9z_mo5frIWBxlRFPk8axB17O2rfGWnkF7j9_Ih_xbI0GOU_G-_W-0-24OtLXPmQysT3UQ



pb6RssEONlQ5AqjmhqO1CR52UNaw23wKu35PVZnI0nvtOd2k2Vu01T45c236oJWP_NkD0HOJIlJm1XDj4lPQiueS6gG-TXgF4k4wogHDJL7AEHnoYWeo4c4XMMnWX0K5RMPc1Gv_SChPUU1txw



  • Sau khi server chứng thực xác nhận thông tin của người sử dụng thì nó sẽ xem xét và phân quyền người dùng đó như: người dùng đó thuộc VLAN nào, có quyền truy cập đến đâu,…
7HU7w1VeQq78K_QBzvcbjUO7k6mkgiXwB8SPP1QF9aazcI8SgOy-5V8liC9e1xijqTOTiemZzdlOEtxMkcypBaAQLEvARXw7qQJRh_pn-gYnIKf_qPAB7NVuR6SHaU6KN93vtixOUbGZni6hSA





- Mục đích bài lab:
  • Khi người dùng gắn dây mạng vào 1 port mạng trên Switch thì sẽ yêu cầu người dùng xác thực thông tin bằng username và password trong Active Directory Windows Server 2012.
  • Đối với các khách hàng của cty: Nếu máy tính của họ không bật cơ chế xác thực 802.1X thì không cần chứng thực. Chúng ta sẽ cấp cho những người dùng này VLAN 30 (Bạn sẽ phải thiết lập các chính sách để giới hạn truy cập của những người này).
  • Nếu người dùng nhập thông tin xác thực sai họ sẽ không được quyền sử dụng hệ thống. Toàn bộ các traffic của PC sẽ bị Block.
  • Đối với các nhân viên thuộc group “STAFF” trên Active Directory. Khi user thuộc group domain user này chứng thực đúng thì sẽ được gán VLAN 20
  • Đối với những nhân viên quản lý hệ thống thuộc group “ADMIN” trên Active Directory sẽ được gán VLAN 10.
- Sơ đồ bài lab config dynamic Assign VLAN based on Cisco ACS 5.4 và Switch 2960.

l3Rvv9YG-iEXnG_TIijttN6bBpw_mcVy_eCSXgox1Oipz4HgPHO_KDtAgz4We4665rYEfrmYNC8llQlO9d6bS2dU2JScq5AMyKvURL3vTEGAQWMQCvM3HTvjpujU_cSkpCxCOePnQwCxX--Ysw


I/ Cài đặt Roles

1/ Cấu hình Cisco ACS join domain Active Directory windows server 2012R2.


- Trên Active Directory windows server 2012R2 các bạn cấu hình tạo 2 Group user “ADMIN” và “STAFF” trong đó các bạn tạo:
  • User “admin1” thuộc group “ADMIN”
  • User “nv1” thuộc group “STAFF”
381nBO06u9-Le3L4H3hOiWNLj8n_hDY7ob5OgYxYDg55ENkwSBnSqA0O8T3Ykr-BVM-cpBejfUFAkmkVTQva1ruO_v8d_942xYZ07mgA9TZXQy8Mi0tYYhev0KCvOrMj-DR5BT7AVdFNmU1L9A



- Để cấu hình Cisco ACS 5.8 join domain Microsoft Active Directory trên windows server 2012 các bạn tham khảo bài lab sau.
http://svuit.vn/threads/lab-4-1-cisco-acs-5-integration-with-active-dirrectory-1252/
 
Last edited:
2/ Cài đặt DHCP
- Các bạn thực hiện cấu hình DHCP server cấp IP cho các VLAN

  • VLAN 10: dành cho ADMIN

  • VLAN 20: dành cho STAFF

  • VLAn 30: dành cho GUEST. Những thiết bị không bật tính năng Authentication Dot1x
Đối với khách hàng của cty khi họ không thực hiện xác thực 802.1x sẽ được cấp VLAN 30. Chúng ta sẽ tạo Scope name “SVUIT_VLAN 30” cấp DHCP cho VLAN 30.

Đối với khách hàng của cty khi họ không thực hiện xác thực 802.1x sẽ được cấp VLAN 30. Chúng ta sẽ tạo Scope name “SVUIT_VLAN 30” cấp DHCP cho VLAN 30.

24HGz5PNYGjX9iRB36SFchibSEwgdILX-AztArI3Mrd_UniUH_JXurOGhfOlorFqbBICoyP4qgY-8P9btHiryoIjJ8m3hH4q7m8PMa52mFcBshxMZvMOIGFZKP-Mhaal1SJVJurNoKiWpvhefA



Cấu hình dãi IP cấp cho client trong VLAN 30


oxmWwVPAd-u2hCjZMhopB90iejhpd6muBBh2KG6zkXK34_uuzZmpYAcALO6bCM-kawcFY_WjMstMjt05cjW00iWjHxO3scWewHxzAn9bhDUwvRUfATpI-1OOBJ-Qto0_kc3sRo3d_CvdrnUNDw



Khai báo Default gateway cấp cho Client.


7Xey5mz6No7Pba6Nj2Wj34jGUSALCWZ3l14fsA9BgzHQHlUnCwbXrYuvocijLxXDgViLsqxYKxkrUVGVRgkY7M6XDYMUw8rW81_tqRiYbypSnELj4brbEYKf3Bz88eJpT3TSdvwU4dgLGkgf4w



Khai báo DNS server cấp cho Client.


-wMsuEOZKc56mDB_uRAr2CsA1H2EwtMOtcLsZ236CbnukDlNVpAizv8SMjL1_zVXxxo-QSLwUaWEWIgJK8PLVWLtYG6pkXpdKCrPrUFGCrfxri3U69SE0F8o5jJOzsZ7PB7nGyA0MmP_G-Xwaw



- Đây là Scope DHCP cấp cho Client

BwYIRe8ZFIyHmAZ3I4j3MlnMRVsPpiiFiR-gWPQyhkug4Geq5vc3CMlhd9fmHLY1v1IH05cSM5ep1L5MYdTWIOt7RA0ekox0LuBTC9Onsz9s-eWzkjmDgM3CDHS9n5YhTz5jbK5ZZZBMdZrZFw


- Tương tự tạo pool “VLAN 10” cấp IP cho các PC chứng thực bằng user domain thuộc group “ADMIN”.


ex7_zOZC5qXLeBAKdRXBmOQXuiOpjUnia9hNr6TMXeazdN45w60rJjhovviS1L30vqbjVBYAZmt7YC3v9QbTO5ogrJAixZLYzQcStWA_NqeQyZlRbyTc_txOUZ10SYTB2HiAs3gk7SofJbVZaQ



- Tương tự tạo pool “VLAN 20” cấp IP cho các PC chứng thực bằng user domain thuộc group “STAFF”.

jOXujvNGV_rBq7El-yg6KsHwMzzaGE7Z8OG9gs6faeMnEw_YadoAA-o6_af0uVXH7uyKV5Aolp8CMLsqW391nZNRW9_UzzN8A6kae5qyzTIn5Z44vo1KW5Lfhje2V-zfcWZUikornVma2qRedA



- Như vậy chúng ta đã hoàn thành việc tạo các pool DHCP cấp IP cho các user.



U5E5idFipeWx8WN7wqY9l6ARU9C7Z0fGiYYnOZat0qzJF2hB-EXybe8_PUxqfTHhnqVUvWMS6VzBVC0b2_DuGFNQfaDdclINh6kXe6gKbhH3TKkGdrYgA6OiGazXlEIzIqNNlGTMTEslxMedDA
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu