Tiếp theo phần triển khai AMF Sec, trong bài viết này mình sẽ hướng dẫn các bạn cách cấu hình AMF-Sec để xác thực thiết bị khi được kết nối với Switch Allied trong mạng AMF.
I. Cấu hình trên Switch
Mô hình mình thực hiện:
1. Cấu hình trên AMF Master
Cấu hình cơ bản và IP cho AMF Master (do trường hợp này mình đang cấu hình VAA của Allied được dựng trên VMWare làm AMF nên mình sẽ đặt IP trực tiếp trên cổng eth, trong trường hợp nếu các bạn dùng Switch Allied thì các bạn có thể cần tạo VLAN và đặt IP trên VLAN nhé):
Cấu hình AMF trên AMF Master, khai báo kết nối virtual-link giữa AMF Master và AMF Member:
Bật tính năng AMF Application Proxy và cấu hình tích hợp AMF-Sec trên AMF Master:
Trong đó thông tin <Pre-Shared Key> sẽ dùng để xác thực với AMF-Sec nên các bạn có thể đặt tùy ý.
2. Cấu hình trên AMF Switch Member
Cấu hình cơ bản, VLAN và IP cho AMF Memver:
Cấu hình AMF, enable tính năng AMF Application Proxy và khai báo kết nối virtual-link đến AMF Master:
Cấu hình port kết nối đến Device xác thực và bật tính năng Whitelist để xác thực thông qua AMF-Sec:
Trong đó:
Bước 1: Thêm các Network tương ứng với các VLAN trong hệ thống mà bạn đang muốn Monitor
Trước khi cấu hình hãy đảm bảo các hệ thống đều đồng bộ về thời gian, vào mục System Settings >Date / Time Settings để cấu hình:
Truy cập GUI của AMF Sec, vào mục Policy Settings > Network List và chọn Add Network:
Điền thông tin VLAN và chọn Submit, làm tương tự để thêm tất cả VLAN thuộc hệ thống:
Bước 2: Thêm AMF Master
Vào mục AMF > AMF Settings và chọn Add tại phần AMF Masters:
Điền thông tin IP, account login và Pre-Shared Key của AMF Master sau đó chọn Submit:
Sau khi cấu hình thành công thì các bạn sẽ thấy trạng thái Connected là Good:
Bước 3: Đăng ký cho các Device được phép truy cập vào hệ thống thông qua AMF Application Proxy:
Truy cập vào phần Deive > Device List và chon Add Device:
Các bạn điền Tên Device sau đó chọn Add ở mục Interface để điền thông tin địa chỉ MAC của thiết bị và Submit:
Tiếp theo chọn Add ở phần Policies để cấu hình VLAN và port xác thực trên AMF Application Proxy:
Chọn Submit để lưu thông tin cấu hình, các bạn làm tương tự cho các Device khác:
Bước 4: Xác thực cho các AMF Member:
Vào mục Switches > Active AMF Member List và chọn nút Register cho các AMF Member muốn xác thực:
>>>
Kiểm tra Active thành công trong phần Switches > AMF Member List:
Bước 5: Kiểm tra:
Mình sẽ test bằng cách kết nối Laptop vào port1.0.3 của Switch Allied x230, trong phần Device > Active Device List sẽ thấy hiển thị thông tin của Device:
Tương tự nếu ta kết nối Laptop vào 1 port khác không giống với port đã khai báo thì sẽ thấy thông tin hiển thị:
Chúc các bạn thành công :">
I. Cấu hình trên Switch
Mô hình mình thực hiện:
- VAA: đóng vai trò AMF Master (IP 10.150.20.191/24)
- Switch Allied x230: đóng vai trò AMF Member (IP 10.150.20.193/24)
- AMF Sec: tham khảo cách triển khai ở bài viết [Lab 04] Triển khai AMF Sec trên VMWare (IP 10.150.20.190/24)
- Laptop: đóng vai trò Device để xác thực thông qua AMF Sec
1. Cấu hình trên AMF Master
Cấu hình cơ bản và IP cho AMF Master (do trường hợp này mình đang cấu hình VAA của Allied được dựng trên VMWare làm AMF nên mình sẽ đặt IP trực tiếp trên cổng eth, trong trường hợp nếu các bạn dùng Switch Allied thì các bạn có thể cần tạo VLAN và đặt IP trên VLAN nhé):
Code:
awplus#configure terminal
awplus(config)#hostname VAA-Demo
VAA-Demo(config)#interface eth0
VAA-Demo(config-if)#ip address 10.150.20.191/24
VAA-Demo(config-if)#exit
VAA-Demo(config)#ip route 0.0.0.0/0 10.150.20.250
Code:
VAA-Demo(config)#atmf network-name DEMO
VAA-Demo(config)#atmf master
VAA-Demo(config)#atmf topology-gui enable
VAA-Demo(config)#atmf backup 23:00 frequency 1
VAA-Demo(config)#atmf virtual-link id 1 ip 10.150.20.191 remote-id 1 remote-ip 10.150.20.193
Code:
VAA-Demo(config)#service atmf-application-proxy
VAA-Demo(config)#application-proxy whitelist server 10.150.20.190 key <Pre-Shared Key>2. Cấu hình trên AMF Switch Member
Cấu hình cơ bản, VLAN và IP cho AMF Memver:
Code:
awplus#configure terminal
awplus(config)#hostname ATx230
ATx230(config)#vlan database
ATx230(config-vlan)#vlan 520 name VLAN_520
ATx230(config-vlan)#vlan 560 name VLAN_560
ATx230(config-vlan)#exit
ATx230(config)#interface vlan520
ATx230(config-if)#ip address 10.150.20.193/24
ATx230(config-if)#exit
ATx230(config)#ip route 0.0.0.0/0 10.150.20.250
Code:
ATx230(config)#atmf network-name DEMO
ATx230(config)#atmf virtual-link id 1 ip 10.150.20.193 remote-id 1 remote-ip 10.150.20.191
ATx230(config)#service atmf-application-proxy
Code:
ATx230(config)#interface port1.0.1
ATx230(config-if)#description "Connect to VAA Master"
ATx230(config-if)#switchport mode trunk
ATx230(config-if)#switchport trunk allowed vlan add 520,560
ATx230(config-if)#exit
ATx230(config)#interface port1.0.3
ATx230(config-if)#switchport mode access
ATx230(config-if)#switchport access vlan 560
ATx230(config-if)#application-proxy whitelist enable
ATx230(config-if)#auth host-mode multi-supplicant
ATx230(config-if)#application-proxy threat-protection link-down
ATx230(config-if)#exit- Câu lệnh "auth host-mode multi-supplicant": mặc định port của thiết bị sẽ ở chế độ "Single-Host" nghĩa là chỉ xác thực và cho phép kết nối đối với thiết bị đầu tiên đáp ứng đủ điều kiện.
- Câu lệnh "application-proxy threat-protection": cấu hình hành động khi có thiết bị không được xác thực kết nối vào port.
Bước 1: Thêm các Network tương ứng với các VLAN trong hệ thống mà bạn đang muốn Monitor
Trước khi cấu hình hãy đảm bảo các hệ thống đều đồng bộ về thời gian, vào mục System Settings >Date / Time Settings để cấu hình:
Truy cập GUI của AMF Sec, vào mục Policy Settings > Network List và chọn Add Network:
Điền thông tin VLAN và chọn Submit, làm tương tự để thêm tất cả VLAN thuộc hệ thống:
Bước 2: Thêm AMF Master
Vào mục AMF > AMF Settings và chọn Add tại phần AMF Masters:
Điền thông tin IP, account login và Pre-Shared Key của AMF Master sau đó chọn Submit:
Sau khi cấu hình thành công thì các bạn sẽ thấy trạng thái Connected là Good:
Bước 3: Đăng ký cho các Device được phép truy cập vào hệ thống thông qua AMF Application Proxy:
Truy cập vào phần Deive > Device List và chon Add Device:
Các bạn điền Tên Device sau đó chọn Add ở mục Interface để điền thông tin địa chỉ MAC của thiết bị và Submit:
Tiếp theo chọn Add ở phần Policies để cấu hình VLAN và port xác thực trên AMF Application Proxy:
Chọn Submit để lưu thông tin cấu hình, các bạn làm tương tự cho các Device khác:
Bước 4: Xác thực cho các AMF Member:
Vào mục Switches > Active AMF Member List và chọn nút Register cho các AMF Member muốn xác thực:
Kiểm tra Active thành công trong phần Switches > AMF Member List:
Bước 5: Kiểm tra:
Mình sẽ test bằng cách kết nối Laptop vào port1.0.3 của Switch Allied x230, trong phần Device > Active Device List sẽ thấy hiển thị thông tin của Device:
Tương tự nếu ta kết nối Laptop vào 1 port khác không giống với port đã khai báo thì sẽ thấy thông tin hiển thị:
Chúc các bạn thành công :">
Attachments
Last edited:
![[LAB 07] Cấu hình cổng eth0 làm Resiliencylink trên Switch Allied](data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAQAAAC1HAwCAAAAC0lEQVR42mP8Xw8AAoMBgDTD2qgAAAAASUVORK5CYII=)