Cisco ASA [Lab 2.1] Port based authen on Switch and NPS windows

root

root

Moderator

Dot1x Port-based Authentication on Switch swith NPS windows 2012R2



Phần 1: chúng ta đã cài đặt xong các dịch vụ Active Directory, DHCP và NPS trên windows server 2012R2 thanh công.

Phần 2: chúng ta sẽ cấu hình Radius Client (switch cisco 2960) với NPS server (active directory windows 2012R2). Đảm bảo Radius client và Server có thể trao đổi việc xác thực của client. Tích hợp NPS với Active Directory windows 2012R2 để chúng ta có thể tạo các policy xác thực user domain.
Phần 3: Chúng ta sẽ cấu hình policy để xác thức với các user domain. Sau khi xác thực thanh công với NPS thì Client mới khởi tạo các traffic khác được.
Phần 4: Chúng ta sẽ phải cấu hình 802.1x trên Switch và các PC để thực hiện chứng thực với NPS trên windows server 2012R2
Phần 5: các công đoạn cấu hình đã xong. Phần này chúng ta sẽ kiểm tra việc xác thực khi PC gắn vào 1 port trên Switch Cisco 2960. Sau đó chúng ta sẽ sử dung wiresharke để bắt các gói chứng thực giữa PC với Switch và RADIUS server (NPS server trên windows2012R2).

- Phần 1: http://svuit.vn/threads/lab-2-1-port-based-authen-on-switch-and-nps-windows-1199/
- Phần 2: http://svuit.vn/threads/lab-2-2-port-based-authen-on-switch-and-nps-windows-1200/
- Phần 3: http://svuit.vn/threads/lab-2-3-port-based-authen-on-switch-and-nps-windows-1201/
- Phần 4: http://svuit.vn/threads/lab-2-4-port-based-authen-on-switch-and-nps-windows-1202/
- Phần 5: http://svuit.vn/threads/lab-2-5-port-based-authen-on-switch-and-nps-windows-1203/

- Video hướng dẫn cấu hình và test
  1. Phần 1: Cấu hình port Based authentication với NPS tích hợp Active Directory 2012R2


  2. Phần 2: Kiểm tra tính năng port based authen with NPS windows 2012 mà chúng ta đã cấu hình ở phần 1. PC chưa join domain sẽ gắn dây ethenet vào port đã cấu hình 802.1x trên Switch Cisco 2960 để kiểm tra kết quả


  3. Phần 3: Kiểm tra tính năng port based authen with NPS windows 2012 mà chúng ta đã cấu hình ở phần 1. Lần này chúng ta sẽ test với PC đã join domain. Khi PC gắn dây ethenet vào port đã cấu hình 802.1x trên Switch Cisco 2960 thì nó sẽ tự động thực hiện authentication và người dùng không cần phải nhập username và password như bài test ở phần 2


- Download file cấu hình bài lab: DOWNLOAD

Việc những khách hàng đến cty và dây mạng vào máy tính của họ để sử dụng có thể nguy hiểm đến hệ thống của chúng ta. Có thể do nguyên nhân chủ quan (đó là một hacker muốn attack hệ thống của chúng ta) hoặc khách quan (trên máy người khách có các chương trình có chứa mã độc có thể lây lan và ảnh hưởng đến hệ thống của chúng ta).

Vì vậy để an toàn cho hệ thống những admin của hệ thống cần phải xác thực người dùng đầu cuối khi gắn vào các port mạng để đảm bảo những người dùng được verify.

Để giải quyết vấn đề trên chúng ta sẽ sử dụng Port-based authentication dựa trên chuẩn IEEE 802.x. Khi tính năng này được kích hoạt, switch sẽ ngăn tất cả traffic từ người dùng đi vào hệ thống cho đến khi người dùng chứng thực thành công với Switch.

GRjarnBH0rDQBzt79XunasC7lGOY_mhBTXdFBF4BrhM-3zyFKIppAMVhsRKtwH2GyhGW0FV3hoC7MpcS_k-W1CUleLHQI3Firq1NEE2zbysudZWfj6A0YOXQkg5pQ2YyjSKBOkepGArxCGh4AA




Hệ thống sẽ yêu cầu người dùng thiết bị xác thực thông tin với RADIUS server.


OITaVipqeZUralPPWMT2Py3G2qZCP--DCNaOQbmWI0-SPv7JIW6MvQICnQXjIbzh_aujEFSKAOeXOR2iR4pEzpSP8Cxk8LCwyJO47xPRjhVVMhmYldEx9D6y8N6tuyLCzoS3CnJumT2Af2ST-w



Sau khi xác thực thành công thì traffic người dùng mới được đi vào hệ thống.


nhJB9Zn-7L5V0_SDMQZ8hUQKyHzxHKj5idi00chyUq55ktmvJ8WKzoD_X1cXtCc7ZS1NSMN-zWLLTEOS1_a0ttBgfOV4HWU6B6WU5GDRDBUi6HKjhQ0EAllxQAmCvAJajGwHsoIZORjto5yNnw



Để có thể port-based authentication làm việc được, đòi hỏi client và Swith phải hỗ trợ 802.1x, nếu Switch không hỗ trợ thì client vẫn có thể truy xuất bình thường, nếu Switch hỗ trợ và bật 802.1x thì client phải hỗ trợ và chứng thực thành công mới có thể truy xuất vào mạng, ngược lại client sẽ không thể truy xuất vào mạng.

Sơ đồ cấu hình

TOFj5HIJbhFPGrOUDnKpwFaZ9j0HxqGlIH1acEkckotzikEusrjjKVaRgGjrWFqZUNSoOinQHR0Z5MCvV7mmHqgzpfDlxYIQ-dVHtUgWCRs6nNwOIUIf7fPbX5qy3zTdVDy4mdR_OwUJMWJPrg


I/ Cài đặt Roles


1/ Cài đặt NPS.
- Đảm bảo bạn đã cài Active Directory trên Windows Server 2012.

- Bây giờ chúng ta cần cài đặt Network policy Server trên Windows server 2012R2. Vào phần “Server Manager → Add Roles and Features” để add roles “NPS”.

NuXN8o_4B4fNm50RSAfT-8YiHTdkw8J5ZlPCuk9yMXyylObFO5uZcJgYg1cgrF70W80ywanR9Z8EW2xi6jlJqcGpZHqvjnCIIwnKhxilLuXZ4an4QFAXZb6_d-h6G3Q0vtpO42uIEuCZcw9tww


- Chọn role cần cài đặt “Network Policy and Access Services (NPS).


K1vT1q1VR9A9irYuB1ac85-rOgvdrlo_T4ajfQBTsnwcRGQF7o_EPuCeYuTP-ojEo5IWlZLT42Had_nB_7kHm6ePFJGhgc9s1HbyuIDohNhXSjJ5PCSxGo7T982txA8angQ1s8--X73AjITTNw



mf-95edz64Xm8-Ci6-MOQ7V-dsv6hDSk9txBsCtVP9FiRyLfLNC0HefcWW1zKCX5NwMO5eIeXamTdnXwAS4OGD1X7TNyMWtBPx7ya-1WqFUeTcS5AjT13woBkaI5OgBC6TSPiO7oP8zBUIcjNA



- Role service mình sẽ càu đặt “Network Policy Server”.


o1PeTfWBn-OwqvJ4W2Qn5PgaxJADgJDGDgMykVrnfWm7_J8EDek4dO6ywDKtAOS1A-mna7dklPSpQk3ea3C2Oj5ghgG5LxIr4s0hfOr7V3tvNbTohdcQAm11HMmQY80fkHoVWudfnzdzRLKvQg



- Chúng ta đã cài đặt NPS trên Windows Server 2012R2 xong.


THV5zGNpkEyqB-uiuyIP1kmSfl4s_G6rD0C-Sre6tcsdMYsg_I2KPtGSdCQfMdv1whm5m-3WD-7pdQPR6E9dmi1A_XRx-TKJt6-VzEC1vDq0_ZrH5k-qhUkrsf_x-vOS7KEW0tMKpFso8zuK5w
 
Sửa lần cuối:
Bài viết liên quan
[Lab 7.4] Dynamic VLAN Assignment with Cisco ACS and Switch bởi root,
[Lab 7.3] Dynamic VLAN Assignment with Cisco ACS and Switch bởi root,
[Lab 7.2] Dynamic VLAN Assignment with Cisco ACS and Switch bởi root,
[Lab 7.1] Dynamic VLAN Assignment with Cisco ACS and Switch bởi root,
[lab 6.3] Config Cisco ACS Shell Command Authorization on Switch bởi root,
[lab 6.2] Config Cisco ACS Shell Command Authorization on Switch bởi root,
Bài viết mới
[Lab 7.4] Dynamic VLAN Assignment with Cisco ACS and Switch bởi root,
[Lab 7.3] Dynamic VLAN Assignment with Cisco ACS and Switch bởi root,
[Lab 7.2] Dynamic VLAN Assignment with Cisco ACS and Switch bởi root,
[Lab 7.1] Dynamic VLAN Assignment with Cisco ACS and Switch bởi root,
[lab 6.3] Config Cisco ACS Shell Command Authorization on Switch bởi root,
[lab 6.2] Config Cisco ACS Shell Command Authorization on Switch bởi root,
2/ cài đặt DHCP
- Trên máy server chúng ta cài đặt service DHCP

kbLpZL06-iaPuoRzMrMjC-3DVjLw6z8rQYor7S-QpB3-A7AZXRgeHDrXU-LQyPH8Hwu9XyV4cQIraERjSB5GyyhE7AlwIkpvv4lEJAgwElrL3InHP4kJi2AwIxlf4nAoaX5-ZNx3u2i6O8nleQ



- Cài đặt service DHCP xong, chúng ta tiến hành cấu hình DHCP để cấp IP cho client

HdaLued_m4TmUAElQ1JM8RdNdRDZvblxkbopIQ0t4Ds86-1zQ4B501qtjQmALdpV2-l-kzhY82cZ1POU148MnSHBesazRV0RKz9eXvYqIibReje1lWHeN77NhVI4u34NvQ9PEIUez4S0O6rhsg



DHCP này được authorize bởi Active Directory.

pJKMARKCU_661GMKZ4VrwM0_i-m5aVljTRb_cgPyFrry2wCJ0cCCuZGD1SW59ti_BSZTZr-05KLSFFPb8666QFb9lW752xevnalcbM5jG0l3T7qiW-jDSbv7Bij9BBdD4TJ5QUyqx1wqoIoNfQ



Nhấn “commit” để xác nhận DHCP được authorize với Active Directory.


Kr50HUpUW-jvsQWLBRaR25tEFZvBcrq2x6m6YIU8yVa572LPweJ4bkZGNYwNpoa6-EL97kk6pHGyPg1O5lDZs_yvG9fdeFXsE9w9HKUUv4ChQw_ab8QuWkNftixGnauZ2Vr4V8ZlZXJAbZuV5A



Tạo Scope name “SVUIT_VLAN 1” cấp DHCP cho VLAN 1

3JA8BQY1AXgP-WlxL3oi-wO10mwlfTxHW0DNICaS8aAILX5a44AUFEuybmHeEd1pneC-gmeK8Ny5iO6LIj6u_anaIG89sIYK9rQ7DbDcWw0UMlYI6vUCSjp9lI2jFkG2SNQ7aPCV3uOP_nW6fQ



Cấu hình dãi IP cấp cho client trong VLAN 1


tB7Y-51pb1XYemzOllrAD8dfEfo8wwsGw_PJqyUtqJs-VnRkkm64PcLbFbFBRgabDuM-iGkbWuL2BkPYAWBjTN429LGcILx5nQoXY7dZNp6oH5zgopsKK0NK1jR2JgwFpk3W-Sn7CuvoGJIycw



Khai báo Default gateway cấp cho Client.


yUz6Wzv47hOZ_duglspBSV91WqKv1OxYr6XZOS5q5DZ_zxPUd1sbDFXOGnHqOYQHmaUnk3c1dp3NaLQUkt27QJ0JtanbVRBh6X3wAwwqBc-bIiufHhP6LZRdGckAPxhh4gQVhWdo2VakP3BavQ



Khai báo DNS server cấp cho Client.


05gW0cble971zJWqDOHJm0Yy3Ju-wqp0Q2CbTYScl0kHHf95svJBS3W2JQMCNrrmFZ-Lrc-WxcnnLZolPBIFmB_TtXJV9MjXSOzjUrImw4bd6L2a5FbXQwLfs2NLDJz01zK3GiYKpingeAjzog



- Đây là Scope DHCP cấp cho Client

Hkbb08jsB-c2UnqdHMlAUzyU79L99L6WwJ1BpMUs_bdZTKE-icFXJ9pj6akIhFbwHoD-AZ3ItzW1AoNqMWyRa7djCO5GfoJjwJGLyOg4j9Cf8sxJEUfGmbvF1BH2VGHjewJaTZeXnpcVa_Jo2A
 
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top