root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

802.1x Dynamic VLAN Assignment by RADIUS windows 2012R2 - Part 1



- Phần 1: Cài đặt dịch vụ NPS và DHCP trên windows server 2012R2. Cấu hình DHCP cấp IP cho các VLAN 10 (cho group ADMIN), VLAN 20 (Group STAFF) và VLAN 30 (cho các khách hàng không thực hiện chứng thực 802.1x).

- Phần 2: Cấu hình tích hợp NPS với Active Directory windows server 2012R2. Sau đó chúng ta cần tạo policy trên NPS để chứng thực người dung và cấp vlan theo từng group user domain.
- Phần 3: Cấu hình Switch Cisco 2960, tạo các VLAN 10,20,30 cho các group user ADMIN, STAFF, và khách hàng. Trên các interface vlan 10,20,30 chúng ta cần cấu hình DHCP relay. Bật chứng thực 802.1x trên switch và các port của Switch. Khi PC gắn vào 1 port trên Switch thì sẽ yêu cầu user chứng thực.
- Phần 4: Phần cuối cùng chúng ta sẽ test các trường hợp khi gắn PC vào 1 port của Switch.

Download file config Lab: DOWNLOAD

- Phần 1: http://svuit.vn/threads/lab-3-1-config-dynamic-vlan-switch-by-radius-windows-1205/
- Phần 2: http://svuit.vn/threads/lab-3-2-config-dynamic-vlan-switch-by-radius-windows-1206/
- Phần 3: http://svuit.vn/threads/lab-3-3-config-dynamic-vlan-switch-by-radius-windows-1207/
- Phần 4: http://svuit.vn/threads/lab-3-4-config-dynamic-vlan-switch-by-radius-windows-1208/

- Video hướng dẫn cấu hình và test
  • Phần 1:
  • Phần 2:
  • Phần 3:
Giới thiệu:
- Các cty thường có các port mạng đặt trong các phòng họp hay phòng làm việc của nhân viên. Một Attacker có thể giả dạng khách hàng của cty chúng ta để sử dụng những port mạng này để tấn công hệ thống của chúng ta.
- Vì vậy chúng ta cần có giải pháp xác thực người dùng khi một truy cập vào hệ thống..

Giải pháp svuit.vn muốn đưa ra cho các bạn là sử dụng 802.1x của IEEE.
  • Khi người dùng truy cập vào hệ thống, họ sẽ yêu cầu gửi thông tin để server xác thực xem họ là ai. Trong lúc người dùng đang được server xác thực thì họ sẽ không sử dụng được bất kì dịch vụ nào hoặc truy cập bất cứ đâu trong hệ thống của chúng ta.
FCLEG0fX0TAME8rv3qJ-b6OKi5nAPuTNcxQEL7dMQT19xpeZIhQMFm8949Du20GJocTNUGsK9aXz47EJunijWqc2EUdX37l2tUNXuF2RGgyBAhXf5HKgXBEal2wEUuG4NADPwbuBdzXtfDczVw




E3LpHf2i6H997gW7omjZ80VqKO9jT0PIBQysN7zA1U_dB8SuvKYoig15uXCFs3hNM9baRNnZxsDFGKGyOFouzdfh6LHKD07NPa4CgvBRKhyVATimH0U3sU70a2qt4xz6n8NY0pgC0V9wlLVDEw


  • Sau khi server chứng thực xác nhận thông tin của người sử dụng thì nó sẽ xem xét và phân quyền người dùng đó như: người dùng đó thuộc VLAN nào, có quyền truy cập đến đâu,…
heJ3HBuEenLAlUGkZ9UH1-UypQaZxhuN1o8tN7DWz_ZAMgQzQv7XLAn_qFhc6t_W1KaXuGIZUXJs6jfSG29Z3GQJsu5UZUoiBpD7y6qiw_8n1fey9HX9Ax-2nc1tF921z8a_d4nOsoLArf1ehw



Chúng ta sẽ kết hợp với bài lab “Port-based authentication với NPS” để thực hiện cấu hình bài LAB này.


tIhrgzorDO7V0Q9csVFgGtjZfoUdaWYM3opTD4z8bFfvkTKiIhFiSzDaGuNp0eHJZEzyqDnIFmyuVerw48mogrn1DdCcXcGDZTSl3hxcqqLRqejQZya34n_3RPVMnTlBofIeDzuMhI_0oKkAQQ



- Mục đích bài lab:
  • Khi người dùng gắn dây mạng vào 1 port mạng trên Switch thì sẽ yêu cầu người dùng xác thực thông tin bằng username và password trong Active Directory Windows Server 2012.
  • Nếu người dùng nhập thông tin xác thực sai họ sẽ không được quyền sử dụng hệ thống.
  • Đối với các khách hàng của cty: Nếu máy tính của họ không bật cơ chế xác thực 802.1X thì không cần chứng thực. Chúng ta sẽ cấp cho những người dùng này VLAN 30 (Bạn sẽ phải thiết lập các chính sách để giới hạn truy cập của những người này).
  • Đối với các nhân viên thuộc group “STAFF” trên Active Directory thì sẽ được gán VLAN 20
  • Đối với những nhân viên quản lý hệ thống thuộc group “ADMIN” trên Active Directory sẽ được gán VLAN 10.
- Sơ đồ bài lab

8RYLKB7ga_VSGK5OGcHqQ90MbGlRupJEFTRrKDXp3_WaVyMOK0lfkSQQs_emu1ytkW5TBKTf5Khz4SHfHi9GKZeaeZOfweD1eiekd12mHCa1QlVeyfr7-P1qQ8btGZWEijfjDHVf76P4vnbjaA
 
Last edited:

I/ Cài đặt Roles


1/ Cài đặt NPS.


- Đảm bảo bạn đã cài Active Directory trên Windows Server 2012.
- Bây giờ chúng ta cần cài đặt Network policy Server trên Windows server 2012R2. Vào phần “Server Manager → Add Roles and Features” để add roles “NPS”.

2MIjuC1n8ZViUBticOOcHjRgOEVC8RE9T_xwW7BiWILHRFsmq0KC8bphmZuXW3I47imHId8dhE4phx7L96hKV3r2MkeDg47_wrXCYT7_ctxRevj8HI-8MvHM1YULo-xtuMk_dMJ5van7mv9s3w



- Chọn role cần cài đặt “Network Policy and Access Services (NPS)".

i1PE44FYTbM_Y4AayWNKOQxnmZ_4MVZBAUeLeu4HjOcBb7QTBPI72X_UtiVm9_Jb_VC0JZLtqLqP05AneqPWihxzK3hhvd7--OFvhtijfwB0CMByxks5XIaQN42BfCz2avwp9_y2OR6UVBUQQg



HpMyQDDeR1tPLA1eW0OdFlOA-vyuFmEnogK7LQB359DtvAQcFOEeCFT1VHO_c3cRPDQ9Cfj67nRSLTWrahw-6SwdWrgcd8kF12fk2WD57O7sowiWd2Qayo-BMn6y9ui34fjUanh2PH13a_Pw_w



- Role service mình sẽ cài đặt “Network Policy Server”.

tkt9rej_fUOgNYScx6kZFH1-yHeoOD3uh_QKbbAnTDjgJBF56_xPn8xZ7XTBtdgjtjk7yl-xEfT8FCC01z58nEGRLMcA641mjPZETA-D9Crn7YYWOd2deCwvdIvVYM1D79UF7fWf-Q-UQ8bdHA



- Chúng ta đã cài đặt NPS trên Windows Server 2012R2 xong.

yLXMUIl-O6rNpF32_IUIdumpo27PbSNBE2uLNCybKZAqUms0mSocQ7QRssHW7YEqG252xn4wsfwAlL0EAlWFNFuLkkcGjDdEqdABoA4FeKH8SCYKVe8aR4YAuVtol2K7eFwFA1WEyENk18bNOg



2/ Cài đặt DHCP


- Trên máy server chúng ta cài đặt service DHCP

N59XqWAZU6aeapyoXgSHdR1dnGyoP4pH9MVUA0xEo8RbD4kPOCj6Mv4YK27-OYeUko3x8eE3h15AY-zJy7NL1lNaUqcdxwBfNEjwxr52X9IYooff4Z5YQ5MgUEJzfFny0_0m31OUI8XbAk_Y2Q



- Cài đặt service DHCP xong, chúng ta tiến hành cấu hình DHCP để cấp IP cho client

b5jmM_hjfZIwbb1nDJVol49CzzAieHkB5Udv5q8JdS9_MyM_VxDlVisxDTfdfyx45x6YJSHAyH8jC3JarlZj87NHmpTNPe60yJahbnl2SPtPM05Ksf4E0HoPXWpn6fWCr_pwQu5D9hK20DRubA



Cho phép DHCP này được authorize bởi Active Directory.

_1HGGJMZr8N_gkdesV_ABIFA0a3NwvgytQZYKtifSo-Li0vwHeCzf6HWfwKF2yC1zLznjiufDR2QNFyRDalZuctShO_f0ggV-WOuCzIhcIwb8wuAVEdP08qgxvPAKa7oWyv0f_Na557Cs3AriQ



Nhấn “commit” để xác nhận DHCP được authorize với Active Directory.

0j_WdZe3JETbuLH2EXAn0__7cVLQd6jB5Pyteb3UgPkYKYNuIn0Wwrx7YvQJF2ORVBYKhEiSdMCxQoUpZO8tyVVw5yv9N1LGwCphEs0HoUPybGG4Pk54liD9gwjTL_6f7b6EaPCsk--7Sim5Wg



Đối với khách hàng của cty khi họ không thực hiện xác thực 802.1x sẽ được cấp VLAN 30. Chúng ta sẽ tạo Scope name “SVUIT_VLAN 30” cấp DHCP cho VLAN 30.

Ilu0j5zQQOaOkIbKyCiVrI8RohwdlJiEn5WIlW-tfqu8G4liuUnzTAg8SMAXpx6JGQO5DKeT3pVcHXpxg4my1A1FZkT58cXZLJ_m41ZNs4hj2uzLQ1m5ZwRiNeBNB7AGImUtXhPIiWZvHM12bQ



Cấu hình dãi IP cấp cho client trong VLAN 30

XP2OYbbY-Lor6o-Qe-E4rurGHG52_zBOir5z-lIdW2j_SlMGSIjBgHmMbGtmNX-_HTKjbGDatzZbrdt3QHXA6-TK0pV_ClTA1yTKM4Fb5vr9UeYKWf0uHzf4mIwCNQOxwL1TfCOfewsKqMPwlg



Khai báo Default gateway cấp cho Client.

XJRisv_5Q9-LgKS0793VpAWDvssPgsteFPN7zi7zbGoCA_4nom-IYgO3L-HFLWpEMaNlJ8RnqZ3YAhPwH4hRWC2hBdpZHcfiYBlhtOzHpIJSwmddZwi0btAupT-fxNb35_w8cOtvDUJF3RNzDw



Khai báo DNS server cấp cho Client.

siJ9uHBMrqV1QCusVury74aMfj98VMxBk3o4yPFvRERWsuEUCtghEGXZ9T6qtbJyOMo_ATJfWhURo4Ap6v_aOn5BjU_0Ha8jYFBqRld16sWmna8cEsH1F2AR_TfSSQ2oiyVxad29iNxtOI-SOg



- Đây là Scope DHCP cấp cho Client

AbDNZEsnb9Z6b7sYfGpr96DcbH8hjhgCuQOwrQ5ulmcYiqMwD4Me9uI1AlEyeGkOZORQqFt50rnUAUD6zQuIaLKrUSX7wdVmlX9vjgH00GZbkINQxgXnFJYYD8jj_qGVLuqIcR-fv9Rv0hLB6g


- Tương tự tạo pool “VLAN 10” cấp IP cho các PC chứng thực bằng user domain thuộc group “ADMIN”.

NHfz4O6u6qrqtIpyPXro_GYDXFMZk9UaYE4PW6VgIvN91gop6nkWqaTJ_970ov1mYH3fthmu6VyTWS4AAV3Ts3GXe-WB9HY5VctuQbiXdyHH17X81ht99iC2YYz9tmA9dcEGUR3xR_MuYDio8w



- Tương tự tạo pool “VLAN 20” cấp IP cho các PC chứng thực bằng user domain thuộc group “STAFF”.

I8iJTA9CgbImdnXa_Z3QefrJ29vahYgcivNw6Sog2sGXfKtswr_gO_gLnXtXYcuZzPVqB-zhHPPEIibFpMCV2z24LEZeIUtzXypaJ2C5USDCiDxsl8n6Mqk_8T4u1YwciJ1NVBBA93CUwmHNiw



- Như vậy chúng ta đã hoàn thành việc tạo các pool DHCP cấp IP cho các user.

pYcSYPA_SA73RF69Qp8nsHhFweMm_zrTJCx-gRh-1n3-E6m3fm3mkO8XIW-ERR8dkaxiOiNAY8-9FBVxhLCkgJmpq6dF2UvSqm6cMLHh5lqStApJwB4deoCvIqSsAZ8UAzE9N-dZncsFUqL1Gg
 
Last edited:
Chúng tôi sẽ làm vlan động 802.1x của AD DS với CS lập dạy bạn ??
 
Set the 802.1x Dynamic vlan, AD DS and AD CS i can not config ...... please Can teaching
802.1x Dynamic vlan AD DS and CS config.... 3Q
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu