Cisco ASA [Lab 3.1] Config dynamic Vlan Switch by Radius windows

802.1x Dynamic VLAN Assignment by RADIUS windows 2012R2 - Part 1

- Phần 1: Cài đặt dịch vụ NPS và DHCP trên windows server 2012R2. Cấu hình DHCP cấp IP cho các VLAN 10 (cho group ADMIN), VLAN 20 (Group STAFF) và VLAN 30 (cho các khách hàng không thực hiện chứng thực 802.1x).

- Phần 2: Cấu hình tích hợp NPS với Active Directory windows server 2012R2. Sau đó chúng ta cần tạo policy trên NPS để chứng thực người dung và cấp vlan theo từng group user domain.
- Phần 3: Cấu hình Switch Cisco 2960, tạo các VLAN 10,20,30 cho các group user ADMIN, STAFF, và khách hàng. Trên các interface vlan 10,20,30 chúng ta cần cấu hình DHCP relay. Bật chứng thực 802.1x trên switch và các port của Switch. Khi PC gắn vào 1 port trên Switch thì sẽ yêu cầu user chứng thực.
- Phần 4: Phần cuối cùng chúng ta sẽ test các trường hợp khi gắn PC vào 1 port của Switch.

Download file config Lab: DOWNLOAD

- Phần 1: http://svuit.vn/threads/lab-3-1-config-dynamic-vlan-switch-by-radius-windows-1205/
- Phần 2: http://svuit.vn/threads/lab-3-2-config-dynamic-vlan-switch-by-radius-windows-1206/
- Phần 3: http://svuit.vn/threads/lab-3-3-config-dynamic-vlan-switch-by-radius-windows-1207/
- Phần 4: http://svuit.vn/threads/lab-3-4-config-dynamic-vlan-switch-by-radius-windows-1208/

- Video hướng dẫn cấu hình và test

• Phần 1:
  
• Phần 2:
  
• Phần 3:
  

Giới thiệu:
- Các cty thường có các port mạng đặt trong các phòng họp hay phòng làm việc của nhân viên. Một Attacker có thể giả dạng khách hàng của cty chúng ta để sử dụng những port mạng này để tấn công hệ thống của chúng ta.
- Vì vậy chúng ta cần có giải pháp xác thực người dùng khi một truy cập vào hệ thống..
Giải pháp svuit.vn muốn đưa ra cho các bạn là sử dụng 802.1x của IEEE.

• Khi người dùng truy cập vào hệ thống, họ sẽ yêu cầu gửi thông tin để server xác thực xem họ là ai. Trong lúc người dùng đang được server xác thực thì họ sẽ không sử dụng được bất kì dịch vụ nào hoặc truy cập bất cứ đâu trong hệ thống của chúng ta.

• Sau khi server chứng thực xác nhận thông tin của người sử dụng thì nó sẽ xem xét và phân quyền người dùng đó như: người dùng đó thuộc VLAN nào, có quyền truy cập đến đâu,…

Chúng ta sẽ kết hợp với bài lab “Port-based authentication với NPS” để thực hiện cấu hình bài LAB này.





- Mục đích bài lab:

• Khi người dùng gắn dây mạng vào 1 port mạng trên Switch thì sẽ yêu cầu người dùng xác thực thông tin bằng username và password trong Active Directory Windows Server 2012.
  
• Nếu người dùng nhập thông tin xác thực sai họ sẽ không được quyền sử dụng hệ thống.
  
• Đối với các khách hàng của cty: Nếu máy tính của họ không bật cơ chế xác thực 802.1X thì không cần chứng thực. Chúng ta sẽ cấp cho những người dùng này VLAN 30 (Bạn sẽ phải thiết lập các chính sách để giới hạn truy cập của những người này).
  
• Đối với các nhân viên thuộc group “STAFF” trên Active Directory thì sẽ được gán VLAN 20
  
• Đối với những nhân viên quản lý hệ thống thuộc group “ADMIN” trên Active Directory sẽ được gán VLAN 10.

- Sơ đồ bài lab

I/ Cài đặt Roles

1/ Cài đặt NPS.

- Đảm bảo bạn đã cài Active Directory trên Windows Server 2012.
- Bây giờ chúng ta cần cài đặt Network policy Server trên Windows server 2012R2. Vào phần “Server Manager → Add Roles and Features” để add roles “NPS”.




- Chọn role cần cài đặt “Network Policy and Access Services (NPS)".







- Role service mình sẽ cài đặt “Network Policy Server”.




- Chúng ta đã cài đặt NPS trên Windows Server 2012R2 xong.

2/ Cài đặt DHCP

- Trên máy server chúng ta cài đặt service DHCP




- Cài đặt service DHCP xong, chúng ta tiến hành cấu hình DHCP để cấp IP cho client




Cho phép DHCP này được authorize bởi Active Directory.




Nhấn “commit” để xác nhận DHCP được authorize với Active Directory.




Đối với khách hàng của cty khi họ không thực hiện xác thực 802.1x sẽ được cấp VLAN 30. Chúng ta sẽ tạo Scope name “SVUIT_VLAN 30” cấp DHCP cho VLAN 30.




Cấu hình dãi IP cấp cho client trong VLAN 30




Khai báo Default gateway cấp cho Client.




Khai báo DNS server cấp cho Client.




- Đây là Scope DHCP cấp cho Client



- Tương tự tạo pool “VLAN 10” cấp IP cho các PC chứng thực bằng user domain thuộc group “ADMIN”.




- Tương tự tạo pool “VLAN 20” cấp IP cho các PC chứng thực bằng user domain thuộc group “STAFF”.




- Như vậy chúng ta đã hoàn thành việc tạo các pool DHCP cấp IP cho các user.

Chúng tôi sẽ làm vlan động 802.1x của AD DS với CS lập dạy bạn ??

kingbruce said:

Chúng tôi sẽ làm vlan động 802.1x của AD DS với CS lập dạy bạn ??

Click to expand...

Can you write English ?

Set the 802.1x Dynamic vlan, AD DS and AD CS i can not config ...... please Can teaching
802.1x Dynamic vlan AD DS and CS config.... 3Q