Cisco ASA [Lab 3.2] Config dynamic Vlan Switch by Radius windows

[Lab 1.3]802.1x Dynamic Vlan by Radius Active Directory windows 2012R2 - part 2

- Phần 1: Cài đặt dịch vụ NPS và DHCP trên windows server 2012R2. Cấu hình DHCP cấp IP cho các VLAN 10 (cho group ADMIN), VLAN 20 (Group STAFF) và VLAN 30 (cho các khách hàng không thực hiện chứng thực 802.1x).

- Phần 2: Cấu hình tích hợp NPS với Active Directory windows server 2012R2. Sau đó chúng ta cần tạo policy trên NPS để chứng thực người dung và cấp vlan theo từng group user domain.

- Phần 3: Cấu hình Switch Cisco 2960, tạo các VLAN 10,20,30 cho các group user ADMIN, STAFF, và khách hàng. Trên các interface vlan 10,20,30 chúng ta cần cấu hình DHCP relay. Bật chứng thực 802.1x trên switch và các port của Switch. Khi PC gắn vào 1 port trên Switch thì sẽ yêu cầu user chứng thực.
- Phần 4: Phần cuối cùng chúng ta sẽ test các trường hợp khi gắn PC vào 1 port của Switch.


Download file config Lab: DOWNLOAD

- Phần 1: http://svuit.vn/threads/lab-3-1-config-dynamic-vlan-switch-by-radius-windows-1205/
- Phần 2: http://svuit.vn/threads/lab-3-2-config-dynamic-vlan-switch-by-radius-windows-1206/
- Phần 3: http://svuit.vn/threads/lab-3-3-config-dynamic-vlan-switch-by-radius-windows-1207/
- Phần 4: http://svuit.vn/threads/lab-3-4-config-dynamic-vlan-switch-by-radius-windows-1208/

- Video hướng dẫn cấu hình và test

• Phần 1:
  
• Phần 2:
  
• Phần 3:
  

2/ Khai báo Radius Client

Trước tiên chúng ta cần authorized NPS với Active Directory của chúng ta.



- Sau đó chúng ta sẽ add client trong Radius Clients (là Switch 2960) trên Radius Server (NPS).




Chúng ta sẽ khai báo thông tin Radius client của chúng ta vào đây.

• Enable this RADIUS client: các bạn check vào đây để kích hoạt Radius client.
  
• Name and Address: điền tên của Radius client. Tên này sẽ được sử dụng khi chúng ta cấu hình policy trong NPS.
  
• Address (IP or DNS): Các bạ điền IP của Radius Client, ở đây mình sẽ dụng Switch Cisco 2960 có IP 10.123.10.250
  
• Shared secret: đây là key để trao đổi giữa Radius server (NPS) với Radius client (Switch 2960). Bạn phải đảm bảo key trên NPS và trên Switch 2960 phải giống nhau.

- Qua tab “advanced”. Ở đây mình sử dụng Switch Cisco nên mình sẽ chọn “Vendor name” là “Cisco”.




Nếu bạn cấu hình đúng thì Radius Client sẽ được xuất hiện tại đây với trạng thái “enable”.

3/ Tạo Policy trên NPS

- Bây giờ chúng ta sẽ tạo policy để chứng thực và cấp quyền truy cập đến Switch 2960 cho các user có trong Active Directory.
- Trước tiên chúng ta sẽ tạo các user domain “admin1” thuộc group “ADMIN” và “nv1” thuộc group “STAFF”.



- Bây giờ chúng ta sẽ tạo mới một policy 802.1x để xác thực người dùng khi gắn dây vào Switch của chúng ta.




- Chọn “Secure Wired (ethernet) Connections” và đặt tên cho policy cần tạo.




- Chọn Authenticator là switch 2960. Khi người dùng gắn dây vào 1 port trên Switch 2960 thì Switch sẽ yêu cầu người dùng xác thực. Chúng ta đã khai báo Radius client “Cisco Switch 2960” ở trên.




Cấu hình sử dụng phương thức xác thực nào. Mình sẽ sử dụng “Microsoft: Protected EAP (PEAP)”.




Cấu hình các yêu cầu chứng thực cho user. Khi user được chứng thực phù hợp với các điều kiện mà mình thiết lập ở đây thì nó sẽ được phép truy cập.
Mình sẽ thực hiện chứng thực với các user nằm trong group của Active Directory.




Những user domain thuộc group ADMIN sẽ được chứng thành công







Chúng ta có thể điều khiển và kiểm soát người dùng thông qua cấu hình Traffic control ở đây. Khi user domain thuộc group “ADMIN” chứng thực thành công sẽ được cấp IP thuộc VLAN 10.




- Để port được cấp VLAN động tương ứng cho user domain. Chúng ta cần định nghĩa các thuộc tính sau:

• Tunnel-Pvt-Group-ID: 10. Đây là VLAN sẽ cấp cho group domain “ADMIN” được chứng thực.
  
• Tunnel-Type: Virtual LANs (VLAN).
  
• Tunnel-Medium-Type: 802 (includes all 802 media plus Ethernet canonical format)

- Hoàn thành tạo Policy xác thực người dùng thông qua cơ chế “port based authentication”

- Kiểm tra lại Policy chúng ta vừa tạo ở trên.




- Ở tab “overview” các bạn chú ý chọn “Access Granted” để cho phép user được chứng thực sẽ có quyền truy cập.




Ở tab “Conditions” chính là những điều kiện xác thực người dùng. Khi người dùng xác thực match với các yêu cầu trong tab này thì người dùng đó xác thực thành công.




Ở tab “Constraints” các bạn chọn phương thức xác thực. Ở đây chúng ta sẽ sử dụng “Microsoft: Protected EAP (PEAP)” và sử dụng các mã hóa “MS-CHAP-v2 và “MS-CHAP” khi người dùng thực hiện xác thực.




Phần “NAS Port Type” các bạn để trống.




Trong bảng “Attributes” cấu hình như hình dưới đây.

• Tunnel-Pvt-Group-ID: 10. Đây là VLAN sẽ cấp cho group domain “ADMIN” được chứng thực.
  
• Tunnel-Type: Virtual LANs (VLAN).
  
• Tunnel-Medium-Type: 802 (includes all 802 media plus Ethernet canonical format)

- Tương tự chúng ta tạo policy cho group “STAFF”. Nhũng user thuộc group domain “STAFF” thì sẽ được cấp IP thuộc VLAN 20.

I like lab

Lab khó nhỉ