Cisco ASA [Lab 3.3] Config dynamic Vlan Switch by Radius windows

root

root

Specialist

802.1x Dynamic Vlan by Radius Active Directory windows 2012R2 - part 3



- Phần 1: Cài đặt dịch vụ NPS và DHCP trên windows server 2012R2. Cấu hình DHCP cấp IP cho các VLAN 10 (cho group ADMIN), VLAN 20 (Group STAFF) và VLAN 30 (cho các khách hàng không thực hiện chứng thực 802.1x).
- Phần 2: Cấu hình tích hợp NPS với Active Directory windows server 2012R2. Sau đó chúng ta cần tạo policy trên NPS để chứng thực người dung và cấp vlan theo từng group user domain.

- Phần 3: Cấu hình Switch Cisco 2960, tạo các VLAN 10,20,30 cho các group user ADMIN, STAFF, và khách hàng. Trên các interface vlan 10,20,30 chúng ta cần cấu hình DHCP relay. Bật chứng thực 802.1x trên switch và các port của Switch. Khi PC gắn vào 1 port trên Switch thì sẽ yêu cầu user chứng thực.

- Phần 4: Phần cuối cùng chúng ta sẽ test các trường hợp khi gắn PC vào 1 port của Switch.

Download file config Lab: DOWNLOAD

- Phần 1: http://svuit.vn/threads/lab-3-1-config-dynamic-vlan-switch-by-radius-windows-1205/
- Phần 2: http://svuit.vn/threads/lab-3-2-config-dynamic-vlan-switch-by-radius-windows-1206/
- Phần 3: http://svuit.vn/threads/lab-3-3-config-dynamic-vlan-switch-by-radius-windows-1207/
- Phần 4: http://svuit.vn/threads/lab-3-4-config-dynamic-vlan-switch-by-radius-windows-1208/

- Video hướng dẫn cấu hình và test
  • Phần 1:
  • Phần 2:
  • Phần 3:

II/ Cấu hình Switch 2960


- Chúng ta cần kích hoạt tính năng AAA và 802.1x trên Switch 2960 và thực hiện chựng với Radius Server.

//tạo các VLAN
Mã: 
Switch(config)#vlan 10
Switch(config-vlan)#name svuit-ADMIN
Switch(config)#vlan 20
Switch(config-vlan)#name svuit-STAFF

//Đặt IP cho interface VLAN 1 cho khách hàng
Mã: 
Switch(config)#interface vlan 1
Switch(config-if)#ip address 10.123.10.250 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#exit

//Đặt IP cho interface VLAN 10 cho group “ADMIN” và cấu hình DHCP relay agent trên VLAN 10.
Mã: 
Switch(config)#interface vlan 10
Switch(config-if)#ip address 172.16.10.250 255.255.255.0
Switch(config-if)#ip helper-address 10.123.10.10
Switch(config-if)#no shut
Switch(config-if)#exit

//Đặt IP cho interface VLAN 20 cho group “STAFF” và cấu hình DHCP relay agent trên VLAN 20
Mã: 
Switch(config)#interface vlan 20
Switch(config-if)#ip address 172.16.20.250 255.255.255.0
Switch(config-if)# ip helper-address 10.123.10.10
Switch(config-if)#no shut

//Kích hoạt AAA trên Switch
Mã: 
Switch(config)#aaa new-model
Switch(config)#aaa authentication dot1x default group radius

//Kích hoạt 802.1x trên Switch
Mã: 
Switch(config)#dot1x system-auth-control
Switch(config)#radius-server host 10.123.10.10 auth-port 1812 acct-port 1813 key svuit.vn

// Cấu hình port-based authentication trên port f0/1
Mã: 
Switch(config)#int f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#dot1x port-control auto

// Cấu hình dynamic vlan assignment cisco 2960
Mã: 
aaa authorization network default group radius if-authenticated

// các user chứng thực thành công với username thuộc group “STAFF” và “ADMIN” trong Active Directory sẽ được cấp VLAN theo policy chúng ta đã cấu hình trên NPS server.
Mã: 
Switch(config)# aaa authorization network default group radius

// Cấu hình cho những máy tính không chứng thực 802.1x thuộc VLAN 1
Mã: 
Switch(config-if)#dot1x guest-vlan 1

- 802.1x trên port:

Một số dòng switch khi tab sẽ không ra lệnh này, tuy nhiên chúng ta vẫn có thể gõ lệnh này và sử dụng bình thường.
Mã: 
Switch(config-if)#dot1x port-control auto

Hoặc có thể sử dụng lệnh sau để thay thế
Mã: 
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication port-control auto

- Ở đây port-control có các mode
  • force-authorized: port luôn ở trạng thái được chứng thực, tất cả dữ liệu từ client đều được chấp nhận
  • force- unauthorized: port luôn ở trạng thái không được chứng thực, tất cả dữ liệu từ client đều bị đánh rớt.
  • auto: bật 802.1x, port sẽ chuyển từ trạng thái unauthorized sang authorized nếu người dùng cung cấp đúng username và password
- Mặc đinh 802.1x chỉ hỗ trợ 1 client trên port cấu hình 802.1x. Vì vậy để cho phép nhiều client truy xuất trên một port cấu hình 802.1x chúng ta cần dùng thêm lệnh sau:
Mã: 
Switch(config-if)#dot1x host-mode multi-host
 
Sửa lần cuối:
Bài viết liên quan
[Lab 7.4] Dynamic VLAN Assignment with Cisco ACS and Switch bởi root,
[Lab 7.3] Dynamic VLAN Assignment with Cisco ACS and Switch bởi root,
[Lab 7.2] Dynamic VLAN Assignment with Cisco ACS and Switch bởi root,
[Lab 7.1] Dynamic VLAN Assignment with Cisco ACS and Switch bởi root,
[lab 6.3] Config Cisco ACS Shell Command Authorization on Switch bởi root,
[lab 6.2] Config Cisco ACS Shell Command Authorization on Switch bởi root,
Bài viết mới
[Lab 7.4] Dynamic VLAN Assignment with Cisco ACS and Switch bởi root,
[Lab 7.3] Dynamic VLAN Assignment with Cisco ACS and Switch bởi root,
[Lab 7.2] Dynamic VLAN Assignment with Cisco ACS and Switch bởi root,
[Lab 7.1] Dynamic VLAN Assignment with Cisco ACS and Switch bởi root,
[lab 6.3] Config Cisco ACS Shell Command Authorization on Switch bởi root,
[lab 6.2] Config Cisco ACS Shell Command Authorization on Switch bởi root,
2/ bật chứng thực 802.1x cho PC
- Để sử dụng được 802.1x các client phải kích hoạt tính năng 802.1x. Nếu không kích hoạt thì người dùng sẽ không xác thực được và sẽ được gán vào VLAN 30.
- Nếu các máy đã join domain chúng ta có thể tạo policy trên Active Directory để enable 802.1x cho các PC đã join domain. Ở đây PC này chưa join domain nên mình sẽ phải start service “Wired AutoConfig” để kích hoạt 802.1x

4R1HDHdXUJNUmaEewfxGPo05lVqcv31vcGymk-Oet-BMtg4aJF0sdXEEqkh7uLeriFt48j34tMLrJgxnYHG9r3JOciqLyddeKMo-J6X8XNNt4XC-1sqCwQ_G7XIEc4Eu6SyehEbppNmGRlkhGQ



- Sau đó chúng ta phải cấu hình phương thức xác thực cho card mạng của người dùng gắn vào Switch.

Xn-pSHxTloopYjFDlmDfDnJAtkdksFKYYnHvW7cjc6ItO3TiXq9n5me0i_-L-1HFmX-Cu6RyVCTinwA1rMzSHwLbkyuBx3PQi_6Ur4U7F2h1vH1jZUxuLA87Lho8aYIQ7Wn2P1L-jQCVk4y54g



- Sau khi các bạn start service 802.1x thì “Ethernet Properties” sẽ có thêm tab “Authentication”. Các bạn chọn “Enable IEEE 802.1X authentication” để kích hoạt và chọn phương thức xác thực với RADIUS server là “Microsoft: Protected EAP (PEAP)”.

2U4_bU9hoZLopPnmlfqDBp3yx2CvKNWvRLPkSXYEIs46m9D7AbBNlkA3XSTbxuozvFbJG6AX5q68Bmx0WWdy4mpSTOtscsKKPiuh0_MrtvL36n3U1nQOfNV6RQW0Pj8rbUGEJ1NMqexMS-mqZw



- lựa chọn phương thức xác thực mật khẩu “Secured password (EAP-MSCHAP-v2”.

6xlVddI3RDr9M30KfWNniMg1r404mLCtTazQSa0MIFAZmmb2bW3xsX0OCaZTM2_N8v8Q_XcM8HOy_unONjFAJflFcLBXOydnjBU-ILzX3SVJU7Nju5HlVme2tYr3iwA0N4gmloEuHu_KaZw7XA



Các bạn bỏ dấu check ra khỏi mục “Automatic use my Windows login name and password (and domain if any). Cái này chỉ sử dụng trong trường hợp người dùng sử dụng PC đã join domain. Khi login với user domain trên máy đã join domain thì PC sẽ tự động thực hiện việc xác thực giúp minh.

AZ04G-oKoTdCmKoh7TAQQ-yiuDdqF-luCpAtktkLwo1K8270OJmG1IVLnZjo-GxCDwBX0y3oa7_h4NiSJ4KNgbzNzNLnoKbrxHac26dzj5EzBIi2sR4F9WXHChSfuF1nOHkLrL0oSOEc-6iX-g



- Thiết lập một số thông số thêm

aQ5Uds5ReBnXxkDq-9nrf1jBu71XZzAQcrvSWSWXpj7uW89c76CFrbyQ6mv9i6KkiwE7EJnPgpoj0LxRGiYT4omAysEwvRzdD9H_5FNWWTWkWGYt2N-cJSFKpEFyey5HQKtK32EIMGjRtV3_xA



- Chọn chế độ xác thực là sử dụng “User authentication”.

GPFR9FLp8rm6dRszLdO7LGfBYbBw47AUObGGT7uLnCVxjbD5sPWSytYr2o9tMzD8l_wKJgWlpjpjY_wHPIqMyw2x0Nfh0mHvo8mQltYvraaNjmmMuvFG6cUE_xXMSltWLbZn3V5hzbp88Un5mg
 
Bạn phải đăng nhập hoặc đăng ký để bình luận.
Back
Top