root
Specialist
802.1x Dynamic Vlan by Radius Active Directory windows 2012R2 - part 3
- Phần 1: Cài đặt dịch vụ NPS và DHCP trên windows server 2012R2. Cấu hình DHCP cấp IP cho các VLAN 10 (cho group ADMIN), VLAN 20 (Group STAFF) và VLAN 30 (cho các khách hàng không thực hiện chứng thực 802.1x).
- Phần 2: Cấu hình tích hợp NPS với Active Directory windows server 2012R2. Sau đó chúng ta cần tạo policy trên NPS để chứng thực người dung và cấp vlan theo từng group user domain.
- Phần 3: Cấu hình Switch Cisco 2960, tạo các VLAN 10,20,30 cho các group user ADMIN, STAFF, và khách hàng. Trên các interface vlan 10,20,30 chúng ta cần cấu hình DHCP relay. Bật chứng thực 802.1x trên switch và các port của Switch. Khi PC gắn vào 1 port trên Switch thì sẽ yêu cầu user chứng thực.
- Phần 4: Phần cuối cùng chúng ta sẽ test các trường hợp khi gắn PC vào 1 port của Switch.
Download file config Lab: DOWNLOAD
- Phần 1: http://svuit.vn/threads/lab-3-1-config-dynamic-vlan-switch-by-radius-windows-1205/
- Phần 2: http://svuit.vn/threads/lab-3-2-config-dynamic-vlan-switch-by-radius-windows-1206/
- Phần 3: http://svuit.vn/threads/lab-3-3-config-dynamic-vlan-switch-by-radius-windows-1207/
- Phần 4: http://svuit.vn/threads/lab-3-4-config-dynamic-vlan-switch-by-radius-windows-1208/
- Video hướng dẫn cấu hình và test
- Phần 1:
- Phần 2:
- Phần 3:
II/ Cấu hình Switch 2960
- Chúng ta cần kích hoạt tính năng AAA và 802.1x trên Switch 2960 và thực hiện chựng với Radius Server.
//tạo các VLAN
Mã:
Switch(config)#vlan 10
Switch(config-vlan)#name svuit-ADMIN
Switch(config)#vlan 20
Switch(config-vlan)#name svuit-STAFF
//Đặt IP cho interface VLAN 1 cho khách hàng
Mã:
Switch(config)#interface vlan 1
Switch(config-if)#ip address 10.123.10.250 255.255.255.0
Switch(config-if)#no shut
Switch(config-if)#exit
//Đặt IP cho interface VLAN 10 cho group “ADMIN” và cấu hình DHCP relay agent trên VLAN 10.
Mã:
Switch(config)#interface vlan 10
Switch(config-if)#ip address 172.16.10.250 255.255.255.0
Switch(config-if)#ip helper-address 10.123.10.10
Switch(config-if)#no shut
Switch(config-if)#exit
//Đặt IP cho interface VLAN 20 cho group “STAFF” và cấu hình DHCP relay agent trên VLAN 20
Mã:
Switch(config)#interface vlan 20
Switch(config-if)#ip address 172.16.20.250 255.255.255.0
Switch(config-if)# ip helper-address 10.123.10.10
Switch(config-if)#no shut
//Kích hoạt AAA trên Switch
Mã:
Switch(config)#aaa new-model
Switch(config)#aaa authentication dot1x default group radius
//Kích hoạt 802.1x trên Switch
Mã:
Switch(config)#dot1x system-auth-control
Switch(config)#radius-server host 10.123.10.10 auth-port 1812 acct-port 1813 key svuit.vn
// Cấu hình port-based authentication trên port f0/1
Mã:
Switch(config)#int f0/1
Switch(config-if)#switchport mode access
Switch(config-if)#dot1x port-control auto
// Cấu hình dynamic vlan assignment cisco 2960
Mã:
aaa authorization network default group radius if-authenticated
// các user chứng thực thành công với username thuộc group “STAFF” và “ADMIN” trong Active Directory sẽ được cấp VLAN theo policy chúng ta đã cấu hình trên NPS server.
Mã:
Switch(config)# aaa authorization network default group radius
// Cấu hình cho những máy tính không chứng thực 802.1x thuộc VLAN 1
Mã:
Switch(config-if)#dot1x guest-vlan 1
- 802.1x trên port:
Một số dòng switch khi tab sẽ không ra lệnh này, tuy nhiên chúng ta vẫn có thể gõ lệnh này và sử dụng bình thường.
Mã:
Switch(config-if)#dot1x port-control auto
Hoặc có thể sử dụng lệnh sau để thay thế
Mã:
Switch(config-if)# dot1x pae authenticator
Switch(config-if)# authentication port-control auto
- Ở đây port-control có các mode
- force-authorized: port luôn ở trạng thái được chứng thực, tất cả dữ liệu từ client đều được chấp nhận
- force- unauthorized: port luôn ở trạng thái không được chứng thực, tất cả dữ liệu từ client đều bị đánh rớt.
- auto: bật 802.1x, port sẽ chuyển từ trạng thái unauthorized sang authorized nếu người dùng cung cấp đúng username và password
Mã:
Switch(config-if)#dot1x host-mode multi-host
Sửa lần cuối:
Bài viết liên quan
Bài viết mới