Cisco ASA [Lab 3.4] Config dynamic Vlan Switch by Radius windows

Dynamic Vlan by Radius Active Directory windows 2012R2 - part 4

- Phần 1: Cài đặt dịch vụ NPS và DHCP trên windows server 2012R2. Cấu hình DHCP cấp IP cho các VLAN 10 (cho group ADMIN), VLAN 20 (Group STAFF) và VLAN 30 (cho các khách hàng không thực hiện chứng thực 802.1x).
- Phần 2: Cấu hình tích hợp NPS với Active Directory windows server 2012R2. Sau đó chúng ta cần tạo policy trên NPS để chứng thực người dung và cấp vlan theo từng group user domain.
- Phần 3: Cấu hình Switch Cisco 2960, tạo các VLAN 10,20,30 cho các group user ADMIN, STAFF, và khách hàng. Trên các interface vlan 10,20,30 chúng ta cần cấu hình DHCP relay. Bật chứng thực 802.1x trên switch và các port của Switch. Khi PC gắn vào 1 port trên Switch thì sẽ yêu cầu user chứng thực.

- Phần 4: Phần cuối cùng chúng ta sẽ test các trường hợp khi gắn PC vào 1 port của Switch.


Download file config Lab: DOWNLOAD

- Phần 1: http://svuit.vn/threads/lab-3-1-config-dynamic-vlan-switch-by-radius-windows-1205/
- Phần 2: http://svuit.vn/threads/lab-3-2-config-dynamic-vlan-switch-by-radius-windows-1206/
- Phần 3: http://svuit.vn/threads/lab-3-3-config-dynamic-vlan-switch-by-radius-windows-1207/
- Phần 4: http://svuit.vn/threads/lab-3-4-config-dynamic-vlan-switch-by-radius-windows-1208/

- Video hướng dẫn cấu hình và test

• Phần 1:
  
• Phần 2:
  
• Phần 3:
  

III. Kiểm tra chứng thực giữa PC với Radius Windows server 2012R2

1/ Client chưa bật 802.1x
- Đầu tiên mình sẽ gắn PC chưa bật 802.1x vào port f0/1 của Switcch 2960. Các bạn sẽ thấy kết quả của PC không thực hiện chứng thực “no-response” từ dot1x.
- Tương ứng với kết quả “no-responese” mà chúng ta đã cấu hình sẽ được cấp Vlan 30.




- Trên Switch sử dụng lệnh “show vlan” để kiểm tra thì các bạn sẽ thấy port f0/1 đã chuyển sang VLAN 30 dành cho Guest.




- “show authentication sessions int f0/1” để kiểm tra session chứng thực với PC.




- Trên PC các bạn stop dịch vụ “Wired Auto Config” để không thực hiện chứng thực 802.1x. Với PC không có chứng thực 802.1x chúng ta đã gán vào Port f0/1 của Switch sẽ được chuyển sang VLAN 30. Chúng ta có thể thấy PC này đã được cấp IP thuộc VLAN 30 dành cho Guest: 172.16.30.1/24

2/ Test PC bật chứng thực 802.1x với user thuộc group “ADMIN”.
Bây giờ mình sẽ sử dụng PC vừa cấu hình 802.1x ở trên để test thử tính năng 802.1x đã cấu hình trên. Gắn dây mạng từ PC này vào port f0/1 của Switch 2960. Nó sẽ hiện thị một cửa sổ yêu cầu bạn nhập username và password thuộc group “ADMIN” trong Active Directory chứng thực với RADIUS Server.



- Sau khi bạn nhập đúng username và password domain thuộc group ADMIN thì Server mới cấp DHCP và traffic người dùng mới đi qua được port f0/1 của Switch.
- Chứng thực thành công xong PC sẽ gửi yêu cầu xin DHCP tới DHCP server.




- Đây là thông tin DHCP cấp cho PC chứng thực. Với user admin1@svuit.vn thuộc group “ADMIN” trong Active Directory 2012R2 thì PC sẽ nhận IP thuộc VLAN 10.




- Các bạn vào Switch kiểm tra port f0/1 của Switch 2960. Khi PC gắn vào port f0/1 các bạn sẽ thấy port f0/1 đã start dot1x.
- Khi client gửi thông tin đăng nhập đến server chính xác thì nó sẽ thấy log chứng thực thành công.
- Khi PC gán vào port f0/1 của Switch và nhập thông tin chứng thực bằng user admin1@svuit.vn thì port f0/1 của switch sẽ được chuyển sang VLAN 10.




- Các bạn sử dụng lệnh “show authentication session int f0/1” các bạn sẽ thấy user admin1@svuit.vn sẽ được cấp VLAN theo policy chúng ta đã cấu hình trên NPS server.
- Các bạn “show dot1x int f0/1 detail” để kiểm tra chứng thực dot1x trên port ff0/1 của Switch. Các bạn sẽ thấy user admin1@svuit.vn của PC gắn vào port f0/1 sẽ thấy trạng thái port f0/1 là “Authorized”.

3/ Test PC bật chứng thực 802.1x với user thuộc group “STAFF”.
- Bây giờ mình sẽ sử dụng PC vừa cấu hình 802.1x ở trên để test thử tính năng 802.1x đã cấu hình trên.
- Gắn dây mạng từ PC này vào port f0/1 của Switch 2960. Nó sẽ hiện thị một cửa sổ yêu cầu bạn nhập username và password group “STAFF” trong Active Directory để chứng thực với RADIUS Server.




- Sau khi bạn nhập đúng username và password domain thuộc group STAFF và chứng thực thành công thì Server mới cấp DHCP thuộc VLAN 20. Các bạn sẽ thấy PC được cấp IP 172.16.20.1 thuộc VLAN 20 như Policy đã cấu hình trên NPS.




- Các bạn vào Switch kiểm tra port f0/1 của Switch 2960. Khi PC gắn vào port f0/1 các bạn sẽ thấy port f0/1 đã start dot1x.
- Khi client gửi thông tin đăng nhập đến server chính xác thì nó sẽ thấy log chứng thực thành công.
- Khi PC gán vào port f0/1 của Switch và nhập thông tin chứng thực bằng user nv1@svuit.vn thì port f0/1 của switch sẽ được chuyển sang VLAN 20.




- Các bạn sử dụng lệnh “show authentication session int f0/1” các bạn sẽ thấy user nv1@svuit.vn sẽ được cấp VLAN theo policy chúng ta đã cấu hình trên NPS server.
- Các bạn “show dot1x int f0/1 detail” để kiểm tra chứng thực dot1x trên port f0/1 của Switch. Các bạn sẽ thấy user nv1@svuit.vn của PC gắn vào port f0/1 sẽ thấy trạng thái port f0/1 là “Authorized”.

4/ Test PC bật chứng thực 802.1x với user chứng thực không đúng.

- Bây giờ mình sẽ sử dụng PC vừa cấu hình 802.1x ở trên để test thử tính năng 802.1x đã cấu hình trên.
- Khi gắn dây mạng từ PC này vào port f0/1 của Switch 2960, nó sẽ khởi động chứng thực 802.1x với PC. Trên PC sẽ hiện thị một cửa sổ yêu cầu bạn nhập username và password sai để chứng thực sai hoặc không thuộc 2 group "ADMIN" hoặc "STAFF" với RADIUS Server.




- Khi bạn nhập thông tin xác thực sai thì card mạng Ethernet của PC sẽ hiện thị “Authentication failed” và nó không nhận IP từ DHCP server được.
- Lúc này mọi traffic của PC sẽ không đi được bất cứ đâu.




- Các bạn vào Switch kiểm tra port f0/1 của Switch 2960. Khi PC gắn vào port f0/1 các bạn sẽ thấy port f0/1 đã start dot1x.
- Khi client gửi thông tin đăng nhập sai của PC đến server thì trên Switch sẽ thấy log chứng thực sai của client.



- Các bạn sử dụng lệnh “show authentication session int f0/1” các bạn sẽ thấy user-name “Unresponsive” sẽ không được cấp IP. Trạng thái phương thức chứng thực dot1x là “failed over”.
- Các bạn “show dot1x int f0/1 detail” để kiểm tra chứng thực dot1x trên port f0/1 của Switch. Các bạn sẽ thấy trạng thái port f0/1 là “Unauthorized”.