AAA [Lab 7.4] Dynamic VLAN Assignment with Cisco ACS and Switch

Dynamic VLAN Assignment with Cisco ACS and Switch - Part 4

Config Dynamic VLAN Assignment on Switch 2960.
Ở phần này chung ta sẽ cấu hình Authentication và Authorization trên Switch 2960.
Và sau khi config xong chúng ta sẽ test tính năng Dynamic Assignment VLAN. Thử các trường hợp mà yêu cầu đã đặt ra:

• Client chưa enbale 802.1x sẽ được cấp VLAN 30
• Client enable 802.1x và chứng thực với user "admin1" sẽ được cấp VLAN 10
• Client enable 802.1x và chứng thực với user "nv1" sẽ được cấp VLAN 20
• Client enable 802.1x và chứng thực không đúng sẽ bị block all traffic

Series lab config Dynamic VLAN Assignment with RADIUS server ACS 5.8 and Switch 2960

1. Phần 1: Chuẩn bị: cấu hình Cisco ACS join domain và cấu hình DHCP
   [Lab 7.1] Dynamic VLAN Assignment with Cisco ACS and Switch
2. Phần 2: Cấu hình Authorizatio Profiles trên Cisco ACS 5.8
   [Lab 7.2] Dynamic VLAN Assignment with Cisco ACS and Switch
3. Cấu hình Authentication, Dot1x... trên Switch 2960. Test thử trường hợp PC không sử dụng 802.1x thì sẽ được assignment VLAN 30.
   [Lab 7.3] Dynamic VLAN Assignment with Cisco ACS and Switch
4. Phần 4: Test Dynamic Assignment lab còn lại để đảm bảo hoàn thành đúng như yêu cầu:
   [Lab 7.4] Dynamic VLAN Assignment with Cisco ACS and Switch

- Video lab config Dynamic VLAN Assignment with Cisco ACS 5.8

1. Config Dynamic Assignment VLAN trên Cisco ACS 5.8
   
   
   
   
2. Config Dynamic Assignment VLAN trên Switch 2960
   
   
   
   
3. Test tính năng 802.1x đã cấu hình
   
   

- Hoặc các bạn có thể tham khảo thêm các bài lab cấu hình Dynamic VLAN Assignment witch Microsoft NAPS.

1. [Lab 3.1] Config dynamic Vlan Switch by Radius windows
2. [Lab 3.2] Config dynamic Vlan Switch by Radius windows
3. [Lab 3.3] Config dynamic Vlan Switch by Radius windows
4. [Lab 3.4] Config dynamic Vlan Switch by Radius windows

- Xem thêm các bài lab AAA khác tại:

• Tổng hợp Lab Cisco AAA

II/ Config Authorization dynamic assign VLAN on Switch 2960

- Sau khi cấu hình Authorization trên Cisco ACS 5.8 xong. Chúng ta sẽ cấu hình enable AAA và cấu hình 802.1x trên Switch 2960. Khi kích hoạt tính năng AAA xong những người dùng muốn truy cập port của Switch phải sử dụng username và password để chứng thực.

Sau khi chứng thực thành công Cisco ACS sẽ cấp quyền cho user đó (cấp VLAN cho user) tương ứng với Profiles mà user đó thuộc.
- Chúng ta cần kích hoạt tính năng AAA và 802.1x trên Switch 2960 và thực hiện chựng với Radius Server.

//tạo các VLAN

//Đặt IP cho interface VLAN 1 cho khách hàng

//Đặt IP cho interface VLAN 10 cho group “ADMIN”

//Đặt IP cho interface VLAN 20 cho group “STAFF”

//Kích hoạt AAA trên Switch

//Kích hoạt 802.1x trên Switch

// Cấu hình port-based authentication trên port f0/1

// Cấu hình dynamic vlan assignment cisco 2960

// Cấu hình dynamic vlan assignment trên interface f0/1.

• Đối với các thiết bị không enbale 802.1x sẽ được assign vlan 30
• Đối với các user chứng thực sai sẽ được assign vlan 40

2/ Enable 802.1x on PC

- Để sử dụng được 802.1x các client phải kích hoạt tính năng 802.1x. Nếu không kích hoạt thì người dùng sẽ không xác thực được và sẽ được gán vào VLAN 30.
- Nếu các máy đã join domain chúng ta có thể tạo policy trên Active Directory để enable 802.1x cho các PC đã join domain. Ở đây PC này chưa join domain nên mình sẽ phải start service “Wired AutoConfig” để kích hoạt 802.1x




- Sau đó chúng ta phải cấu hình phương thức xác thực cho card mạng của người dùng gắn vào Switch.




- Sau khi các bạn start service 802.1x thì “Ethernet Properties” sẽ có thêm tab “Authentication”. Các bạn chọn “Enable IEEE 802.1X authentication” để kích hoạt và chọn phương thức xác thực với RADIUS server là “Microsoft: Protected EAP (PEAP)”.





- lựa chọn phương thức xác thực mật khẩu “Secured password (EAP-MSCHAP-v2”.




Các bạn bỏ dấu check ra khỏi mục “Automatic use my Windows login name and password (and domain if any). Cái này chỉ sử dụng trong trường hợp người dùng sử dụng PC đã join domain. Khi login với user domain trên máy đã join domain thì PC sẽ tự động thực hiện việc xác thực giúp mình.






- Thiết lập một số thông số thêm





- Chọn chế độ xác thực là sử dụng “User authentication”.

3/ Test PC bật chứng thực 802.1x với user thuộc group “ADMIN”.
Bây giờ mình sẽ sử dụng PC vừa cấu hình 802.1x ở trên để test thử tính năng 802.1x đã cấu hình trên. Gắn dây mạng từ PC này vào port f0/1 của Switch 2960. Nó sẽ hiện thị một cửa sổ yêu cầu bạn nhập username và password thuộc group “ADMIN” trong Active Directory chứng thực với RADIUS Server.




- Sau khi bạn nhập đúng username và password domain thuộc group ADMIN thì Server mới cấp DHCP và traffic người dùng mới đi qua được port f0/1 của Switch.

- Chứng thực thành công xong PC sẽ gửi yêu cầu xin DHCP tới DHCP server.





- Đây là thông tin DHCP cấp cho PC chứng thực. Với user admin1@svuit.vn thuộc group “ADMIN” trong Active Directory 2012R2 thì PC sẽ nhận IP thuộc VLAN 10.





- Các bạn vào Switch kiểm tra port f0/1 của Switch 2960. Khi PC gắn vào port f0/1 các bạn sẽ thấy port f0/1 đã start dot1x.

- Khi client gửi thông tin đăng nhập đến server chính xác thì nó sẽ thấy log chứng thực thành công.

- Khi PC gán vào port f0/1 của Switch và nhập thông tin chứng thực bằng user admin1@svuit.vn thì port f0/1 của switch sẽ được chuyển sang VLAN 10.




- Các bạn sử dụng lệnh “show authentication session int f0/1” các bạn sẽ thấy user admin1@svuit.vn sẽ được cấp VLAN theo policy chúng ta đã cấu hình trên NPS server.

- Các bạn “show dot1x int f0/1 detail” để kiểm tra chứng thực dot1x trên port ff0/1 của Switch. Các bạn sẽ thấy user admin1@svuit.vn của PC gắn vào port f0/1 sẽ thấy trạng thái port f0/1 là “Authorized”.

4/ Test PC enable 802.1x với user thuộc group “STAFF”.

- Bây giờ mình sẽ sử dụng PC vừa cấu hình 802.1x ở trên để test thử tính năng 802.1x đã cấu hình trên. - - Gắn dây mạng từ PC này vào port f0/1 của Switch 2960. Nó sẽ hiện thị một cửa sổ yêu cầu bạn nhập username và password group “STAFF” trong Active Directory để chứng thực với RADIUS Server.




- Sau khi bạn nhập đúng username và password domain thuộc group STAFF và chứng thực thành công thì Server mới cấp DHCP thuộc VLAN 20. Các bạn sẽ thấy PC được cấp IP 172.16.20.1 thuộc VLAN 20 như Policy đã cấu hình trên NPS.




- Các bạn vào Switch kiểm tra port f0/1 của Switch 2960. Khi PC gắn vào port f0/1 các bạn sẽ thấy port f0/1 đã start dot1x.

- Khi client gửi thông tin đăng nhập đến server chính xác thì nó sẽ thấy log chứng thực thành công.

- Khi PC gán vào port f0/1 của Switch và nhập thông tin chứng thực bằng user nv1@svuit.vn thì port f0/1 của switch sẽ được chuyển sang VLAN 20.





- Các bạn sử dụng lệnh “show authentication session int f0/1” các bạn sẽ thấy user nv1@svuit.vn sẽ được cấp VLAN theo policy chúng ta đã cấu hình trên NPS server.

- Các bạn “show dot1x int f0/1 detail” để kiểm tra chứng thực dot1x trên port ff0/1 của Switch. Các bạn sẽ thấy user nv1@svuit.vn của PC gắn vào port f0/1 sẽ thấy trạng thái port f0/1 là “Authorized”.

5/ Test PC enable 802.1x với user chứng thực sai.

- Bây giờ mình sẽ sử dụng PC vừa cấu hình 802.1x ở trên để test thử tính năng 802.1x đã cấu hình trên.

- Khi gắn dây mạng từ PC này vào port f0/1 của Switch 2960, nó sẽ khởi động chứng thực 802.1x với PC. Trên PC sẽ hiện thị một cửa sổ yêu cầu bạn nhập username và password sai để chứng thực sai với RADIUS Server.




- Khi bạn nhập thông tin xác thực sai thì card mạng Ethernet của PC sẽ hiện thị “Authentication failed” và nó không nhận IP từ DHCP server được.

- Lúc này mọi traffic của PC sẽ không đi được bất cứ đâu.





- Các bạn vào Switch kiểm tra port f0/1 của Switch 2960. Khi PC gắn vào port f0/1 các bạn sẽ thấy port f0/1 đã start dot1x.

- Khi client gửi thông tin đăng nhập sai của PC đến server thì trên Switch sẽ thấy log chứng thực sai của client.



- Các bạn sử dụng lệnh “show authentication session int f0/1” các bạn sẽ thấy user-name “Unressponsive” sẽ không được cấp IP. Trạng thái phương thức chứng thực dot1x là “failed over”.

- Các bạn “show dot1x int f0/1 detail” để kiểm tra chứng thực dot1x trên port f0/1 của Switch. Các bạn sẽ thấy trạng thái port f0/1 là “Unauthorized”.

6/ Monitoring Authentication and authorization on Cisco ACS 5.8

Các bạn có thể kiểm tra trên Cisco ACS các session đã thực hiện aiuthentication và authorization vào thiết bị Authenticator (Switch 2960).




- Dưới đây là các session chứng thực của user khi gắn PC vào port interface f0/1 của Switch 2960