root

Leader IT/Architect
Dec 31, 2012
1,153
72
48

Dynamic VLAN Assignment with Cisco ACS and Switch - Part 2


Config Authorization Profiles dynamic VLAN assignment on Cisco ACS 5.8
Ở phần này chúng ta sẽ tạo các Authorization Profiles cho các Group Domain User tương ứng. Khi user authentication thành công nó sẽ được mapping vào Authorization mà chúng ta đã tạo.
Chúng ta sẽ cấu hình Dynamic assignment VLAN dựa trên các Authorization Profiles. Chúng ta sẽ tạo ra Authorization Profiles

  • ADMIN-VLAN-10: Authorization profiles này sẽ được assign VLAN 10
  • ADMIN-VLAN-20: Authorization profiles này sẽ được assign VLAN 20
Series lab config Dynamic VLAN Assignment with RADIUS server ACS 5.8 and Switch 2960
  1. Phần 1: Chuẩn bị: cấu hình Cisco ACS join domain và cấu hình DHCP
    [Lab 7.1] Dynamic VLAN Assignment with Cisco ACS and Switch
  2. Phần 2: Cấu hình Authorizatio Profiles trên Cisco ACS 5.8
    [Lab 7.2] Dynamic VLAN Assignment with Cisco ACS and Switch
  3. Cấu hình Authentication, Dot1x... trên Switch 2960. Test thử trường hợp PC không sử dụng 802.1x thì sẽ được assignment VLAN 30.
    [Lab 7.3] Dynamic VLAN Assignment with Cisco ACS and Switch
  4. Phần 4: Test Dynamic Assignment lab còn lại để đảm bảo hoàn thành đúng như yêu cầu:
    [Lab 7.4] Dynamic VLAN Assignment with Cisco ACS and Switch
- Video lab config Dynamic VLAN Assignment with Cisco ACS 5.8
  1. Config Dynamic Assignment VLAN trên Cisco ACS 5.8


  2. Config Dynamic Assignment VLAN trên Switch 2960


  3. Test tính năng 802.1x đã cấu hình


- Hoặc các bạn có thể tham khảo thêm các bài lab cấu hình Dynamic VLAN Assignment witch Microsoft NAPS.

  1. [Lab 3.1] Config dynamic Vlan Switch by Radius windows
  2. [Lab 3.2] Config dynamic Vlan Switch by Radius windows
  3. [Lab 3.3] Config dynamic Vlan Switch by Radius windows
  4. [Lab 3.4] Config dynamic Vlan Switch by Radius windows
- Xem thêm các bài lab AAA khác tại:

3/ Config Cisco ACS dynamic vlan assignment


Step 1: Config Authorization Profiles dynamic assign VLAN on Cisco ACS 5.8
Trước tiên chúng ta cần tạo các Authorization Profiles trên Cisco ACS. Authorization Profiles được dùng để phân quyền cho các user đã chứng thực thành công. User chứng thực thành công sẽ được cấp các quyền hạn thuộc Authorization profiles của user đó.

Để tạo Authorization Profiles các bạn vào

Policy Elements > Authorization and Permissions > Network Access > Authorization Profiles > Create

6ZXD7HQ3jO8EkVY_4s3bUuvsS5v9bw8C5qe3JSPWDSNskv_KAJN9Le2xPcJ6ukA4m6WWxCaM2EZiMVlgABWOVIrx7vIj6nQdzPFPMpA514QbLYvfoehbFzX2DeiP8gMWk7n6CFJICqVZebaQMg


- Đặt tên Authorization profiles mà các bạn muốn tạo

F9lwjlihkOUFyWwU9zPsvxtI96VWijZZF3WVpaXvjq8QZk1Egd8cfvNu6DzPghoGyyc4SGONQh7uS0b1gXm35A3afIXWKONfQlAF3hAvCeFkc8hQdr-eG5o-EIHo9B_ad9LDZ7tw_RiISDBVkg



- Các bạn bỏ qua cấu hình tab “Common Tasks”.

rRm-GYaJPa8IEenOUISOmAEDtT1Y149xYuUBMcYUTjItvjygRB3vezpUYwjMMdvIwfWpK5lZ1Ok1w_qkprvAzdzX5s5ET6nLlTF__qicBZYoYPeuNWmQ5ouDbMBg2oq5VeLyHpOoqs7ACwyY7Q



- Tại RADIUS Attributes các bạn sẽ cấu hình phân quyền cho Authorization Profiles mà các bạn tạo ra. Chúng ta sẽ cấu hình RADIUS Attributes để các user thuộc group domain “ADMIN” sẽ được cấp VLAN 10 (VLAN dành cho group ADMIN).
- Để cấu hình Dynamic Assign VLAN chúng ta sẽ cấu hình thuộc tính RADIUS-IETF nhưu sau:

RADIUS-IETFRADIUS AttributeSelect

ENvQGvAqiaBekLAnVjwLxz_j82wuf5b68QuU9ZlzWWVA_2VjgyP2EltqTs2voc18--IUI7xIoHcHRgmJKji2DHzwEXGvZ9mEv_P3Vt-8vWN3QD3riBFvCP_eFu_7I1aSaeK1RWR5nKXmibbD7w



- Thuộc tính đâu tiên chúng ta cần chọn là “Tunnel-type

D1qEQKqpXSCOLCO7zJR1IxzG3i1bwSS0A-I6C5ElueLm1C2nT-JIiTRMQj9SX7U_PVji-RWt_c6yBBWd_0zdk3JWnXPY6dJki0WH_G8iSAWWKGnz13or5R1yr-UkZ6zPtorfHnnmIl5EtVVbIQ


- Ở mục “Attribute Value” các bạn chọn “VLAN” và tag “1”.

J4wBX0MiSwg8xZI9fRxdvISByJ-o1XSaO8W7waDkaTW1GGA4g5fCjUH2e7HtAbCNT_wFwVYv1qhu66Iuf-tLIhccaHWmYGvCeQsWeAr81OqTHykGoKpbJ053YcND1HpF274WHsNvOrljdTDCHw



- Sau khi cấu hình xong thuộc tính thứ nhất các bạn chọn “add” để nó add vào bảng Attribute của Authorization Profiles.

EaLc4lnTo85yqpavzfFfhu8BS2wPXvcl4dWpJcboAcJ61EQKH22TKGIndoFZQRkV3KglOnOgCBU1w7SaXV6B13C0sh8cXYI_Fmyfy4kZlNzsdqN0wm6_1FNmclodQ3wU_3U3a_hJiukDcsCNoA



- Tương tự các bạn thêm thuộc tính

Tunnel-Medium-Type = 802

_REbD0aOSpi5lDLzHwBaCp38bDhpN5DlG8YCg-m2daTz9rr5oO0eyqh0nPzipk-pHXNtbzKu--SrwQHQ4GXKQukS7GpNd9bJ3h9AUY0Q2wERgeFOcj2YUCjIGE4sM4LRfI_mB0lRrhNgJuwlnA



- Và cuối cùng là thuộc tính VLAN-ID sẽ cấp cho Authorization Profiles này. Đây là Authorization Profiles của group domain “ADMIN” nên mình sẽ cấp cho nó VLAN 10 (VLAN dành cho group ADMIN).

Tunnel-Private-Group-ID = 10

QshJ8OlIaP1ktaLn2JmdVXkJV_91KRl413wHYuaIVazkDuFm86M3XuMAsOenfWZ3-7URvUrrq7Clw5pR3iJk11nXFrUvvPrmMXnovAOKJxwD1znqtq3KRQoLJ-KpZ_y55423JUAE5bPh5sICaw



- Sau khi cấu hình xong các Attributes dành cho Authorization Profiles “ADMIN” chúng ta cần nhấn “Submit” để lưu lại cấu hình của Profiles này.

JqWoRubWrETYFH_tfrNHzMiNcJ-jQ11U4Th7o2EKoEI0re86UqzJBAchT4Kw2kU7tr3VPF_TMKx4CYQiy6r3eIPpne_vM3XPZKeE2pczp_Yg3HxD7hq3bIXWUVve3WPzEouOLxNKcF50uMeqHw



- Như vậy chúng ta đã cấu hình xong Authorization Profiles “ADMIN” và cấu hình assign vlan 10 cho Authorization Profiles “ADMIN”.

jltX2Jn6SLf8wUnqyu4l0CHOQ8RVtHc_VFfwb6CCxREgAlv0Mkj_HzRY3PfyXTCjTdjCFjCJzOXmm5LP2LL8l7oP95_ZYsbInRIa1UrQGCTiLPb6J0TZSF-rpdtfi9b7iY0gDD3cas09hxM8pw


- Tương tự, các bạn tạo Authorization Profiles “STAFF-VLAN-20” dành cho group domain “STAFF” và chúng ta sẽ assign VLAn 20 cho Authorization Profiles này.

lgYZ_50WY5JrbXASIyh3Hf13p7zWt2hVS4JeM4D_p7aB6PJ_UP02qW9amcWLQ7e5MYaLBgZWjoZDWRLvQKGE3ejgrBK_g2_rpjqK5WTMUzj0_k-BXDaupRDf8fTYVvSggwhJ1OC3YJpEnon42g



- Cấu hình các Attributes cho Authorization Profiles “STAFF-VLAN-20”.

Tunnel-Type = 64 = VLAN
Tunnel-Medium-Type = 802
Tunnel-Private-Group-ID = 20


Z2cRvRmLEdp67fgbOxvIU6U6RDoDasDky1UnPSqf73yUuHvnh9wC0t7fA1UAjgQwhjAqqzpWfkHOAbGeqUt_w9K5DLpxwe6E_xGo6CdOFLUMu07cGjJzPtmClX6ESMS8Ush-z2CMR_M5YfOtYA



- Như vậy, chúng ta đã tạo thành công 2 Authorization Profiles “ADMIN-VLAN-10” và “STAFF-VLAN-20”.

IJUS8zC3_wP-w6CdM313zHPRP9YRn0q_4AnkGFrCAJubDC8fHqm8a8SKq3NMitX8ByH1ZzL4D-UdSIzRpvhYNz43SDRlLCUxhw3rYzUjywtjAdIzJRxnhuu9QJwsYyYU9Eg-mWi0uc6pJoPHIw
 
Last edited:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu