Cisco ASA [Lab 1.3] Dot1x authentication Switch and NAPS windows

[root]

Cấu hình telnet Switch Cisco 2960 Authentication với NPS Active Directory windows 2012 - Part 3

Ở 2 phần trước chúng ta đã hoàn thanh cấu hình chứng thực giữa Cisco Switch 2960 với NPS và active Directory trên Windows 2012R2. Phần này chúng ta sẽ kiểm tra kết quả và phân tích các gói tin telnet và chứng thực qua giao thức RADIUS giữa PC telnet với Switch 2960 và NPS Radius Server windows 2012.

1. Lab 1: http://svuit.vn/threads/lab-1-1-dot1x-authentication-switch-and-naps-windows-1196/
2. Lab 2: http://svuit.vn/threads/lab-1-2-dot1x-authentication-switch-and-naps-windows-1197/
3. Lab 3: http://svuit.vn/threads/lab-1-3-dot1x-authentication-switch-and-naps-windows-1198/

- Download file cấu hình bài lab: Download

- Video hướng dẫn:

1. Part 1:
   
2. Part 2:
   

II/ Cấu hình Switch 2960

- Chúng ta cần kích hoạt tính năng AAA trên Switch 2960 và thực hiện chựng với Radius Server.

Switch(config)#aaa new-model
Switch(config)#radius-server host 10.123.10.10 key svuit@123
Switch(config)#ip radius source-interface vlan 1
Switch(config)#aaa authentication login default group radius local
Switch(config)#aaa authorization exec default group radius
Switch(config)#line vty 0 4
Switch(config-line)#login authentication default

III/ Test và Phân tích

1/ Test
Bây giờ mình sẽ sử dụng PC có IP: 10.123.10.1 telnet vào Switch Cisco 2960.
Mình sẽ sử dụng user “admin1” thuộc group “ADMIN” để telnet vào 2960.

Bạn cũng có thể telnet vào Switch 2960 với user admin1@svuit.vn vì 2 user “admin1” và admin1@svuit.vn là như nhau.

Sau khi login thành công, chúng ta thử kiểm tra quyền cấp cho user “admin1”. Trên RADIUS chúng ta đã cấp cho user “admin1” mức quyền level 15 như đúng với kiểm tra trong hình dưới đây.

- Tương tự chúng ta thử kiểm tra với user domain nv1@svuit.vn thuộc group “STAFF”. Telnet thành công và user này được cấp quyền ở level 5 như chúng ta đã cấu hình trên NPS.

 

[root]

2/ Phân tích
- Chúng ta sẽ dùng WireSharke để phân tích quá trình chứng thực khi client telnet vào Switch như thế nào.
- Đầu tiên sẽ là các gói telnet từ Client PC (10.123.10.1) đến Switch Cisco 2960.
- Sau khi PC gửi các lệnh telnet đến Cisco 2960 thì Switch Cisco 2960 sẽ gửi lại gói telnet với yêu cầu bạn nhập Username

- Khi PC gửi username để telnet đến Cisco 2960 thì nó sẽ gửi các ký tự. Ví dụ “admin1” thì nó sẽ gửi 6 gói tin với mỗi gói có 1 ký tự của user “admin1”.
Đây là gói có ký tự “a”.

Tiếp theo là gói có ký tự “d”

Tiếp theo là gói có ký tự “m”

….

Sau khi gửi đủ các ký tự của username, Switch 2960 sẽ gửi 1 gói tin telnet yêu cầu bạn nhập password vào cho nó.

Chúng ta có thể sử dụng TCP Follow Stream để xem lại thông tin đã trao đổi giữa PC và Cisco 2960. Ở đây chúng ta có thể thấy Username và Password telnet mà PC đã gửi đến Switch 2960.

- Tiếp theo chúng ta sẽ phân tích các gói tin truyền giữa Switch Cisco 2960 và NPS server. Username và password telnet mà PC gửi cho Cisco 2960 sẽ được Switch gửi đến cho NPS server thông qua giao thức RADIUS.
- Các bạn sẽ thấy username và password (bị mã hóa) trong giao thức RADIUS của gói tin Switch 2960 gửi cho NPS server để yêu cầu quyền truy cập telnet cho Client “Access-Request”.

- NPS kiểm tra policy và gói tin chứng thực đáp ứng đủ các điều kiện thì NPS sẽ gửi lại gói tin “Access-Accept” để cho phép PC truy cập vào Switch 2960 đồng thời gán cho user “admin1” quyền level 15. Các bạn có thể xen trong trường Attribute của giao thức RADIUS mà NPS gửi cho Switch 2960.

 

[Tranvantrivn]

Thanks Root, bài viết rất hay.

 

[root]

Thanks Root, bài viết rất hay.

Mới khởi đầu thôi anh đón chờ tập 2 phát hành trong chiều nay