Cisco ASA [Lab 2.5] Port based authen on Switch and NPS windows

Discussion in 'Lab 802.1x' started by root, Jun 8, 2016.

  1. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    51
    Trophy Points:
    48

    [Lab 1.5] Port-based Authentication NPS windows 2012R2 - Part 5


    Phần 1: chúng ta đã cài đặt xong các dịch vụ Active Directory, DHCP và NPS trên windows server 2012R2 thanh công.
    Phần 2: chúng ta sẽ cấu hình Radius Client (switch cisco 2960) với NPS server (active directory windows 2012R2). Đảm bảo Radius client và Server có thể trao đổi việc xác thực của client. Tích hợp NPS với Active Directory windows 2012R2 để chúng ta có thể tạo các policy xác thực user domain.
    Phần 3: Chúng ta sẽ cấu hình policy để xác thức với các user domain. Sau khi xác thực thanh công với NPS thì Client mới khởi tạo các traffic khác được.
    Phần 4: Chúng ta sẽ phải cấu hình 802.1x trên Switch và các PC để thực hiện chứng thực với NPS trên windows server 2012R2


    Phần 5: các công đoạn cấu hình đã xong. Phần này chúng ta sẽ kiểm tra việc xác thực khi PC gắn vào 1 port trên Switch Cisco 2960. Sau đó chúng ta sẽ sử dung wiresharke để bắt các gói chứng thực giữa PC với Switch và RADIUS server (NPS server trên windows 2012R2).

    - Phần 1: http://svuit.vn/threads/lab-2-1-port-based-authen-on-switch-and-nps-windows-1199/
    - Phần 2: http://svuit.vn/threads/lab-2-2-port-based-authen-on-switch-and-nps-windows-1200/
    - Phần 3: http://svuit.vn/threads/lab-2-3-port-based-authen-on-switch-and-nps-windows-1201/
    - Phần 4: http://svuit.vn/threads/lab-2-4-port-based-authen-on-switch-and-nps-windows-1202/
    - Phần 5: http://svuit.vn/threads/lab-2-5-port-based-authen-on-switch-and-nps-windows-1203/

    - Video hướng dẫn cấu hình và test
    1. Phần 1: Cấu hình port Based authentication với NPS tích hợp Active Directory 2012R2



    2. Phần 2: Kiểm tra tính năng port based authen with NPS windows 2012 mà chúng ta đã cấu hình ở phần 1. PC chưa join domain sẽ gắn dây ethenet vào port đã cấu hình 802.1x trên Switch Cisco 2960 để kiểm tra kết quả



    3. Phần 3: Kiểm tra tính năng port based authen with NPS windows 2012 mà chúng ta đã cấu hình ở phần 1. Lần này chúng ta sẽ test với PC đã join domain. Khi PC gắn dây ethenet vào port đã cấu hình 802.1x trên Switch Cisco 2960 thì nó sẽ tự động thực hiện authentication và người dùng không cần phải nhập username và password như bài test ở phần 2


    - Download file cấu hình bài lab: DOWNLOAD


    III/ Test và Phân tích


    1/ Test
    Bây giờ mình sẽ sử dụng PC vừa cấu hình 802.1x ở trên để test thử tính năng Port-Based authentication mà chúng ta đã cấu hình ở trên.

    Gắn dây mạng từ PC này vào port f0/1 của Switch 2960. Nó sẽ hiện thị một cửa sổ yêu cầu bạn nhập username và password chứng thực với RADIUS Server.


    [​IMG]

    - Sau khi bạn nhập đúng username và password domain thuộc group ADMIN thì Server mới cấp DHCP và traffic người dùng mới đi qua được port f0/1 của Switch.

    - Chứng thực thành công xong PC sẽ gửi yêu cầu xin DHCP tới DHCP server.


    [​IMG]


    - Đây là thông tin DHCP cấp cho PC


    [​IMG]


    2/ Phân tích
    - Chúng ta sẽ dùng WireSharke để phân tích quá trình chứng thực khi client telnet vào Switch như thế nào.

    - Đầu tiên khi PC gắn dây vào Switch Cisco 2960. Nó sẽ gửi các yêu cầu client chứng thực thông qua giao thức EAP.

    - Sau đó client mới gửi thông tin username và password chứng thực của mình đến cho Switch 2960. Các bạn có thể thấy thông tin người dùng xác thực gửi cho server thông qua gói EAP Response.

    [​IMG]


    Switch sẽ chuyển các gói tin chứng thực của Client đến RADIUS server (NPS trên windows server 2012R2).

    NPS server (RADIUS Server) sẽ kiểm tra các thông tin xác thực của người dùng gửi. Nếu thỏa mãn các điều kiện nó sẽ gửi gói tin Access-Accept cho Switch.

    [​IMG]


    - Switch sẽ gửi cho server gói tin EAP và thông báo PC là nó đã xác thực thành công. Lúc này PC mới khởi tạo được gói DHCP request để xin DHCP và các gói tin khác.

    [​IMG]
     
    Last edited: Jun 11, 2016
  2. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    51
    Trophy Points:
    48
    log debug chứng thực trên Switch CISCO 2960 khi PC gắn dây mạng vào 1 port của Switch Cisco 2960
    Code:
    Switch#debug dot1x all
     
    Last edited: Jun 8, 2016
  3. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    51
    Trophy Points:
    48
    Khi PC nhập username và password và nhấn enter gửi gói tin chứng thực. Và log debug cho thấy user này đã xác thực thanh công và trạng thái port f0/1 của switch sẽ chuyển từ trang thái down sang up

     

Share This Page