Cisco ASA [Lab 3.3] Config dynamic Vlan Switch by Radius windows

Discussion in 'Lab 802.1x' started by root, Jun 10, 2016.

  1. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    48
    Trophy Points:
    48

    802.1x Dynamic Vlan by Radius Active Directory windows 2012R2 - part 3



    - Phần 1: Cài đặt dịch vụ NPS và DHCP trên windows server 2012R2. Cấu hình DHCP cấp IP cho các VLAN 10 (cho group ADMIN), VLAN 20 (Group STAFF) và VLAN 30 (cho các khách hàng không thực hiện chứng thực 802.1x).
    - Phần 2: Cấu hình tích hợp NPS với Active Directory windows server 2012R2. Sau đó chúng ta cần tạo policy trên NPS để chứng thực người dung và cấp vlan theo từng group user domain.


    - Phần 3: Cấu hình Switch Cisco 2960, tạo các VLAN 10,20,30 cho các group user ADMIN, STAFF, và khách hàng. Trên các interface vlan 10,20,30 chúng ta cần cấu hình DHCP relay. Bật chứng thực 802.1x trên switch và các port của Switch. Khi PC gắn vào 1 port trên Switch thì sẽ yêu cầu user chứng thực.

    - Phần 4: Phần cuối cùng chúng ta sẽ test các trường hợp khi gắn PC vào 1 port của Switch.

    Download file config Lab: DOWNLOAD

    - Phần 1: http://svuit.vn/threads/lab-3-1-config-dynamic-vlan-switch-by-radius-windows-1205/
    - Phần 2: http://svuit.vn/threads/lab-3-2-config-dynamic-vlan-switch-by-radius-windows-1206/
    - Phần 3: http://svuit.vn/threads/lab-3-3-config-dynamic-vlan-switch-by-radius-windows-1207/
    - Phần 4: http://svuit.vn/threads/lab-3-4-config-dynamic-vlan-switch-by-radius-windows-1208/

    - Video hướng dẫn cấu hình và test
    • Phần 1:
    • Phần 2:
    • Phần 3:

    II/ Cấu hình Switch 2960


    - Chúng ta cần kích hoạt tính năng AAA và 802.1x trên Switch 2960 và thực hiện chựng với Radius Server.

    //tạo các VLAN
    Code:
    Switch(config)#vlan 10
    Switch(config-vlan)#name svuit-ADMIN
    Switch(config)#vlan 20
    Switch(config-vlan)#name svuit-STAFF
    //Đặt IP cho interface VLAN 1 cho khách hàng
    Code:
    Switch(config)#interface vlan 1
    Switch(config-if)#ip address 10.123.10.250 255.255.255.0
    Switch(config-if)#no shut
    Switch(config-if)#exit
    //Đặt IP cho interface VLAN 10 cho group “ADMIN” và cấu hình DHCP relay agent trên VLAN 10.
    Code:
    Switch(config)#interface vlan 10
    Switch(config-if)#ip address 172.16.10.250 255.255.255.0
    Switch(config-if)#ip helper-address 10.123.10.10
    Switch(config-if)#no shut
    Switch(config-if)#exit
    //Đặt IP cho interface VLAN 20 cho group “STAFF” và cấu hình DHCP relay agent trên VLAN 20
    Code:
    Switch(config)#interface vlan 20
    Switch(config-if)#ip address 172.16.20.250 255.255.255.0
    Switch(config-if)# ip helper-address 10.123.10.10
    Switch(config-if)#no shut
    //Kích hoạt AAA trên Switch
    Code:
    Switch(config)#aaa new-model
    Switch(config)#aaa authentication dot1x default group radius
    //Kích hoạt 802.1x trên Switch
    Code:
    Switch(config)#dot1x system-auth-control
    Switch(config)#radius-server host 10.123.10.10 auth-port 1812 acct-port 1813 key svuit.vn
    // Cấu hình port-based authentication trên port f0/1
    Code:
    Switch(config)#int f0/1
    Switch(config-if)#switchport mode access
    Switch(config-if)#dot1x port-control auto
    // Cấu hình dynamic vlan assignment cisco 2960
    Code:
    aaa authorization network default group radius if-authenticated
    // các user chứng thực thành công với username thuộc group “STAFF” và “ADMIN” trong Active Directory sẽ được cấp VLAN theo policy chúng ta đã cấu hình trên NPS server.
    Code:
    Switch(config)# aaa authorization network default group radius
    // Cấu hình cho những máy tính không chứng thực 802.1x thuộc VLAN 1
    Code:
    Switch(config-if)#dot1x guest-vlan 1
    - 802.1x trên port:

    Một số dòng switch khi tab sẽ không ra lệnh này, tuy nhiên chúng ta vẫn có thể gõ lệnh này và sử dụng bình thường.
    Code:
    Switch(config-if)#dot1x port-control auto 
    Hoặc có thể sử dụng lệnh sau để thay thế
    Code:
    Switch(config-if)# dot1x pae authenticator
    Switch(config-if)# authentication port-control auto
    - Ở đây port-control có các mode
    • force-authorized: port luôn ở trạng thái được chứng thực, tất cả dữ liệu từ client đều được chấp nhận
    • force- unauthorized: port luôn ở trạng thái không được chứng thực, tất cả dữ liệu từ client đều bị đánh rớt.
    • auto: bật 802.1x, port sẽ chuyển từ trạng thái unauthorized sang authorized nếu người dùng cung cấp đúng username và password
    - Mặc đinh 802.1x chỉ hỗ trợ 1 client trên port cấu hình 802.1x. Vì vậy để cho phép nhiều client truy xuất trên một port cấu hình 802.1x chúng ta cần dùng thêm lệnh sau:
    Code:
    Switch(config-if)#dot1x host-mode multi-host
     
    Last edited: Jun 12, 2016
  2. root

    root Well-Known Member

    Joined:
    Dec 31, 2012
    Messages:
    1,186
    Likes Received:
    48
    Trophy Points:
    48
    2/ bật chứng thực 802.1x cho PC
    - Để sử dụng được 802.1x các client phải kích hoạt tính năng 802.1x. Nếu không kích hoạt thì người dùng sẽ không xác thực được và sẽ được gán vào VLAN 30.
    - Nếu các máy đã join domain chúng ta có thể tạo policy trên Active Directory để enable 802.1x cho các PC đã join domain. Ở đây PC này chưa join domain nên mình sẽ phải start service “Wired AutoConfig” để kích hoạt 802.1x

    [​IMG]


    - Sau đó chúng ta phải cấu hình phương thức xác thực cho card mạng của người dùng gắn vào Switch.

    [​IMG]


    - Sau khi các bạn start service 802.1x thì “Ethernet Properties” sẽ có thêm tab “Authentication”. Các bạn chọn “Enable IEEE 802.1X authentication” để kích hoạt và chọn phương thức xác thực với RADIUS server là “Microsoft: Protected EAP (PEAP)”.

    [​IMG]


    - lựa chọn phương thức xác thực mật khẩu “Secured password (EAP-MSCHAP-v2”.

    [​IMG]


    Các bạn bỏ dấu check ra khỏi mục “Automatic use my Windows login name and password (and domain if any). Cái này chỉ sử dụng trong trường hợp người dùng sử dụng PC đã join domain. Khi login với user domain trên máy đã join domain thì PC sẽ tự động thực hiện việc xác thực giúp minh.

    [​IMG]


    - Thiết lập một số thông số thêm

    [​IMG]


    - Chọn chế độ xác thực là sử dụng “User authentication”.

    [​IMG]
     

Share This Page