AAA [Lab 7.2] Dynamic VLAN Assignment with Cisco ACS and Switch

Discussion in 'Lab 802.1x' started by root, Jul 3, 2016.

  1. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,163
    Likes Received:
    18
    Trophy Points:
    38

    Dynamic VLAN Assignment with Cisco ACS and Switch - Part 2


    Config Authorization Profiles dynamic VLAN assignment on Cisco ACS 5.8
    Ở phần này chúng ta sẽ tạo các Authorization Profiles cho các Group Domain User tương ứng. Khi user authentication thành công nó sẽ được mapping vào Authorization mà chúng ta đã tạo.
    Chúng ta sẽ cấu hình Dynamic assignment VLAN dựa trên các Authorization Profiles. Chúng ta sẽ tạo ra Authorization Profiles

    • ADMIN-VLAN-10: Authorization profiles này sẽ được assign VLAN 10
    • ADMIN-VLAN-20: Authorization profiles này sẽ được assign VLAN 20
    Series lab config Dynamic VLAN Assignment with RADIUS server ACS 5.8 and Switch 2960
    1. Phần 1: Chuẩn bị: cấu hình Cisco ACS join domain và cấu hình DHCP
      [Lab 7.1] Dynamic VLAN Assignment with Cisco ACS and Switch
    2. Phần 2: Cấu hình Authorizatio Profiles trên Cisco ACS 5.8
      [Lab 7.2] Dynamic VLAN Assignment with Cisco ACS and Switch
    3. Cấu hình Authentication, Dot1x... trên Switch 2960. Test thử trường hợp PC không sử dụng 802.1x thì sẽ được assignment VLAN 30.
      [Lab 7.3] Dynamic VLAN Assignment with Cisco ACS and Switch
    4. Phần 4: Test Dynamic Assignment lab còn lại để đảm bảo hoàn thành đúng như yêu cầu:
      [Lab 7.4] Dynamic VLAN Assignment with Cisco ACS and Switch
    - Video lab config Dynamic VLAN Assignment with Cisco ACS 5.8
    1. Config Dynamic Assignment VLAN trên Cisco ACS 5.8



    2. Config Dynamic Assignment VLAN trên Switch 2960



    3. Test tính năng 802.1x đã cấu hình


    - Hoặc các bạn có thể tham khảo thêm các bài lab cấu hình Dynamic VLAN Assignment witch Microsoft NAPS.

    1. [Lab 3.1] Config dynamic Vlan Switch by Radius windows
    2. [Lab 3.2] Config dynamic Vlan Switch by Radius windows
    3. [Lab 3.3] Config dynamic Vlan Switch by Radius windows
    4. [Lab 3.4] Config dynamic Vlan Switch by Radius windows
    - Xem thêm các bài lab AAA khác tại:

    3/ Config Cisco ACS dynamic vlan assignment


    Step 1: Config Authorization Profiles dynamic assign VLAN on Cisco ACS 5.8
    Trước tiên chúng ta cần tạo các Authorization Profiles trên Cisco ACS. Authorization Profiles được dùng để phân quyền cho các user đã chứng thực thành công. User chứng thực thành công sẽ được cấp các quyền hạn thuộc Authorization profiles của user đó.

    Để tạo Authorization Profiles các bạn vào

    Policy Elements > Authorization and Permissions > Network Access > Authorization Profiles > Create

    [​IMG]

    - Đặt tên Authorization profiles mà các bạn muốn tạo

    [​IMG]


    - Các bạn bỏ qua cấu hình tab “Common Tasks”.

    [​IMG]


    - Tại RADIUS Attributes các bạn sẽ cấu hình phân quyền cho Authorization Profiles mà các bạn tạo ra. Chúng ta sẽ cấu hình RADIUS Attributes để các user thuộc group domain “ADMIN” sẽ được cấp VLAN 10 (VLAN dành cho group ADMIN).
    - Để cấu hình Dynamic Assign VLAN chúng ta sẽ cấu hình thuộc tính RADIUS-IETF nhưu sau:

    RADIUS-IETFRADIUS AttributeSelect

    [​IMG]


    - Thuộc tính đâu tiên chúng ta cần chọn là “Tunnel-type

    [​IMG]

    - Ở mục “Attribute Value” các bạn chọn “VLAN” và tag “1”.

    [​IMG]


    - Sau khi cấu hình xong thuộc tính thứ nhất các bạn chọn “add” để nó add vào bảng Attribute của Authorization Profiles.

    [​IMG]


    - Tương tự các bạn thêm thuộc tính

    Tunnel-Medium-Type = 802

    [​IMG]


    - Và cuối cùng là thuộc tính VLAN-ID sẽ cấp cho Authorization Profiles này. Đây là Authorization Profiles của group domain “ADMIN” nên mình sẽ cấp cho nó VLAN 10 (VLAN dành cho group ADMIN).

    Tunnel-Private-Group-ID = 10

    [​IMG]


    - Sau khi cấu hình xong các Attributes dành cho Authorization Profiles “ADMIN” chúng ta cần nhấn “Submit” để lưu lại cấu hình của Profiles này.

    [​IMG]


    - Như vậy chúng ta đã cấu hình xong Authorization Profiles “ADMIN” và cấu hình assign vlan 10 cho Authorization Profiles “ADMIN”.

    [​IMG]

    - Tương tự, các bạn tạo Authorization Profiles “STAFF-VLAN-20” dành cho group domain “STAFF” và chúng ta sẽ assign VLAn 20 cho Authorization Profiles này.

    [​IMG]


    - Cấu hình các Attributes cho Authorization Profiles “STAFF-VLAN-20”.

    Tunnel-Type = 64 = VLAN
    Tunnel-Medium-Type = 802
    Tunnel-Private-Group-ID = 20


    [​IMG]


    - Như vậy, chúng ta đã tạo thành công 2 Authorization Profiles “ADMIN-VLAN-10” và “STAFF-VLAN-20”.

    [​IMG]
     
    Last edited: Jul 4, 2016

Share This Page