AAA [Lab 7.3] Dynamic VLAN Assignment with Cisco ACS and Switch

Discussion in 'Lab 802.1x' started by root, Jul 3, 2016.

  1. root

    root Active Member

    Joined:
    Dec 31, 2012
    Messages:
    1,163
    Likes Received:
    18
    Trophy Points:
    38

    Dynamic VLAN Assignment with Cisco ACS and Switch - Part 3


    Config Access Policies Dynamic VLAN assignment on Cisco ACS 5.8

    ở phần 2 chúng ta đã tạo ra các Authorization Profiles để assign các VLAN tương ứng với các Profiles.
    Phần này chúng ta sẽ apply các Authorization Profiles đó vào trong Access Policies để nó hoạt động.

    Series lab config Dynamic VLAN Assignment with RADIUS server ACS 5.8 and Switch 2960
    1. Phần 1: Chuẩn bị: cấu hình Cisco ACS join domain và cấu hình DHCP
      [Lab 7.1] Dynamic VLAN Assignment with Cisco ACS and Switch
    2. Phần 2: Cấu hình Authorizatio Profiles trên Cisco ACS 5.8
      [Lab 7.2] Dynamic VLAN Assignment with Cisco ACS and Switch
    3. Cấu hình Authentication, Dot1x... trên Switch 2960. Test thử trường hợp PC không sử dụng 802.1x thì sẽ được assignment VLAN 30.
      [Lab 7.3] Dynamic VLAN Assignment with Cisco ACS and Switch
    4. Phần 4: Test Dynamic Assignment lab còn lại để đảm bảo hoàn thành đúng như yêu cầu:
      [Lab 7.4] Dynamic VLAN Assignment with Cisco ACS and Switch
    - Video lab config Dynamic VLAN Assignment with Cisco ACS 5.8
    1. Config Dynamic Assignment VLAN trên Cisco ACS 5.8



    2. Config Dynamic Assignment VLAN trên Switch 2960



    3. Test tính năng 802.1x đã cấu hình


    - Hoặc các bạn có thể tham khảo thêm các bài lab cấu hình Dynamic VLAN Assignment witch Microsoft NAPS.
    1. [Lab 3.1] Config dynamic Vlan Switch by Radius windows
    2. [Lab 3.2] Config dynamic Vlan Switch by Radius windows
    3. [Lab 3.3] Config dynamic Vlan Switch by Radius windows
    4. [Lab 3.4] Config dynamic Vlan Switch by Radius windows
    - Xem thêm các bài lab AAA khác tại:

    STEP 2: Config Access policies dynamic Assign VLAN on Cisco ACS 5.8


    - Sau khi các bạn phân quyền xong cho các Authorization Profiles. Các bạn cần add các Authorization Profiles đó vào các Access Rule trong Access Policies để nó apply.
    - Để apply các Authorization Profiles đã tạo ở trên vào Access Policies các bạn vào:

    Access Policies > Access Services > Default Network Access > Edit: "Default Network Access"

    Các bạn edit như hình bên “Default Network Access” dưới.

    [​IMG]


    - Qua bên tab “Allowed Protocols” các bạn chọn các giao thức sử dụng để chứng thực user. Đây là các giao thức chứng thực mà Cisco ACS đã bật cho chúng ta.

    [​IMG]


    - Chúng ta sẽ bật thêm một số giao thức chứng thực khác để hỗ trợ được thêm nhiều thiết bị khác. Ví dụ máy windows mình thường dùng PEAP- MSCHAP-V2.

    - Sau khi chọn xong giao thức dùng để authentication các bạn chọn “Submit” để lưu lại cấu hình vừa rồi.

    [​IMG]


    - Tiếp theo chúng ta cần phải xác định nguồn chứng thực mà chúng ta sẽ sử dụng (Local, LDAP, Active Directory…). Ở đây mình sẽ dùng Identity Store “SVUIT-USER-STORE” của Active Directory mà chúng ta đã cấu hình ở bài lab này. Các bạn có thể xem hướng dẫn của bài lab này để cấu hình Cisco ACS join domain và cấu hình authentication bằng Identity Store của Active Directory trên windows server 2012R2.

    http://svuit.vn/threads/lab-4-2-cisco-acs-5-radius-authentication-switch-with-ad-2012-1253/

    [​IMG]


    - Chúng ta sẽ cấu hình Authorization để thiết lập các điều kiện. Khi user thỏa các điều kiện thì sẽ được assign Authorization Profiles tương ứng mà chúng ta đã tạo ở trên.
    - Mặc đinh Cisco ACS chỉ có 1 điều kiện. Vì vầy chúng ta cần thêm các Conditions (điều kiện) để match chính xác hơn.
    - Để thêm các Conditions trên Cisco ACS các bạn vào

    Access PoliciesDefault Network AccessAuthorization Customize

    [​IMG]


    - Các bạn thêm các Conditions mà các bạn cần sử dụng vào ô bên phải. Chúng ta sẽ phải thêm các điều kiện sau:
    • Protocol: Giao thức chứng thực là RADIUS hay TACACS+
    • AD1:ExternalGroups: Chúng ta sẽ sử dụng các Domain Group để authentication
    • EAP Authentication Method: phương thức chứng thực chúng ta sử dụng là gì
    [​IMG]


    - Sau khi customize các Conditions các bạn sẽ tạo các policy Authorization. Khi user thỏa mãn các conditions mà chúng ta đưa ra trong Policy Authorization thì nó sẽ được sử dụng các quyền trong Authorization Profiles của nó.
    - Để tạo Policy Authorization các bạn chọn

    Access policies Default Network AccessAuthorization Create

    [​IMG]


    - Các bạn cấu hình Policy Rule Authorization trên Cisco ACS như sau
    • Name: Rule-ADMIN. Đặt tên cho Policy Rule Authorization mà các bạn sẽ tạo. Nhớ chọn “Enabled” để kích hoạt policy rule này.
    • Protocols: Radius.
    • Eap Authentication Method: EAP-MSCHAPv2
    • AD1: ExternalGroups: SVUIT-USER/ADMIN. Chọn group domain sẽ được cấp quyền trong policy rules này.
    • Authorization Profiles: ADMIN-VLAN-10. Khi user chứng thực thỏa mãn tất cả các điều kiện ở trên thì nó sẽ được cấp quyền trong Authorization Profiles mà chúng ta đã tạo và phân quyền ở trên.
    Như vậy, nếu user “admin1” của group domain “ADMIN” sẽ thỏa mãn policy rule authorization này. Kết quả là user “admin1” có thể sử dụng các quyền chúng ta đã cấu hình trong “Authorization Profiles” ở trên.

    [​IMG]


    - Các bạn xem lại Policy Authorization Rule “Rule-ADMIN” mà chúng ta đã cấu hình ở trên.

    [​IMG]


    - Tương tự, các bạn tạo thêm Policy Authorization Rule dành cho group domain “STAFF”.
    • Name: Rule-STAFF. Các bạn nhớ chọn “enable” để active policy rule này.
    • Protocols: Radius.
    • Eap Authentication Method: EAP-MSCHAPv2
    • AD1: ExternalGroups: SVUIT-USER/STAFF
    • Authorization Profiles: STAFF-VLAN-20. Khi user chứng thực thỏa mãn tất cả các điều kiện ở trên thì nó sẽ được cấp quyền trong Authorization Profiles mà chúng ta đã tạo và phân quyền ở trên.

    [​IMG]


    - Các bạn xem và kiểm tra lại 2 Policy Rule mà chúng ta đã cấu hình trở trên.
    - Sau khi chúng ta tạo và cấu hình 2 Policy Authorization Rule ở trên chúng ta cần save lại cấu hình. Nếu không nó sẽ bị mất 2 Policy Rules mà chúng ta vừa tạo

    [​IMG]


    - Sau khi các bạn tạo và cấu hình các Policy Rule xong. Chúng ta cần vào “Service Selection Rules” để xác định các request đi vào thỏa điều kiện sẽ được chạy Service nào.
    - Ở đây mình sẽ cấu hình cho phép các Request sử dụng giao thức Radius sẽ được chạy các service thuộc “Default Network Access”. Default Network Access đã được chúng ta cấu hình ở trên nó bao gồm các service của Identity, Authorization rules.

    [​IMG]
     
    Last edited: Jul 4, 2016

Share This Page