CẤU HÌNH DYNAMIC ASSIGN VLAN VÀ 802.1X VỚI CISCO ISE -

Sơ đồ:

Mô tả:

• Sơ đồ Lab gồm 1 router, 1 switch layer 2, 1 Cisco ISE đóng vai trò là server RADIUS và 4 PC được đấu nối như hình.
• Trên sơ đồ này, học viên sẽ thực tập cấu hình xác thực 802.1x và dynamic assign vlan cho các PC đảm bảo các PC được xác thực và phân quyền dựa vào các vùng vlan trên mô hình.

Yêu cầu:

1. Học viên thực hiện đấu nối các thiết bị và đặt địa chỉ IP(trừ các PC trong vlan 10,20 và 30) cũng như các hostname của các thiết bị được chỉ ra mô hình.
2. Trên switch cấu hình trunk trên interface e0/1, cấu hình tạo ra thêm các vlan 10, 20 và 30 đặt tên lần lượt là: IT, SALE, ACCOUNTING. Sau đó cấu hình ip cho vlan 1 là 172.168.1.10/24.
3. Học viên tiến hành xin IP từ đám mây Net trên cổng e0/0 của router bằng câu lệnh ip address dhcp, cấu hình NAT Overload đảm bảo mọi địa chỉ có thể đi internet. Cấu hình DHCP để cấp ip cho các vlan 1, 10, 20 và 30 điều chỉnh sao cho dhcp cấp địa chỉ như trong hình cho các PC và cấu hình router-on-stick trên router để các lớp mạng có thể ping thấy nhau.
4. Cấu hình các thông tin cho cisco ise như ip và gateway, cấu hình ip cho PC trong vlan 1. Bắt đầu cấu hình xác thực 802.1x trên switch và Cisco ISE đảm bảo các PC trong các vlan 10, 20 và 30 có thể vào mạng được.
5. Cấu hình dynamic assign vlan trên Cisco ISE để các PC vào được các vlan như trong mô hình.

Thực hiện:

Bước 1: Kết nối và cấu hình cơ bản:

Học viên thực hiện kết nối thiết bị và cấu hình cơ bản trên các thiết bị theo yêu cầu đặt ra.

Bước 2: Cấu hình trunk và vlan trên switch:

Học viên thực hiện cấu hình trên switch theo yêu cầu đặt ra.

Bước 3: Cấu hình NAT, dhcp và router-on-stick trên router:

Học viên thực hiện cấu hình trên router theo yêu cầu đã đặt ra.

Bước 4: Cấu hình xác thực 802.1x:

Cấu hình:

• Cấu hình đặt ip và gateway cho cisco ise:

• Cấu hình bật xác thực 802.1x trên switch:

• Cấu hình thông tin radius server trên switch:

• Cấu hình bật 802.1x trên interface e0/2, e0/3 và e1/0:

• Mở PC Manage vào web và gõ địa chỉ Cisco ISE 172.168.1.100 sau đó cấu hình network devices để có thể trao đổi với switch: Vào Administration->Network Devices->Add:

• Cấu hình các thông số như hình rồi nhấn submit:

• Cấu hình tạo ra các group IT, SALE và ACCOUNTING trên Cisco ISE: Administration->Groups->User Identity Groups->Add:

 

Làm tương tự cho group SALE và ACCOUNTING:

Tạo các user cho các group, đối với group IT tạo username vlan10 pass VnPro@123, group SALE username vlan20 pass VnPro@123 và group ACCOUNTING username vlan30 pass VnPro@123 bằng cách vào Administration->Identities->Users->Add:

Làm tương tự cho user vlan20 và 30.

Làm tương tự cho user vlan20 và 30.

Tạo policy để xác thực Policy->Policy Sets:

Bấm nút + để tạo ra 1 Policy mới đặt tên là 802.1x

Sau đó bấm + chổ Conditions của Policy để đặt các điều kiện của Policy

Sau đó chỉnh sửa Policy vừa tạo

Chổ Authentication Policy

Chổ Authorization Policy

Kiểm tra:

Kiểm tra cấu hình 802.1x trên switch:

SW1#show dot1x all

Sysauthcontrol              Enabled

Dot1x Protocol Version            3

 

Dot1x Info for Ethernet0/2

-----------------------------------

PAE                       = AUTHENTICATOR

QuietPeriod               = 60

ServerTimeout             = 0

SuppTimeout               = 30

ReAuthMax                 = 2

MaxReq                    = 2

TxPeriod                  = 30

 

Dot1x Info for Ethernet0/3

-----------------------------------

PAE                       = AUTHENTICATOR

QuietPeriod               = 60

ServerTimeout             = 0

SuppTimeout               = 30

ReAuthMax                 = 2

MaxReq                    = 2

TxPeriod                  = 30

         

Dot1x Info for Ethernet1/0

-----------------------------------

PAE                       = AUTHENTICATOR

QuietPeriod               = 60

ServerTimeout             = 0

SuppTimeout               = 30

ReAuthMax                 = 2

MaxReq                    = 2

TxPeriod                  = 30

Kiểm tra server radius đã cấu hình trên switch:

SW1#show radius server-group all

Server group radius

    Sharecount = 1  sg_unconfigured = FALSE

    Type = standard  Memlocks = 1

    Server(172.168.1.100:1645,1646) Transactions:

    Authen: 16  Author: 0       Acct: 0

    Server_auto_test_enabled: FALSE

     Keywrap enabled: FALSE

Kiểm tra cấu xác thực trên PC win1:

Bước 5: Cấu hình dynamic assign vlan:

Cấu hình:

• Cấu hình trên switch:

• Cấu hình trên Cisco ISE

Vào Policy->Results->Authorization->Authorization Profiles->Add:

Xem thông tin id và name trên switch bằng lệnh show vlan brief:

Tạo profile tương tự cho vlan 20 và 30.

• Chỉnh lại policy: