CẤU HÌNH DYNAMIC ASSIGN VLAN VÀ 802.1X VỚI CISCO ISE -

CẤU HÌNH DYNAMIC ASSIGN VLAN VÀ 802.1X VỚI CISCO ISE -

CẤU HÌNH DYNAMIC ASSIGN VLAN VÀ 802.1X VỚI CISCO ISE -

CẤU HÌNH DYNAMIC ASSIGN VLAN VÀ 802.1X VỚI CISCO ISE -

CẤU HÌNH DYNAMIC ASSIGN VLAN VÀ 802.1X VỚI CISCO ISE -
CẤU HÌNH DYNAMIC ASSIGN VLAN VÀ 802.1X VỚI CISCO ISE -
(028) 35124257 - 0933 427 079

CẤU HÌNH DYNAMIC ASSIGN VLAN VÀ 802.1X VỚI CISCO ISE

01-10-2020

Sơ đồ:

Mô tả:

  • Sơ đồ Lab gồm 1 router, 1 switch layer 2, 1 Cisco ISE đóng vai trò là server RADIUS và 4 PC được đấu nối như hình.
  • Trên sơ đồ này, học viên sẽ thực tập cấu hình xác thực 802.1x và dynamic assign vlan cho các PC đảm bảo các PC được xác thực và phân quyền dựa vào các vùng vlan trên mô hình.

Yêu cầu:

  1. Học viên thực hiện đấu nối các thiết bị và đặt địa chỉ IP(trừ các PC trong vlan 10,20 và 30) cũng như các hostname của các thiết bị được chỉ ra mô hình.
  2. Trên switch cấu hình trunk trên interface e0/1, cấu hình tạo ra thêm các vlan 10, 20 và 30 đặt tên lần lượt là: IT, SALE, ACCOUNTING. Sau đó cấu hình ip cho vlan 1 là 172.168.1.10/24.
  3. Học viên tiến hành xin IP từ đám mây Net trên cổng e0/0 của router bằng câu lệnh ip address dhcp, cấu hình NAT Overload đảm bảo mọi địa chỉ có thể đi internet. Cấu hình DHCP để cấp ip cho các vlan 1, 10, 20 và 30 điều chỉnh sao cho dhcp cấp địa chỉ như trong hình cho các PC và cấu hình router-on-stick trên router để các lớp mạng có thể ping thấy nhau.
  4. Cấu hình các thông tin cho cisco ise như ip và gateway, cấu hình ip cho PC trong vlan 1. Bắt đầu cấu hình xác thực 802.1x trên switch và Cisco ISE đảm bảo các PC trong các vlan 10, 20 và 30 có thể vào mạng được.
  5. Cấu hình dynamic assign vlan trên Cisco ISE để các PC vào được các vlan như trong mô hình.

Thực hiện:

Bước 1: Kết nối và cấu hình cơ bản:

Học viên thực hiện kết nối thiết bị và cấu hình cơ bản trên các thiết bị theo yêu cầu đặt ra.

Bước 2: Cấu hình trunk và vlan trên switch:

Học viên thực hiện cấu hình trên switch theo yêu cầu đặt ra.

Bước 3: Cấu hình NAT, dhcp và router-on-stick trên router:

Học viên thực hiện cấu hình trên router theo yêu cầu đã đặt ra.

Bước 4: Cấu hình xác thực 802.1x:

Cấu hình:

  • Cấu hình đặt ip và gateway cho cisco ise:

CiscoISE/admin(config)# interface gigabitEthernet 0

CiscoISE/admin(config-GigabitEthernet)#ip address 172.168.1.100 255.255.255.0

CiscoISE/admin(config-GigabitEthernet)# exit

CiscoISE/admin(config)# ip default-gateway 172.168.1.1

  • Cấu hình bật xác thực 802.1x trên switch:

SW1(config)#aaa new-model                                 

SW1(config)#aaa authentication dot1x default group radius 

SW1(config)#aaa authorization network default group radius

SW1(config)#dot1x system-auth-control

SW1(config)#exit

  • Cấu hình thông tin radius server trên switch:

SW1(config)#radius server Cisco_ISE

SW1(config-radius-server)#address ipv4 172.168.1.100

SW1(config-radius-server)#key VnPro123

SW1(config-radius-server)#exit

  • Cấu hình bật 802.1x trên interface e0/2, e0/3 và e1/0:

SW1(config)#interface range e0/2-3, e1/0                  

SW1(config-if-range)#switchport mode access                        

SW1(config-if-range)#authentication port-control auto              

SW1(config-if-range)#dot1x pae authenticator                       

SW1(config-if-range)#spanning-tree portfast

SW1(config-if-range)#exit

  • Mở PC Manage vào web và gõ địa chỉ Cisco ISE 172.168.1.100 sau đó cấu hình network devices để có thể trao đổi với switch: Vào Administration->Network Devices->Add:

  • Cấu hình các thông số như hình rồi nhấn submit:

  • Cấu hình tạo ra các group IT, SALE và ACCOUNTING trên Cisco ISE: Administration->Groups->User Identity Groups->Add:

 

Làm tương tự cho group SALE và ACCOUNTING:

Tạo các user cho các group, đối với group IT tạo username vlan10 pass VnPro@123, group SALE username vlan20 pass VnPro@123 và group ACCOUNTING username vlan30 pass VnPro@123 bằng cách vào Administration->Identities->Users->Add:

Làm tương tự cho user vlan20 và 30.

Làm tương tự cho user vlan20 và 30.

Tạo policy để xác thực Policy->Policy Sets:

Bấm nút + để tạo ra 1 Policy mới đặt tên là 802.1x

Sau đó bấm + chổ Conditions của Policy để đặt các điều kiện của Policy

Sau đó chỉnh sửa Policy vừa tạo

Chổ Authentication Policy

Chổ Authorization Policy

Kiểm tra:

Kiểm tra cấu hình 802.1x trên switch:

SW1#show dot1x all

Sysauthcontrol              Enabled

Dot1x Protocol Version            3

 

Dot1x Info for Ethernet0/2

-----------------------------------

PAE                       = AUTHENTICATOR

QuietPeriod               = 60

ServerTimeout             = 0

SuppTimeout               = 30

ReAuthMax                 = 2

MaxReq                    = 2

TxPeriod                  = 30

 

Dot1x Info for Ethernet0/3

-----------------------------------

PAE                       = AUTHENTICATOR

QuietPeriod               = 60

ServerTimeout             = 0

SuppTimeout               = 30

ReAuthMax                 = 2

MaxReq                    = 2

TxPeriod                  = 30

         

Dot1x Info for Ethernet1/0

-----------------------------------

PAE                       = AUTHENTICATOR

QuietPeriod               = 60

ServerTimeout             = 0

SuppTimeout               = 30

ReAuthMax                 = 2

MaxReq                    = 2

TxPeriod                  = 30

Kiểm tra server radius đã cấu hình trên switch:

SW1#show radius server-group all

Server group radius

    Sharecount = 1  sg_unconfigured = FALSE

    Type = standard  Memlocks = 1

    Server(172.168.1.100:1645,1646) Transactions:

    Authen: 16  Author: 0       Acct: 0

    Server_auto_test_enabled: FALSE

     Keywrap enabled: FALSE

Kiểm tra cấu xác thực trên PC win1:

Bước 5: Cấu hình dynamic assign vlan:

Cấu hình:

  • Cấu hình trên switch:

SW1(config)#aaa server radius dynamic-author

SW1(config-locsvr-da-radius)#client 172.168.1.100

SW1(config-locsvr-da-radius)#server-key VnPro123

SW1(config-locsvr-da-radius)#exit

  • Cấu hình trên Cisco ISE

Vào Policy->Results->Authorization->Authorization Profiles->Add:

Xem thông tin id và name trên switch bằng lệnh show vlan brief:

Tạo profile tương tự cho vlan 20 và 30.

  • Chỉnh lại policy:

SW1#show vlan brief

 

VLAN Name                            Status    Ports

---- ------------------------------- --------- -------------------------

1    default                         active    Et0/0, Et0/3, Et1/0, Et1/1

                                               Et1/2, Et1/3

10   IT                              active    Et0/2

20   SALE                            active   

30   ACCOUNTING                      active   

1002 fddi-default                    act/unsup

1003 token-ring-default              act/unsup

1004 fddinet-default                 act/unsup

1005 trnet-default                   act/unsup


FORM ĐĂNG KÝ MUA HÀNG
Đặt hàng
icon-cart
0