LAB – Cấu hình Dynamic Assign VLAN và 802.1X với Cisco ISE

Sơ đồ:

Mô tả:

•             Sơ đồ Lab gồm 1 router, 1 switch layer 2, 1 Cisco ISE đóng vai trò là server RADIUS và 4 PC được đấu nối như hình.
•          Trên sơ đồ này, học viên sẽ thực tập cấu hình xác thực 802.1x và dynamic assign vlan cho các PC đảm bảo các PC được xác thực và phân quyền dựa vào các vùng vlan trên mô hình.

Yêu cầu:

1.      Học viên thực hiện đấu nối các thiết bị và đặt địa chỉ IP(trừ các PC trong vlan 10, 20 và 30) cũng như các hostname của các thiết bị được chỉ ra mô hình.

2.      Trên switch cấu hình trunk trên interface e0/1, cấu hình tạo ra thêm các vlan 10, 20 và 30 đặt tên lần lượt là: IT, SALE, ACCOUNTING. Sau đó cấu hình ip cho vlan 1 là 172.168.1.10/24.

3.      Học viên tiến hành xin IP từ đám mây Net trên cổng e0/0 của router bằng câu lệnh ip address dhcp, cấu hình NAT Overload đảm bảo mọi địa chỉ có thể đi internet. Cấu hình DHCP để cấp ip cho các vlan 1, 10, 20 và 30 điều chỉnh sao cho dhcp cấp địa chỉ như trong hình cho các PC và cấu hình router-on-stick trên router để các lớp mạng có thể ping thấy nhau.

4.      Cấu hình các thông tin cho cisco ise như ip và gateway, cấu hình ip cho PC trong vlan 1. Bắt đầu cấu hình xác thực 802.1x trên switch và Cisco ISE đảm bảo các PC trong các vlan 10, 20 và 30 có thể vào mạng được.

5.      Cấu hình dynamic assign vlan trên Cisco ISE để các PC vào được các vlan như trong mô hình.

Thực hiện:

Bước 1: Kết nối và cấu hình cơ bản:

Học viên thực hiện kết nối thiết bị và cấu hình cơ bản trên các thiết bị theo yêu cầu đặt ra.

Bước 2: Cấu hình trunk và vlan trên switch:

Học viên thực hiện cấu hình trên switch theo yêu cầu đặt ra.

Bước 3: Cấu hình NAT, dhcp và router-on-stick, trên router:

Học viên thực hiện cấu hình trên router theo yêu cầu đã đặt ra.

Cấu hình dhcp để thiết bị có thể nhận được địa chỉ IP + default gateway sau khi đăng nhập xác thực.

Bước 4: Cấu hình xác thực 802.1x:

Cấu hình:

·         Cấu hình đặt ip và gateway cho cisco ise:

CiscoISE/admin(config)# interface gigabitEthernet 0 CiscoISE/admin(config-GigabitEthernet)#ip address 172.168.1.100 255.255.255.0 CiscoISE/admin(config-GigabitEthernet)# exit CiscoISE/admin(config)# ip default-gateway 172.168.1.1

·         Cấu hình bật xác thực 802.1x trên switch:

SW1(config)#aaa new-model(1)                                   SW1(config)#aaa authentication dot1x default group radius(2) SW1(config)#aaa authorization network default group radius(3) SW1(config)#dot1x system-auth-control(4) SW1(config)#exit

                                  

1/ Bật chế độ aaa trên switch để mở rộng câu lệnh aaa

2,3/Tạo phương thức xác thực 602.1x và phương thức phân quyền mạng do các server radius chịu trách nhiệm

Phần tên của phương thức authentication dot1x và authorization network ép buộc phải default do trong interface port của switch không gán được tên phương thức xác thực, tất cả các port đều áp dụng phương thức default này

 

4/ Bật chế độ xác thực thông qua port 802.1x cho tất cả port

 

 

 

·         Cấu hình thông tin radius server trên switch:

SW1(config)#radius server Cisco_ISE SW1(config-radius-server)#address ipv4 172.168.1.100 SW1(config-radius-server)#key VnPro123 SW1(config-radius-server)#exit

·         Cấu hình bật 802.1x trên interface e0/2, e0/3 và e1/0:

SW1(config)#interface range e0/2-3, e1/0                    SW1(config-if-range)#switchport mode access                          SW1(config-if-range)#authentication port-control auto (1)                SW1(config-if-range)#dot1x pae authenticator (2)                        SW1(config-if-range)#spanning-tree portfast SW1(config-if-range)#exit

     2/    Chỉnh port access entity là authenticator à switch không phản hồi gói tin của supplicant mà forward lên server authentication, nhưng lại phản hồi gói tin của authenticator từ server và trả lời lại cho supplicant như thể là authentication

            Ngược lại, pae supplicant à switch phản hồi gói tin của supplicant nhưng không phản hồi gói tin của authenticator

    1/    Bật chế độ 802.1x ở cổng, ban đầu cổng chưa xác thực

            Force-authorized, tắt chế độ 802.1x và chỉ định cổng đã được xác thực

            Force-unauthorized, tắt chế độ 802.1x và chỉ định cổng chưa xác thực cho dù thiết bị có gửi yêu cầu xác thực

 

     

 

·         Mở PC Manage vào web và gõ địa chỉ Cisco ISE 172.168.1.100 sau đó cấu hình network devices để có thể trao đổi với switch: Vào Administration->Network Devices->Add:

 

·         Cấu hình các thông số như hình rồi nhấn submit:

·         Cấu hình tạo ra các group IT, SALE và ACCOUNTING trên Cisco ISE: Administration->Groups->User Identity Groups->Add:

Làm tương tự cho group SALE và ACCOUNTING:

Tạo các user cho các group, đối với group IT tạo username vlan10 pass VnPro@123, group SALE username vlan20 pass VnPro@123 và group ACCOUNTING username vlan30 pass VnPro@123 bằng cách vào Administration->Identities->Users->Add:

Làm tương tự cho user vlan20 và 30.

Tạo policy để xác thực Policy->Policy Sets:

Bấm nút + để tạo ra 1 Policy mới đặt tên là 802.1x

Sau đó bấm + chỗ Conditions của Policy để đặt các điều kiện của Policy

Sau đó chỉnh sửa Policy vừa tạo

Chổ Authentication Policy

 

 

Kiểm tra:

Kiểm tra cấu hình 802.1x trên switch:

SW1#show dot1x all Sysauthcontrol              Enabled Dot1x Protocol Version            3   Dot1x Info for Ethernet0/2 ----------------------------------- PAE                       = AUTHENTICATOR QuietPeriod               = 60 ServerTimeout             = 0 SuppTimeout               = 30 ReAuthMax                 = 2 MaxReq                    = 2 TxPeriod                  = 30   Dot1x Info for Ethernet0/3 -----------------------------------

PAE                       = AUTHENTICATOR QuietPeriod               = 60 ServerTimeout             = 0 SuppTimeout               = 30 ReAuthMax                 = 2 MaxReq                    = 2 TxPeriod                  = 30            Dot1x Info for Ethernet1/0 ----------------------------------- PAE                       = AUTHENTICATOR QuietPeriod               = 60 SuppTimeout               = 30 ServerTimeout             = 0 ReAuthMax                 = 2 MaxReq                    = 2 TxPeriod                  = 30

Kiểm tra server radius đã cấu hình trên switch:

SW1#show radius server-group all Server group radius     Sharecount = 1  sg_unconfigured = FALSE     Type = standard  Memlocks = 1     Server(172.168.1.100:1645,1646) Transactions:     Authen: 16  Author: 0       Acct: 0     Server_auto_test_enabled: FALSE      Keywrap enabled: FALSE

Kiểm tra cấu xác thực trên PC win1:

Bước 5: Cấu hình dynamic assign vlan:

Cấu hình:

·         Cấu hình trên switch:

SW1(config)#aaa server radius dynamic-author SW1(config-locsvr-da-radius)#client 172.168.1.100 SW1(config-locsvr-da-radius)#server-key VnPro123 SW1(config-locsvr-da-radius)#exit

·         Cấu hình trên Cisco ISE

Vào Policy->Results->Authorization->Authorization Profiles->Add:

Xem thông tin id và name trên switch bằng lệnh show vlan brief:

Tạo profile tương tự cho vlan 20 và 30.

·         Chỉnh lại policy:

Làm tương tự cho group SALE và ACCOUNTING.

Kiểm tra:

Nhập mật khẩu trên win1 và kiểm tra trên switch vlan có thay đổi sang vlan 10 không.

SW1#show vlan brief   VLAN Name                            Status    Ports ---- ------------------------------- --------- ------------------------- 1    default                         active    Et0/0, Et0/3, Et1/0, Et1/1                                                Et1/2, Et1/3 10   IT                              active    Et0/2 20   SALE                            active     30   ACCOUNTING                      active     1002 fddi-default                    act/unsup 1003 token-ring-default              act/unsup 1004 fddinet-default                 act/unsup 1005 trnet-default                   act/unsup