Một trong những chức năng quan trọng nhất của ISE là cách nó xác định store nhận dạng chính xác để xác thực người dùng. Nói cách khác, khi người dùng hoặc thiết bị đang cố truy cập mạng, một xác thực được gửi đến ISE có chứa danh tính người dùng hoặc thiết bị của người dùng (được gọi là thông tin xác thực). Thông tin đó cần được kiểm tra tính hợp lệ.
Năm 2001, IEEE đã chuẩn hóa một giải pháp cho kiểm soát truy cập mạng dựa trên cổng, được gọi là 802.1X. Nó được dự đoán sẽ cách mạng hóa mạng như chúng ta đã biết và sẽ không có thiết bị nào có thể cắm và liên lạc trên mạng mà không cần người dùng tự nhận dạng và được ủy quyền lại. Gần hai thập kỷ sau, 802.1X trên mạng có dây mới thực sự bắt đầu bắt kịp. 802.11, thường được gọi là Wi-Fi, thực sự chấp nhận 802.1X và việc áp dụng 802X trong mạng không dây đã diễn ra từ lâu trước khi áp dụng trong mạng có dây.
Giao thức xác thực mở rộng (EAP – Extensible Authentication Protocol) là một thành phần không thể thiếu của 802.1X. EAP là một khung xác thực xác định việc vận chuyển và sử dụng thông tin nhận dạng. EAP đóng gói tên người dùng, mật khẩu, chứng chỉ, mã thông báo, mật khẩu dùng một lần, và gửi cho khách hàng với mục đích xác thực.
EAP đã trở thành tiêu chuẩn thực tế của các giao thức xác thực. Nó được sử dụng cho nhiều phương thức xác thực khác nhau bao gồm cả VPN, nhưng quan trọng nhất là tiêu chuẩn IEEE 802.1X xác định việc sử dụng EAP qua mạng LAN (EAPoL).
IEEE 802.1X (thường được gọi là Dot1x) được định nghĩa là một “tiêu chuẩn cho điều khiển truy cập mạng dựa trên cổng của mạng” cho các mạng cục bộ và mạng khu vực đô thị. Tiêu chuẩn hóa của khung xác thực dựa trên mạng là chất xúc tác cho tất cả các mạng dựa trên danh tính mà chúng ta thấy ngày nay. Có ba thành phần chính cho 802.1X: chất thay thế (supplicant), bộ xác thực và máy chủ xác thực, như được minh họa trong Hình 3 – 13 và được mô tả trong Bảng 3 – 2.
Hình 3 – 13 Các thành phần của 802.1X EAP over LAN
|
Tên thành phần |
Mô tả |
|
Supplicant |
Phần mềm trên thiết bị đầu cuối (còn được gọi là ngang hàng trong IETF RFC, chẳng hạn như RFC 3748) giao tiếp với EAP ở Lớp 2. Phần mềm này phản hồi với Authenticator và cung cấp thông tin nhận dạng với giao tiếp EAP. |
|
Authenticator (Trình xác thực) |
Thiết bị mạng điều khiển truy cập vật lý vào mạng dựa trên trạng thái xác thực của điểm cuối. Trình xác thực đóng vai trò là người trung gian, lấy thông tin liên lạc EAP của Lớp 2 từ người thay thế và gói nó trong RADIUS hướng vào máy chủ xác thực hoạt động. Các trình xác thực phổ biến nhất có triển khai Cisco ISE là các bộ chuyển mạch LAN và Bộ điều khiển LAN không dây (WLC). Cisco ISE sẽ gọi chung các trình xác thực này là các thiết bị truy cập mạng. |
|
Authentication Server (Máy chủ xác thực) |
Máy chủ đang thực hiện xác thực thực tế của khách hàng. Máy chủ xác thực xác nhận danh tính của điểm cuối và cung cấp trình xác thực kết quả, chẳng hạn như chấp nhận hoặc từ chối. Công cụ dịch vụ nhận dạng của Cisco (Cisco Identity Services Engine) là một máy chủ xác thực. |
Bảng 3 – 2 Các thành của 802.1X
Có nhiều loại EAP khác nhau, mỗi loại đều có lợi ích và nhược điểm riêng và được chia thành hai loại:
Có một số câu lệnh để nhập vào cấu hình ở cấp Global. Chẳng hạn như kích hoạt hệ thống AAA và thêm các máy chủ RADIUS vào Switch.
Mặc định hệ thống con AAA của bộ chuyển mạch Switch Cisco bị tắt. Trước khi kích hoạt hệ thống con AAA, mới có thể cấu hình các câu lệnh liên quan về AAA.
Câu lệnh mở AAA: Switch(config)#aaa new-model
Bước 2: Tạo một phương thức xác thực cho 802.1X
Cần có một phương thức xác thực được yêu cầu để chuyển hướng Switch đến nhóm máy chủ RADIUS để sử dụng cho các yêu cầu xác thực 802.1X
Câu lệnh cấu hình: Switch(config)#aaa authentication dot1x default group radius.
Phương thức tạo trong bước 2 sẽ phép nhận dạng danh tính người dùng/thiết bị (username, password hoặc certificate) được xác thực bởi máy chủ RADIUS. Tuy nhiên chỉ với thông tin xác thực là không đủ, mà cần có sự ủy quyền. Ủy quyền để xác định rằng người dùng hay thiết bị thực sự được phép truy cập mạng và mức độ truy cập nào thực sự được cho phép.
Câu lệnh cấu hình: switch(config)#aaa authorization network default group radius.
Câu lệnh cấu hình: switch(config)#aaa accounting dot1x default start- stop group radius
Các gói accounting định kỳ cho phép cisco ISE theo dõi phiên nào vẫn hoạt động trên mạng. Lệnh này sẽ gửi cập nhập định kỳ bất cứ khi nào có thông tin mới. Nó cũng sẽ gửi cập nhật định kỳ một lần mỗi 24 giờ (1440 phút) để cho ISE thấy rằng phiên này vẫn còn tồn tại.
Câu lệnh cấu hình: switch(config)#aaa accounting update newinfo periodic 1440
Một số lệnh ở cấp độ Global liên quan đến 802.1X và theo dõi thiết bị IP cần kích hoạt.
Việc kích hoạt 802.1X Global trên thiết bị Switch không thực sự cho phép xác thực trên bất kỳ cổng chuyển đổi nào. Xác thực sẽ được định cấu hình, nhưng không được mở cho đến khi các phiên sau đó đã được cấu hình.
Câu lệnh cấu hình: switch(config)#dot1x system-auth-control
ACL có thể tải xuống là một cô chế rất phổ biến trong triển khai cisco TrustSec deployment. Để các dACL hoạt động chính xác trên thiết bị chuyển mạch, tính năng theo dỗi thiết bị IP phải được bật lên Global.
Câu lệnh cấu hình: switch(config)#ip device tracking
Theo mặc định, 802.1X được thiết kế nhị phân. Xác thực thành công có nghĩa là người dùng được phép truy cập mạng. Xác thực không thành công có nghĩa là người dùng không có quyền truy cập vào mạng. Hầu hết các tổ chức cần phải thực hiện hình ảnh máy trạm với Môi trường thực thi trước khi khởi động (PXE) hoặc có thể có một số máy khách phải boot bằng DHCP và không có cách nào để chạy thay thế.
Ngoài ra, khi những người dùng đầu tiên của 802.1X sẽ triển khai xác thực trên toàn công ty, đã xảy ra một số sự cố. Nhiều người thay thế đã bị cấu hình sai; có những thiết bị không xác định không thể xác thực do thiếu supplicant và các lý do khác.
Cisco đã tạo Xác thực mở (Open Authentication) để hỗ trợ triển khai. Xác thực mở sẽ cho phép tất cả lưu lượng truy cập qua cổng chuyển đổi, ngay cả khi cổng không được cấp phép. Tính năng này sẽ cho phép xác thực được định cấu hình trên toàn bộ tổ chức, nhưng không từ chối quyền truy cập vào bất kỳ thiết bị nào.
Hình 3 – 14 mô tả sự khác biệt giữa một cổng mặc định của 802.1X so với một cổng có Cấu hình xác thực mở. Đây là một tính năng chính cho phép tiếp cận theo giai đoạn để triển khai xác thực.
Hình 3 – 14 Mặc định 802.1X so với xác thực mở
Để bắt đầu cấu hình cổng, đảm bảo bạn đang định cấu hình phạm vi cổng cần bật Dot1x, sau đó thực hiện các bước sau:
Câu lệnh cấu hình: switch(config)#authentication open
Câu lệnh cấu hình: switch(config)#mab
Câu lệnh cấu hình: switch(config)#dot1x pae authenticator
ISE đi kèm với các chính sách được cấu hình sẵn sẽ cho phép truy cập mạng cho bất kỳ xác thực thành công 802.1X nào có nguồn gốc từ NAD được cấu hình, có dây hoặc không dây. Dưới đây là bộ chính sách được cấu hình sẵn.
Bộ chính sách là tập hợp các chính sách xác thực và ủy quyền hoạt động cùng nhau. Khi một yêu cầu xác thực vào ISE, các thuộc tính đến được so sánh với các quy tắc xác thực theo kiểu từ trên xuống. Xác thực thành công sẽ được chuyển đến các quy tắc ủy quyền trong cùng một bộ chính sách. Hành động được thực hiện nếu xác thực không thành công có thể cấu hình được trong quy tắc xác thực, trong phần Tùy chọn.
Hình 3 – 15 hiển thị danh sách các bộ chính sách, được đặt tại Work Centers > Network Access > Policy. Chỉ có một chính sách duy nhất được đặt theo mặc định, nhưng có thể thêm và nên được thêm vào để triển khai sản xuất.
Hình 3 – 15 Cài đặt Policy
Click vào biểu tượng > như hình 3 – 15 để mở rộng bộ chính sách (Policy) như hình 3 – 16
Hình 3 – 16 Các chính sách ở mặc định
Xem xét hình 3 – 16, bộ chính sách mặc định bao gồm chính sách cho MAB (có dây và không dây) sẽ kiểm tra store Internal Endpoint cho các địa
chỉ MAC. Nếu địa chỉ MAC tồn tại trong store Internal Endpoint, thì xác thực (bỏ qua) được coi là thành công và yêu cầu được chuyển đến các quy tắc ủy quyền. Nếu địa chỉ MAC không tồn tại, xác thực sẽ được coi là không tìm thấy người dùng. Theo mặc định, khi không tìm thấy MAB kết thúc mà không tìm thấy người dùng, thì xác thực sẽ tiếp tục theo quy tắc ủy quyền.
Trong hình 3 – 16, cũng có một chính sách xác thực có nhãn Dot1X phù hợp với điều kiện cho 802.1X có dây hoặc không dây và sẽ kiểm tra mọi yêu cầu 802.1X đến và kiểm tra thông tin xác thực đối với tất cả các Identity stores người dùng, tận dụng chuỗi nguồn nhận dạng.
Sau khi vượt qua được yêu cầu về chính sách xác thực, thông qua xác thực thành công hoặc thông qua tùy chọn TIẾP TỤC, nó được so sánh với các quy tắc trong chính sách ủy quyền.
Hình 3 – 17 cho thấy các chính sách ủy quyền mặc định, chứa một vài quy tắc được cấu hình sẵn. Một số quy tắc được kích hoạt do người quản trị thiết lập và một số quy tắc sẽ được sử dụng làm ví dụ và được bật khi quản trị viên sẵn sàng.
Hình 3 – 17 Các quy tắc chính sách ủy quyền mặc định
Trong Hình 3 – 17, hai quy tắc cho điện thoại IP: một cho điện thoại IP của Cisco và một cho các điện thoại IP không phải của Cisco. Cả hai quy tắc này đều tận dụng các chính sách định hình làm điều kiện để truy cập mạng. Có các quy tắc cho BYOD bị vô hiệu hóa cho đến khi quản trị viên kích hoạt chúng theo cách thủ công, quy tắc truy cập của khách và quy tắc tận dụng trạng thái tuân thủ của điểm cuối.
Kết quả ủy quyền sẽ được tạo thành từ hồ sơ ủy quyền tiêu chuẩn cũng chứa dACL, vì dự định gán thẻ TrustSec, kết quả cũng sẽ chứa Thẻ nhóm có thể mở rộng (SGT), còn được gọi là Thẻ nhóm bảo mật.
Để bắt đầu quá trình này, trước tiên chúng ta nên tạo dACL. Các dACL được đặt trong Work Centers > Network Access > Policy Elements > Results > Downloadable ACLs và có hai dACL tồn tại theo mặc định, như trong Hình 3 – 18.
Hình 3 – 18 Mặc định Downloadable ACLs
Nhấp vào Add để tạo một dACL mới và đặt tên là PCI-dACL. Nhập một mô tả, chẳng hạn như mô tả mà bạn thấy trong Hình 3 – 19, nhập cho phép ip bất kỳ (permit ip any any) trong box DACLContent và bấm Kiểm tra Cú pháp (Check DACL Syntax) của DACL. Nhấp vào Submit để lưu dACL.
Hình 3 – 19 Tạo một PCI – dACL
Hình 3 – 20 Tạo một Employees-dACL
Bây giờ các dACL đã được tạo, ta sẽ tạo hai hồ sơ ủy quyền. Điều hướng đến Work Centers > Network Access > Policy Elements > Results
> Authorization Profiles. Tại đây, ta thấy các cấu hình mặc định được sử dụng với các chính sách ủy quyền dựng sẵn, như trong Hình 3 – 21.
Hình 3 – 21 Profiles ủy quyền mặc định
Ở đây ta sẽ tạo hồ sơ ủy quyền cho người dùng PCI cho phép truy cập mạng và gán phiên VLAN 22.
Nhấp vào Add để tạo hồ sơ ủy quyền mới, đặt tên là PCI Users và cung cấp mô tả. Đảm bảo rằng ACCESS_ACCEPT được đặt cho Loại truy cập và Cấu hình thiết bị mạng được đặt thành Cisco, như trong Hình 3 – 22.
Hình 3 – 22 Profiles ủy quyền cho PCI Users
Ở Common Tasks, hãy chọn box DACL Name và chọn PCI-dACL từ danh sách thả xuống tương ứng. Chọn box Vlan và nhập 22 vào box ID/Name.
Hình 3 – 23 Cấu hình MACSec trong Profiles ủy quyền PCI Users
Có một số box và cài đặt khác có thể được sử dụng trong profiles ủy quyền và ta sẽ xem xét một vài trong số các box quan trọng dưới đây:
Một số groups tags bảo mật được cấu hình sẵn với ISE, có thể xem trong Work Centers > TrustSec > Components > Security Groups, như trong Hình 3 –
23. Ta sẽ sử dụng thẻ Nhân viên và PCI_Servers trong chính sách của mình.
Hình 3 – 24 Các nhóm bảo mật được cấu hình sẵn
CHƯƠNG 4: TRÌNH BÀY TỔNG QUAN VỀ ROUTER VÀ SWITCH
Router là thiết bị định tuyến hoạt động ở lớp thứ 3 của mô hình OSI còn gọi là tầng Network.
Router có chức năng định tuyến đường đi tối ưu để chuyển gói tin đến đích nào đó trên mạng.
Hình 4 – 1. Mặt trước và sau của Router 2900 Series
Các chế độ cấu hình của một Router:
|
Chế độ |
Ý nghĩa |
|
Router> |
User Mode |
|
Router# |
Privileged M |
|
Router(config)# |
Global Configuration Mode |
|
Router(config-if)# |
Interface Configuration Mode |
|
Router(config-subif)# |
Subinterface Configuration Mode |
|
Router(config-line)# |
Line Configuration Mode |
Một số lệnh chuyển đổi giữa các chế độ của Router:
|
Các lệnh |
Ý nghĩa |
|
Router> enable Router# |
Lệnh enable có chức năng chuyển Router từ User Mode sang Privileged Mode. Người sử dụng chỉ có thể hiển thị các thông số đã cấu hình trên Router và không thể thay đổi các thông số cấu hình và hoạt động của Router. |
|
Router#configure terminal Router(config)# |
Lệnh configure terminal có chức năng chuyển Router từ Privileged Mode sang Global Configuration Mode. Người sử dụng có thể bắt đầu thay đổi lại cấu hình và hoạt động của Router. |
|
Router(config)#interface f0/0 Router(config-if)# |
Lệnh interface f0/0 có chức năng di chuyển đến cổng Fast Ethernet 0/0 trên Router. Người sử dụng có thể bắt đầu cấu hình hoạt động cho cổng f0/0 của Router. |
|
Router(config)#hostname Cisco Cisco(config)# |
Câu lệnh hostname để đặt tên bất kì cho Router đang được cấu hình để dễ kiểm soát và quản lý, giá trị name sẽ thay đổi ngay lập tức |
Đặt mật khẩu cho thiết bị:
|
Câu lệnh cấu hình |
Ý nghĩa |
|
Router(config)#enable password Cisco |
Thực hiện đặt mật khẩu, yêu cầu người dùng muốn truy cập vào Privilege Mode để thay đổi cấu hình Router phải nhập đúng mật khẩu. |
Cấu hình cổng Fast Ethernet:
|
Các lệnh |
Ý nghĩa |
|
Router(config)#interface fastethernet 0/0 |
Di chuyển đến cổng Fast Ethernet 0/0 |
|
Router(config-if)#description Accounting LAN |
Mô tả hoạt động của cổng |
|
Router(config-if)#ip address 192.168.20.1 255.255.255.0 |
Đăt địa chỉ IP và subnet mask |
|
Router(config-if)#no shutdown |
Khởi động cổng |
Các lệnh xem lại cấu hình:
|
Các lệnh |
Ý nghĩa |
|
Router#show running-config |
Xem cấu hình đang chạy trên RAM |
|
Router#show startup-config |
Xem cấu hình đã lưu trên NVRAM |
|
Router#show version |
Xem thông tin về Cisco IOS hiện tại |
|
Router#show ip interface brief |
Xem thông tin các cổng trên Router và trạng thái của nó |
|
Router#show interface f0/0 |
Xem thông tin chi tiết cổng |
|
Router#show flash |
Xem thông tin về bộ nhớ flash |
|
Router#show ip route |
Xem thông tin bảng định tuyến |
Lệnh xóa cấu hình:
|
Lệnh |
Ý nghĩa |
|
Router# erase startup-config |
Xóa tập tin startup-config trong NVRAM |
Lệnh lưu cấu hình:
|
Các lệnh |
Ý nghĩa |
|
Router#copy running-config startup-config |
Lưu tập tin running-config của RAM vào tập tin startup-config vào NVRAM |
|
Router#write |
|
|
Router#exit |
Switch gọi là thiết bị chuyển mạch thuộc lớp 2 của mô hình OSI (còn gọi là lớp Data-Link Layer), 1 số dòng switch có cả khả năng định tuyến giống router hoạt động ở Layer 3.
Chức năng chuyển tiếp frame tốc độ cao dựa vào địa chỉ MAC của frame, giữ vai trò kết nối các thiết bị trong mạng LAN với nhau.
Hình 4 – 2 Mặt trước của Switch Cisco 2960
Một số lệnh đặt địa chỉ cho VLAN1 trên Switch:
|
Lệnh |
Ý nghĩa |
|
Sw1#show mac address-table |
Kiểm tra bảng MAC trên Switch |
|
Sw1(config)#interface vlan 1 Sw1(config-if)#no shutdown |
Đặt địa chỉ IP cho VLAN 1 trên |
|
Sw1(config-if)#ip address 192.168.1.1 255.255.255.0 Sw1(config-if)#exit |
Switch |
Các chế độ làm việc của Switch:
|
Các chế độ |
Ý nghĩa |
|
Switch> |
User Mode |
|
Switch# |
Privileged Mode (hoặc Enable Mode) |
|
Switch(config)# |
Global Configuration Mode |
|
Switch(config-if)# |
Interface Configuration Mode |
|
Switch(config-line)# |
Line Configuration Mode |
