Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

[HELP] Xác thực mạng dây qua Radius

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • [HELP] Xác thực mạng dây qua Radius

    Chào các bác , em có mô hình như sau :
    Với mô hình này , em đã cấu hình và chạy ngon lành

    (PC)---->(SW1)---->(Radius)---->(AD)

    SW1: Switch 2960S
    Khi cắm mạng dây vào (PC) , hộp thoại yêu cầu xác thực bật mở , nhập tài khoản trong AD là vào mạng phà phà , nếu nhập bừa sẽ không xác thực và không vào mạng được


    Tuy nhiên với mô hình sau:

    (PC)---->(SW2)---->(SW1)---->(Radius)---->(AD)
    SW1: Switch 2960S
    SW2: TPlink cùi bắp , chỉ sử dụng như 1 switch phổ thông , không cấu hình gì khác
    Khi cắm mạng dây vào (PC) , hộp thoại yêu cầu xác thực bật mở , em nhập bừa 1 vài ký tự (không phải là tài khoản trong AD) là vào được ngay , hoặc không nhập gì rồi nhấn Cancel cũng vào được .

    Các bác đã ai gặp hiện tượng này chưa ạ ???

  • #2
    do switch tplink không hỗ trợ kiểu xác thực port-based authentication.
    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/

    Comment


    • #3
      Originally posted by dangquangminh View Post
      do switch tplink không hỗ trợ kiểu xác thực port-based authentication.
      Thanks bác dangquangminh đã hỗ trợ
      Có vẻ là chưa đúng bác ạ , em đã thử lại với mô hình sau

      (PC)---->(SW2)---->(SW1)---->(Radius)---->(AD)

      Trong đó
      (SW1): Switch 2960S đã được cấu hình Port-based authentication
      (SW2): SWitch 2960S cấu hình MẶC ĐỊNH

      Và (PC) vẫn bypass mà không cần xác thực bác ạ . Nếu vậy thì Port-based authentication quá dễ để vượt qua ạ

      Comment


      • #4
        trong sơ đồ mạng trên, nếu bạn gắn vào switch 1 thì port-based authentication sẽ có tác dụng. Do đó tính năng này phụ thuộc vào port trên switch. Nếu port có bật (enable) tính năng port based authenticatin thì PC vẫn phải xác thực. Nếu port không bật (disable) thì PC thì PC kết nối vào mạng mà không cần kết nối. Muốn bật thì switch phải hỗ trợ dot1x authentication. Từ switch về radius server thì chỉ cần có một kết nối IP (IP connectivity). Ta không cần quan tâm có cái gì ở giữa kết nối IP đó, nghĩa là có một hoặc nhiều switch, một hoặc nhiều router đều được.
        Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

        Email : dangquangminh@vnpro.org
        https://www.facebook.com/groups/vietprofessional/

        Comment


        • #5
          Thanks bác dangquangminh
          Hình như lỗi xuất phát từ con (Radius) ạ (thực ra Radius của em là con Cisco ISE) . Chắc em cần update con Cisco ISE xem sao đã

          Comment


          • #6
            Originally posted by dangquangminh View Post
            trong sơ đồ mạng trên, nếu bạn gắn vào switch 1 thì port-based authentication sẽ có tác dụng. Do đó tính năng này phụ thuộc vào port trên switch. Nếu port có bật (enable) tính năng port based authenticatin thì PC vẫn phải xác thực. Nếu port không bật (disable) thì PC thì PC kết nối vào mạng mà không cần kết nối. Muốn bật thì switch phải hỗ trợ dot1x authentication. Từ switch về radius server thì chỉ cần có một kết nối IP (IP connectivity). Ta không cần quan tâm có cái gì ở giữa kết nối IP đó, nghĩa là có một hoặc nhiều switch, một hoặc nhiều router đều được.
            Có 1 chút lỗi về cấu hình , em đã chỉnh lại , hiện tại tất cả các kết nối đi qua (SW2) đều bị chặn do (SW2) chưa được xác thực . Bác cho em hỏi là với mô hình này :
            (PC)---->(SW2)---->(SW1)---->(Radius)---->(AD)
            SW1: Switch 2960S
            SW2: TPlink , chỉ sử dụng như 1 switch phổ thông , không cấu hình gì khác

            Nếu em cấu hình Mab (Mac-authentication bypass) , tức là lúc này (SW2) đã được xác thực , nhưng (SW1) vẫn bật Port-based authentication , thì các (PC) kết nối đến (SW2) có cần xác thực không ạ ?

            Comment


            • #7
              các PC sẽ kết nối mà không cần xác thực.
              Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

              Email : dangquangminh@vnpro.org
              https://www.facebook.com/groups/vietprofessional/

              Comment

              Working...
              X