Tweet
1. Cấu hình trên Switch
Đốí với các sw hoạt động Version 12.2 ta cấu hình như sau:
Switch(config)#aaa new-model
Switch(config)#aaa authentication dot1x default group radius
Switch(config)#dot1x system-auth-control
// cấu hình 802.1X trên cổng Switch
Switch(config)#interface Ethernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#authentication port-control auto
Switch(config-if)#dot1x pae authenticator
Switch(config-if)#spanning-tree portfast
Switch(config)#interface Ethernet 0/0
Switch(config-if)#no switchport
Switch(config-if)#ip add dhcp
Khai báo Radius Server
Switch(config)#radius-server host 10.215.26.50
// tạo shared key trên Switch
Switch(config)#radius-server key VnPro123
2. Windows 10
Cấu hình bật xác thực 802.1x trên Window 10 như sau:
Tìm Services
Tìm và double click vào Wire AutoConfig
Start dịch vụ
Tiếp theo, mở CMD gõ ncpa.cpl để vào Network Connection, click chuột phảivào Card mạng Ethernet -> chọn Properties
Qua tab Authentication, check Enable IEEE 802.1X authentication (1)
Tiếp tục chọn Additional Setting (2) chọn xác thực bằng user authentication - > ok để lưu lại
3. Cấu hình Radius trên Cisco ISE
3.1.Khai báo thiết bị để kết nối với Radius Server như sau
Đầu tiên ở mục Administration -> Network Devices
Thực hiện ADD devices:
Tiến hành khai báo thông tin như sau:
Tiếp theo Click vào Radius Authentication Setting để cấu hình Radius Server, tiếp theo khai báo Shared Secret cho Radius Server (Lưu ý share key phải giống nhau trên Switch và Radius) -> Chọn Submit để lưu cấu hình
3.2. Tạo policy
Chọn Policy Sets
Click vào biểu tượng cây bút để cấu hình xác thực mạng có dây với 802.1x
Tại mục Library tìm wire_802.1X và kéo vào mục editor-> Use
Sau khi xong tiến hành Lưu lại và tiếp tục cấu hình cho Policy này như sau:
Trong chính sách mới được tạo, điều kiện để gọi chính sách là khi máy chủ bán kính ISE nhận được yêu cầu xác thực từ Switch. Ba giao thức xác thực chúng tôi sử dụng ở đây trong ví dụ này là EAP, PEAP và MAB. Nhân tiện, xin lưu ý rằng chúng tôi đã có một số chính sách riêng cho VPN, LAN không dây.
Tại mục authentication policy, ta làm như sau:
Tiếp tạo tạo Policy như sau, đây là nơi đưa ra các Action cho quá trình xác thức.
Sau khi cấu hình sau tiến hành lưu lại: chọn Save
3.3. Tạo username và Password trên Radius Server để xác thực trong mạng có dây
Tại mục Administrator chọn Identities
Chọn ADD để tạo User
Điền thông tin username và Password
Lưu ý: Password phải đủ mạnh: bao gồm các kí tự chữ hoa, thường và kí tự đặc biệt
Sau khi xong chọn Submit để lưu cấu hình
4. Kiểm tra
Tiến hành cắm PC vào cồng F0/1 của Switch đã cấu hình xác thực Dot1X
Cửa xổ yêu cầu xác thực để sử dụng Mạng, tiến hành nhập Username và Password khai báo trên Radius server để đăng nhập vào mạng
Sau khi nhập đúng Username và Password trên Radius Server, ta có truy cập được mạng