Tweet
Trong bài lab này, ta sẽ cấu hình xác thực 802.1x trên mạng có dây (wired lan), sử dụng Cisco ISE làm Radius Server. Khi một thiết bị cắm dây ethernet vào mạng phải qua bước xác thực bằng username/password để có thể truy cập vào mạng.
Sơ đồ bài lab:
.
1. Trên Switch
Đối với các Switch hoạt động Version 12.2 ta cấu hình như sau:
Cấu hình 802.1X trên cổng Switch:
Khai báo Radius Server:
Khai báo shared key trên Switch:
2. Trên Windows 10:
Cấu hình bật xác thực 802.1x trên Window 10 như sau:
.
Tìm và bật Services:
.
Tìm và double click vào Wire AutoConfig:
.
Start dịch vụ:
.
Tiếp theo, mở CMD gõ ncpa.cpl để vào Network Connection, click chuột phảivào Card mạng Ethernet -> chọn Properties
.
Qua tab Authentication, check Enable IEEE 802.1X authentication (1):
.
Tiếp tục chọn Additional Setting (2) chọn xác thực bằng user authentication - > ok để lưu lại:
.
3. Cấu hình RADIUS trên CISCO ISE:
Khai báo thiết bị để kết nối với Radius Server:
Vào Administration → Network Devices:
.
Bấm Add:
.
Tiến hành khai báo thông tin như sau:
.
Tiếp theo Click vào Radius Authentication Setting để cấu hình Radius Server, tiếp theo khai báo Shared Secret cho Radius Server (Lưu ý share key phải giống nhau trên Switch và Radius) → Chọn Submit để lưu cấu hình.
.
Tạo Policy:
Chọn Policy Sets:
.
Click vào biểu tượng cây bút để cấu hình xác thực mạng có dây với 802.1x
.
Tại mục Library tìm wire_802.1X và kéo vào mục editor → Use
.
Sau khi xong tiến hành Lưu lại và tiếp tục cấu hình cho Policy này như sau:
.
Tại mục authentication policy, ta làm như sau:
.
Tiếp tạo tạo Policy như sau, đây là nơi đưa ra các Action cho quá trình xác thức.
.
Sau khi cấu hình sau tiến hành lưu lại: chọn Save
Tạo username và Password trên Radius Server để xác thực trong mạng có dây:
Tại mục Administrator chọn Identities:
.
Chọn ADD để tạo User:
.
Điền thông tin username và Password
Lưu ý: Password phải đủ mạnh: bao gồm các kí tự chữ hoa, thường và kí tự đặc biệt
.
Sau khi xong chọn Submit để lưu cấu hình.
4. Kiểm tra
Tiến hành cắm PC vào cồng F0/1 của Switch đã cấu hình xác thực Dot1X
Cửa sổ yêu cầu xác thực để sử dụng Mạng, tiến hành nhập Username và Password khai báo trên Radius server để đăng nhập vào mạng.
.
Sau khi nhập đúng Username và Password trên Radius Server, ta sẽ truy cập được mạng.
Sơ đồ bài lab:
.
1. Trên Switch
Đối với các Switch hoạt động Version 12.2 ta cấu hình như sau:
Switch(config)#aaa new-model
Switch(config)#aaa authentication dot1x default group radius
Switch(config)#dot1x system-auth-control
Switch(config)#aaa authentication dot1x default group radius
Switch(config)#dot1x system-auth-control
Switch(config)#interface fastEthernet 0/1
Switch(config-if)#switchport mode access
Switch(config-if)#authentication port-control auto
Switch(config-if)#dot1x pae authenticator
Switch(config-if)#spanning-tree portfast
Switch(config-if)#switchport mode access
Switch(config-if)#authentication port-control auto
Switch(config-if)#dot1x pae authenticator
Switch(config-if)#spanning-tree portfast
Switch(config)#radius-server host 10.215.26.50
Switch(config)#radius-server key VnPro123
Cấu hình bật xác thực 802.1x trên Window 10 như sau:
.
Tìm và bật Services:
.
Tìm và double click vào Wire AutoConfig:
.
Start dịch vụ:
.
Tiếp theo, mở CMD gõ ncpa.cpl để vào Network Connection, click chuột phảivào Card mạng Ethernet -> chọn Properties
.
Qua tab Authentication, check Enable IEEE 802.1X authentication (1):
.
Tiếp tục chọn Additional Setting (2) chọn xác thực bằng user authentication - > ok để lưu lại:
.
3. Cấu hình RADIUS trên CISCO ISE:
Khai báo thiết bị để kết nối với Radius Server:
Vào Administration → Network Devices:
.
Bấm Add:
.
Tiến hành khai báo thông tin như sau:
.
Tiếp theo Click vào Radius Authentication Setting để cấu hình Radius Server, tiếp theo khai báo Shared Secret cho Radius Server (Lưu ý share key phải giống nhau trên Switch và Radius) → Chọn Submit để lưu cấu hình.
.
Tạo Policy:
Chọn Policy Sets:
.
Click vào biểu tượng cây bút để cấu hình xác thực mạng có dây với 802.1x
.
Tại mục Library tìm wire_802.1X và kéo vào mục editor → Use
.
Sau khi xong tiến hành Lưu lại và tiếp tục cấu hình cho Policy này như sau:
.
Tại mục authentication policy, ta làm như sau:
.
Tiếp tạo tạo Policy như sau, đây là nơi đưa ra các Action cho quá trình xác thức.
.
Sau khi cấu hình sau tiến hành lưu lại: chọn Save
Tạo username và Password trên Radius Server để xác thực trong mạng có dây:
Tại mục Administrator chọn Identities:
.
Chọn ADD để tạo User:
.
Điền thông tin username và Password
Lưu ý: Password phải đủ mạnh: bao gồm các kí tự chữ hoa, thường và kí tự đặc biệt
.
Sau khi xong chọn Submit để lưu cấu hình.
4. Kiểm tra
Tiến hành cắm PC vào cồng F0/1 của Switch đã cấu hình xác thực Dot1X
Cửa sổ yêu cầu xác thực để sử dụng Mạng, tiến hành nhập Username và Password khai báo trên Radius server để đăng nhập vào mạng.
.
Sau khi nhập đúng Username và Password trên Radius Server, ta sẽ truy cập được mạng.