BẠN TÌM GÌ HÔM NAY ...?
Tất cả đều có chỉ trong 1 nốt nhạc !
Nếu cần hỗ trợ chi tiết gọi 1900 633 326
Nội dung
Trong bài viết này, Mình sẽ hướng dẫn các bạn cấu hình radius trên switch Cisco và xác thực 802.1x trên các thiết bị windows.
Radius thì cũng có rất nhiều các tham số khác nhau tùy thuộc vào nhu cầu và policy của từng hệ thống, do vậy trong bài việt này thì mình sẽ chỉ sử dụng 1 số tham số cơ bản để Client có thể sử dụng thông tin xác thực khi kết nối vào mạng. Xác thực đúng thì sẽ được truy cập, đơn giản vậy thôi. Các bạn cứ hiểu đơn giản là trên Radius chúng ta đưa ra bao nhiêu điều kiện, thì connection phải đáp ứng bấy nhiêu mới có thể kết nối vào hệ thống. Tuy nhiên không phải thiết bị nào cũng đáp ứng được toàn bộ, nên nếu đưa ra quá nhiều điều kiện ban đầu thì chúng ta sẽ rất dễ gặp lỗi. Do vậy với các bạn đang lab hoặc test thử hệ thống, thì mình khuyên các bạn nên bắt đầu bằng 1 điều kiện đơn giản là user group để client có tài khoản đăng nhập, sau đó test xác thực 802.1x OK rồi thì chúng ta mới bắt đầu thêm các điều kiện khác vào và test tiếp, như vậy chúng ta dễ xác định được vấn đề khi client không thể xác thực.
Mô hình của mình rất đơn giản, Radius Server của mình IP là 10.10.10.120. Switch Cisco mình đang dùng là dòng Cisco C1000, với các dòng Catalyst như dòng 2960, 3850, 9200, 9300 thì các bạn cũng cấu hình tương tự, câu lệnh của mấy dòng switch này tương tự nhau thôi.
Máy tính của mình sẽ cắm vào cổng 24 trên switch. Mình sẽ cấu hình dot1x cho cổng 24 này, để khi máy tính cắm vào cổng 24 sẽ phải sử dụng user trên windows server để đăng nhập. Nếu đúng tài khoản thì sẽ lấy được IP và truy cập vào mạng. Lúc này switch sẽ đóng vai trò là AUTHENTICATOR.
Trước tiên chúng ta cần khai báo radius client cho switch Cisco trên Radius Server.
Các bạn kích chuột phải vào Radius Client và chọn New.
Shared secret: là key mà các bạn sẽ nhập trên switch khi cấu hình radius.Tiếp theo các bạn cấu hình các policy để cho tạo các điều kiện cho truy cập cho client. Các bạn kích vào menu gốc NPS (Local), chọn RADIUS server for 802.1x wireless or wired connections và nhấn Configure 802.1x.Chọn Type là Secure Wired (Ethernet) Connections cho các kết nối có dây, còn phần wireless connections các bạn sẽ chọn khi sử dụng với mạng không dây.
Radius Client thì các bạn add các thiết bị muốn kết nối qua policy này. Mình sẽ chỉ để switch C1000 thôi, mặc định thì server sẽ liệt kê toàn bộ các Radius Clients mà các bạn đã cấu hình, các bạn có thể remove các client không cần thiết đi.
Authentication Method chọn Microsoft: Protected EAP (PEAP).
Trong menu Specify User Groups các bạn add nhóm tài khoản được sử dụng để xác thực 802.1x vào. Mình đã có 1 user group là MGMT-Users nên mình sẽ add group này vào.
Trong menu Confiugure Traffic Controls, nếu các bạn muốn add VLAN động cho Client thì chúng ta sẽ cấu hình ở đây. Ví dụ khi client xác thực thành công thì sẽ tự động access vào VLAN 10 chẳng hạn. Có 3 thuộc tính chúng ta cần cấu hình là Tunnel-Type, Tunnel-Medium-Type và Tunnel-Pvt-Group-ID.
Các bạn kích vào Configure, chọn thuộc tính Tunnel-Type, nhấn Edit, chọn Add, và chọn Commonly used for 802.1x là Virutal LANs (VLAN).
Tiếp theo, các bạn kích vào Configure, chọn thuộc tính Tunnel-Medium-Type, nhấn Edit, chọn Add, và chọn Commonly used for 802.1x là 802(includes all 802 media plus Ethernet canonical format).
Cuối cùng, các bạn kích vào Configure, chọn thuộc tính Tunnel-Pvt-Group-ID, nhấn Edit, chọn Add, chọn Enter the attribute value in là String, và nhập VLAN ID vào.
Để client tự động access vào 1 VLAN thì chúng ta sẽ cần 3 thuộc tính như bên dưới, bấm OK sau đó bấm Next.
Cuối cùng các bạn nhấn Finish để hoàn tất quá trình tạo policy. Server sẽ tạo 2 policy cho Connection Request Policy và Network Policies.
Như vậy là chúng ta hoàn tất cấu hình trên Radius Server
Đầu tiên mình sẽ cần đặt IP cho interface VLAN1, do switch mình đang nối với Radius Server bằng VLAN 1. Với mô hình của các bạn thì các bạn chỉ cần đảm bảo switch có thể ping được Radius Server, và không có firewall nào chặn các port của Radius là được nhé.
Tiếp theo các bạn sẽ cần sẽ cần kích hoạt AAA lên.
Sau đó tạo Radius Server, mình sẽ đặt tên là SRV và trỏ đến IP của radius với port authentication là 1812 và accouting là 1813. Phần Key sẽ là Shared Secret mà các bạn đã cấu hình trong phần Radius Client.
Các bạn lưu ý các port này trên Radius nhé, mặc định các port của radius là 1812 và 1813, tuy nhiên thì các port có thể thay đổi, và có thể khác nhau giữa các radius, nên các bạn cần kiểm tra trước khi cấu hình. Port trên switch và radius cần giống nhau. Trên switch Cisco nếu các bạn không khai báo port thì mặc định sẽ là port 1645 và 1646.
Nếu các bạn có nhiều Radius server, và mỗi server cho 1 dịch vụ khác nhau, thì các bạn có thể cấu hình các group và nhóm các Radius server có chung chức năng vào. Ví dụ mình sẽ tạo 1 group tên là RADIUS-GROUP cho dot1x và add server SRV mà mình vừa tạo ở trên vào.
Khi đó các bạn có thể sử dụng mỗi group Radius cho các dịch vụ khác nhau.
Sau khi cấu hình xong radius, các bạn cấu hình xác thực dot1x bằng radius. Nếu group các bạn sử dụng là radius thì switch sẽ sử dụng toàn bộ các radius server mà các bạn cấu hình trên switch. Còn nếu các bạn sử dụng group mà các bạn cấu hình ở trên thì các bạn chỉ cần gõ tên radius đã cấu hình ở trên vào là được. Mình sẽ sử dụng radius để sử dụng toàn bộ Radius mà mình đã khai báo trên switch.
Sau khi cấu hình xong, các bạn có thể sử dụng lệnh show aaa server để kiểm tra.
Trạng thái của server là UP nghĩa là chúng ta đã kết nối thành công đến Radius server.
Sau khi server UP thì các bạn sẽ cần bật dot1x trên cổng kết nối xuống client lên. Các bạn lưu ý các trên interface thì chúng ta cần phải cấu hình port về 1 mode cụ thể thì mới bật được dot1x. Mình sẽ cấu hình về mode access.
Để kiểm tra các bạn có thể show dot1x all lên.
Dot1x đã được enable và bật cho cổng 24. Trên switch như vậy là xong.
Tiếp theo các bạn nhấn Additional Settings, tích Specify authentication mode và chọn User authentication.
Nếu các bạn muốn lưu thông tin đăng nhập, thì nhấn Save credentials và nhập tài khoản xác thực 802.1x vào, còn không thì mỗi lần cắm dây thì máy tính sẽ yêu cầu nhập 1 lần. Nếu các bạn đã lưu credentials thì máy tính sẽ không hiện Pop-up để nhập tài khoản khi các bạn kết nối dây mạng.
Trên đây là những cấu hình cơ bản chúng ta có thể sử dụng 802.1x xác thực khi người dùng kết nối vào mạng. Các bạn có thể cấu hình xác thực trước, sau đó thêm các option khác vào để test.
Chúc các bạn thành công!
Siêu Siêu Nhỏ cung cấp đa dạng các Server đáp ứng yêu cầu cho Doanh Nghiệp
Tham khảo các ưu đãi: https://www.sieuthimaychu.vn/index.php/Uu_Dai/
Ngoài ta bạn có thể tham khảo thêm 1 số bài viết liên quan tại đây
CÔNG TY TNHH SIÊU SIÊU NHỎ
MST/ĐKKD/QĐTL: 0305449167
Trụ Sở Doanh Nghiệp: 344 Huỳnh Tấn Phát, Phường Bình Thuận, Q7, TPHCM
Email: info@sieuthimaychu.vn | Điện Thoại: (028) 73073776
Trung Tâm Kinh Doanh & Bảo Hành:
344 Huỳnh Tấn Phát, Phường Bình Thuận, Quận 7, TP.HCM
Điện thoại : (028) 73073776
Trung Tâm Kinh Doanh & Bảo Hành:
Tầng 9, toà nhà Diamond (Handico 6), Số 2 Hoàng Đạo Thuý, Trung Hoà Nhân Chính, Quận Thanh Xuân, Hà Nội
Điện thoại: (024) 73073776