Upload
viettran
View
115
Download
3
Embed Size (px)
Citation preview
Xác thực dot1x với Radius server. 1
XÁC THỰC DOT1X VỚI RADIUS SERVER
Sơ đồ:
`
192.168.1.1/24192.168.1.254/24
192.168.1.2/24
Client Switch RADIUS
Server
F0/1 F0/24
Hình 1.
Yêu cầu:
- Cấu hình xác thực Dot1x trên cổng F0/1 nối với Client.
- Client telnet vào Switch phải được xác thực bằng Radius server, dự phòng xác
thực bằng local account và line password.
- Username và password với Radius server sử dụng cho hai trường hợp trên là:
cisco và vnpro.
Thực hiện:
Bước 1: Thực hiện đặt địa chỉ IP cho sơ đồ như hình 1. IP cho Switch đặt trên interface
VLAN 1. Trong bài lab này ta không chia VLAN trên Switch.
Bước 2: Cấu hình xác thực dot1x cho cổng f0/1 trên Switch.
- Bật AAA:
Switch(config)#aaa new-model
- Chỉ ra RADIUS Server được sử dụng để xác thực:
Switch(config)#radius-server host 192.168.1.254 auth-port 1812 key vnpro
- Chọn kiểu xác thực AAA là dot1x với method list chỉ có một phương pháp là sử dụng
RADIUS Server:
Switch(config)#aaa authentication dot1x default group radius
- Bật dot1x trên Switch và trên cổng đấu với Client:
Switch(config)#dot1x system-auth-control
Switch(config)#int f0/1
Switch(config-if)#dot1x port-control auto
Xác thực dot1x với Radius server. 2
Bước 3: Bật EAP trên Client.
- Mở cửa sổ mạng của Client (sử dụng WIN XP) (hình 2):
Hình 2.
Trong cửa sổ này, ta chọn “Properties”.
Xác thực dot1x với Radius server. 3
Trong cửa sổ tiếp theo, ta chọn thẻ “Authentication”, tiếp đó chọn “Enable IEEE 802.1x
authentication for this network”; với EAP type, ta chọn “MD5-Challenge” (hình 3):
Hình 3.
Chọn “OK” để hoàn tất cấu hình trên Client.
Xác thực dot1x với Radius server. 4
Bước 4: Cấu hình RADIUS Server.
- Mở cửa sổ giao diện ACS 4.0 (hình 4):
Hình 4.
Xác thực dot1x với Radius server. 5
- Chọn “Network Configuration” (hình 5):
Hình 5.
- Trong khu vực AAA Clients, nhấn “Add Entry” để khai báo AAA Client (Switch). Cửa
sổ cấu hình cho AAA Client sẽ hiện ra (hình 6):
Xác thực dot1x với Radius server. 7
- Nhập Hostname của Switch (không nhất thiết phải trùng với hostname của Switch) và
địa chỉ của Switch vào các ô tương ứng. Nhớ khai báo key là vnpro (giống với key đã
khai báo trong câu lệnh chỉ ra AAA server trên Switch. Chọn phương pháp xác thực là
RADIUS (IETF). Sau khi chọn xong toàn bộ, nhớ nhấn “Submit” (hình 7):
Hình 7.
Xác thực dot1x với Radius server. 8
- Ta tiếp tục với AAA Server bắng cách quay ngược về cửa sổ “Network Configuration”
chọn “add entry” cho AAA Server rồi nhập vào các thông sô của AAA Server rồi nhấn
“Submit” (hình 8):
Hình 8.
Xác thực dot1x với Radius server. 9
- Sau khi khai báo xong, ta quay trở lại cửa sổ “Network configuration”, các dòng thông
báo mảu đỏ sẽ cho biết ta đã cấu hình xong phần này (hình 9):
Hình 9.
Xác thực dot1x với Radius server. 10
- Tiếp theo, ta qua phần “System Configuration”để cấu hình (hình 10):
Hình 11.
- Tại đây, ta chọn “Global Authentication”, cửa sổ cho mục này sẽ hiện ra (hình 12):
Xác thực dot1x với Radius server. 12
- Ta chọn kiểu xác thực là EAP-MD5 (hình 13):
Hình 13.
Lưu ý: Ta không chọn PEAP trong trường hợp này.
Xác thực dot1x với Radius server. 13
- Sau khi chọn xong, kéo thanh cuốn lên ta sẽ thấy hiện lên một dòng thông báo màu đỏ
yêu cầu reset lại ACS (hình 14):
Hình 14.
Xác thực dot1x với Radius server. 14
- Như thông báo đã hướng dẫn, để restart lại ACS, ta trở lại menu chính của “System
Configuration”, chọn “Service Control” để thực hiện (hình 15):
Hình 15.
Xác thực dot1x với Radius server. 15
- Sau khi chọn, cửa sổ của mục “Service Control” sẽ hiện ra. Trong cửa sổ này ta nhấn
nút “Restart” để khởi động lại ACS (hình 16):
Hình 16.
Chú ý: Ta thấy trạng thái của Server đang là “running” (hiển thị trên thông báo là “Is
Currently Running”). Nếu trạng thái này là “stopped”, ta phải nhấn “start” để chạy ACS
Server (lúc này nút “Stop” sẽ được thay bằng nút “Start”).
Xác thực dot1x với Radius server. 16
- Tiếp theo ta khai báo một tài khoản truy nhập bằng cách chọn mục “User Setup”. Cửa
sổ của mục “User Setup” sẽ hiện ra sau khi chọn (hình 17):
Hình 17.
Xác thực dot1x với Radius server. 17
- Ta nhập vào username là “cisco” vào ô User, sau đó nhấn “Add/Edit” (hình 18):
Hình 18.
Xác thực dot1x với Radius server. 18
- Cửa sổ User Setup sẽ hiện ra, ta tiến hành nhập password của tài khoản là “vnpro”
(hình 19):
Hình 19.
Sau khi nhập xong, ta kéo thanh trượt xuống nhấn “Submit” để đăng ký tài khoản này.
Xác thực dot1x với Radius server. 19
- Ta có thể trở lại cửa sổ User Setup, khung cửa bên phải sẽ hiển thị các user đã được
khai báo (hình 20):
Hình 20.
Như vậy ta đã hoàn tất cấu hình trên ACS Server. Chốt lại, cấu hình trên ACS Server có
thể được tóm gọn trong 03 bước sau:
- Trong “Network Configuration”: chỉ ra AAA Client, AAA Server, chọn giao
thức là RADIUS (IETF).
- Trong “System Configuration”: chọn “Global Authentication Setup” để cấu hình
phương pháp xác thực EAP (chọn MD5 – challenge), sau đó qua “Service
Control” để kiểm tra xem Server đã chạy chưa và restart lại ACS.
- Trong “User Setup”: khai báo tài khoản gồm username và password.
Xác thực dot1x với Radius server. 20
Bước 5: Thử tính năng xác thực cổng Dot1x.
- Sau khi cấu hình xong, cắm dây PC vào cổng F0/1 của Switch, một thông báo yêu cầu
nhập username và password sẽ hiện ra trên PC (hình 21):
Hình 21.
- Click vào biểu tượng card mạng, cửa sổ xác thực sẽ hiện ra yêu câu nhập username và
password (hình 22):
Hình 22.
- Ta nhập username là “cisco”, password là “vnpro” vào các ô Username và Password
rồi nhấn OK.
Xác thực dot1x với Radius server. 21
- Khi tài khoản được nhập đúng và xác thực thành công, port được mở và PC kết nối
thành công vào Switch (hình 23):
Hình 23.
Xác thực dot1x với Radius server. 22
Ta thực hiện tiếp yêu cầu thứ 2 của bài lab: PC telnet vào Switch sẽ phải nhập username
và password để thực hiện xác thực trên Radius Server:
Bước 6: Cấu hình xác thực login bằng Radius server trên Switch, dự phòng xác thực
bằng phương pháp local và line:
- Khai báo xác thực login với method list mô tả yêu cầu xác thực như đã đề cập ở trên:
Switch(config)#aaa authentication login default group radius local line
- Tạo tài khoản local dự phòng cho trường hợp xác thực telnet bằng Radius thất bại:
Switch(config)#username ciscobackup password vnprobackup
- Bật cấu hình xác thực AAA vừa khai báo trên các cổng VTY:
Switch(config)#line vty 0 15
Switch(config-line)#login authentication default
Switch(config-line)#password vnprobackup4backup
Như vậy, khi telnet vào Switch, Client sẽ được xác thực bằng Radius Server với tài khoản
có username và password là “cisco/vnpro”. Nếu xác thực bằng Radius server thất bại,
Client sẽ được xác thực telnet bằng tài khoản local (username: ciscobackup, password:
vnprobackup). Nếu local cũng thất bại, sẽ chuyển qua xác thực bằng line password trên
cổng VTY (password: vnprobackup4backup).
Bước 7: Thử telnet vào Switch để kiểm tra xác thực (hình 25).
Hình 25.
Ta phải nhập Username là “cisco” và Password là “vnpro” để telnet vào được Switch.