Xác thực dot1x với Radius server. 1

XÁC THỰC DOT1X VỚI RADIUS SERVER

Sơ đồ:

`

192.168.1.1/24192.168.1.254/24

192.168.1.2/24

Client Switch RADIUS

Server

F0/1 F0/24

Hình 1.

Yêu cầu:

- Cấu hình xác thực Dot1x trên cổng F0/1 nối với Client.

- Client telnet vào Switch phải được xác thực bằng Radius server, dự phòng xác

thực bằng local account và line password.

- Username và password với Radius server sử dụng cho hai trường hợp trên là:

cisco và vnpro.

Thực hiện:

Bước 1: Thực hiện đặt địa chỉ IP cho sơ đồ như hình 1. IP cho Switch đặt trên interface

VLAN 1. Trong bài lab này ta không chia VLAN trên Switch.

Bước 2: Cấu hình xác thực dot1x cho cổng f0/1 trên Switch.

- Bật AAA:

Switch(config)#aaa new-model

- Chỉ ra RADIUS Server được sử dụng để xác thực:

Switch(config)#radius-server host 192.168.1.254 auth-port 1812 key vnpro

- Chọn kiểu xác thực AAA là dot1x với method list chỉ có một phương pháp là sử dụng

RADIUS Server:

Switch(config)#aaa authentication dot1x default group radius

- Bật dot1x trên Switch và trên cổng đấu với Client:

Switch(config)#dot1x system-auth-control

Switch(config)#int f0/1

Switch(config-if)#dot1x port-control auto

Xác thực dot1x với Radius server. 2

Bước 3: Bật EAP trên Client.

- Mở cửa sổ mạng của Client (sử dụng WIN XP) (hình 2):

Hình 2.

Trong cửa sổ này, ta chọn “Properties”.

Xác thực dot1x với Radius server. 3

Trong cửa sổ tiếp theo, ta chọn thẻ “Authentication”, tiếp đó chọn “Enable IEEE 802.1x

authentication for this network”; với EAP type, ta chọn “MD5-Challenge” (hình 3):

Hình 3.

Chọn “OK” để hoàn tất cấu hình trên Client.

Xác thực dot1x với Radius server. 4

Bước 4: Cấu hình RADIUS Server.

- Mở cửa sổ giao diện ACS 4.0 (hình 4):

Hình 4.

Xác thực dot1x với Radius server. 5

- Chọn “Network Configuration” (hình 5):

Hình 5.

- Trong khu vực AAA Clients, nhấn “Add Entry” để khai báo AAA Client (Switch). Cửa

sổ cấu hình cho AAA Client sẽ hiện ra (hình 6):

Xác thực dot1x với Radius server. 6

Hình 6.

Xác thực dot1x với Radius server. 7

- Nhập Hostname của Switch (không nhất thiết phải trùng với hostname của Switch) và

địa chỉ của Switch vào các ô tương ứng. Nhớ khai báo key là vnpro (giống với key đã

khai báo trong câu lệnh chỉ ra AAA server trên Switch. Chọn phương pháp xác thực là

RADIUS (IETF). Sau khi chọn xong toàn bộ, nhớ nhấn “Submit” (hình 7):

Hình 7.

Xác thực dot1x với Radius server. 8

- Ta tiếp tục với AAA Server bắng cách quay ngược về cửa sổ “Network Configuration”

chọn “add entry” cho AAA Server rồi nhập vào các thông sô của AAA Server rồi nhấn

“Submit” (hình 8):

Hình 8.

Xác thực dot1x với Radius server. 9

- Sau khi khai báo xong, ta quay trở lại cửa sổ “Network configuration”, các dòng thông

báo mảu đỏ sẽ cho biết ta đã cấu hình xong phần này (hình 9):

Hình 9.

Xác thực dot1x với Radius server. 10

- Tiếp theo, ta qua phần “System Configuration”để cấu hình (hình 10):

Hình 11.

- Tại đây, ta chọn “Global Authentication”, cửa sổ cho mục này sẽ hiện ra (hình 12):

Xác thực dot1x với Radius server. 11

Hình 12.

Xác thực dot1x với Radius server. 12

- Ta chọn kiểu xác thực là EAP-MD5 (hình 13):

Hình 13.

Lưu ý: Ta không chọn PEAP trong trường hợp này.

Xác thực dot1x với Radius server. 13

- Sau khi chọn xong, kéo thanh cuốn lên ta sẽ thấy hiện lên một dòng thông báo màu đỏ

yêu cầu reset lại ACS (hình 14):

Hình 14.

Xác thực dot1x với Radius server. 14

- Như thông báo đã hướng dẫn, để restart lại ACS, ta trở lại menu chính của “System

Configuration”, chọn “Service Control” để thực hiện (hình 15):

Hình 15.

Xác thực dot1x với Radius server. 15

- Sau khi chọn, cửa sổ của mục “Service Control” sẽ hiện ra. Trong cửa sổ này ta nhấn

nút “Restart” để khởi động lại ACS (hình 16):

Hình 16.

Chú ý: Ta thấy trạng thái của Server đang là “running” (hiển thị trên thông báo là “Is

Currently Running”). Nếu trạng thái này là “stopped”, ta phải nhấn “start” để chạy ACS

Server (lúc này nút “Stop” sẽ được thay bằng nút “Start”).

Xác thực dot1x với Radius server. 16

- Tiếp theo ta khai báo một tài khoản truy nhập bằng cách chọn mục “User Setup”. Cửa

sổ của mục “User Setup” sẽ hiện ra sau khi chọn (hình 17):

Hình 17.

Xác thực dot1x với Radius server. 17

- Ta nhập vào username là “cisco” vào ô User, sau đó nhấn “Add/Edit” (hình 18):

Hình 18.

Xác thực dot1x với Radius server. 18

- Cửa sổ User Setup sẽ hiện ra, ta tiến hành nhập password của tài khoản là “vnpro”

(hình 19):

Hình 19.

Sau khi nhập xong, ta kéo thanh trượt xuống nhấn “Submit” để đăng ký tài khoản này.

Xác thực dot1x với Radius server. 19

- Ta có thể trở lại cửa sổ User Setup, khung cửa bên phải sẽ hiển thị các user đã được

khai báo (hình 20):

Hình 20.

Như vậy ta đã hoàn tất cấu hình trên ACS Server. Chốt lại, cấu hình trên ACS Server có

thể được tóm gọn trong 03 bước sau:

- Trong “Network Configuration”: chỉ ra AAA Client, AAA Server, chọn giao

thức là RADIUS (IETF).

- Trong “System Configuration”: chọn “Global Authentication Setup” để cấu hình

phương pháp xác thực EAP (chọn MD5 – challenge), sau đó qua “Service

Control” để kiểm tra xem Server đã chạy chưa và restart lại ACS.

- Trong “User Setup”: khai báo tài khoản gồm username và password.

Xác thực dot1x với Radius server. 20

Bước 5: Thử tính năng xác thực cổng Dot1x.

- Sau khi cấu hình xong, cắm dây PC vào cổng F0/1 của Switch, một thông báo yêu cầu

nhập username và password sẽ hiện ra trên PC (hình 21):

Hình 21.

- Click vào biểu tượng card mạng, cửa sổ xác thực sẽ hiện ra yêu câu nhập username và

password (hình 22):

Hình 22.

- Ta nhập username là “cisco”, password là “vnpro” vào các ô Username và Password

rồi nhấn OK.

Xác thực dot1x với Radius server. 21

- Khi tài khoản được nhập đúng và xác thực thành công, port được mở và PC kết nối

thành công vào Switch (hình 23):

Hình 23.

Xác thực dot1x với Radius server. 22

Ta thực hiện tiếp yêu cầu thứ 2 của bài lab: PC telnet vào Switch sẽ phải nhập username

và password để thực hiện xác thực trên Radius Server:

Bước 6: Cấu hình xác thực login bằng Radius server trên Switch, dự phòng xác thực

bằng phương pháp local và line:

- Khai báo xác thực login với method list mô tả yêu cầu xác thực như đã đề cập ở trên:

Switch(config)#aaa authentication login default group radius local line

- Tạo tài khoản local dự phòng cho trường hợp xác thực telnet bằng Radius thất bại:

Switch(config)#username ciscobackup password vnprobackup

- Bật cấu hình xác thực AAA vừa khai báo trên các cổng VTY:

Switch(config)#line vty 0 15

Switch(config-line)#login authentication default

Switch(config-line)#password vnprobackup4backup

Như vậy, khi telnet vào Switch, Client sẽ được xác thực bằng Radius Server với tài khoản

có username và password là “cisco/vnpro”. Nếu xác thực bằng Radius server thất bại,

Client sẽ được xác thực telnet bằng tài khoản local (username: ciscobackup, password:

vnprobackup). Nếu local cũng thất bại, sẽ chuyển qua xác thực bằng line password trên

cổng VTY (password: vnprobackup4backup).

Bước 7: Thử telnet vào Switch để kiểm tra xác thực (hình 25).

Hình 25.

Ta phải nhập Username là “cisco” và Password là “vnpro” để telnet vào được Switch.