Sơ đồ Lab gồm 1 router, 1 switch layer 2, 1 Cisco ISE đóng vai trò là server RADIUS và 4 PC được đấu nối như hình.
Yêu cầu:
Thực hiện: Bước 1: Kết nối và cấu hình cơ bản: Học viên thực hiện kết nối thiết bị và cấu hình cơ bản trên các thiết bị theo yêu cầu đặt ra. Bước 2: Cấu hình trunk và vlan trên switch: Học viên thực hiện cấu hình trên switch theo yêu cầu đặt ra. Bước 3: Cấu hình NAT, dhcp và router-on-stick, trên router: Học viên thực hiện cấu hình trên router theo yêu cầu đã đặt ra. Cấu hình dhcp để thiết bị có thể nhận được địa chỉ IP + default gateway sau khi đăng nhập xác thực. Bước 4: Cấu hình xác thực 802.1x: Cấu hình: · Cấu hình đặt ip và gateway cho cisco ise: CiscoISE/admin(config)# interface gigabitEthernet 0 CiscoISE/admin(config-GigabitEthernet) ip address 172.168.1.100 255.255.255.0CiscoISE/admin(config-GigabitEthernet)# exit CiscoISE/admin(config)# ip default-gateway 172.168.1.1 · Cấu hình bật xác thực 802.1x trên switch: SW1(config) aaa new-model(1)SW1(config) aaa authentication dot1x default group radius(2)SW1(config) aaa authorization network default group radius(3)SW1(config) dot1x system-auth-control(4)SW1(config) exit1/ Bật chế độ aaa trên switch để mở rộng câu lệnh aaa 2,3/Tạo phương thức xác thực 602.1x và phương thức phân quyền mạng do các server radius chịu trách nhiệm Phần tên của phương thức authentication dot1x và authorization network ép buộc phải default do trong interface port của switch không gán được tên phương thức xác thực, tất cả các port đều áp dụng phương thức default này 4/ Bật chế độ xác thực thông qua port 802.1x cho tất cả port · Cấu hình thông tin radius server trên switch: SW1(config) radius server Cisco_ISESW1(config-radius-server) address ipv4 172.168.1.100SW1(config-radius-server) key VnPro123SW1(config-radius-server) exit· Cấu hình bật 802.1x trên interface e0/2, e0/3 và e1/0: SW1(config) interface range e0/2-3, e1/0SW1(config-if-range) switchport mode accessSW1(config-if-range) authentication port-control auto (1)SW1(config-if-range) dot1x pae authenticator (2)SW1(config-if-range) spanning-tree portfastSW1(config-if-range) exit2/ Chỉnh port access entity là authenticator à switch không phản hồi gói tin của supplicant mà forward lên server authentication, nhưng lại phản hồi gói tin của authenticator từ server và trả lời lại cho supplicant như thể là authentication Ngược lại, pae supplicant à switch phản hồi gói tin của supplicant nhưng không phản hồi gói tin của authenticator 1/ Bật chế độ 802.1x ở cổng, ban đầu cổng chưa xác thực Force-authorized, tắt chế độ 802.1x và chỉ định cổng đã được xác thực Force-unauthorized, tắt chế độ 802.1x và chỉ định cổng chưa xác thực cho dù thiết bị có gửi yêu cầu xác thực · Mở PC Manage vào web và gõ địa chỉ Cisco ISE 172.168.1.100 sau đó cấu hình network devices để có thể trao đổi với switch: Vào Administration->Network Devices->Add: · Cấu hình các thông số như hình rồi nhấn submit: · Cấu hình tạo ra các group IT, SALE và ACCOUNTING trên Cisco ISE: Administration->Groups->User Identity Groups->Add: Làm tương tự cho group SALE và ACCOUNTING:Tạo các user cho các group, đối với group IT tạo username vlan10 pass VnPro@123, group SALE username vlan20 pass VnPro@123 và group ACCOUNTING username vlan30 pass VnPro@123 bằng cách vào Administration->Identities->Users->Add: |