CiscoISE: (01.04) Cấu hình Cisco ISE 3.0 rót VLAN xuống Switch Catalyst vs Meraki sau khi xác thực 802.1X thành công

Mục tiêu thực hành:

- Cấu hình Cisco ISE 3.0 đóng vai trò RADIUS Server.

- Thiết lập Policy Authorization Profile (AuthorizationProfileStaffWired) trên Cisco ISE.

- Thiết lập Policy Set và liên kết tới RADIUS Authenticator (SW3750G) trên Cisco ISE.

+ Khảo sát Default Network Access trước khi thiết lập Policy Set.

+ Thiết lập Policy Set cho Device Group (CiscoSwitchAccessGroup).

+ Thiết lập Policy Set (Authentication Policy Wired_802.1X).

+ Thiết lập Policy Set (Authorization Policy AuthorizationProfileStaffWired).

- Cấu hình xác thực 802.1X trên RADIUS Authenticator (SW3750G).

- Cấu hình xác thực 802.1X trên RADIUS Authenticator (MS220-8P).

- Thiết lập trên Window 10 sử dụng cơ chế xác thực 802.1X.

- Khảo sát log xác thực trên RADIUS Authenticator (SW3750G).

- Khảo sát log xác thực trên RADIUS Server (Cisco ISE).

Các bước triển khai:

Thiết lập Policy Authorization Profile (AuthorizationProfileStaffWired) trên Cisco ISE.

- Sau khi End User xác thực thành công thì thiết lập VLAN 10 cho User này.

Thiết lập Policy Set và liên kết tới RADIUS Authenticator (SW3750G) trên Cisco ISE.

- Khảo sát Default Network Access trước khi thiết lập Policy Set.

- Thiết lập Policy Set cho Device Group (CiscoSwitchAccessGroup).

- Thiết lập Policy Set (Authentication Policy Wired_802.1X).

- Thiết lập Policy Set (Authorization Policy AuthorizationProfileStaffWired).

Cấu hình xác thực 802.1X trên RADIUS Authenticator (SW3750G).

ip routing
interface vlan 1
ip address 172.16.31.201 255.255.255.0
no shutdown
exit
ip route 0.0.0.0 0.0.0.0 172.16.31.4
interface g2/0/24
switchport mode access
switchport access vlan 1
spanning-tree portfast
exit

vlan 10
name StaffVLAN
exit
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
radius-server host 192.168.200.252 key buipham
dot1x system-auth-control

interface GigabitEthernet2/0/1
switchport mode access
authentication port-control auto
dot1x pae authenticator
spanning-tree portfast
exit

Cấu hình xác thực 802.1X trên RADIUS Authenticator (MS220-8P).

Khảo sát log xác thực trên RADIUS Authenticator (SW3750G).

SW3750G#
*Mar 1 03:10:16.836: %SYS-5-CONFIG_I: Configured from console by console
*Mar 1 03:10:23.983: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet2/0/1, changed state to down
*Mar 1 03:10:24.990: %LINK-3-UPDOWN: Interface GigabitEthernet2/0/1, changed state to down
*Mar 1 03:10:28.463: %AUTHMGR-5-START: Starting 'dot1x' for client (80ce.6282.7f9f) on Interface Gi2/0/1 AuditSessionID AC101FC90000000600AE617C
*Mar 1 03:10:30.224: %LINK-3-UPDOWN: Interface GigabitEthernet2/0/1, changed state to up
*Mar 1 03:10:37.539: %DOT1X-5-SUCCESS: Authentication successful for client (80ce.6282.7f9f) on Interface Gi2/0/1 AuditSessionID
*Mar 1 03:10:37.539: %AUTHMGR-7-RESULT: Authentication result 'success' from 'dot1x' for client (80ce.6282.7f9f) on Interface Gi2/0/1 AuditSessionID AC101FC90000000600AE617C
*Mar 1 03:10:37.539: %AUTHMGR-5-VLANASSIGN: VLAN 10 assigned to Interface Gi2/0/1 AuditSessionID AC101FC90000000600AE617C
*Mar 1 03:10:38.562: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet2/0/1, changed state to up
*Mar 1 03:10:38.579: %AUTHMGR-5-SUCCESS: Authorization succeeded for client (80ce.6282.7f9f) on Interface Gi2/0/1 AuditSessionID AC101FC90000000600AE617C
SW3750G#

SW3750G# show authentication sessions interface g2/0/1
Interface: GigabitEthernet2/0/1
MAC Address: 80ce.6282.7f9f
IP Address: Unknown
User-Name: StaffUser01
Status: Authz Success
Domain: DATA
Security Policy: Should Secure
Security Status: Unsecure
Oper host mode: single-host
Oper control dir: both
Authorized By: Authentication Server
Vlan Policy: 10
Session timeout: N/A
Idle timeout: N/A
Common Session ID: AC101FC90000000600AE617C
Acct Session ID: 0x0000000B
Handle: 0xBF000006

Runnable methods list:
Method State
dot1x Authc Success

SW3750G#