Mục tiêu thực hành:
- Khởi tạo các tài khoản Staff và Guest trên Cisco ISE.
- Thiết lập Authorization Profile (AuthorProfileVLAN2) trên CiscoISE.
- Kiểm tra thông tin Trustsec AAA Servers trên Cisco ISE.
- Thiết lập Trustsec Settings cho Network Device (SW3750G) trên Cisco ISE.
- Thiết lập Security Group ACLs cho SecGroupGuestUser trên Cisco ISE.
- Khởi tạo Security Group (SecGroupStaff và SecGroupGuest) trên Cisco ISE.
- Thiết lập Policy Set NAC cho phép xác thực và phân quyền trên Cisco ISE.
- Thiết lập Trustsec Egress Policy Matrix cho SecGroupGuestUser trên Cisco ISE.
Các bước triển khai:
Khởi tạo các tài khoản Staff và Guest trên Cisco ISE.
Thiết lập Authorization Profile (AuthorProfileVLAN2) trên CiscoISE.
Kiểm tra thông tin Trustsec AAA Servers trên Cisco ISE.
Thiết lập Trustsec Settings cho Network Device (SW3750G) trên Cisco ISE.
Thiết lập Security Group ACLs cho SecGroupGuestUser trên Cisco ISE.
Khởi tạo Security Group (SecGroupStaff và SecGroupGuest) trên Cisco ISE.
- Các Security Group không giống với Identity Group đã được khởi tạo trước đó trên Cisco ISE.
Thiết lập Trustsec Egress Policy Matrix cho SecGroupGuestUser trên Cisco ISE.
Thiết lập Policy Set NAC cho phép xác thực và phân quyền trên Cisco ISE.
Cấu hình xác thực 802.1X trên RADIUS Authenticator (SW3750G).
- radius-server vsa send authentication: Cho phép SW3750G tiếp nhận DACL từ ISE đổ xuống, nếu không thực hiện lệnh này trên Switch 3750 thì trên ISE Server sẽ xuất hiện nội dung như trong hình bên dưới.
ip routinginterface vlan 200ip address 192.168.200.201 255.255.255.0no shutdownexitip route 0.0.0.0 0.0.0.0 192.168.200.254interface e0/0switchport trunk encapsulation dot1qswitchport mode trunkspanning-tree portfast trunkexit
vlan 2name GuestVLANexitvlan 200name StaffVLANexitaaa new-modelaaa authentication dot1x default group radiusaaa authorization network default group radiusaaa authorization auth-proxy default group radiusaaa server radius policy-deviceaaa server radius dynamic-authorclient 192.168.200.252 server-key buiphamexitradius-server host 192.168.200.252 key buiphamdot1x system-auth-controlradius-server attribute 6 on-for-login-authradius-server attribute 6 support-multipleradius-server attribute 8 include-in-access-reqradius-server attribute 25 access-request includeradius-server vsa send authenticationinterface e0/1switchport mode accessauthentication port-control autodot1x pae authenticatorspanning-tree portfastexit
- Kiểm tra kết nối và quá trình xác thực RADIUS.
SW3750G# test aaa group radius GuestUser01 1987 new-codeUser successfully authenticatedUSER ATTRIBUTESusername 0 "GuestUser01"SW3750G#
- Kiểm tra trạng thái xác thực RADIUS tương ứng với GuestUser trên Switch.
SW3750G# show authentication sessions interface e0/1Interface MAC Address Method Domain Status Fg Session ID----------------------------------------------------------------------Et0/1 5000.0001.0000 dot1x DATA Auth C0A8C8C90000000C001E1E09Key to Session Events Blocked Status Flags:A - Applying Policy (multi-line status for details)D - Awaiting DeletionF - Final Removal in progressI - Awaiting IIF ID allocationN - Waiting for AAA to come upP - Pushed SessionR - Removing User Profile (multi-line status for details)U - Applying User Profile (multi-line status for details)X - Unknown BlockerRunnable methods list:Handle Priority Name5 5 dot1x9 10 mab7 15 webauthSW3750G#
Công ty DWN (Đại lý cấp I Cisco Meraki tại Việt Nam) cung cấp dịch vụ tư vấn, báo giá, phân phối và triển khai các giải pháp liên quan đến:
- WiFi (Cisco Meraki, Aruba, Ruckus)
- Firewall (Cisco ASA, Fortinet, WatchGuard, PaloAlto)
- Network (Cisco vs HP Router & Switch)
Liên hệ với Bùi Phạm để biết thêm thông tin chi tiết.
0 comments