ℹ️ Giới thiệu

• Ở bài viết trước thì mình đã làm về port-based authentication, bài viết này mình sẽ tiếp tục ứng dụng cơ chế port-based authentication để làm dynamic VLANs, về cơ bản là sẽ tự động chia VLANs tuỳ theo tài khoản được xác thực, cấp phát IP dựa theo VLAN được chia, và xử lý với những thiết bị không thể xác thực được với 802.1x.

---

💻 Xây dựng mô hình

• Phần mô hình mình sẽ sử dụng lại mô hình giống với bài viết Port-based Authentication. Tuy nhiên thì mình sẽ chia ra 3 VLANs để kiểm tra các phương thức xác thực.

---

🛠️ Triển khai mô hình

• Vì các bước cài đặt DHCP, Policies, … mình đã làm ở phần Port-based Authentication rồi nên mình sẽ đi nhanh qua các phần này nhé.

Tạo các Group và User

• Mình sẽ tạo 2 Group là IT và CLIENT, mỗi Group có một User để thực hiện kiểm tra khả năng xác thực của RADIUS Server.

---

Cấu hình DHCP Scope

• Mình cần chia 3 VLANs:

  1. IT_CONNECTION: 192.168.10.100 - 192.168.10.200. Những User xác thực bằng tài khoản trong Group IT sẽ được phân vào VLAN này.

  2. CLIENT_CONNECTION: 192.168.20.100 - 192.168.20.200. VLAN này dành cho những User xác thực bằng tài khoản trong Group Client.

  3. GUEST_CONNECTION: 192.168.30.100 - 192.168.30.200. Đối với những thiết bị không thể xác thực được bằng phương thức 802.1x thì sẽ được cấp phát IP trong VLAN Guest.

---

Cấu hình NPS

• Các bước để cấu hình NPS cũng cơ bản như với phần Port-based Authentication:

Register với AD → Thêm RADIUS Client → Tạo Policies cho các xác thực.

• Tạo policy cho các user xác thực với tài khoản it1 thuột Group IT.

• Ở phần Configure Traffic Controls, ta sẽ làm thêm một bước. Chọn Configure.

• Chọn Tunnel-type → Edit.

• Chọn Add → Virtual LANs → OK.

• Lặp lại các bước tương tự với Tunnel-Medium-Type và Tunnel-Pvt-Group-ID. Ở phần Tunnel-Pvt-Group-ID chọn String nhé, đây là ID của VLAN.

• Ra được kết quả như dưới là OK.

• OK và chọn Next sau đó Finish.

• Chuột phải vào Policy mới tạo, chọn Properties.

• Ở tab Settings, chọn 2 dòng này và Remove.

• OK.

• Ta sẽ làm tương tự với Policy cho CLIENT_CONNECTION.

• Group CLIENT.

• Tunnel-Pvt-Group-ID 20.

• Như vậy là OK.

• Vậy là xong phần RADIUS Server.

---

Cấu hình trên Switch

• Chia VLANs.

Switch3#conf t
Switch3(config)#vlan 10
Switch3(config-vlan)#name IT
Switch3(config-vlan)#vlan 20
Switch3(config-vlan)#name CLIENT
Switch3(config-vlan)#vlan 30
Switch3(config-vlan)#name GUEST
Switch3(config-vlan)#exit

• Đặt IP cho các VLANs.

Switch3(config)#int vlan 1
Switch3(config-if)#ip address 192.168.1.1 255.255.255.0
Switch3(config-if)#no shutdown
Switch3(config-if)#exit

Switch3(config)#interface vlan 10
Switch3(config-if)#ip address 192.168.10.1 255.255.255.0
Switch3(config-if)#ip helper-address 192.168.1.10
Switch3(config-if)#no shutdown
Switch3(config-if)#exit

Switch3(config)#interface vlan 20
Switch3(config-if)#ip address 192.168.20.1 255.255.255.0
Switch3(config-if)#ip helper-address 192.168.1.10
Switch3(config-if)#no shutdown
Switch3(config-if)#exit

Switch3(config)#interface vlan 30
Switch3(config-if)#ip address 192.168.30.1 255.255.255.0
Switch3(config-if)#ip helper-address 192.168.1.10
Switch3(config-if)#no shutdown
Switch3(config-if)#exit

• Kích hoạt aaa trên Switch.

Switch3(config)#aaa new
Switch3(config)#aaa authentication dot1x default group radius
Switch3(config)#aaa authorization network default group radius

• Kích hoạt dot1x và khai báo RADIUS Server.

Switch3(config)#dot1x system-auth-control
Switch3(config)#radius-server host 192.168.1.10 auth-port 1812 acct-port 1813 key 123

• Cấu hình port-based trên cổng.

Switch3(config)#int e0/1
Switch3(config-if)#switchport mode access
Switch3(config-if)#dot1x pae authenticator
Switch3(config-if)#authentication port-control auto
Switch3(config-if)#dot1x guest-vlan 30
Switch3(config-if)#dot1x host-mode multi-host
Switch3(config-if)#spanning-tree portfast

• Cấu hình về cơ bản vậy là đã xong. Bây giờ mình sẽ đi vào kiểm tra hoạt động của hệ thống.

---

Kiểm tra hoạt động

• Ở bước này thì các bạn làm theo phần cấu hình của Port-based Authenticaion.

• Mình sẽ đăng nhập với thông tin đăng nhập của it1, thuộc Group IT.

• Ở Event Viewer đã xác thực thành công cho User it1,

• Ở mục này có thể thấy các Policies được thiết lập đã hoạt động bình thường.

• Mục Connection Request Policy Name: là CLIENT_CONNECTION là hoàn toàn bình thường. Vì đây chỉ là request được gửi tới NPS, Policy trả lời là IT_CONNECTION chứng tỏ các thông tin xác thực khớp với Policy IT_CONNECTION.

• Ở trên máy Windows 10 cũng đã được cấp phát IP của Group IT khớp với mình đã cấu hình trong DHCP Scope.

• Đây là log của Switch. Máy Windows 10 đã được phân vào VLAN10.

Switch3#
*Oct 29 04:42:29.216: %LINK-3-UPDOWN: Interface Vlan10, changed state to up
*Oct 29 04:42:30.219: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan10, changed state to up

• Giờ mình sẽ xác thực với thông tin đăng nhập của Group CLIENT. Mình chỉ cần Disable Network Adapter Ethernet1 đi sau đó Enable lại và nhập thông tin đăng nhập tài khoản client1 của Group CLIENT là được.

• RADIUS Server đã xác thực thành công.

• Các thông tin đăng nhập đã khớp với Policy của CLIENT_CONNECTION.

• Máy Windows 10 cũng đã được cấp phát IP của Group CLIENT.

• Log của Switch cũng xác nhận máy Windows 10 đã được phân vào VLAN20.

Switch3#
*Oct 29 05:02:45.685: %LINK-3-UPDOWN: Interface Vlan20, changed state to up
*Oct 29 05:02:46.692: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan20, changed state to up

• Tiếp theo là với các thiết bị không hỗ trợ 802.1x thì sẽ được đưa vào VLAN30.

• Tắt chế độ xác thực bằng 802.1x.

• Switch đã đưa interface vào VLAN30.

Switch3(config)#
*Oct 29 06:58:19.175: %LINK-3-UPDOWN: Interface Vlan30, changed state to up
*Oct 29 06:58:20.175: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan30, changed state to up

• Windows 10 đã nhận được IP của GUEST_VLAN.

• IP được cấp cho máy Windows 10.

---

• Về cơ bản thì các Policy được cấu hình đã hoạt động OK. Các thiết bị có hỗ trợ 802.1x, có thể xác thực được với các tài khoản có trong Policy trên RADIUS Server thì sẽ được phân vào VLAN thích hợp, các thiết bị không hỗ trợ sẽ được phân vào VLAN riêng.