Cấu hình dynamic vlan – part3 cấu hình 802.1x wire trên switch cisco

88

Trong phần nầy mình sẽ đi sâu về cấu hình trên switch.

Hôm trước có 1 bạn hỏi tôi bạn í có 1 mô hình đại loại có 3 tầng như hình bên dưới:Cấu hình dynamic vlan – part3 cấu hình 802.1x wire trên switch cisco

Thông thường chúng ta nên làm trên layer 2 tầng gần user nhất. Các port uplink tuyệt đối không làm port security hay 802.1x trên đó. Tuy nhiên trong bài lab nầy tôi lại làm trên switch layer 3 (vì tôi không có switch layer 2 để demo) , trong thực tế khai làm nên hạn chế việc nầy. Vì chẳng ai làm mấy vụ nầy trên switch core và distributed.

Nếu đúng mô hình 3 lớp : Access – Distributed – Core. Ta nên cấu hình như sau:

  • SVI cấu hình trên core
  • 802.1X cấu hình trên access
  • Và dĩ nhiên tuyệt đối ko làm 802.1x trên port up link

Quoay lại bài LAB CẤU HÌNH DYNAMIC VLAN – CẤU HÌNH 802.1X WIRE  TRÊN SWITCH CISCO

Bước 1: Cấu hình VLAN và SVI cho các VLAN

Switch-ITFORVN(config)#vlan 10

Switch-ITFORVN(config-if)#name IT

Switch-ITFORVN(config)#int vlan 10

Switch-ITFORVN(config-if)#ip add 10.10.10.1 255.255.255.0

Switch-ITFORVN(config-if)#ip helper-address 10.10.1.10

Switch-ITFORVN(config-if)#no shut

Switch-ITFORVN(config)#vlan 20

Switch-ITFORVN(config-if)#name DEV

Switch-ITFORVN(config)#int vlan 20

Switch-ITFORVN(config-if)#ip add 10.10.20.1 255.255.255.0

Switch-ITFORVN(config-if)#ip helper-address 10.10.1.10

Switch-ITFORVN(config-if)#no shut

Switch-ITFORVN(config)#vlan 30

Switch-ITFORVN(config-if)#name GUEST

Switch-ITFORVN(config)#int vlan 30

Switch-ITFORVN(config-if)#ip add 10.10.30.1 255.255.255.0

Switch-ITFORVN(config-if)#ip helper-address 10.10.1.10

Switch-ITFORVN(config-if)#no shut

Switch-ITFORVN(config)#int vlan 1B

Switch-ITFORVN(config-if)#ip add 10.10.1.1 255.255.255.0

Switch-ITFORVN(config-if)#no shut

Bước 2: cấu hình enable AAA Authentication

Switch-ITFORVN(config)#aaa new-model
Switch-ITFORVN(config)#aaa authentication dot1x default group radius
Switch-ITFORVN(config)#aaa authentication network default group radius

Bước 3: Kích hoạt tính năng 802.1x

Switch-ITFORVN(config)#dot1x system-auth-control

Switch-ITFORVN(config)#radius-server host 10.10.1.10 auth-port 1812 acct-port 1813 key IT4VN123

Buoc 4: Cấu hình portbased authentication trên port g1/4-12 + auto asign vlan

Switch-ITFORVN(config)#int ran g1/4-12

Switch-ITFORVN(config-if)#switchport mode access

Switch-ITFORVN(config-if)#dot1x pae authenticator

Switch-ITFORVN(config-if)#dot1x port-control auto

Switch-ITFORVN(config-if)#dot1x timeout server-timeout 10

Switch-ITFORVN(config-if)#dot1x max-reauth-req 1

Switch-ITFORVN(config-if)#dot1x guest-vlan 30 // Câu lệnh nầy để assign vlan guest cho user authentication bị fail

Switch-ITFORVN(config-if)#spanning-tree portfast // Enable port fast lên để user nhận IP nhanh hơn.

Switch-ITFORVN(config-if)#no shut

 

BÌNH LUẬN

Please enter your comment!
Please enter your name here