Port Base Authentication

I mô hình:

Mô hình gồm :
 1 máy win server 2012
Có ip là 10.123.10.10/24
 1 máy win 8

 1 switch cisco

Đầu tiên thực hiện trên 2012: (cần phải có domain controler)
Bước 1 cài DHCP và Network Policy Access services

1
Bước 2 vào DHCP manager :

Chọn ipv4 => new scope để cấu hình DHCP cho vlan1:

Đây là dãy ip sẽ cấp:

Sau khi tạo xong

2
Bước 3 vào tool và chọn NAP:

Chuột phải vào NPS và chon dòng thứ 5 , sau đó chọn ok ok:

Vào cmd gõ dòng lệnh:

3
Vào NAP chuyển sang radius:

Chọn vào configuare 802.1x và chọn secure wired:

4
Bước 4 Chọn next và chọn add 1 radius client (với chuỗi secret là 123456):

Tiếp theo chọn next và chọn:

Tạo 1 user admin1

5
Tiếp theo bước 4: add 1 group vào trong gr này có user admin2 đã được add sẵn trước
đó.

Chọn next next và kết thúc.

Vào Policy kiểm tra thấy 1 dòng đã được thêm vào:

Chọn vào rule đó và chọn property , tích vào ô ethernet chọn apply

6
II cấu hình trên Switch cisco:
Buoc 1 dat ip interface cho vlan 1

Buoc 2 kich hoat AAA

IOU1(config)#aaa new-model
IOU1(config)#aaa authentication dot1x default group radius
Buoc 3 kich hoat 802.1x trên sw
IOU1(config)#dot1x system-auth-control
IOU1(config)#radius-server host 10.123.10.10 auth-port 1812 acct-port 1813 key 123456
Buoc 4 cau hinh port base tren cong e0/1
IOU1(config)#interface e0/1
IOU1(config-if)#switchport mode access
IOU1(config-if)#dot1x port-control auto
 Ở đây port-control có các mode

force-authorized: port luôn ở trạng thái được chứng thực, tất cả dữ liệu từ client đều
được chấp nhận.
force- unauthorized: port luôn ở trạng thái không được chứng thực, tất cả dữ liệu từ
client đều bị đánh rớt.
auto: bật 802.1x, port sẽ chuyển từ trạng thái unauthorized sang authorized nếu người
dùng cung cấp đúng username và password
- Mặc đinh 802.1x chỉ hỗ trợ 1 client trên port cấu hình 802.1x. Vì vậy để cho phép nhiều
client truy xuất trên một port cấu hình 802.1x chúng ta cần dùng thêm lệnh sau:
Switch(config-if)#dot1x host-mode multi-host

7
III CAU HINH TREN CLIENT
Để sử dụng được 802.1x các client phải kích hoạt tính năng 802.1x. Nếu không kích hoạt
thì người dùng sẽ không xác thực được và sẽ không sử dụng được port đó.
- Nếu các máy đã join domain chúng ta có thể tạo policy trên Active Directory để enable
802.1x cho các PC đã join domain. Ở đây PC này chưa join domain nên mình sẽ phải
start service “Wired AutoConfig” để kích hoạt 802.1x;
Mo Run go services.msc tim den dong Wired Aotuconfig . chon automatic va start dich
vu len . xong apply.

Tiep theo can cau hinh phuong thuc xac thuc khi card mang cam vao switch

8
Chon property va chon qua tab authentication chon additional setting

Tich vao va chon

Ta co the thay khi chua xac thuc thi may win8

9
Ta nhap user admin2 vao de xac thuc

Ket qua

10
Tren switch ta co the thay log cua dot1x

11