Cấu hình dynamic vlan – part 4 test tại end user + triển khai policy cho 802.1x wire
Như vậy 3 bài lab trước chúng ta đã hoàn tất cấu hình trên server lẫn thiết bị. Trong bài làm nầy đa phần chủ yếu là test kết quả của 3 bài lab trước. Tuy nhiên vẫn có 1 số thứ cần cấu hình dưới client mà nếu không làm thì chắc hẳn kết quả 3 bài lab trước coi như công cóc.
Thực ra chính xác là 3 thứ cần phải làm:
I.Tại client
1. Enable services Wired Auto Config
- Đây là services kích hoạt tính năng 802.1x Ta vào Start > Run > gõ Services.msc bấn enter để vào services
- Sau đó chọ Dịch vụ Wired Auto Config và start nó lên đồng thời cho nó Automatic start luôn.
2. Enable IEEE 802.1X Authentication
- Khi đã kích hoạt tính năng Wired Auto Config lên
- Tta click chuột phải lên card mạng cắm vào switch chọn Properties.
- Tại tab Authentication ta click chọn Enable IEEE 802.1X authentication
- Sau đó chọn Settings
- Tại hộp thoại Protected EAP Properties click chọn Configure
- Tại hộp thoại EAP MSCHAPv2 Properties ta click vào Automatic use my Windows Logon name and password(and domain if any)
=> Ý đồ chọn 1 mớ thao tác nầy nhằm kết quả là máy tính sẽ kích hoặt IEEE 802.1X và lấy username / password đang login vào máy để chứng thực. Lưu ý chỉ chọn những thao tác nầy với điều kiện là máy tính đã Join domain và user đang login thuộc nhóm được authentication.
- Và tại Ehternet Properties ta click vào Additional Settings…
- Tại hộp thoại Advanced Setting ta chọn loại hình authentication.
Trường hợp đã chọn Option ở trên ( Automatic use my Windows Logon name and password(and domain if any)) thì tại đây ta chọn User authentication hoặc User or computer authentication
Trường hợp ta chỉ muốn xác thực bằng Computer đã join domain thì bước ở trên ( Automatic use my Windows Logon name and password(and domain if any)) ta bỏ tick đi. Recommend anh em nên chọn option nầy để đảm bảo tuyệt đối những máy nào join domain mới được chứng thực.
Trường hợp chỉ muốn chứng thực bằng user, dành cho những máy không join domain thì option khi nãy ( Automatic use my Windows Logon name and password(and domain if any)) ta bỏ dấu tick đi và tại đây chọn user Authentication. Lúc nầy khi chứng thực hệ thống sẽ pop-up yêu cầu ta gõ user name/password. Nói chung là liệu tình hình thực tế mà anh em cấu hình cho phù hợp. Ở đây tôi chỉ giải thích cho anh em hiểu thôi.
- Sau khi chọn loại hình authentication phù hợp xong ta bấm OK tại hộp thoại Advanced settings
- Và bấm OK tại hợp thoại Ethernet Properties
II.Tại switch giới thiệu anh em thêm 1 số lệnh để monitor tình trạng authen:
Đặng biết nó bị fail cái gì và tiến trình nó hoạt động như thế nào. Khuyến nghị anh em chỉ dùng các câu lệnh nầy trường hợp trouble shoot. Thực tế triển khai khi đã trouble xong nên bỏ để tăng hiệu năng của switch
- Lệnh nầy để debug các event liên quan tới 802.1x:
Switch#debug dot1x all
- Lệnh nầy để show tình trạng authentication của các interface
Switch#show dot1x interface detail
III. Thiết lập policy tại AD
Tại sao phải thiết lập policy. đơn giản vì nếu bạn không thiết lập policy giả sử như hệ thống có 10000 máy bạn đi từng máy 1 làm các chuyện như enable service Wired Auto Config và Enable IEEE 802.1X Authentication trên từng card mạng có nước bỏ nghề IT :D. Nên không có cách nào khác là phải tự động hóa. Mà về món nầy Microsoft trùm mền rồi.
Nói chung miễn anh nào join domain (trừ mấy bác sài máy MAC và linux) chịu sự ảnh hưởng của AD là xơi được tuốt. Cách làm cũng đơn giản.
- Join các máy trạm vào domain và move nó tới OU mà ta sẽ thiết lập policy.
- Tạo các Group chứ các PC và User tương ứng, tùy vào đối tượng mình apply.
- Dùng Group Policy Management và bấm Enter để triển khai policy xuống.
Cụ thể ở đây ta sẽ triển khai 2 policy là enable service Wired Auto Config và Enable IEEE 802.1X Authentication . Vì trong video mình không có đề cập đến phần nầy nên các bạn chịu khó đọc phần hướng dẫn bên dưới.
- Bước 1: Bấm nút start gõ Group Policy Management sau đó bấm enter để vào cấu hình policy
- Bước 2: tại đây ta tạo 2 Policy là Enable-Services-Wired-Auto-Config và Enable-Wire
1.Cấu hình Policy Enable-Services-Wired-Auto-Config
- Click chuột phải lên OU mình cần apply chọn Create a GPO in this domjain, and Link it here…
- Hộp thoại New GPO xuất hiện đặt tên Enable-Services-Wired-Auto-Config và bấm OK
- Click chuột phải lên Policy vừa tạo chọn Edit
- Tại hộp thoại Group Policy Management Editor > ta click vào > Computer Configuration > Policies> Security Setting> System Services > và click chuột phải vào Wired AutoConfig chọn Properties
- Hộp thoại Wire AutoConfig Properties xuất hiện ta tick vào Define this policy setting và click chọn Automatic và bấm OK để hoàn tất
2. Cấu hình Policy Enable-Wire
- Sau khi xong policy đầu tiên ta tiếp tục tạo policy tiếp theo tên Enable IEEE 802.1X
- Và click chuột phải chọn Edit để cấu hình Policy nầy.
- Hộp thoại Group Policy Management Editor xuất hiện bạn click chọn Computer Configuration > Policies > Windows Setting > Security Settings > Wire Network > và click chuột phải chọn Create A New Wired Network Policy for Windows Vista and Later Releases
- Hộp thoại Enable-Wire Properties xuất hiện tại tab General ta đặt tên cho nó là Enable-Wire
- Tại tab Security ta bấm vào Properties…
- Hộp thoại Protected EAP Properties xuất hiện bạn click vào Configure…
- Hộp thoại EAP MSCHAPv2 Properties xuất hiện tick vào Automatic use my Windows Logon name and password(and domain if any) và bấm OK
- Bấm OK tại hộp thoại Protected EAP Properties
- Sau đó tại hộp thoại Enable-Wire Properties ta bấm OK 1 lần nữa để hoàn tất.
Nói chung về phần cấu hình đại loại như vậy là xong. việc tiếp theo là test hàng họ nầy nọ xem em nó chạy như thế nào. Trong bài lab nầy mình lần lượt test :
- Authentication bằng Computer cho những máy join domain, mình dùng Windows 7 đã join domain
- Authentication bằng user dùng user thuộc các OU đã phân quyền asgin cho các vlan tương ứng.
- Authentication không được thì sẽ nhận VLAN Guest.
Chi tiết phần test bạn xem ở Video.
Còn 1 phần test nho nhỏ nữa dành cho Multi-host. Phần nầy mình yêu khoa học là chính, không biết thực tế có ai sài không. Public luôn lên đây cho anh em tham khảo.
để cấu hình cho Multi-host trên 1 interface, tại interface đó ta gõ thêm lệnh:
Switch(Config-if)#dot1x host-mode multi-host
Trong khi mình test thực tế mình thấy Multi-host nó chỉ hoạt động nếu mình test nhiều user cùng 1 group( cùng 1 VLAN), còn khác vlan và group nó vẫn Authentication nhưng cho về VLAN ID giống VLAN ID cho lần chứng thực đầu tiên. Ví vị lần đầu tiên nó authen vlan 10 thì user vlan 20 authentication nó cũng cấp vlan 10 luôn, nên cái nầy chắc yêu khoa học cho vui, chứ thực tế triển khai thì anh em cần cân nhắc.
Bài lab cấu hình dynamic vlan về cơ bản coi như hoàn tất. Còn 1 phần nữa mình chưa có đủ điều kiện để test đó là test trên các máy Apple MAC join domain, nếu co dịp được test mình sẽ up lên để mọi người tham khảo.
Cảm ơn mọi người đã bỏ thời gian theo dõi seri dynamic vlan của ITFORVN.COM
Như vậy xem như ITFORVN.COM đã đi hết 2 phần 802.1x cho wire hay mình còn gọi là cấu hình dynamic vlan.
Các bạn có thắc mắc có thể liên hệ admin tại fanpage: https://www.facebook.com/groups/itforvn.
Bên cạnh đó các bạn truy cập vào website: https://portal.itforvn.com/ để biết thêm chi tiết.
CẢM ƠN CÁC BẠN ĐÃ ỦNG HỘ, HẸN GẶP LẠI TRONG NHỮNG BÀI LAB TIẾP THEO
NGUYỄN VĂN TÀI – ITFORVN.COM