Cấu hình dynamic vlan – part3 cấu hình 802.1x wire trên switch cisco

Trong phần nầy mình sẽ đi sâu về cấu hình trên switch.

Hôm trước có 1 bạn hỏi tôi bạn í có 1 mô hình đại loại có 3 tầng như hình bên dưới:

Thông thường chúng ta nên làm trên layer 2 tầng gần user nhất. Các port uplink tuyệt đối không làm port security hay 802.1x trên đó. Tuy nhiên trong bài lab nầy tôi lại làm trên switch layer 3 (vì tôi không có switch layer 2 để demo) , trong thực tế khai làm nên hạn chế việc nầy. Vì chẳng ai làm mấy vụ nầy trên switch core và distributed.

Nếu đúng mô hình 3 lớp : Access – Distributed – Core. Ta nên cấu hình như sau:

  • SVI cấu hình trên core
  • 802.1X cấu hình trên access
  • Và dĩ nhiên tuyệt đối ko làm 802.1x trên port up link

Quoay lại bài LAB CẤU HÌNH DYNAMIC VLAN – CẤU HÌNH 802.1X WIRE  TRÊN SWITCH CISCO

Bước 1: Cấu hình VLAN và SVI cho các VLAN

Switch-ITFORVN(config)#vlan 10

Switch-ITFORVN(config-if)#name IT

Switch-ITFORVN(config)#int vlan 10

Switch-ITFORVN(config-if)#ip add 10.10.10.1 255.255.255.0

Switch-ITFORVN(config-if)#ip helper-address 10.10.1.10

Switch-ITFORVN(config-if)#no shut

Switch-ITFORVN(config)#vlan 20

Switch-ITFORVN(config-if)#name DEV

Switch-ITFORVN(config)#int vlan 20

Switch-ITFORVN(config-if)#ip add 10.10.20.1 255.255.255.0

Switch-ITFORVN(config-if)#ip helper-address 10.10.1.10

Switch-ITFORVN(config-if)#no shut

Switch-ITFORVN(config)#vlan 30

Switch-ITFORVN(config-if)#name GUEST

Switch-ITFORVN(config)#int vlan 30

Switch-ITFORVN(config-if)#ip add 10.10.30.1 255.255.255.0

Switch-ITFORVN(config-if)#ip helper-address 10.10.1.10

Switch-ITFORVN(config-if)#no shut

Switch-ITFORVN(config)#int vlan 1B

Switch-ITFORVN(config-if)#ip add 10.10.1.1 255.255.255.0

Switch-ITFORVN(config-if)#no shut

Bước 2: cấu hình enable AAA Authentication

Switch-ITFORVN(config)#aaa new-model
Switch-ITFORVN(config)#aaa authentication dot1x default group radius
Switch-ITFORVN(config)#aaa authentication network default group radius

Bước 3: Kích hoạt tính năng 802.1x

Switch-ITFORVN(config)#dot1x system-auth-control

Switch-ITFORVN(config)#radius-server host 10.10.1.10 auth-port 1812 acct-port 1813 key IT4VN123

Buoc 4: Cấu hình portbased authentication trên port g1/4-12 + auto asign vlan

Switch-ITFORVN(config)#int ran g1/4-12

Switch-ITFORVN(config-if)#switchport mode access

Switch-ITFORVN(config-if)#dot1x pae authenticator

Switch-ITFORVN(config-if)#dot1x port-control auto

Switch-ITFORVN(config-if)#dot1x timeout server-timeout 10

Switch-ITFORVN(config-if)#dot1x max-reauth-req 1

Switch-ITFORVN(config-if)#dot1x guest-vlan 30 // Câu lệnh nầy để assign vlan guest cho user authentication bị fail

Switch-ITFORVN(config-if)#spanning-tree portfast // Enable port fast lên để user nhận IP nhanh hơn.

Switch-ITFORVN(config-if)#no shut

 

Tác giả:  NGUYỄN VĂN TÀI – ITFORVN.COM

Bạn có thể tương tác và cập nhật thông tin mới nhất của Nhóm Facebook ITFORVN, Các khóa học mới do group tổ chức tại «Portal»

Đánh giá post

Leave a Reply

Your email address will not be published.