Trong phần nầy mình sẽ đi sâu về cấu hình trên switch.
Hôm trước có 1 bạn hỏi tôi bạn í có 1 mô hình đại loại có 3 tầng như hình bên dưới:
Thông thường chúng ta nên làm trên layer 2 tầng gần user nhất. Các port uplink tuyệt đối không làm port security hay 802.1x trên đó. Tuy nhiên trong bài lab nầy tôi lại làm trên switch layer 3 (vì tôi không có switch layer 2 để demo) , trong thực tế khai làm nên hạn chế việc nầy. Vì chẳng ai làm mấy vụ nầy trên switch core và distributed.
Nếu đúng mô hình 3 lớp : Access – Distributed – Core. Ta nên cấu hình như sau:
- SVI cấu hình trên core
- 802.1X cấu hình trên access
- Và dĩ nhiên tuyệt đối ko làm 802.1x trên port up link
Quoay lại bài LAB CẤU HÌNH DYNAMIC VLAN – CẤU HÌNH 802.1X WIRE TRÊN SWITCH CISCO
Bước 1: Cấu hình VLAN và SVI cho các VLAN
Switch-ITFORVN(config)#vlan 10
Switch-ITFORVN(config-if)#name IT
Switch-ITFORVN(config)#int vlan 10
Switch-ITFORVN(config-if)#ip add 10.10.10.1 255.255.255.0
Switch-ITFORVN(config-if)#ip helper-address 10.10.1.10
Switch-ITFORVN(config-if)#no shut
Switch-ITFORVN(config)#vlan 20
Switch-ITFORVN(config-if)#name DEV
Switch-ITFORVN(config)#int vlan 20
Switch-ITFORVN(config-if)#ip add 10.10.20.1 255.255.255.0
Switch-ITFORVN(config-if)#ip helper-address 10.10.1.10
Switch-ITFORVN(config-if)#no shut
Switch-ITFORVN(config)#vlan 30
Switch-ITFORVN(config-if)#name GUEST
Switch-ITFORVN(config)#int vlan 30
Switch-ITFORVN(config-if)#ip add 10.10.30.1 255.255.255.0
Switch-ITFORVN(config-if)#ip helper-address 10.10.1.10
Switch-ITFORVN(config-if)#no shut
Switch-ITFORVN(config)#int vlan 1B
Switch-ITFORVN(config-if)#ip add 10.10.1.1 255.255.255.0
Switch-ITFORVN(config-if)#no shut
Bước 2: cấu hình enable AAA Authentication
Switch-ITFORVN(config)#aaa new-model
Switch-ITFORVN(config)#aaa authentication dot1x default group radius
Switch-ITFORVN(config)#aaa authentication network default group radius
Bước 3: Kích hoạt tính năng 802.1x
Switch-ITFORVN(config)#dot1x system-auth-control
Switch-ITFORVN(config)#radius-server host 10.10.1.10 auth-port 1812 acct-port 1813 key IT4VN123
Buoc 4: Cấu hình portbased authentication trên port g1/4-12 + auto asign vlan
Switch-ITFORVN(config)#int ran g1/4-12
Switch-ITFORVN(config-if)#switchport mode access
Switch-ITFORVN(config-if)#dot1x pae authenticator
Switch-ITFORVN(config-if)#dot1x port-control auto
Switch-ITFORVN(config-if)#dot1x timeout server-timeout 10
Switch-ITFORVN(config-if)#dot1x max-reauth-req 1
Switch-ITFORVN(config-if)#dot1x guest-vlan 30 // Câu lệnh nầy để assign vlan guest cho user authentication bị fail
Switch-ITFORVN(config-if)#spanning-tree portfast // Enable port fast lên để user nhận IP nhanh hơn.
Switch-ITFORVN(config-if)#no shut
