View Full Version : Hỏi về port-based authentication
hailua
28-04-2004, 02:34 AM
Chào các huynh,
Đệ đọc trong sách thấy đề cập đến Port-based authentication. Loại này đòi hỏi 802.1x-capabled PC. Vậy các huynh cho đệ hỏi là PC cần phải install NIC hỗ trợ 802.1x hay là chỉ cần software hay là phải có cả 2?
Đệ thấy trong phần Properties/Authentication của Local Area Connection trong WinXP có đề cập đến 802.1x. Không biết có phải là nó không? Làm sao để cấu hình cho WinXP chứng thực theo kiểu 802.1x vậy các huynh?
Xin đa tạ,
dangquangminh
03-05-2004, 11:10 PM
Hi
Đây là một đoạn trích từ:
http://www.cisco.com/en/US/partner/products/hw/switches/ps708/products_configuration_guide_chapter09186a00800da6 ff.html#wp1030101
Theo đó:
Client — The device (workstation) that requests access to the LAN and switch services and responds to requests from the switch.The workstation must be running 802.1X-compliant client software such as that offered in the Microsoft Windows XP operating system. (The client is the supplicant in the IEEE 802.1X specification.)
Như vậy cần phải có phần mềm và phần mềm này dùng của WinXP cũng được. Các tài liệu khác nhau đều không nói đến việc card mạng cần thiết phải hỗ trợ dot1x.
Cám ơn,
hailua
04-05-2004, 12:21 AM
Đệ không lấy được tài liệu này, cisco đòi CCO. Huynh có thể upload lên được không?
Thank huynh
admin
05-05-2004, 11:37 PM
dear Lúa
Xem file zip đính kèm về cấu hình port-based authentication trên Cat6K. tài liệu này áp dụng cho hầu hết các Catalyst switch chạy IOS-based.
chúc vui vẻ
themask
10-05-2004, 05:45 PM
Microsoft có patch 802. :) 1x cho win 2k. Bạn download, cài tương tự như service pack. Lúc này là có thể nói chuyện với Switch được rồi :)
VoThanhDuy
12-11-2004, 06:12 AM
hi
trên WinXP có patch cho dot1x không vậy? Có ai làm thành công xác thực dot1x trên WinXP với một Catalyst Switch không? Chỉ giúp Duy với.
Cám ơn
admin
27-11-2004, 09:33 AM
Dưới đây là toàn bộ một bài lab về cách hiện thực tính năng dot1x trên các Catalyst 3550. Bài lab này do Lê Anh Đức (Lee) thực hiện và hoạt động tốt.
Kiểm soát truy cập switch với Dot1x
Mô tả
Bài lab sẽ sử dụng tính năng dot1x của switch để kiểm soát truy cập vào switch. Yêu cầu: PC client phải cài Windows XP có hỗ trợ khả năng xác thực dung dot1x. Switch phải cài IOS hỗ trợ dot1x, và cấu hình port kết nối với pc chạy dot1x.
Topo gồm: 3 pc, pc1 kết nối với switch có hỗ trợ dot1x và cắm vào port(Fa0/1) trên switch có cấu hình dot1x; pc2 có hỗ trợ dot1x và cắm vào port(Fa0/2) không cấu hình dot1x; pc3 không hỗ trợ dot1x cắm vào port có cấu hình dot1x; và cuối cùng thử nghiệm tính năng force-unauthorized của dot1x.
Cấu hình
version 12.1
!
hostname Switch
!
aaa new-model
aaa authentication login default none
aaa authentication dot1x default local
enable password cisco
!
username lee password 0 cisco
username pc password 0 vnpro
ip subnet-zero
!
!
spanning-tree mode pvst
spanning-tree extend system-id
dot1x system-auth-control
!
interface FastEthernet0/1
switchport mode access
dot1x port-control auto
!
interface FastEthernet0/2
switchport mode access
!
interface FastEthernet0/3
switchport mode access
dot1x port-control auto
!
interface FastEthernet0/4
switchport mode access
dot1x port-control force-unauthorized
!
interface FastEthernet0/5
switchport mode dynamic desirable
!
interface FastEthernet0/6
switchport mode dynamic desirable
!
interface FastEthernet0/7
switchport mode dynamic desirable
!
interface FastEthernet0/8
switchport mode dynamic desirable
!
interface FastEthernet0/9
switchport mode dynamic desirable
!
interface FastEthernet0/10
switchport mode dynamic desirable
!
interface FastEthernet0/11
switchport mode dynamic desirable
!
interface FastEthernet0/12
switchport mode dynamic desirable
!
interface FastEthernet0/13
switchport mode dynamic desirable
!
interface FastEthernet0/14
switchport mode dynamic desirable
!
interface FastEthernet0/15
switchport mode dynamic desirable
!
interface FastEthernet0/16
switchport mode dynamic desirable
!
interface FastEthernet0/17
switchport mode dynamic desirable
!
interface FastEthernet0/18
switchport mode dynamic desirable
!
interface FastEthernet0/19
switchport mode dynamic desirable
!
interface FastEthernet0/20
switchport mode dynamic desirable
!
interface FastEthernet0/21
switchport mode dynamic desirable
!
interface FastEthernet0/22
switchport mode dynamic desirable
!
interface FastEthernet0/23
switchport mode dynamic desirable
!
interface FastEthernet0/24
switchport mode dynamic desirable
!
interface GigabitEthernet0/1
switchport mode dynamic desirable
!
interface GigabitEthernet0/2
switchport mode dynamic desirable
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
!
ip classless
ip http server
!
line con 0
line vty 5 15
!
end
Thực hiện
1. Bật tính năng AAA trên switch, và cấu hình xác thực dot1x và login trên switch:
Switch(config)#aaa new-model ß bật AAA trên switch
Switch(config)#aaa authentication login default none ß
không cần xác thực login trên switch
Switch(config)#aaa authentication dot1x default local
Bật xác thực dot1x trên switch với cơ sở dữ liệu user lấy từ trong switch
2. Cấu hình username và password cho các user truy cập vào switch:
Switch(config)#username lee password cisco
Switch(config)#username pc password vnpro
3. Cấu hình vlan 1 cho switch:
Switch(config)#int vlan 1
Switch(config-if)#ip add 192.168.1.1 255.255.255.0
Switch(config-if)#no shut
4. Bật dot1x trên switch:
Switch(config)#dot1x system-auth-control
5. Cấu hình dot1x trên các port kết nối với switch:
Switch(config-if)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 1
Switch(config-if)#dot1x port-control ?
auto PortState will be set to AUTO
force-authorized PortState set to Authorized
force-unauthorized PortState will be set to UnAuthorized
Switch(config-if)#dot1x port-control auto
Bật tính năng dot1x bắt đầu trạng thái của port là unauthorized
Tương tự với port fa0/3
Cấu hình trạng thái cho port fa0/4 là unauthorized:
Switch(config)#int fa0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 1
Switch(config-if)#dot1x port-control force-authorized
6. Cấu hình dot1x trên pc client chạy windows XP:
Bật xác thực dot1x trên PC:
Thực hiện: Start > Control Panel > Network Connections, sau đó bật properties của network connection hiện có, sau đó tab Authentication, chọn option Enable IEEE 802.1x authentication for this network . Thiết lập lọai EAP là MD5-Challenge. Như hình sau:
Kiểm tra
1. PC và switch đều hỗ trợ dot1x:
Sau khi đã cấu hình như trên, cắm pc1 vào port fa0/1, ta sẽ thấy xuất hiện trên icon network connection đòi yêu cầu xác thực:
Sau khi click vào ta sẽ thấy xuất hiện ra hộp thoại để đánh username, password để đăng nhập:
Sau đó, nếu đúng username, password thì switch sẽ cho bạn vào.
2. PC có hỗ trợ nhưng switch không được cấu hình dot1x:
Thì PC vẫn đăng nhập như bình thường:
3. Switch có hỗ trợ nhưng pc không hỗ trợ: PC sẽ không được vào và port vẫn ở trạng thái unauthorized:
Switch#sh dot1x int fa0/3
PortStatus = UNAUTHORIZED
MaxReq = 2
HostMode = Single
Port Control = Auto
QuietPeriod = 60 Seconds
Re-authentication = Disabled
ReAuthPeriod = 3600 Seconds
ServerTimeout = 30 Seconds
SuppTimeout = 30 Seconds
TxPeriod = 30 Seconds
Guest-Vlan = 0
kokichi81
22-01-2005, 09:44 AM
vậy chức năng force-unauthrized dùng để làm gì?
thanks
doc_co_cau_bai
22-01-2005, 09:55 AM
theo tôi thì chức năng force-unauthorize là để áp đặt một cổng không xác thực máy trạm đó.
Nghĩa là máy nào gắn vào cũng chạy.
kokichi81
22-01-2005, 10:29 AM
Vậy mình đọc đoạn này trong cuốn BCMSN :
Force-unauthorized--The port is forced to never authorize any connected client. As a result, the port cannot move to the authorized state to pass trafic to a connected client.
Như đoaanj trên nó nói là ở chế độ này thì port sẽ không chuyển sang trạng thái authorized để pass traffic của client.
Mong giải đáp thắc mắc.
Thanks
nhatphuc
02-08-2005, 06:51 PM
Sao switch của mình không có lệnh dot1x system-auth-control vậy?
Thanks
Phúc
nhatphuc
02-08-2005, 10:19 PM
Mình vừa tìm ra rồi. Lệnh trên chỉ có từ IOS version 12.1(14) trở lên thôi.
Tuy nhiên, mình config vẫn chưa chạy được. Khi windows yêu cầu nhập username, password, mình nhập vào username, password local trên switch, nhưng vẫn không authen được.
Đây là cấu hình của mình.
sh ver
Cisco Internetwork Operating System Software
IOS (tm) C3550 Software (C3550-I5Q3L2-M), Version 12.1(13)EA1a, RELEASE SOFTWARE (fc1)
Copyright (c) 1986-2003 by cisco Systems, Inc.
Compiled Tue 25-Mar-03 23:42 by yenanh
Image text-base: 0x00003000, data-base: 0x007C34B0
ROM: Bootstrap program is C3550 boot loader
Switch uptime is 13 minutes
System returned to ROM by power-on
System image file is "flash:IOS/c3550-i5q3l2-mz.121-13.EA1a.bin"
cisco WS-C3550-24-PWR (PowerPC) processor (revision D0) with 65526K/8192K bytes of memory.
Processor board ID CAT0746X1A4
Last reset from warm-reset
Bridging software.
Running Layer2/3 Switching Image
Ethernet-controller 1 has 12 Fast Ethernet/IEEE 802.3 interfaces
Ethernet-controller 2 has 12 Fast Ethernet/IEEE 802.3 interfaces
Ethernet-controller 3 has 1 Gigabit Ethernet/IEEE 802.3 interface
Ethernet-controller 4 has 1 Gigabit Ethernet/IEEE 802.3 interface
24 FastEthernet/IEEE 802.3 interface(s)
2 Gigabit Ethernet/IEEE 802.3 interface(s)
The password-recovery mechanism is enabled.
384K bytes of flash-simulated non-volatile configuration memory.
Base ethernet MAC Address: 00:0E:85:5B:AA:00
Motherboard assembly number: 73-8100-07
Power supply part number: 341-0029-02
Motherboard serial number: CAT074613TJ
Power supply serial number: DDH074225GF
Model revision number: D0
Motherboard revision number: A0
Model number: WS-C3550-24PWR-SMI
System serial number: CAT0746X1A4
Configuration register is 0x10F
Switch#
Switch#sh ru
Building configuration...
Current configuration : 1694 bytes
!
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
aaa new-model
aaa authentication login default none
aaa authentication dot1x default local
!
username user password 0 cisco
ip subnet-zero
!
!
spanning-tree mode pvst
spanning-tree extend system-id
!
!
--More-- ��������� ���������!
interface FastEthernet0/1
switchport mode access
no ip address
dot1x port-control auto
!
interface Vlan1
ip address 192.168.2.1 255.255.255.0
!
ip classless
ip http server
Còn đây là output của lệnh debug aaa authentication và debug dot1x authsm:
00:09:04: dot1x-authsm(Fa0/1): state HELD, event TIMEOUT, arg 0x2
00:09:04: dot1x-authsm(Fa0/1): state CONNECTING, event ENTRY, arg 0x2
00:09:04: dot1x-authsm(Fa0/1): connection retry 2 of 2
00:09:13: dot1x-authsm(Fa0/1): state CONNECTING, event INPUT, arg 0xDA7C64
00:09:13: dot1x-authsm(Fa0/1): state AUTHENTICATING, event ENTRY, arg 0xDA7C64
00:09:13: dot1x-authsm(Fa0/1): state AUTHENTICATING, event CONTROL, arg 0x0
00:09:13: dot1x-authsm(Fa0/1): state AUTHENTICATING, event CONTROL, arg 0x0
00:09:13: AAA: parse name=FastEthernet0/1 idb type=122 tty=-1
00:09:13: AAA: name=FastEthernet0/1 flags=0x15 type=6 shelf=0 slot=0 adapter=0 port=1 channel=0
00:09:13: AAA: parse name=<no string> idb type=-1 tty=-1
00:09:13: AAA/MEMORY: create_user (0xF21BA4) user='user' ruser='' port='FastEthernet0/1' rem_addr='00-0D-60-CA-97-D2' authen_type=EAP service=802.1x priv=1
00:09:13: AAA/AUTHEN/START (2624053183): port='FastEthernet0/1' list='' action=LOGIN service=802.1x
00:09:13: AAA/AUTHEN/START (2624053183): using "default" list
00:09:13: AAA/AUTHEN/START (2624053183): Method=LOCAL
00:09:13: AAA/AUTHEN (2624053183): status = ERROR
00:09:13: AAA/AUTHEN/START (2624053183): no methods left to try
00:09:13: AAA/AUTHEN (2624053183): status = ERROR
00:09:13: AAA/AUTHEN/START (2624053183): failed to authenticate
00:09:13: AAA/MEMORY: free_user (0xF21BA4) user='user' ruser='' port='FastEthernet0/1' rem_addr='00-0D-60-CA-97-D2' authen_type=EAP service=802.1x priv=1
00:09:13: dot1x-authsm(Fa0/1): state AUTHENTICATING, event SERVER_REPLY, arg 0x1
00:09:13: dot1x-authsm(Fa0/1): state AUTHENTICATING, event CONTROL, arg 0x0
00:09:13: dot1x-authsm(Fa0/1): state HELD, event ENTRY, arg 0x0
00:10:13: dot1x-authsm(Fa0/1): state HELD, event TIMEOUT, arg 0x2
00:10:13: dot1x-authsm(Fa0/1): state CONNECTING, event ENTRY, arg 0x2
00:10:13: dot1x-authsm(Fa0/1): exceeded maximum connection attempts
00:10:13: dot1x-authsm(Fa0/1): state DISCONNECTED, event ENTRY, arg 0x2
00:10:13: dot1x-authsm(Fa0/1): state CONNECTING, event ENTRY, arg 0x2
00:10:13: dot1x-authsm(Fa0/1): first connection attempt
Mong các bạn chỉ giúp
Thanks
Phúc
cisco336
02-08-2005, 10:48 PM
Trong cấu hình của bạn còn thiếu phần cấu hình để switch làm việc với RADIUS server
nhatphuc
03-08-2005, 01:05 AM
Mình sử dụng local database mà
nhatphuc
03-08-2005, 12:57 PM
Mình vừa up lên thành IOS: c3550-i5q3l2-mz.121-22.EA1a. IOS này có lệnh dot1x system-auth-control mà vẫn không authen thành công.
Có ai giúp được mình không?
Cám ơn nhiều
Phúc
cisco336
03-08-2005, 06:18 PM
Cấu hình 802.1x và RADIUS là 2 phần bắt buộc khi cấu hình 802.1x authentication. Điều không may là switch không thể đóng vai trò là 1 RADIUS server được nên việc bạn dùng local database sẽ không có hiệu lực đâu.
nhatphuc
03-08-2005, 06:26 PM
Dưới đây là toàn bộ một bài lab về cách hiện thực tính năng dot1x trên các Catalyst 3550. Bài lab này do Lê Anh Đức (Lee) thực hiện và hoạt động tốt.
Kiểm soát truy cập switch với Dot1x
Mô tả
Bài lab sẽ sử dụng tính năng dot1x của switch để kiểm soát truy cập vào switch. Yêu cầu: PC client phải cài Windows XP có hỗ trợ khả năng xác thực dung dot1x. Switch phải cài IOS hỗ trợ dot1x, và cấu hình port kết nối với pc chạy dot1x.
Topo gồm: 3 pc, pc1 kết nối với switch có hỗ trợ dot1x và cắm vào port(Fa0/1) trên switch có cấu hình dot1x; pc2 có hỗ trợ dot1x và cắm vào port(Fa0/2) không cấu hình dot1x; pc3 không hỗ trợ dot1x cắm vào port có cấu hình dot1x; và cuối cùng thử nghiệm tính năng force-unauthorized của dot1x.
Cấu hình
version 12.1
!
hostname Switch
!
aaa new-model
aaa authentication login default none
aaa authentication dot1x default local
enable password cisco
!
username lee password 0 cisco
username pc password 0 vnpro
ip subnet-zero
!
!
spanning-tree mode pvst
spanning-tree extend system-id
dot1x system-auth-control
!
interface FastEthernet0/1
switchport mode access
dot1x port-control auto
!
interface FastEthernet0/2
switchport mode access
!
interface FastEthernet0/3
switchport mode access
dot1x port-control auto
!
interface FastEthernet0/4
switchport mode access
dot1x port-control force-unauthorized
!
interface FastEthernet0/5
switchport mode dynamic desirable
!
interface FastEthernet0/6
switchport mode dynamic desirable
!
interface FastEthernet0/7
switchport mode dynamic desirable
!
interface FastEthernet0/8
switchport mode dynamic desirable
!
interface FastEthernet0/9
switchport mode dynamic desirable
!
interface FastEthernet0/10
switchport mode dynamic desirable
!
interface FastEthernet0/11
switchport mode dynamic desirable
!
interface FastEthernet0/12
switchport mode dynamic desirable
!
interface FastEthernet0/13
switchport mode dynamic desirable
!
interface FastEthernet0/14
switchport mode dynamic desirable
!
interface FastEthernet0/15
switchport mode dynamic desirable
!
interface FastEthernet0/16
switchport mode dynamic desirable
!
interface FastEthernet0/17
switchport mode dynamic desirable
!
interface FastEthernet0/18
switchport mode dynamic desirable
!
interface FastEthernet0/19
switchport mode dynamic desirable
!
interface FastEthernet0/20
switchport mode dynamic desirable
!
interface FastEthernet0/21
switchport mode dynamic desirable
!
interface FastEthernet0/22
switchport mode dynamic desirable
!
interface FastEthernet0/23
switchport mode dynamic desirable
!
interface FastEthernet0/24
switchport mode dynamic desirable
!
interface GigabitEthernet0/1
switchport mode dynamic desirable
!
interface GigabitEthernet0/2
switchport mode dynamic desirable
!
interface Vlan1
ip address 192.168.1.1 255.255.255.0
!
ip classless
ip http server
!
line con 0
line vty 5 15
!
end
Thực hiện
1. Bật tính năng AAA trên switch, và cấu hình xác thực dot1x và login trên switch:
Switch(config)#aaa new-model ß bật AAA trên switch
Switch(config)#aaa authentication login default none ß
không cần xác thực login trên switch
Switch(config)#aaa authentication dot1x default local
Bật xác thực dot1x trên switch với cơ sở dữ liệu user lấy từ trong switch
2. Cấu hình username và password cho các user truy cập vào switch:
Switch(config)#username lee password cisco
Switch(config)#username pc password vnpro
3. Cấu hình vlan 1 cho switch:
Switch(config)#int vlan 1
Switch(config-if)#ip add 192.168.1.1 255.255.255.0
Switch(config-if)#no shut
4. Bật dot1x trên switch:
Switch(config)#dot1x system-auth-control
5. Cấu hình dot1x trên các port kết nối với switch:
Switch(config-if)#int fa0/1
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 1
Switch(config-if)#dot1x port-control ?
auto PortState will be set to AUTO
force-authorized PortState set to Authorized
force-unauthorized PortState will be set to UnAuthorized
Switch(config-if)#dot1x port-control auto
Bật tính năng dot1x bắt đầu trạng thái của port là unauthorized
Tương tự với port fa0/3
Cấu hình trạng thái cho port fa0/4 là unauthorized:
Switch(config)#int fa0/4
Switch(config-if)#switchport mode access
Switch(config-if)#switchport access vlan 1
Switch(config-if)#dot1x port-control force-authorized
6. Cấu hình dot1x trên pc client chạy windows XP:
Bật xác thực dot1x trên PC:
Thực hiện: Start > Control Panel > Network Connections, sau đó bật properties của network connection hiện có, sau đó tab Authentication, chọn option Enable IEEE 802.1x authentication for this network . Thiết lập lọai EAP là MD5-Challenge. Như hình sau:
Kiểm tra
1. PC và switch đều hỗ trợ dot1x:
Sau khi đã cấu hình như trên, cắm pc1 vào port fa0/1, ta sẽ thấy xuất hiện trên icon network connection đòi yêu cầu xác thực:
Sau khi click vào ta sẽ thấy xuất hiện ra hộp thoại để đánh username, password để đăng nhập:
Sau đó, nếu đúng username, password thì switch sẽ cho bạn vào.
2. PC có hỗ trợ nhưng switch không được cấu hình dot1x:
Thì PC vẫn đăng nhập như bình thường:
3. Switch có hỗ trợ nhưng pc không hỗ trợ: PC sẽ không được vào và port vẫn ở trạng thái unauthorized:
Switch#sh dot1x int fa0/3
PortStatus = UNAUTHORIZED
MaxReq = 2
HostMode = Single
Port Control = Auto
QuietPeriod = 60 Seconds
Re-authentication = Disabled
ReAuthPeriod = 3600 Seconds
ServerTimeout = 30 Seconds
SuppTimeout = 30 Seconds
TxPeriod = 30 Seconds
Guest-Vlan = 0
Cám ơn bạn đã trả lời.
Nhưng theo bài viết của admin thì có thể dùng local database. Vậy mình nên nghe theo ai?
Admin ơi! Có ý kiến gì về vấn đề này không? Ai đúng? Bài viết này có thực sự đã được kiểm chứng chưa vậy?
Thanks
Phúc
admin
03-08-2005, 08:25 PM
Hi
Rất tiếc là bài lab này đều thực hiện không thành công dùng xác thực local hay xác thực thông qua radius. Thời điểm post bài này, kết quả chưa kiểm chứng.
Cám ơn
nhatphuc
03-08-2005, 08:54 PM
TRỜI!!!
Bó Hand bác admin
Làm mấy bữa nay em làm hoài mà không được. Cứ tưởng switch của mình có vấn đề.
nhatphuc
03-08-2005, 11:49 PM
Mình vừa config được 802.1x port-base authentication. Sử dụng ACS 3.2 thì OK liền.
nervetnova
04-08-2005, 10:20 PM
Hi
Vui lòng post cấu hình lab mà bạn làm thành công đc ko?
I
nhatphuc
04-08-2005, 11:05 PM
switch#show run
version 12.1
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Switch
!
aaa new-model
aaa authentication login default none
aaa authentication dot1x default group radius
!
username test password 0 test
ip subnet-zero
ip routing
!
no ip domain-lookup
!
spanning-tree mode pvst
spanning-tree portfast default
spanning-tree extend system-id
dot1x system-auth-control
!
interface FastEthernet0/3
switchport mode access
dot1x port-control auto
spanning-tree portfast
!
interface Vlan1
ip address 192.168.2.254 255.255.255.0
!
interface Vlan2
ip address 192.168.3.254 255.255.255.0
!
ip classless
ip http server
!
radius-server host 192.168.3.2 auth-port 1812 acct-port 1813
radius-server retransmit 3
radius-server key cisco
Trên ACS Server, config AAA Client và tạo user.
Phúc
hiepth
22-10-2005, 10:29 AM
Xin loi admin nha, ban lay bai nay trong sach Labpro ra nhung ko biet ban da cau hinh thu chua vay. Vi tui da thu cau hinh y chang trong sach roi nhung khi xac thuc (o day dung xac thuc local) o trong windows thi no bao la Authentication fail !!!, nhung khi xac thuc no dua ra bang thong bao bao gom username,password va domain name nhung tui ko biet go vao phan domain name la gi. Tui cung da co hoi mot thay trong do thi thay noi phai dung xac thuc Radius, hay taccac moi duoc, ko biet phai lam sao!!!!!!!!!!!!
Neu ADMIN da lam roi va da thanh cong thi cho tui xin loi va co the hen mot ngay nao cho tui len xem cach cau hinh cua ban, rat cam on.
O trong dien dan, co ban nao da lam xac thuc thanh cong trong local (ko dung ACS de xac thuc) co the chi giao cho tui biet nha. Bai post cua ban nhatphuc la dung xac thuc trong ACS
Thuc te rat khac voi ly thuyet, cac ban co dong y voi tui ko vay?
Chuc dien dan ngay mot hoan thien hon
baoky
07-11-2005, 10:51 AM
Chao cac ban!
-Minh moi vua lam xong bai lab ve 802.1x nen cung co chut kinh nghiem ve no.
-Neu cac ban muon config port-based authentication 802.1x thi cac ban fai cau hinh dung chung thuc kieu Radius Server ( tuy trong fan option authentication co nhieu lua chon nhu Tacacs, local, enable... nhung no chi lam viec voi Radius Server ) va do cung la theo huong dan cua Cisco.com
-Cac ban dung Switch 3550 voi IOS 12.1 van co the cau hinh thanh cong 802.1x mac du khong co cau lenh dot1x system-auth-control o global mode.
-Doi voi interface mode, mac dinh la lenh dot1x port-control force-authorized nen khi cac ban co go nay lenh nay thi no cung khong hien khi ban show running-config (nhung doi voi Switch mac dinh voi lenh nay nghia port do dang trong tinh tran bi disabled 802.1x). Vi the nhu cac ban o fan truoc da cho thay file cau hinh mau thi chi nen su dung cau lenh dot1x port-control auto co nghia da cho phep 802.1x lam viec tren port do. Con voi lenh dot1x port-control force-unauthorized nghia la van cho fep 802.1x lam viec nhung khi do port nay se khong dua ra yeu cau chung thuc cho client nen neu co PC cam vao port nay thi cung khong hoat dong duoc (tuong duong nhu port bi shutdown) mac du port van trong tinh trang up binh thuong.
-Cac ban co the tham khao them http://www.cisco.com/en/US/products/hw/switches/ps646/products_configuration_guide_chapter09186a00800c9f d6.html , link nay mo ta kha chi tiet ve cau hinh 802.1x tren 3550.
Mong cac ban gop y kien...
doc_co_cau_bai
24-05-2006, 05:57 PM
Cấu hình dưới đây làm cũng chạy thành công:
aaa new-model
aaa authentication login default local none
aaa authentication dot1x default group radius
!
dot1x system_authen_control
!
interface f0/1
switchport mode access
dot1x port-control auto
!
radius-server host 192.168.1.1
redius-server key vnpro
bariaIT
28-09-2006, 01:27 PM
Mình cũng cấu hình thành công với cách giống Nhatphuc, nhưng có 1 yêu cầu đặt ra là: mình muốn authentication dựa trên "computer_name" thay vì dùng username/password. Radius mình đang dùng là ACS 3.3.
Mô hình mạng của mình là: tất cả các pc đều là Winxp thuộc Domain của Windows 2003, với DHCP để lấy địa chỉ IP. Tất cả switch là Cisco 2950 hay 3550. Có Radius server ACS 3.3 đang hoạt động tốt cho wireless.
Mình muốn tất cả các máy tính, khi cắm vào mạng đều phải authenticate bằng computer_name.
Điểm lợi của authentication bằng computer_name là chỉ những máy tính thuộc Domain (hay là có sẳn trong database của ACS) mới có thể lấy địa chỉ IP, mà không quan tâm đến user/pass logon. Người sử dụng cũng không cần biết về việc authentication này, vì chắc rằng máy của họ thuộc domain thì sẽ vào được mạng. Những máy nào không thuộc domain, tức là truy cập không được phép sẽ không vào được mà không hỏi thêm user/pass nữa.
Vấn đề này nảy sinh khi nhiều người mang laptop cá nhân vào cty, cắm vào mạng (được hỏi user/pass, và tất nhiên là họ có vì họ là người cty) để copy file mà không biết là máy họ có cài trình diệt virus hay không, đồng thời làm nảy sinh nhiều vấn đề khác về security.
Nếu ai đã từng test về vấn đề này, xin cho lời khuyên
Thanks nhiều
Powered by vBulletin® Version 4.2.1 Copyright © 2013 vBulletin Solutions, Inc. All rights reserved.