Port-based Authentication

Đăng ngày: . Bởi: . Lượt xem bài: 1773

Port-based authentication dựa trên chuẩn IEEE 802.x. Khi được bật lên, switch sẽ ngăn tất cả traffic cho đến khi người dùng được chứng thực thành công với Switch. Để có thể port-based authentication làm việc được, đòi hỏi client và Swith phải hỗ trợ 802.1x, nếu Switch không hỗ trợ thì client vẫn có thể truy xuất bình thường, nếu Switch hỗ trợ và bật 802.1x thì client phải hỗ trợ và chứng thực thành công mới có thể truy xuất vào mạng, ngược lại client sẽ không thể truy xuất vào mạng.

Các bước cấu hình chứng thực 802.1x:

Port-based authentication đòi hỏi phải có RADIUS để chứng thực và 802.1x chỉ làm việc được duy nhất với RADIUS.

Bước 1: bật AAA trên Switch bằng lệnh sau:

Switch(config)#aaa new-model

Bước 2: chỉ định RADIUS server trên Switch:

Switch(config)#radius-server host {hostname | ip-address} [key string]

Có thể lập lại lệnh này nhiều lần để chỉ định nhiều RADIUS server.

Bước 3: chỉ định phương thức chứng thực mà 802.1x dùng là RADIUS:

Switch(config)#aaa authentication dot1x default group radius

Bước 4: bật 802.1x trên Switch:

Switch(config)#dot1x system-auth-control

Bước 5: cấu hình 802.1x trên port:

Switch(config)#interface type mod/num

Switch(config-if)#dot1x port-control {force-authorized | force-unauthorized | auto}

force-authorized: port luôn ở trạng thái được chứng thực, tất cả dữ liệu từ client đều được chấp nhận

force- unauthorized: port luôn ở trạng thái không được chứng thực, tất cả dữ liệu từ client đều bị đánh rớt.

auto: bật 802.1x, port sẽ chuyển từ trạng thái unauthorized sang authorized nếu người dùng cung cấp đúng username và password

Bước 6: cho phép nhiều client truy xuất trên một port cấu hình 802.1x, theo mặc định 802.1x chỉ hỗ trợ một client trên port cấu hình 802.1x. Nếu muốn hỗ trợ nhiều client truy xuất trên cùng một port cấu hình 802.1x, ta dùng thêm lệnh sau:

Switch(config-if)#dot1x host-mode multi-host

Một ví dụ cấu hình 802.1x:

Switch(config)#aaa new-model

Switch(config)#radius-server host 10.1.1.1 key BigSecret

Switch(config)#radius-server host 10.1.1.2 key AnotherBigSecret

Switch(config)#aaa authentication dot1x default group radius

Switch(config)#dot1x system-auth-control

Switch(config)#interface range FastEthernet0/1 – 40

Switch(config-if)#switchport access vlan 10

Switch(config-if)#switchport mode access

Switch(config-if)#dot1x port-control auto

VnPro

Comments

comments

Xem thêm : 

Hãy like nếu bạn thích bài này

Mọi bình luận cho bài viết xin viết bằng tiếng Việt có dấu . Xin cảm ơn!