Thanh Nien_Cấu Hình Điều Khiển Truy Cập Trên Cisco ISE v1.0

7/24/2019 Thanh Nien_Cấu Hình Điều Khiển Truy Cập Trên Cisco ISE v1.0

http://slidepdf.com/reader/full/thanh-niencau-hinh-dieu-khien-truy-cap-tren-cisco-ise-v10 1/15

DTS Communication Technologies Corporation

HỆ THỐNG MẠNG DỮ LIỆU

T! NH" #$N %HNG T&' S( )*+ TH!NH NI,N

C-u h.nh h/ th0ng 1i2u 3hi4n tru5 c6p Cisco IS7#ersion 89:

M;c L;c

1. Mô hình xác thực 802.1x.......................................................................................................

1




2. Các bước cấu hình cơ bản.....................................................................................................5

2.1 Cài đặt Cisco ISE.............................................................................................................

2.2 Khai báo Identity Groups.................................................................................................6

2. !"o Identities...................................................................................................................2.$ !h%c hi&n 'oined Cisco ISE (ào )o*ain +) (à ,-y thn/ tin 0ser Group t +).... ...

2.5 Khai báo +uthenticator )e(ice thi3t b4 3t ni n/78i d9n/ y:u c;u <ác th%c =>2.1<?

2.6 Khai báo +uthori@e proAi,esB............................................................................................

2.# Khai báo chDnh sách <ác th%c.......................................................................................1>

2.= Khai báo chDnh sách phn Fuyn truy cHp....................................................................1

2. C-u hnh tr:n SJitch đ enab,e =>2.1< +uthentication................................................1

89 M< h.nh =>c th?c @:A98=Cisco ISE sẽ đóng vai trò như một RADIUS server để xc th!c thi"t #$ tr%& c'( c)ngnhư đ$nh *anh ngư+i *,ng -hi có nh% c.% tr%& x%/t t0i ng%&n m2ng345 h6nh m2ng t2i tòa nh0 7hanh 8in

9




M< h.nh hoBt 1ng ca h/ th0ng =>c th?c @:A98E

:




8gư+i *,ng &% c.% xc th!c ; %sername<(ass=or*

8"% xc th!c đ>ng? Cisco ISE sẽ tr@ v goi RADIUS;Acce(te* c,ng vBi chnhsch (hn %&n trn ngư+i *,ng đó Fnhư gn GHA8? ( *ng ACH?JK

8"% xc th!c sai ngư+i *,ng -h5ng thể -"t nLi v0o m2ng

A9 C>c Fc c-u h.nh c FJn

2.1 Cài đặt Cisco ISECisco ISE SoMt=are version 139 sẽ đưNc c0i đOt trn m& chP S8S;:Q1;T3

Q




GiVc c0i đOt n0& có thể th5ng %a cWng CI4C FCisco Integrate*4anagement InterMaceK hoOc %a thi"t #$ USX #oot có chYa Z[e 3iso c0i đOtCisco ISE3

40n h6nh hiển th$ cho (h\( [!a ch]n (hư^ng thYc c0i đOt như sa%

_% tr6nh c0i đOt đưNc ti"n h0nh t! động đ"n -hi m0n h6nh hiển th$ &% c.ch2& c0i đOt để c/% h6nh #an đ.% cho Cisco ISE3

8h'( cc th5ng tin &% c.% hV thLng`

Tham s0 Gi> trKEnter hostnameb` ISE;78Enter I a**ressb` 1d9313Qf31fEnter I *eMa%[t netmas-b` 939393fEnter I *eMa%[t gate=a&b` 1d9313Qf3Enter *eMa%[t D8S *omainb` toasoan3org3vnEnter (rimar& nameserverb` 1T9313f39fQA** secon*ar& nameserver <8 ̀ 8

A** (rimar& 87 server time3nist3govb` 1T9313f39fQA** secon*ar& 87 server <8 ̀ 8Enter s&stem timejoneU7Cb` Asia<kolChil4inhEnter %sername a*minb` a*minEnter (ass=or*`Enter (ass=or* again`




A9A Khai báo Identity Groups

Identity Groups [0 nhóm đ$nh *anh ngư+i *,ng hoOc nhóm đ$nh *anh thi"t #$3

Chn TaF !ministration Ientit5 Management Groups User Ientit5

GroupsO 7npoint Ientit5 Groups? ch]n ! để thm nhóm đ$nh *anh mongm%Ln3

A9P Tạo Identities

Chn taF !ministration Ientit5 Management Ientities UsersO7npointsQ ch]n ! để thm đ$nh *anh3




2.4 Thc hi!n "oined Cisco ISE #ào $o%ain &$ #à '(y th)n* tin +serGroup t, &$

!ministration R Ientit5 Management R 7=ternal Ientit5 SourcesR !ctie Director59

7rong 7a# Connection đin th5ng tin cPa Domain AD như ` Domain 8ame? I3 Ch]n oin v0 đin UsernameQ %assor !D để ti"n h0nh oin Domain

Ch]n Groups R ! R Select Group Vrom Director5 RR &etriee groups

d




Ch]n cc Domain gro%( mong m%Ln ;; c[ic- để a** v0o Cisco ISE nh-"t %@ #n *ưBi`

93 Khai báo &uthenticator $e#ice -thit b/ 0t ni n*3i d4n* y5uc6u 7ác thc 892.17:

Authenticator Device [0 Access S=itch hoOc Access oint có ena#[e xc th!cf931p3 Cc th5ng tin c.n -hai #o gqm ` I? Descri(tion? Share* Secret?J

TaF !ministration Netor3 &esources Netor3 Deices? ch]n

! để thm thi"t #$3 Sa% -hi thm v0o một *evice mong m%Ln? ta đưNc-"t %@ như sa%`




A9W Khai báo &uthori;e pro<'es=

H0 -"t %@ cPa % tr6nh (hn %&n tr%& c'(? Cho (h\( %ser đưNc access v0oGHA8n0o3 D!a v0o -"t %0 n0&? Cisco ISE sẽ th5ng #o cho A%thenticator gn %ser v0oGHA8 tư^ng Yng3

Chn TaF %olic5 %olic5 7lements &esults !uthoriXation !uthoriXation %roYlesQ ch]n !3 in th5ng tin như h6nh #n *ưBi`

T




A9Z Khai báo ch>nh sách 7ác thc

!uthentication %olic5 Terminolog5

7he Mo[[o=ing are some oM the common[& %se* terms in the a%thentication

(o[ic& (ages`

• A[[o=e* rotoco[sA[[o=e* (rotoco[s *eZne the set oM (rotoco[s that CiscoISE can %se to comm%nicate =ith the *evice that re%ests access to thenet=or- reso%rces3

• I*entit& So%rceI*entit& so%rce *eZnes =hich *ata#ase Cisco ISE sho%[*%se Mor %ser inMormation3 7he *ata#ase co%[* #e an interna[ *ata#ase or aexterna[ i*entit& so%rce? s%ch as Active Director& or HDA3 o% can a** ase%ence oM *ata#ases to an i*entit& so%rce se%ence an* [ist thisse%ence as the i*entit& so%rce in &o%r (o[ic&3 Cisco ISE =i[[ search Mor the

cre*entia[s in the or*er in =hich the *ata#ases are [iste* in this se%ence• ai[over (tionso% can *eZne =hat co%rse oM action Cisco ISE sho%[*

ta-e iM the a%thentication Mai[s? the %ser is not Mo%n*? or iM the (rocess Mai[s

Ch[nh s>ch =>c th?c \!uthentication %olicies] th?c hi/n theo 3i4u ruleRFase g^m m/nh 12 1i2u 3i/n _ 3`t uJ9 C-u h.nh nh saub

1f




R%[e1`8"% %ser tr%& c'( #ung ire* v0 (hư^ng thYc xc th!c [0 f931p th6 ch]nA[[o= (rotoco[ [0 w EA v0 Data#ase %ser [0 AD hoOc %ser [oca[ trn AD để chYngth!c3

R%[e9` 8"% %ser tr%& c'( #ung ire[ess v0 (hư^ng thYc xc th!c [0 f931p th6 ch]

A[[o= (rotoco[ [0 w EA v0 ch]n Data#ase %ser [0 AD hoOc %ser [oca[ trn AD đểchYng th!c

R%[e:` 8"% %ser tr%& c'( #ung (hư^ng thYc ire* hoOc ire[ess v0 (hư^ng thYcxc th!c [0 4AC A%thentication X&(ass th6 A[[o= (rotoco[ [0 w8et=or- DeMa%[t v0cho 4AC Data#ase trn Cisco ISE để xc th!c En*(oint3

hi nhn 1 &% c.% tr%& c'( Cisco ISE sẽ -iểm tra [.n [ưNt theo thY t! r%[e 1?9?: n"%thya đi% r%[e n0o sẽ th!c hiVn xc th!c theo r%[e đó v0 -"t th>c % tr6nh xc th!c

Clic3 _o TaF %olic5 !uthentication? ch]n 7it hoOc !

A9@ Khai báo ch>nh sách ph?n @uyAn truy cBp

%olic5 !uthoriXation? ch]n 7it hoOc thm r%[e3Sa% th!c hiVn #ưBc A%thentication cho User? ti"( theo Cisco ISE đz sẽ ti"nh0nh (hn %&n tr%& c'( FA%thorijationK34{i A%thorije* R%[e gqm đi% -iVn x\t v0 -"t %@ n"% thya đi% -iVn3 "t

%@ cPa một A%thorije* R%[e [0 A%thorijation roZ[e3

11




Để xem log việc xác thc ch]n +perations !uthentication9Ch]n để xem th5ng tin chi ti"t cPa %ser v|a xc th!c9

Dn* %appin* F& and +ser Group $o%ain.

%HNG )!N GroupDomain #la)9dTR)DR

CTEH 7oasoan3org3vn<7hanh8ien<78lXanlChinh7ripakoi<}ro%(s<Xan Chinh 7ri ; pa koi 7oasoan3org3vn<7hanh8ien<78lXanlChinh7ripakoi<}ro%(s<7r%ong hoXan;C7pk 7oasoan3org3vn<7hanh8ien<78lXanlCong7acXanDoc<}ro%(s<Xan Cong 7ac Xan Doc 7oasoan3org3vn<7hanh8ien<78lXanlCong7acXanDoc<}ro%(s<C7XD;7r%ongho Xan 7oasoan3org3vn<7hanh8ien<78lXanlinh7e<}ro%(s<Xan inh 7e

7oasoan3org3vn<7hanh8ien<78lXanlinh7e<}ro%(s<7;7r%ong ho Xan

1

)9Thu35R)ientap 7oasoan3org3vn<7hanh8ien<78lXanl7h%&<}ro%(s<Xan 7h% & 7oa

Soan 7oasoan3org3vn<7hanh8ien<78lXanl7h%&<}ro%(s<Xin 7'( Gin 7oasoan3org3vn<7hanh8ien<78lXanl7h%&<}ro%(s<Xin 7'( Gin ; 7h!ckiVn

1d

19




7oasoan3org3vn<7hanh8ien<78lXanl7h%&<}ro%(s<7ong 7h% &

uangCao 7oasoan3org3vn<7hanh8ien<78lXaol_%angCao<}ro%(s<hòng _%@ngCo

7oasoan3org3vn<7hanh8ien<78lXaol_%angCao<}ro%(s<hòng _%@ngCo ; 8hóm ~ 7h%'t

1:

+nline 7oasoan3org3vn<7hanh8ien<78lXaol7hanh8ienn[ine<}ro%(s<78 19TuanSan 7oasoan3org3vn<7hanh8ien<78lXaol7hanh8ien7%anSan<}ro%(s<Xan

787S 7oasoan3org3vn<7hanh8ien<78lXaol7hanh8ien7%anSan<}ro%(s<787S; 7r%ong ho Xan

1

d5Thuat 7oasoan3org3vn<7hanh8ien<78lhongl7rinhXa&<}ro%(s<hòng ~ 7h%'t 1CN LẠI 7oasoan3org3vn<7hanh8ien<78lXanl}iaoD%c<}ro%(s<Xan }iao D%c

7oasoan3org3vn<7hanh8ien<78lXanl}iaoD%c<}ro%(s<}D;7r%ong ho Xan

7oasoan3org3vn<7hanh8ien<78lXanl_%oc7e<}ro%(s<Xan _%oc 7e

7oasoan3org3vn<7hanh8ien<78lXanl_%oc7e<}ro%(s<_7;7r%ong ho Xan

7oasoan3org3vn<7hanh8ien<78lXanl7he7hao<}ro%(s<Xan 7he 7hao

7oasoan3org3vn<7hanh8ien<78lXanl7he7hao<}ro%(s<77;7r%ong ho Xan 7oasoan3org3vn<7hanh8ien<78lXanlGankoaGan8ghe<}ro%(s<Xan Gan8ghe

7oasoan3org3vn<7hanh8ien<78lXanlGankoaGan8ghe<}ro%(s<Gk87; 7r%ong ho Xan 7oasoan3org3vn<7hanh8ien<78lXaol7hanh8ienDai[&<}ro%(s<Xan Dai[&

7oasoan3org3vn<7hanh8ien<78lhonglkanhChinh<}ro%(s<G;7r%ongho Xan 7oasoan3org3vn<7hanh8ien<78lhonglkanhChinh<}ro%(s<Gan hong

7oasoan3org3vn<7hanh8ien<78lhongl7h%Gien<}ro%(s<7h% Gien 7oasoan3org3vn<7hanh8ien<78l7ol8hie(Anh<}ro%(s<7W •nh 7oasoan3org3vn<7hanh8ien<Gat 7%<}ro%(s<hong Gat 7%

1T

IT 7oasoan3org3vn<7hanh8ien<78l7olC877<}ro%(s<7W C877 1f#ietee3 7oasoan3org3vn<7hanh8ien<78lXaol7hanh8ienDai[&<}ro%(s<Xan Dai[& 1Q

dToan%hHanh

Chưa có 11

1:




2.H C(u hnh tr5n SJitch đ enab'e 892.17 &uthentication

€€€€€€€€€€ }[o#a[ ConZg €€€€€€€€€aaa ne=;mo*e[

aaa a%thentication *ot1x *eMa%[t gro%( ra*i%s

aaa a%thorijation net=or- *eMa%[t gro%( ra*i%s

aaa acco%nting *ot1x *eMa%[t start;sto( gro%( ra*i%s

i( ra*i%s so%rce;interMace G[an9f

ra*i%s;server attri#%te on;Mor;[ogin;a%th

ra*i%s;server attri#%te inc[%*e;in;access;re

ra*i%s;server attri#%te 9 access;re%est inc[%*e

ra*i%s;server host 1d9313Qf31f a%th;(ort 119 acct;(ort 11: -e& Cisco19:

ra*i%s;server vsa sen* acco%nting

ra*i%s;server vsa sen* a%thentication

ra*i%s;server *ea*;criteria time 1f tries :

ra*i%s;server *ea*time 1f

€€€€€€€€€€€€€ I87ERACE f931x €€€€€€€€€€€€€€

interMace }iga#itEthernet9<f<:1

*escri(tion 7ES7 f931x

s=itch(ort mo*e access a%thentication event server *ea* action a%thorije v[an ppp

no a%thentication event server a[ive action reinitia[ije

a%thentication host;mo*e m%[ti;host

a%thentication o(en

1Q




a%thentication (ort;contro[ a%to

a%thentication timer rea%thenticate server

a%thentication vio[ation restrict

*ot1x (ae a%thenticator *ot1x timeo%t tx;(erio* 1f

s(anning;tree (ortMast

s(anning;tree #(*%g%ar* ena#[e

€€€€€€€€€€€€€ I87ERACE 4AX A%thentication €€€€€€€€€€€€€€

interMace }iga#itEthernet9<f<:f

*escri(tion 7ES7 4AX

s=itch(ort mo*e access

a%thentication event server *ea* action a%thorije v[an 1Tf

no a%thentication event server a[ive action reinitia[ije

a%thentication (ort;contro[ a%to

ma#

s(anning;tree (ortMast

s(anning;tree #(*%g%ar* ena#[e

1

Documents

Thanh Nien_Cấu Hình Điều Khiển Truy Cập Trên Cisco ISE v1.0