Upload
thinh-le
View
223
Download
0
Embed Size (px)
Citation preview
7/24/2019 Thanh Nien_Cấu Hình Điều Khiển Truy Cập Trên Cisco ISE v1.0
http://slidepdf.com/reader/full/thanh-niencau-hinh-dieu-khien-truy-cap-tren-cisco-ise-v10 1/15
DTS Communication Technologies Corporation
HỆ THỐNG MẠNG DỮ LIỆU
T! NH" #$N %HNG T&' S( )*+ TH!NH NI,N
C-u h.nh h/ th0ng 1i2u 3hi4n tru5 c6p Cisco IS7#ersion 89:
M;c L;c
1. Mô hình xác thực 802.1x.......................................................................................................
1
7/24/2019 Thanh Nien_Cấu Hình Điều Khiển Truy Cập Trên Cisco ISE v1.0
http://slidepdf.com/reader/full/thanh-niencau-hinh-dieu-khien-truy-cap-tren-cisco-ise-v10 2/15
DTS Communication Technologies Corporation
2. Các bước cấu hình cơ bản.....................................................................................................5
2.1 Cài đặt Cisco ISE.............................................................................................................
2.2 Khai báo Identity Groups.................................................................................................6
2. !"o Identities...................................................................................................................2.$ !h%c hi&n 'oined Cisco ISE (ào )o*ain +) (à ,-y thn/ tin 0ser Group t +).... ...
2.5 Khai báo +uthenticator )e(ice thi3t b4 3t ni n/78i d9n/ y:u c;u <ác th%c =>2.1<?
2.6 Khai báo +uthori@e proAi,esB............................................................................................
2.# Khai báo chDnh sách <ác th%c.......................................................................................1>
2.= Khai báo chDnh sách phn Fuyn truy cHp....................................................................1
2. C-u hnh tr:n SJitch đ enab,e =>2.1< +uthentication................................................1
89 M< h.nh =>c th?c @:A98=Cisco ISE sẽ đóng vai trò như một RADIUS server để xc th!c thi"t #$ tr%& c'( c)ngnhư đ$nh *anh ngư+i *,ng -hi có nh% c.% tr%& x%/t t0i ng%&n m2ng345 h6nh m2ng t2i tòa nh0 7hanh 8in
9
7/24/2019 Thanh Nien_Cấu Hình Điều Khiển Truy Cập Trên Cisco ISE v1.0
http://slidepdf.com/reader/full/thanh-niencau-hinh-dieu-khien-truy-cap-tren-cisco-ise-v10 3/15
DTS Communication Technologies Corporation
M< h.nh hoBt 1ng ca h/ th0ng =>c th?c @:A98E
:
7/24/2019 Thanh Nien_Cấu Hình Điều Khiển Truy Cập Trên Cisco ISE v1.0
http://slidepdf.com/reader/full/thanh-niencau-hinh-dieu-khien-truy-cap-tren-cisco-ise-v10 4/15
DTS Communication Technologies Corporation
8gư+i *,ng &% c.% xc th!c ; %sername<(ass=or*
8"% xc th!c đ>ng? Cisco ISE sẽ tr@ v goi RADIUS;Acce(te* c,ng vBi chnhsch (hn %&n trn ngư+i *,ng đó Fnhư gn GHA8? ( *ng ACH?JK
8"% xc th!c sai ngư+i *,ng -h5ng thể -"t nLi v0o m2ng
A9 C>c Fc c-u h.nh c FJn
2.1 Cài đặt Cisco ISECisco ISE SoMt=are version 139 sẽ đưNc c0i đOt trn m& chP S8S;:Q1;T3
Q
7/24/2019 Thanh Nien_Cấu Hình Điều Khiển Truy Cập Trên Cisco ISE v1.0
http://slidepdf.com/reader/full/thanh-niencau-hinh-dieu-khien-truy-cap-tren-cisco-ise-v10 5/15
DTS Communication Technologies Corporation
GiVc c0i đOt n0& có thể th5ng %a cWng CI4C FCisco Integrate*4anagement InterMaceK hoOc %a thi"t #$ USX #oot có chYa Z[e 3iso c0i đOtCisco ISE3
40n h6nh hiển th$ cho (h\( [!a ch]n (hư^ng thYc c0i đOt như sa%
_% tr6nh c0i đOt đưNc ti"n h0nh t! động đ"n -hi m0n h6nh hiển th$ &% c.ch2& c0i đOt để c/% h6nh #an đ.% cho Cisco ISE3
8h'( cc th5ng tin &% c.% hV thLng`
Tham s0 Gi> trKEnter hostnameb` ISE;78Enter I a**ressb` 1d9313Qf31fEnter I *eMa%[t netmas-b` 939393fEnter I *eMa%[t gate=a&b` 1d9313Qf3Enter *eMa%[t D8S *omainb` toasoan3org3vnEnter (rimar& nameserverb` 1T9313f39fQA** secon*ar& nameserver <8 ̀ 8
A** (rimar& 87 server time3nist3govb` 1T9313f39fQA** secon*ar& 87 server <8 ̀ 8Enter s&stem timejoneU7Cb` Asia<kolChil4inhEnter %sername a*minb` a*minEnter (ass=or*`Enter (ass=or* again`
7/24/2019 Thanh Nien_Cấu Hình Điều Khiển Truy Cập Trên Cisco ISE v1.0
http://slidepdf.com/reader/full/thanh-niencau-hinh-dieu-khien-truy-cap-tren-cisco-ise-v10 6/15
DTS Communication Technologies Corporation
A9A Khai báo Identity Groups
Identity Groups [0 nhóm đ$nh *anh ngư+i *,ng hoOc nhóm đ$nh *anh thi"t #$3
Chn TaF !ministration Ientit5 Management Groups User Ientit5
GroupsO 7npoint Ientit5 Groups? ch]n ! để thm nhóm đ$nh *anh mongm%Ln3
A9P Tạo Identities
Chn taF !ministration Ientit5 Management Ientities UsersO7npointsQ ch]n ! để thm đ$nh *anh3
7/24/2019 Thanh Nien_Cấu Hình Điều Khiển Truy Cập Trên Cisco ISE v1.0
http://slidepdf.com/reader/full/thanh-niencau-hinh-dieu-khien-truy-cap-tren-cisco-ise-v10 7/15
DTS Communication Technologies Corporation
2.4 Thc hi!n "oined Cisco ISE #ào $o%ain &$ #à '(y th)n* tin +serGroup t, &$
!ministration R Ientit5 Management R 7=ternal Ientit5 SourcesR !ctie Director59
7rong 7a# Connection đin th5ng tin cPa Domain AD như ` Domain 8ame? I3 Ch]n oin v0 đin UsernameQ %assor !D để ti"n h0nh oin Domain
Ch]n Groups R ! R Select Group Vrom Director5 RR &etriee groups
d
7/24/2019 Thanh Nien_Cấu Hình Điều Khiển Truy Cập Trên Cisco ISE v1.0
http://slidepdf.com/reader/full/thanh-niencau-hinh-dieu-khien-truy-cap-tren-cisco-ise-v10 8/15
DTS Communication Technologies Corporation
Ch]n cc Domain gro%( mong m%Ln ;; c[ic- để a** v0o Cisco ISE nh-"t %@ #n *ưBi`
93 Khai báo &uthenticator $e#ice -thit b/ 0t ni n*3i d4n* y5uc6u 7ác thc 892.17:
Authenticator Device [0 Access S=itch hoOc Access oint có ena#[e xc th!cf931p3 Cc th5ng tin c.n -hai #o gqm ` I? Descri(tion? Share* Secret?J
TaF !ministration Netor3 &esources Netor3 Deices? ch]n
! để thm thi"t #$3 Sa% -hi thm v0o một *evice mong m%Ln? ta đưNc-"t %@ như sa%`
7/24/2019 Thanh Nien_Cấu Hình Điều Khiển Truy Cập Trên Cisco ISE v1.0
http://slidepdf.com/reader/full/thanh-niencau-hinh-dieu-khien-truy-cap-tren-cisco-ise-v10 9/15
DTS Communication Technologies Corporation
A9W Khai báo &uthori;e pro<'es=
H0 -"t %@ cPa % tr6nh (hn %&n tr%& c'(? Cho (h\( %ser đưNc access v0oGHA8n0o3 D!a v0o -"t %0 n0&? Cisco ISE sẽ th5ng #o cho A%thenticator gn %ser v0oGHA8 tư^ng Yng3
Chn TaF %olic5 %olic5 7lements &esults !uthoriXation !uthoriXation %roYlesQ ch]n !3 in th5ng tin như h6nh #n *ưBi`
T
7/24/2019 Thanh Nien_Cấu Hình Điều Khiển Truy Cập Trên Cisco ISE v1.0
http://slidepdf.com/reader/full/thanh-niencau-hinh-dieu-khien-truy-cap-tren-cisco-ise-v10 10/15
DTS Communication Technologies Corporation
A9Z Khai báo ch>nh sách 7ác thc
!uthentication %olic5 Terminolog5
7he Mo[[o=ing are some oM the common[& %se* terms in the a%thentication
(o[ic& (ages`
• A[[o=e* rotoco[sA[[o=e* (rotoco[s *eZne the set oM (rotoco[s that CiscoISE can %se to comm%nicate =ith the *evice that re%ests access to thenet=or- reso%rces3
• I*entit& So%rceI*entit& so%rce *eZnes =hich *ata#ase Cisco ISE sho%[*%se Mor %ser inMormation3 7he *ata#ase co%[* #e an interna[ *ata#ase or aexterna[ i*entit& so%rce? s%ch as Active Director& or HDA3 o% can a** ase%ence oM *ata#ases to an i*entit& so%rce se%ence an* [ist thisse%ence as the i*entit& so%rce in &o%r (o[ic&3 Cisco ISE =i[[ search Mor the
cre*entia[s in the or*er in =hich the *ata#ases are [iste* in this se%ence• ai[over (tionso% can *eZne =hat co%rse oM action Cisco ISE sho%[*
ta-e iM the a%thentication Mai[s? the %ser is not Mo%n*? or iM the (rocess Mai[s
Ch[nh s>ch =>c th?c \!uthentication %olicies] th?c hi/n theo 3i4u ruleRFase g^m m/nh 12 1i2u 3i/n _ 3`t uJ9 C-u h.nh nh saub
1f
7/24/2019 Thanh Nien_Cấu Hình Điều Khiển Truy Cập Trên Cisco ISE v1.0
http://slidepdf.com/reader/full/thanh-niencau-hinh-dieu-khien-truy-cap-tren-cisco-ise-v10 11/15
DTS Communication Technologies Corporation
R%[e1`8"% %ser tr%& c'( #ung ire* v0 (hư^ng thYc xc th!c [0 f931p th6 ch]nA[[o= (rotoco[ [0 w EA v0 Data#ase %ser [0 AD hoOc %ser [oca[ trn AD để chYngth!c3
R%[e9` 8"% %ser tr%& c'( #ung ire[ess v0 (hư^ng thYc xc th!c [0 f931p th6 ch]
A[[o= (rotoco[ [0 w EA v0 ch]n Data#ase %ser [0 AD hoOc %ser [oca[ trn AD đểchYng th!c
R%[e:` 8"% %ser tr%& c'( #ung (hư^ng thYc ire* hoOc ire[ess v0 (hư^ng thYcxc th!c [0 4AC A%thentication X&(ass th6 A[[o= (rotoco[ [0 w8et=or- DeMa%[t v0cho 4AC Data#ase trn Cisco ISE để xc th!c En*(oint3
hi nhn 1 &% c.% tr%& c'( Cisco ISE sẽ -iểm tra [.n [ưNt theo thY t! r%[e 1?9?: n"%thya đi% r%[e n0o sẽ th!c hiVn xc th!c theo r%[e đó v0 -"t th>c % tr6nh xc th!c
Clic3 _o TaF %olic5 !uthentication? ch]n 7it hoOc !
A9@ Khai báo ch>nh sách ph?n @uyAn truy cBp
%olic5 !uthoriXation? ch]n 7it hoOc thm r%[e3Sa% th!c hiVn #ưBc A%thentication cho User? ti"( theo Cisco ISE đz sẽ ti"nh0nh (hn %&n tr%& c'( FA%thorijationK34{i A%thorije* R%[e gqm đi% -iVn x\t v0 -"t %@ n"% thya đi% -iVn3 "t
%@ cPa một A%thorije* R%[e [0 A%thorijation roZ[e3
11
7/24/2019 Thanh Nien_Cấu Hình Điều Khiển Truy Cập Trên Cisco ISE v1.0
http://slidepdf.com/reader/full/thanh-niencau-hinh-dieu-khien-truy-cap-tren-cisco-ise-v10 12/15
DTS Communication Technologies Corporation
Để xem log việc xác thc ch]n +perations !uthentication9Ch]n để xem th5ng tin chi ti"t cPa %ser v|a xc th!c9
Dn* %appin* F& and +ser Group $o%ain.
%HNG )!N GroupDomain #la)9dTR)DR
CTEH 7oasoan3org3vn<7hanh8ien<78lXanlChinh7ripakoi<}ro%(s<Xan Chinh 7ri ; pa koi 7oasoan3org3vn<7hanh8ien<78lXanlChinh7ripakoi<}ro%(s<7r%ong hoXan;C7pk 7oasoan3org3vn<7hanh8ien<78lXanlCong7acXanDoc<}ro%(s<Xan Cong 7ac Xan Doc 7oasoan3org3vn<7hanh8ien<78lXanlCong7acXanDoc<}ro%(s<C7XD;7r%ongho Xan 7oasoan3org3vn<7hanh8ien<78lXanlinh7e<}ro%(s<Xan inh 7e
7oasoan3org3vn<7hanh8ien<78lXanlinh7e<}ro%(s<7;7r%ong ho Xan
1
)9Thu35R)ientap 7oasoan3org3vn<7hanh8ien<78lXanl7h%&<}ro%(s<Xan 7h% & 7oa
Soan 7oasoan3org3vn<7hanh8ien<78lXanl7h%&<}ro%(s<Xin 7'( Gin 7oasoan3org3vn<7hanh8ien<78lXanl7h%&<}ro%(s<Xin 7'( Gin ; 7h!ckiVn
1d
19
7/24/2019 Thanh Nien_Cấu Hình Điều Khiển Truy Cập Trên Cisco ISE v1.0
http://slidepdf.com/reader/full/thanh-niencau-hinh-dieu-khien-truy-cap-tren-cisco-ise-v10 13/15
DTS Communication Technologies Corporation
7oasoan3org3vn<7hanh8ien<78lXanl7h%&<}ro%(s<7ong 7h% &
uangCao 7oasoan3org3vn<7hanh8ien<78lXaol_%angCao<}ro%(s<hòng _%@ngCo
7oasoan3org3vn<7hanh8ien<78lXaol_%angCao<}ro%(s<hòng _%@ngCo ; 8hóm ~ 7h%'t
1:
+nline 7oasoan3org3vn<7hanh8ien<78lXaol7hanh8ienn[ine<}ro%(s<78 19TuanSan 7oasoan3org3vn<7hanh8ien<78lXaol7hanh8ien7%anSan<}ro%(s<Xan
787S 7oasoan3org3vn<7hanh8ien<78lXaol7hanh8ien7%anSan<}ro%(s<787S; 7r%ong ho Xan
1
d5Thuat 7oasoan3org3vn<7hanh8ien<78lhongl7rinhXa&<}ro%(s<hòng ~ 7h%'t 1CN LẠI 7oasoan3org3vn<7hanh8ien<78lXanl}iaoD%c<}ro%(s<Xan }iao D%c
7oasoan3org3vn<7hanh8ien<78lXanl}iaoD%c<}ro%(s<}D;7r%ong ho Xan
7oasoan3org3vn<7hanh8ien<78lXanl_%oc7e<}ro%(s<Xan _%oc 7e
7oasoan3org3vn<7hanh8ien<78lXanl_%oc7e<}ro%(s<_7;7r%ong ho Xan
7oasoan3org3vn<7hanh8ien<78lXanl7he7hao<}ro%(s<Xan 7he 7hao
7oasoan3org3vn<7hanh8ien<78lXanl7he7hao<}ro%(s<77;7r%ong ho Xan 7oasoan3org3vn<7hanh8ien<78lXanlGankoaGan8ghe<}ro%(s<Xan Gan8ghe
7oasoan3org3vn<7hanh8ien<78lXanlGankoaGan8ghe<}ro%(s<Gk87; 7r%ong ho Xan 7oasoan3org3vn<7hanh8ien<78lXaol7hanh8ienDai[&<}ro%(s<Xan Dai[&
7oasoan3org3vn<7hanh8ien<78lhonglkanhChinh<}ro%(s<G;7r%ongho Xan 7oasoan3org3vn<7hanh8ien<78lhonglkanhChinh<}ro%(s<Gan hong
7oasoan3org3vn<7hanh8ien<78lhongl7h%Gien<}ro%(s<7h% Gien 7oasoan3org3vn<7hanh8ien<78l7ol8hie(Anh<}ro%(s<7W •nh 7oasoan3org3vn<7hanh8ien<Gat 7%<}ro%(s<hong Gat 7%
1T
IT 7oasoan3org3vn<7hanh8ien<78l7olC877<}ro%(s<7W C877 1f#ietee3 7oasoan3org3vn<7hanh8ien<78lXaol7hanh8ienDai[&<}ro%(s<Xan Dai[& 1Q
dToan%hHanh
Chưa có 11
1:
7/24/2019 Thanh Nien_Cấu Hình Điều Khiển Truy Cập Trên Cisco ISE v1.0
http://slidepdf.com/reader/full/thanh-niencau-hinh-dieu-khien-truy-cap-tren-cisco-ise-v10 14/15
DTS Communication Technologies Corporation
2.H C(u hnh tr5n SJitch đ enab'e 892.17 &uthentication
€€€€€€€€€€ }[o#a[ ConZg €€€€€€€€€aaa ne=;mo*e[
aaa a%thentication *ot1x *eMa%[t gro%( ra*i%s
aaa a%thorijation net=or- *eMa%[t gro%( ra*i%s
aaa acco%nting *ot1x *eMa%[t start;sto( gro%( ra*i%s
i( ra*i%s so%rce;interMace G[an9f
ra*i%s;server attri#%te on;Mor;[ogin;a%th
ra*i%s;server attri#%te inc[%*e;in;access;re
ra*i%s;server attri#%te 9 access;re%est inc[%*e
ra*i%s;server host 1d9313Qf31f a%th;(ort 119 acct;(ort 11: -e& Cisco19:
ra*i%s;server vsa sen* acco%nting
ra*i%s;server vsa sen* a%thentication
ra*i%s;server *ea*;criteria time 1f tries :
ra*i%s;server *ea*time 1f
€€€€€€€€€€€€€ I87ERACE f931x €€€€€€€€€€€€€€
interMace }iga#itEthernet9<f<:1
*escri(tion 7ES7 f931x
s=itch(ort mo*e access a%thentication event server *ea* action a%thorije v[an ppp
no a%thentication event server a[ive action reinitia[ije
a%thentication host;mo*e m%[ti;host
a%thentication o(en
1Q
7/24/2019 Thanh Nien_Cấu Hình Điều Khiển Truy Cập Trên Cisco ISE v1.0
http://slidepdf.com/reader/full/thanh-niencau-hinh-dieu-khien-truy-cap-tren-cisco-ise-v10 15/15
DTS Communication Technologies Corporation
a%thentication (ort;contro[ a%to
a%thentication timer rea%thenticate server
a%thentication vio[ation restrict
*ot1x (ae a%thenticator *ot1x timeo%t tx;(erio* 1f
s(anning;tree (ortMast
s(anning;tree #(*%g%ar* ena#[e
€€€€€€€€€€€€€ I87ERACE 4AX A%thentication €€€€€€€€€€€€€€
interMace }iga#itEthernet9<f<:f
*escri(tion 7ES7 4AX
s=itch(ort mo*e access
a%thentication event server *ea* action a%thorije v[an 1Tf
no a%thentication event server a[ive action reinitia[ije
a%thentication (ort;contro[ a%to
ma#
s(anning;tree (ortMast
s(anning;tree #(*%g%ar* ena#[e
1