Privacy Policy

Stella inattivaStella inattivaStella inattivaStella inattivaStella inattiva
 

Un LAB su 802.1x - Cisco Catalyst 3750 e NPS con W2008R2.

Obiettivo:
Gli utenti, tramite l'appartenenza a gruppi di Active Directory, sono associati in automatico ad una VLAN specifica e quindi ad una Network all'interno della loro sede di lavoro.

Hardware e Software usati:

Client W7 64bit a dominio + "Servizio Wired AutoConfig" (dot3svc) Attivo
Active Directory 2008R2
NPS su W2008R2
Cisco Catalyst 3750G OS Version 12.2(58)SE2 (c3750-ipservicesk9-mz.122-58.SE2)

 Gli indirizzi ip usati in questo LAB non sempre corrispondono state attenti.. cool

Attività da fare sul Active Directory:

Creare 2 o più gruppi da usare come associazione VLAN/USER e creare 2 o più utenti di test

Es.
Luca-vlan2 -> User
Luca-vlan20 -> User

Creare 2 o più Gruppi

Es.
Access-VLAN2 -> Security Group Global
Access-VLAN20 -> Security Group Global

Membro “Access-VLAN2” = “Luca-vlan2”
Membro “Access-VLAN20” = “Luca-vlan20”

   

 
Configurare NPS 

Per configurare correttamente NPS con W2008R2 e Cisco Vedi articolo NPS W2008R2 & CISCO Setup

A questa configurazione aggiungiamo le seguenti Policy partendo dal Wizard
Poi duplicherete questa Policy per quante VLAN avete e cambierete solo gli id di VLAN e la descrizione.

 

  









Questa Policy qui sotto, può rimanere singola non è necessario duplicarla visto che permette l'accesso allo Switch e non ha riferimenti VLAN. non è necessario duplicarla.







Cisco Catalyst 3750 Aggiungere le seguenti configurazioni:

conf t
aaa new-model
aaa group server radius SRV-RADIUS
server-private 192.168.100.10 auth-port 1812 acct-port 1813 key cisco
!
aaa authentication login default group SRV-RADIUS local
aaa authentication dot1x default group SRV-RADIUS
aaa authorization console
aaa authorization exec default group SRV-RADIUS local if-authenticated
aaa authorization network default group SRV-RADIUS 
!
ip dhcp pool LAN-GUEST
network 10.27.5.0 255.255.255.00
default-router 10.27.5.254
dns-server 212.216.172.222 8.8.8.8
lease 8
!
ip dhcp pool LAN-PROD-FREE
network 10.0.0.0 255.255.255.0
default-router 10.0.0.254
dns-server 212.216.172.222 8.8.8.8
lease 8
!
ip dhcp pool LAN-PROD
network 10.24.2.0 255.255.255.0
default-router 10.24.2.254
dns-server 212.216.172.222 8.8.8.8
lease 8
!
vlan 2
name LAN Test1 Guest
!
vlan 20
name LAN Test2 Prod
!
interface Vlan100
description No-AUTH-Free no PAE
ip address 10.0.0.254 255.255.255.0
!
interface Vlan2
description TEST PROD
ip address 10.24.2.254 255.255.255.0
!
interface Vlan20
description TEST GUEST
ip address 10.27.5.254 255.255.255.0
!
dot1x system-auth-control
radius-server timeout 10

 

Gigabit ethernet or Fast ethernet dove vogliamo applicare la l’associazione dinamica delle VLAN.

I PC che saranno collegati a questa o queste porte saranno associati alla VLAN 100 se la configurazione sulla scheda di rete non è applicata e sulle VLAN 2 o 20 a seconda del gruppo a cui appartiene l’utente.

(.....interface range GigabitEthernet1/0/1-48 ) smile

interface GigabitEthernet1/0/1
switchport access vlan 100
switchport mode access
authentication event fail action authorize vlan 100
authentication host-mode multi-host
authentication open
authentication port-control auto
dot1x pae authenticator


Setup Rete Windows 7

Accedere alla configurazione della rete e editare le proprietà. Se non compare il TAB "Autenticazione" è necessario lanciare il servizio dot3svc che attiva la configurazione 802.1x.

esegui CMD con diritti amministrativi:

c:\>NET START dot3svc

Adesso il tab compare.



   

  

Con Queste configurazioni il client prima di accedere alla rete passa il nome utente e password allo Switch che le verifica su NPS Radius. A seconda dell'appartenenza del gruppo verra associato alla VLAN giusta
se la configurazione e le credenziali sono mancanti o errate sarà associato alla VLAN prestabilita, in questo caso la 100. 

E' tutto a me ha funzionato alla grande e sono molto contento del risultato.

Se incontrate qualche difficoltà, partendo da questa base non dovreste avere problemi a sistemarlo o adattarlo sulla vostra struttura.
In ogni caso buona fortuna.
Ciao Luca

 

C e r t i f i c a z i o n i