Author Topic: ขอ LAB dynamic VLAN assignment based on 802.1x ด้วยครับ  (Read 22470 times)

0 Members และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้

dcofee

  • Layer 1
  • *
  • Posts: 11
  • จิตพิสัย +0/-0
ขอ LAB dynamic VLAN assignment based on 802.1x ด้วยครับ
« on: 07 มิถุนายน , 2013, 05:49:48 pm »
จริงๆ อยากใช้ร่วมกับ Windows 2008 (NPS) เป็น Radius

แต่ว่าเบื้องต้นขอแค่

dynamic VLAN โดย 802.1x ก็พอครับ  ใช้อะไรเป็น Radius ก็ได้ หลักอยากรู้และทำ LAB
โดยการ assign VLAN ตาม กลุ่ม User ที่จัดไว้ เช่น

GroupA  Authen ผ่าน แจก VLAN11
GroupB  Authen ผ่าน แจก VLAN12

ขอบคุณครับ

zenze

  • Guest
Re: ขอ LAB dynamic VLAN assignment based on 802.1x ด้วยครับ
« Reply #1 on: 07 มิถุนายน , 2013, 06:13:16 pm »
เล่นท่ายากนะเนี้ย เดวรอผู้รู้มาจัดให้คัฟ ผมไม่เคยเล่นเลยคัฟ dynamic VLAN

dcofee

  • Layer 1
  • *
  • Posts: 11
  • จิตพิสัย +0/-0
Re: ขอ LAB dynamic VLAN assignment based on 802.1x ด้วยครับ
« Reply #2 on: 07 มิถุนายน , 2013, 06:33:08 pm »
พอดีผมเป็น IT Support อยู่ในองค์กรที่ Netowrk เขาใช้เป็น 802.1x ทั้งหมดเลยครับ ทั้ง LAN และ Wireless
ตอนแรกขึ้นระบบใหม่เขาก็ให้ IT Support ไปเทรนอยู่คร่าวๆอยู่ ว่าหลักการณ์มันทำงานยังไง รู้สึกว่า radius จะเป็น ACS มั้ง
ทีนี้เลยอยากทำเป็นเหมือนเขาครับ เผื่อเปลี่ยนงานใหม่ ใหนๆก็อยู่กับองค์กรที่ใช้ 802.1x มาหลายปี จะได้เอาไปคุยได้มั้งคับ [onion112]

ยังไงขอบคุณพี่ๆ ที่รู้ด้านนี้ล่วงหน้านะครับ
ขอเป็น link หรือ หนังสือที่แนะนำก็ได้ (เป็น thai/Eng ก็ได้)

ผมลอง google บ้างแล้วล่ะ  เห็นตาม blog ต่างๆนำมาเขียนบ้าง แต่มันไม่ต่อเนื่อง เลยไม่เข้าใจครับ สุดท้ายยังทำไม่ได้

fairy

  • Head Master
  • Layer 7
  • *
  • Posts: 2177
  • จิตพิสัย +34/-1
    • ucbook
Re: ขอ LAB dynamic VLAN assignment based on 802.1x ด้วยครับ
« Reply #3 on: 07 มิถุนายน , 2013, 06:38:39 pm »
ถ้าเป็น windows ad จำไม่ได้แล้วฮะ ว่าต้องตั้ง property ตัวไหน บอกได้เลยว่าท่ายากมากฮะ เพราะไม่ค่อยมีเอกสารระบุไว้ ต้องเดาเอาเอง [onion112]

แต่ถ้าเอาตัวอย่างง่ายๆ แค่นี้ ก็พอแล้ว ทำสอง port กับ 100 port มันก็ไม่ได้ต่างกัน
http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_8021x.html
« Last Edit: 07 มิถุนายน , 2013, 06:45:43 pm by fairy »
แนะนำหนังสือดีๆ จาก UCBOOK
http://www.ebooks.in.th/ucbook

CCNA Labs Walkthrough book one (คู่มือตัวอย่าง CCNA พร้อมเฉลย เล่มหนึ่ง)
http://www.ebooks.in.th/ebook/3670/

CCNA Labs Walkthrough book two
http://www.ebooks.in.th/ebook/5137/

--- CISCO CCNA LAB SOLUTION CCNP ---

zenze

  • Guest
« Last Edit: 07 มิถุนายน , 2013, 11:15:37 pm by zenze »

dcofee

  • Layer 1
  • *
  • Posts: 11
  • จิตพิสัย +0/-0
Re: ขอ LAB dynamic VLAN assignment based on 802.1x ด้วยครับ
« Reply #5 on: 08 มิถุนายน , 2013, 02:23:49 pm »
แต่ถ้าเอาตัวอย่างง่ายๆ แค่นี้ ก็พอแล้ว ทำสอง port กับ 100 port มันก็ไม่ได้ต่างกัน
http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_8021x.html

ขอบคุณครับ  อ่านตั้งแต่เมื่อคืนเพิ่งจะจบเมื่อกี้นี้เอง [onion79]
เสียดายไม่มี Lab  แต่ก็เข้าใจเพิ่มเติมขึ้นมาบ้าง แต่ยังติดตรางเรื่อง VLAN base on Username นี้ล่ะ
หน้า 14 (ผมโหลดแบบ pdf) ตรงเรื่อง VLAN Assignment มันจะมี ลิงค์เพิ่มเติม
ผมคลิกไปแล้วมันขื้น Page Not Found [onion25]

คล้าย ๆ อันนี้หรือป่าวไม่แน่ใจครับ ของ Sophos

http://tw.sophos.com/sophos/docs/eng/manuals/nacadv8021x_32_tgeng.pdf

 [onion49]
http://www.cisco.com/en/US/docs/switches/lan/catalyst4500/12.2/20ew/configuration/guide/vmps.pdf
http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a008076317c.shtml
 [onion56]
ขอบคุณเช่นกันครับ
 

zenze

  • Guest
Re: ขอ LAB dynamic VLAN assignment based on 802.1x ด้วยครับ
« Reply #6 on: 08 มิถุนายน , 2013, 03:20:45 pm »
สงสัยต้องเทสกับของจริงครับ

To..ลุงเลก Training รอบหน้าทำเป็น Solution แบบนี้ดีไหม ว่าอยากทำอะไร แล้วสอนเป็น Solution ไปเลย จะได้รู้ว่าของจิงมันใช้งานได้หรือป่าวคัฟ อยากเรียนด้วยคน อิอิ เพราะบางทีเรียนแต่ ทบ พอไปใช้งานจริงนี้ไปไม่เป็นอะครับ แถมจับต้องไม่ได้ด้วย  [onion54]

fairy

  • Head Master
  • Layer 7
  • *
  • Posts: 2177
  • จิตพิสัย +34/-1
    • ucbook
Re: ขอ LAB dynamic VLAN assignment based on 802.1x ด้วยครับ
« Reply #7 on: 08 มิถุนายน , 2013, 03:44:18 pm »
สงสัยต้องเทสกับของจริงครับ

To..ลุงเลก Training รอบหน้าทำเป็น Solution แบบนี้ดีไหม ว่าอยากทำอะไร แล้วสอนเป็น Solution ไปเลย จะได้รู้ว่าของจิงมันใช้งานได้หรือป่าวคัฟ อยากเรียนด้วยคน อิอิ เพราะบางทีเรียนแต่ ทบ พอไปใช้งานจริงนี้ไปไม่เป็นอะครับ แถมจับต้องไม่ได้ด้วย  [onion54]

จัดให้ได้ ถ้ามีตังค์ กว่าจะหาอุปกรณ์ แต่ละตัว มาทำแลปได้ คงเสียเงินไปเป็นแสน งี้คงต้องจัดหัวละสอง สามหมื่น แล้วจะมีคนมาเรียนมั๊ยอะ ยกเว้นว่าจะมี สปอนเซอร์ [onion49]
แนะนำหนังสือดีๆ จาก UCBOOK
http://www.ebooks.in.th/ucbook

CCNA Labs Walkthrough book one (คู่มือตัวอย่าง CCNA พร้อมเฉลย เล่มหนึ่ง)
http://www.ebooks.in.th/ebook/3670/

CCNA Labs Walkthrough book two
http://www.ebooks.in.th/ebook/5137/

--- CISCO CCNA LAB SOLUTION CCNP ---

fairy

  • Head Master
  • Layer 7
  • *
  • Posts: 2177
  • จิตพิสัย +34/-1
    • ucbook
Re: ขอ LAB dynamic VLAN assignment based on 802.1x ด้วยครับ
« Reply #8 on: 08 มิถุนายน , 2013, 03:45:23 pm »
แต่ถ้าเอาตัวอย่างง่ายๆ แค่นี้ ก็พอแล้ว ทำสอง port กับ 100 port มันก็ไม่ได้ต่างกัน
http://www.cisco.com/en/US/docs/ios/12_4t/12_4t11/ht_8021x.html

ขอบคุณครับ  อ่านตั้งแต่เมื่อคืนเพิ่งจะจบเมื่อกี้นี้เอง [onion79]
เสียดายไม่มี Lab  แต่ก็เข้าใจเพิ่มเติมขึ้นมาบ้าง แต่ยังติดตรางเรื่อง VLAN base on Username นี้ล่ะ
หน้า 14 (ผมโหลดแบบ pdf) ตรงเรื่อง VLAN Assignment มันจะมี ลิงค์เพิ่มเติม
ผมคลิกไปแล้วมันขื้น Page Not Found [onion25]

เทคโนโลยีมันเก่าแล้วฮะ ข้อมูล ก็ย่อมต้องหายากขึ้นเป็นธรรมดา ค่อยๆ หาไปเดี๋ยวก็เจอ
แนะนำหนังสือดีๆ จาก UCBOOK
http://www.ebooks.in.th/ucbook

CCNA Labs Walkthrough book one (คู่มือตัวอย่าง CCNA พร้อมเฉลย เล่มหนึ่ง)
http://www.ebooks.in.th/ebook/3670/

CCNA Labs Walkthrough book two
http://www.ebooks.in.th/ebook/5137/

--- CISCO CCNA LAB SOLUTION CCNP ---

dcofee

  • Layer 1
  • *
  • Posts: 11
  • จิตพิสัย +0/-0
Re: ขอ LAB dynamic VLAN assignment based on 802.1x ด้วยครับ
« Reply #9 on: 08 มิถุนายน , 2013, 05:35:57 pm »
เทคโนโลยีมันเก่าแล้วฮะ ข้อมูล ก็ย่อมต้องหายากขึ้นเป็นธรรมดา ค่อยๆ หาไปเดี๋ยวก็เจอ

 [onion56] 802.1x เก่าแล้วเหรอครับ ผมนึกว่าทันสมัย นึกว่า trend network ภายในองค์กรต่อไปจะมาทางนี้ เลยอยากศึกษาไว้

แล้วควรศึกษาไปแนวใหนดีคับ

fairy

  • Head Master
  • Layer 7
  • *
  • Posts: 2177
  • จิตพิสัย +34/-1
    • ucbook
Re: ขอ LAB dynamic VLAN assignment based on 802.1x ด้วยครับ
« Reply #10 on: 08 มิถุนายน , 2013, 06:20:49 pm »
เทคโนโลยีมันเก่าแล้วฮะ ข้อมูล ก็ย่อมต้องหายากขึ้นเป็นธรรมดา ค่อยๆ หาไปเดี๋ยวก็เจอ

 [onion56] 802.1x เก่าแล้วเหรอครับ ผมนึกว่าทันสมัย นึกว่า trend network ภายในองค์กรต่อไปจะมาทางนี้ เลยอยากศึกษาไว้

แล้วควรศึกษาไปแนวใหนดีคับ

เก่ามากฮะ เคยติตตั้งเมื่อ >10 ปีที่แล้ว แต่ใช้ยาก และผู้ใช้ ไม่ให้ความร่วมมือสักเท่าไหร่ เทคโนโลยีที่ใหม่กว่า น่าจะเป็น NAC เห็นว่าเทรนใหม่มาแล้ว แต่ยังไม่เป็นรูปร่างสักเท่าไหร่ คงรอพวก next gen ทั้งหลายออกมาหมดก่อนมั๊ง คงจะเห็นเป็นรูปเป็นร่าง
แนะนำหนังสือดีๆ จาก UCBOOK
http://www.ebooks.in.th/ucbook

CCNA Labs Walkthrough book one (คู่มือตัวอย่าง CCNA พร้อมเฉลย เล่มหนึ่ง)
http://www.ebooks.in.th/ebook/3670/

CCNA Labs Walkthrough book two
http://www.ebooks.in.th/ebook/5137/

--- CISCO CCNA LAB SOLUTION CCNP ---

dcofee

  • Layer 1
  • *
  • Posts: 11
  • จิตพิสัย +0/-0
Re: ขอ LAB dynamic VLAN assignment based on 802.1x ด้วยครับ
« Reply #11 on: 08 มิถุนายน , 2013, 06:44:15 pm »
NAC ที่ทำงานก็ใช้เหมือนกันคับ ผมนึกว่ามันต้องใช้ร่วมกันซะอีก คือ 802.1x คุม L2  จ่าย VLAN ให้ User ตาม Group ใน AD
สมัยก่อน Static VLAN เวลา User ย้ายที่ ต้องเสียเวลาย้าย Port แต่พอใช้ 802.1x แค่ย้าย Group ใน AD ก็ได้ VLAN ใหม่แล้ว

แต่ก็มีปัญหาในระดับคือ เวลา User เปลี่ยน Password แล้วไม่ค่อยจะได้ (กรณี Computer Account มัน Authen ไม่ค่อยผ่าน)

ส่วน NAC มันเหมือนจะเป็น L7 หรือเปล่าครับ ที่หน้าที่คือตรวจว่า Update Path ป่าว มี antivirus  มั๊ย ถ้าไม่ได้ตามเงื่อนไขมันก็จะ กักกันไว้

งั้นผมข้าม 802.1x ดีกว่า  [onion42] ไปเรื่อง NAC (หรือ NAP ใน Windows ดีกว่า)

ขอบคุณครับ

zenze

  • Guest
Re: ขอ LAB dynamic VLAN assignment based on 802.1x ด้วยครับ
« Reply #12 on: 09 มิถุนายน , 2013, 12:27:52 pm »
NAC Feature เยอะจริงนะครับ แต่พอใช้งานจริงมักจะมีปัญหาพวก Active X หรือไม่ก็ Policy ที่ใส่เข้าไปมากทำให้ User รำคาน แทนที่จะลดงาน IT อย่างพวกเรากับเพิ่มงานมากขึ้น ผมเคย Implement มาสองสามที่ ตอนแรกเปิดใช้งาน แต่หลัง ๆ ตั้งไว้เฉย ๆ คับ เดวนี้ไม่แน่ใจว่ามันพัฒนาดีขึ้นไหม
 [onion54]

dcofee

  • Layer 1
  • *
  • Posts: 11
  • จิตพิสัย +0/-0
Re: ขอ LAB dynamic VLAN assignment based on 802.1x ด้วยครับ
« Reply #13 on: 10 มิถุนายน , 2013, 04:19:02 pm »
หวัดดีครับ กลับมาอีกแล้ว
ตอนแรกคิดว่าจะข้ามเรื่อง 802.1x ไปแล้วครับ ไปดูเรื่อง NAP ใน wind2008 ดูๆแล้ว ถ้าจะ Control Network ได้
ตามที่ต้องการ assign VLAN ตามกลุ่ม Usersมันก็ต้องอาศัย 802.1x อยู่ดี ดังนั้นคงจะข้ามไม่ได้แล้วล่ะ

ยังไงฝากช่วนทำ LAB นี้ให้ด้วยนะคับ
ตอนนี้ Wired ผมยังทำไม่ได้เลย โดยใช้ GNS3 ทำครับ
และกำลังจะไปซื้อ AP ที่มัน ทำ 802.1x มาลองดูด้วย


อธิบายรูป
สมมติว่ามีกลุ่ม Users ที่ต้องการอยู่ 3 กลุ่ม ดังนี้
GroupA   VLAN 11 192.168.11.0/24
GroupB   VLAN 12 192.168.12.0/24
GroupA, B คือ Users ที่อยู่ใน AD จ่าย DHPC จาก DC

Guest VLAN 13 192.168.13.0/24   คือ Users,Computer ไม่ได้อยู่ในระบบ
จ่าย DHCP จาก Switch (ผมใช้ c3725-adventerprisek9-mz.124-15.T5.bin)

* Server VLAN 10 192.168.10.0/24  (DC ip .10, NPSที่เป็นRadius IP .99)

ถ้าเป็นแบบธรรมดา คือ Static VLAN ผมทำได้อยู่  โดยใช้ ip helper และ assign port ให้ VLAN
fa1/0  VLAN 10
fa1/1  VLAN 11
fa1/2  VLAN 12
fa1/3, fa1/15  VLAN 13

Clients แต่ละกลุ่ม ก็ต้องต่อเข้ากับ Port ที่กำหนดในแต่ละ VLAN

แต่ทีนี้ผม อยากจะทำให้ ต่อ Port เดียวกัน แต่ VLAN จะจ่ายตาม Users ใน AD ถ้าไม่มี ก็ตกไปอยู่วง Guest ไปครับ
ฝากแนะนำด้วยนะครับ /ขอบคุณครับ

dcofee

  • Layer 1
  • *
  • Posts: 11
  • จิตพิสัย +0/-0
Re: ขอ LAB dynamic VLAN assignment based on 802.1x ด้วยครับ
« Reply #14 on: 15 มิถุนายน , 2013, 08:39:57 pm »
รบกวนสอบถามเพิ่มเติมครับ

ตอนนี้ยังไม่ได้เลย  [onion25]

ผมลองเอาแบบยังไม่มี VLAN ก่อน

AD IP 192.168.10.10
Radius IP 192.168.10.99
Switch01 IP 192.168.10.254

Switch01(config)#int vlan 1
Switch01(config-if)#ip add 192.168.10.254 255.255.255.0
Switch01(config-if)#exit

Switch01(config)#aaa new-model
Switch01(config)#radius-server host 192.168.10.99 auth-port 1645 acct-port 1646 key myShsaredKey
Switch01(config)#aaa authentication dot1x default group radius
Switch01(config)#dot1x system-auth-control

Switch01(config)#int fa1/1
Switch01(config-if)#dot1x port-control auto
Switch01(config-if)#end

Switch01#debug radius accounting

*Mar  1 01:12:37.799: RADIUS/ENCODE: Best Local IP-Address 192.168.10.254 for Radius-Server 192.168.10.99
*Mar  1 01:12:37.971: RADIUS: Received from id 1645/3 192.168.10.99:1645, Access-Reject, len 44
*Mar  1 01:12:37.983: RADIUS/DECODE: EAP-Message fragments, 4, total 4 bytes
*Mar  1 01:12:38.011: RADIUS/ENCODE(00000003):Orig. component type = DOT1X
*Mar  1 01:12:38.015: RADIUS(00000003): Config NAS IP: 0.0.0.0
*Mar  1 01:12:38.023: RADIUS/ENCODE: Best Local IP-Address 192.168.10.254 for Radius-Server 192.168.10.99

*Mar  1 01:12:56.303: RADIUS: Received from id 1645/4 192.168.10.99:1645, Access-Reject, len 44
*Mar  1 01:12:56.311: RADIUS/DECODE: EAP-Message fragments, 4, total 4 bytes
Switch01#

สุดท้ายติดตรง Access-Reject, len 44 แสดงว่าในส่วนของ Switch dot1x ผ่านแล้วหรือยังครับ
ดู Log ใน Server NPS ก็เห็น Log เข้ามา แสดงว่าระหวาง Client - Network - Server  ติดต่อกันได้แล้วใช่ไหมครับ แต่ติดตรง Authen ไม่ผ่าน

รองใช้ โปรแกรม NTRadPing ก็ Access-Reject เหมือนกัน

ไม่รู้ตอนนี้ติดตรงใหน

รวมถึง Wireless ด้วย (ผมลงทุนไปหาซื้อ AP เลย) ก็ยังไม่ได้เหมือนกัน [onion54]


Update  ทดไปใช้ freeradius บน centos ได้แล้วครับ  เคลียร์เรื่อง network ทั้ง wired และ wireless คงต้องศึกษาเรื่อง NPS, CA ใน Windows ต่อไป  [onion79]
« Last Edit: 16 มิถุนายน , 2013, 04:39:58 pm by dcofee »