dot1x, radius, tacacs 설정

supplicant에서 dhcp로 ip를 받아올 때 NAD에서 인증을 필요로 하는 망을 구축하려 한다

AAA 서버에서 ACS를 설치해 준다

#Internet
conf t
int fa 0/0
no shut
ip add 1.1.12.2 255.255.255.0
exi
int lo 0
ip add 8.8.8.8 255.255.255.0
exi
username admin priv 15 pass cisco
line vty 0 4
tran in tel
login loca
exi
ip http server
ip http authentication local
ip route 0.0.0.0 0.0.0.0 1.1.12.1

#GW
conf t
int fa 0/0
no shut
ip add 1.1.12.1 255.255.255.0
ip nat outside
exi
int fa 0/1
no shut
ip add 10.1.30.250 255.255.255.0
ip nat inside
exi
access-list 10 permit 10.1.10.0 0.0.0.255
ip nat inside source list 10 int fa 0/0 over
router rip
ver 2
no auto
net 10.0.0.0
default-information originate
exi
ip route 8.8.8.0 255.255.255.0 1.1.12.2

#NAD
conf t
ip routing
vlan 10,20,30,44,55
int vlan[10~55]
ip add [svi ip] 255.255.255.0
no shut
router rip
ver 2
no auto
net 10.0.0.0
exit
int f 1/0
switchport mode access
switchport access vlan 30
exit
int f 1/3~1/4
switchport mode access
switchport access vlan 20
exit
aaa new-model
aaa authentication dot1x default group radius
aaa authorization network default group radius
aaa accounting dot1x default start-stop group radius # dot1x가 start/stop할때 radius에 보고
aaa accounting system default start-stop group radius # system이 start/stop할때 radius에 보고
radius-server host 10.1.20.251 key cisco123 # 서버에서 설정한 client host와 key
dot1x system-auth-control # dot1x 실행

각 router에는 위 설정을 해준다

다시 ACS 서버로 돌아가서 admin 계정을 만들어주고 모든 권한을 부여한다

network를 생성해 준다(위에 NAD에 설정한 key와 ip를 입력해야 함)

user별 설정과 vlan 설정을 켜준다

group에 vlan을 할당해 준다

user를 만들어준다

다시 NAD로 돌아가서 test를 해주고 successfully가 나오면 성공

#NAD
conf t
int f1/2
switchport mode access
dot1x pory-control auto
shutdown
dot1x timeout reauth-period 300
dot1x reauthentication
dot1x auth-fail vlan 44 # 실패시 vlan 44 할당
dot1x auth-fail max-attempts 2 # 2번 실패까진 다시시도
dot1x guest-vlan 55 # timeout시 vlan55 할당

supplicant 쪽에 위 설정을 해준다

테스트를 위해 supplicant pc에 수동으로 ip설정을 해준다

제어판-관리도구-서비스

wired autoconfig를 시작해 주면 로컬 영역 연결 속성에 인증탭이 생긴 걸 볼 수 있다

#NAD
conf t
int f1/2
no shutdown

NAD에서 no shut을 해주면 pc에서 자격증명을 입력하라고 한다

여기에 위에 설정한 user1/password를 입력해 주면

f1/2번에 vlan10이 할당되고 Internet으로 ping이 나가는 걸 확인할 수 있다

자격증명을 3번 틀린다면 vlan44번이 할당되는 걸 확인할 수 있다

#NAD
conf t
int vlan 10
ip helper-address 10.1.20.250

dhcp 서버에서 dhcp 서비스를 켜주고 NAD에 위 설정을 넣어주면

dhcp를 받아오는 걸 확인할 수 있다

 

tacacs

network를 생성해 준다

PPP와 Shell을 켜준다

user를 생성해 주고 허가할 명령어 등을 적어준다

#GW
aaa new-model
aaa authentication login bbb group tacacs+
aaa authorization exec bbb group tacacs+
aaa authorization command 15 bbb group tacacs+
aaa authorization network bbb group tacacs+
aaa accounting exec bbb start-stop group tacacs+
aaa accounting command 15 bbb start-stop group tacacs+
tacacs-server host 10.1.20.251 key cisco123

 

위 설정을 넣어주고 test를 돌려 success가 뜨면

#GW
conf t
line vty 0 4
login authentication bbb
authorization exec bbb
authorization command 15 bbb
accounting exec bbb
accounting command 15 bbb
exit

telnet 설정을 넣어준다

supplicant pc에서 GW로 telnet 접속을 해주고 명령어를 입력해 보면 permit 한 것 외에는 deny가 되는 걸 확인할 수 있다