1 Sơ đồ tổng quan
Bài viết này sẽ hướng dẫn các bạn cấu hình Dynamic vlan trên sophos Switch với Authentication Server là Jumpcloud.
Mô hình gồm có
- Jumpcloud để cung cấp dịch vụ xác thực qua Radius
- Firewall để cấp DHCP cho Vlan
- Sophos Switch để xác thực 802.1x khi kết nối laptop với port trên switch
- Pc kết nối vào switch và đăng nhập để được cấp Vlan theo tài khoản
2 Các bước cấu hình
Bao gồm các bước như sau
- Cấu hình Jumpcloud
- Tạo Account
- Tạo Group
- Tạo Radius
- Cấu hình Sophos Switch
- Tạo Vlan
- Cấu hình Radius
- Cấu hình Firewall
- Cấu hình PC
3 Cấu hình
3.1 Cấu hình Jumpcloud
3.1.1 Tạo tài khoản cho user
Vào mục User. Bấm Add để tạo tài khoản mới. Ở đây ta tạo tài khoản test nên chọn nhập tay
Điền các thông tin và bấm Save User
3.1.2 Tạo User group
Tại mục User Group ta bấm Add để tạo Group mới
Điền tên group
Tại tab User ta tích chọn thêm user vào group này.
Tại mục RADIUS ta chọn add new attribute và thêm các attribute như hình:
- Tunnel-Medium-Type: IEEE-802
- Tunnel-Type:VLAN
- Tunnel-Private-Group-Id:36
Trong đó: Tunnel-Private-Group-Id chính là VLAN mà ta muốn gán cho group.
3.1.3 Cấu hình Radius cho Jumpcloud
Tại mục Radius ta chọn Add để cấu hình
Server Name: đặt tên cho Radius.
Ip address: Ip public của Switch khi truy cập đến Jumpcloud. Nếu là ip động thì bạn có thể điền DDNS ở đây. Nếu Edge Router của bạn sử dụng SDWan thì phải bảo đảm ip Switch truy cập đến jumpcloud là ip này.
Shared Secret: mật khẩu cấu hình trên thiết bị.
Chuyển sang tab User Groups: chọn group cho phép đăng nhập vào Radius này. Nhấn Save để lưu cấu hình.
Chọn View Reply Attributes để kiểm tra lại các thuộc tính sẽ được gán vào khi đăng nhập bằng user thuộc group này.
3.2 Cấu hình Sophos Switch
3.2.1 Tạo Vlan cho Radius Group
Tại mục Vlan settings ta chọn Add để tạo vlan.
Chọn port tag và untag cho vlan. Ở ví dụ trên thì port 23 tag là port trunk và port 1,3 untag là port access của vlan 36.
3.2.2 Cấu hình Radius trên Sophos Switch
Tại mục Radius server ta chọn add để thêm Jumpcloud radius server
Điền thông tin
Server Ip Address: Ip của Jumpcloud server.
Keystring: là share secret key của jumpcloud đã cấu hình lúc trước.
Tham khảo các ip của Jumpcloud server. Ở đây ta sử dụng Ip Asian-Pacific.
Tại mục 802.1x. Ta enable xác thực 802.1x trên các cổng
Global setting > Status chọn enabled
Tab Port settings chọn edit các port muốn cấu hình access vlan khi đăng nhập, ví dụ trên ta áp dụng 802.1x vào port 6, 7
Chọn Mode: Auto.
Radius Vlan Assignment: Enabled.
Chọn Apply để lưu.
4 Tại Firewall
Ta cấu hình DHCP cho vlan 36 để cấp ip khi thiết bị truy cập thuộc vlan 36
5 Cấu hình PC
Ta cắm cổng mạng vào port 6 hoặc 7 của switch.
Cấu hình bật 802.1x cho card mạng.
Chọn như hình và click ok.
Nếu card mạng không có mục Authentication thì ta vào phần service và bật service Wired autoconfig
Sau khi cắm dây vào port thì sẽ hiện lên bảng thông báo yêu cầu đăng nhập. Ta nhập thông tin user đã tạo trên Jumpcloud.
Sau khi đăng nhập thành công thì thiết bị sẽ được cấp Ip thuộc vlan 36.