- Giải pháp này giúp các Network Admin có thể kiểm soát truy cập dựa trên port switch nhằm ngăn chặn các truy cập trái phép tới mạng LAN. MAC-based RADIUS là một phương án để cung cấp cho loại bảo mật này. Bên dưới bài viết sẽ mô tả các lợi ích của MAC-based RADIUS cùng với hướng dẫn cách cầu hình trong 'Microsoft NPS' và trên 'Meraki Dashboard' cho tất cả các dòng Switch Meraki MS. CÁC LỢI ÍCH MÀ MAC-BASED RADIUS MANG LẠI: - Trong một số môi trường mạng đây là yêu cầu tối thiểu để kiểm soát các thiết bị có thể truy cập vào mạng dây cáp LAN. Những port trong cùng khu vực kết nối dễ khiến mạng bị truy cập bởi người lạ và người dùng không được phép. Người dùng trái phép bị chặn truy cập vào mạng LAN hữu tuyến vì mỗi thiết bị kết nối tới một switch port sẽ cần phải xác thực trước khi được cho phép truy cập. Các thiết bị được xác thực tại cấp độ port với MAC-Based RADIUS. Khi một thiết bị kết nối tới port với một chính sách truy cập (access policy) chỉ định, trước mạng kết nối được cho phép, thiết bị phải được xác thực bằng RADIUS server. Thiết bị Switch Meraki MS (RADIUS client) gửi một 'RADIUS Access-Request ' tới RADIUS server có chứa tài khoản và mật khẩu của thiết bị kết nối. Username & password luôn đi kèm với địa chỉ MAC của thiết bị đang kết nối. Nếu RADIUS policy hiện tại trên server chỉ định thiết bị phải được cho phép truy cập và xác thực tài khoản đúng, RADIUS server sẽ phản hồi lại với thông báo 'Access-Accept'. Khi nhận được thông báo này, switch sẽ cấp phép truy cập mạngmtoiws port đó. Còn nếu RADIUS server trả lời 'Access-Reject' vì thiết bị không đúng với policy, switch sẽ không cho phép truy cập mạng nữa. Tuy nhiên, bạn cũng có thể định cấu hình switch bỏ thiết bị vào một Guest VLAN khi chúng không xác thực được. Guest VLAN này sẽ chỉ truy cập Internet. - Hình minh họa dưới đây là một ví dụ về trao đổi xác thực dựa trên MAC cơ bản. THỰC HIỆN CÁC BƯỚC CẤU HÌNH TRÊN NPS VÀ DASHBOARD: Phần 1 - Thêm MS Switch Làm RADIUS Client Trên NPS Server - Toàn bộ các Switch cần thiết cho xác thực các thiết bị kết nối phải được thêm vào làm RADIUS Client trong NPS. Sau đây là các bước để thêm các Switch làm các RADIUS Client. 1. Trên Windows Server > mở NPS Server Console (click theo Start > Programs > Administrative Tools > Network Policy Server). 2. Trong bảng dánh sách bên trái, mở rộng tùy chọn RADIUS Clients and Servers. 3. Bên phía phải màn hình click RADIUS Clients và chọn New. 4. Nhập tên của switch 'Friendly Name'. 5. Nhập địa chỉ IP của MS Switch 'IP Address'. 6. Tạo và nhập Shared Secret của RADIUS (chúng ta sẽ nhập mật khẩu này vào Dashboard). 7. Nhấn OK để hoàn tất. 8. Lặp lại các các bước 1-7 cho toàn bộ các Switch. Cấu hình tham khảo cho một RADIUS Client (Switch) Phần 2 - Tạo Tài Khoản Trong Active Directory Cho Thiết Bị Kết Nối: 1. Mở Active Directory Users and Computers trên Windows Server (vào theo Start > All Programs > Administrative Tools > Active Directory Users and Computers). 2. Tạo một tài khoản mới với username & password có thể là địa chỉ MAC của thiết bị kết nối (các ký tự phải là chữ thường và không có khoảng cách) Một tài khoản với ussername là địa chỉ MAC của thiết bị Phần 3 - Cấu Hình 'NPS Connection Request Policy'. 1. Trong NPS Server Console, vào các mục NPS (Local) > Policies > Connection Request Policies. 2. Chuột phải vào Connection Request Policies, và chọn New. 3. Đặt tên cho policy và Next. 4. Trên của sổ Specify Conditions thêm vào điều kiện sau: NAS port type as Ethernet (như hình dưới đây) và click Next. 5. Click Next trên cửa sổ Specify Connection Request Forwarding. 6. Click Next trên cửa sổ Specify Authentication Methods. 7. Click Next trên cửa sổ Configure Settings. 8. Xem lại các cài đặt và click Finish trên màn hình Completing Connection Request Policy Wizard. Phần 4 - Cấu Hình 'NPS Network Policy' 1. Trong NPS Server Console, vào theo đường dẫn NPS (Local) > Policies > Network Policies. 2. Chuột phải vào Network Policies, và chọn New. 3. Nhập tên cho policy và chọn Next. 4. Trên trang cửa sổ Specify Conditions thêm vào 2 điều kiện Windows Groups sau, đây có thể là nhóm chuyên dụng cho các tài khoản đã tạo ở Phần 2. Cấu hình thử nghiệm cho bài viết chúng ta sẽ sử dụng DOMAINNAME\Domain Users. Sau đó chọn NAS port type Ethernet như hình dưới bằng cách click Next. 5. Click Next trên Specify Access Permission. 6. Trên trang Configure Authentication Methods, bỏ chọn tất cả các tùy chọn ngoại trừ Unencrypted authentication (PAP, SPAP). 7. Click Next trên màn hình Configure Constraints. 8. Click Next trên màn hình Configure Settings. 9. Xem lại các cài đặt và click Finish trên màn hình Completing New Network Policy. Phần 5 – Tạo Access Policy bằng MAC-Based RADIUS Trong Dashboard. 1. Đăng nhập vào trang Meraki Dashboard, tiếp theo vào Configure > Access Policies. 2. Click vào đường dẫn Add Access Policy trong của sổ chính sau đó click Add a server. 3. Nhập địa chỉ IP của RADIUS server, port dịch vụ (mặc định là '1812' hoặc '1645') và nhập chuỗi Shared Secret bạn đã tạo ở Phần 1. 4. Click Save Changes. Phần 6 – Áp Dụng Access Policy Vào Switchports trên Switch Meraki MS: 1. Trên Dashboard > vào Configure > Switchports. 2. Chọn các port sẽ có các policy được áp dụng tới. 3. Click Edit, kiểm tra port là 'Access', và từ danh sách Access policy chọn policy mà bạn đã tạo ở Phần 4.
