Tải bản đầy đủ (.docx) (77 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

triển khai radius server

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (0 B, 77 trang )

Đề tài:

THIẾT KẾ, XÂY DỰNG TRIỂN KHAI HỆ
THỐNG MẠNG
CĨ TÍCH HỢP RADIUS SERVER



MỤC LỤC
LỜI MỞ ĐẦU................................................................................................................................3
CHƯƠNG 1. CƠ SỞ LÝ THUYẾT............................................................................................4
1.1 Yêu cầu của bài toán......................................................................................................4
1.2 Tổng quan về giao thức RADIUS..................................................................................4
1.2.1 Lịch sử hình thành và phát triển...............................................................................4
1.2.2 Cơ chế hoạt động......................................................................................................6
1.2.3 Dạng gói tin..............................................................................................................7
1.2.4 Nhược điểm..............................................................................................................8
1.3 Tổng quan về “chứng thực 802.1X trong mạng có dây” và “chứng thực 802.1X
trong Wireless”......................................................................................................................8
1.3.1 Chứng thực 802.1X trong mạng có dây...................................................................9
1.3.1.1 Khái niệm................................................................................................................9
1.3.1.2 Cơ chế hoạt động....................................................................................................9
1.3.1.3 Chứng thực 802.1X mạng có dây trên Window Server 2012.................................10

1.3.2 Chứng thực 802.1X trong Wireless........................................................................11
1.3.2.1 Khái niệm..............................................................................................................11
1.3.2.2 Cơ chế hoạt động..................................................................................................11
1.3.2.3 Chứng thực 802.1X mạng không dây trên Window Server 2012...........................12

1.4 1.4 Các công nghệ, ứng dụng sử dụng trong việc xây dựng hệ thống mạng ảo........12
1.4.1 Phần mềm ảo hóa VMware Workstation................................................................12


1.4.2 Phần mềm giả lập thiết bị mạng GNS3..................................................................13
1.4.4 Các image máy áo cần sử dụng..............................................................................14
1.4.5 Phần mềm Visio......................................................................................................14
CHƯƠNG 2. PHÂN TÍCH VÀ THIẾT KẾ HỆ THỐNG.....................................................17
2.1 Các thành phần trong mạng........................................................................................17
2.1.1 Router.....................................................................................................................17
2.1.2 Switch.....................................................................................................................17
2.1.3 Máy tính đóng vai trị Server..................................................................................19
2.1.4 Máy tính đóng vai trò end user trong mạng...........................................................19
2.1.5 Thiết bị phát wifi....................................................................................................20
2.2 Thiết kế sơ đồ mạng......................................................................................................20


2.2.1 Sơ đồ vật lý.............................................................................................................20
2.2.2 Sơ đồ luận lý...........................................................................................................25
CHƯƠNG 3. TRIỂN KHAI VÀ KIỂM THỬ HỆ THỐNG.................................................29
3.1 Triển khai hệ thống......................................................................................................29
3.1.1 Mơ hình hệ thống và các u cầu chính.................................................................29
3.1.2 Các cấu hình ban đầu trên các thiết bị mạng..........................................................31
3.1.3 Cấu hình Vlan.........................................................................................................32
3.1.3.1 Quy hoạch các Vlan trong mạng...........................................................................32
3.1.3.2 Cấu hình...............................................................................................................32

3.1.4 Cấu hình IP.............................................................................................................34
3.1.4.1 Cấu hình trên cổng vật lý của các router..............................................................34
3.1.4.2 Cấu hình trên các cổng luận lý của các switch.....................................................35

3.1.5 Cấu hình DHCP......................................................................................................36
3.1.6 Cấu hình định tuyến...............................................................................................37
3.1.7 Cấu hình NAT.........................................................................................................38

3.1.8 Cấu hình VRRP......................................................................................................39
3.1.9 GRE Tunnel............................................................................................................40
3.1.10 Cài đặt cho Server................................................................................................42
3.1.11 Cấu hình xác thực mạng có dây...........................................................................43
3.1.12 Cấu hình xác thực mạng khơng dây.....................................................................52
3.2 Kiểm thử hệ thống........................................................................................................53
3.2.1 Kiểm tra các cấu hình ban đầu...............................................................................53
3.2.2 Định tuyến..............................................................................................................54
3.2.3 VRRP......................................................................................................................57
3.2.4 NAT........................................................................................................................59
3.2.5 GRE Tunnel............................................................................................................59
3.2.6 Xác thực kết nối có dây..........................................................................................61
KÊT LUẬN..................................................................................................................................63
Kết quả đạt được.................................................................................................................63
Hướng phát triển kế tiếp.....................................................................................................63
TÀI LIỆU THAM KHẢO..........................................................................................................64


DANH MỤC HÌNH ẢNH

Hình 1.1: Cơ chế hoạt động của giao thức Radius..........................................................10
Hình 1.2: Dạng gói tin RADIUS.....................................................................................10
Hình 1.3: Mơ hình xác thực Wired Network 802.1X......................................................11
Hình 1.4: Cơ chế xác thực Wired Network 802.1X........................................................12
Hình 1.5: Mơ hình xác thực Wireless Network 802.1X..................................................13
Hình 1.6: VMware Workstation......................................................................................16
Hình 1.7: GNS3...............................................................................................................16
Hình 1.8: Microsoft VISIO.............................................................................................18
Hình 2.1: Cisco-ISR4431-AXK9....................................................................................19
Hình 2.2: Cisco SG110-24HP.........................................................................................20

Hình 2.3: Cisco WS-C3560CX12TCS-RF......................................................................20
Hình 2.4: Cisco C9500-32C-E........................................................................................21
Hình 2.5: DELL PowerEdge T340..................................................................................21
Hình 2.6: Máy tính đồng bộ Dell Optiplex 990..............................................................22
Hình 2.7: Wifi Totolink A3700R.....................................................................................22
Hình 2.8: Sơ đồ vật lý chi nhánh Hà Nội........................................................................24
Hình 2.9: Sơ đồ vật lý chi nhánh Đà Nẵng.....................................................................25
Hình 2.10: Sơ đồ vật lý chi nhánh Hồ Chí Minh............................................................26
Hình 2.11: Sơ đồ luận lý chi nhánh Hà Nội....................................................................28
Hình 2.12: Sơ đồ luận lý chi nhánh Đà Nẵng.................................................................29
Hình 2.13: Sơ đồ luận lý chi nhánh Hồ Chí Minh..........................................................30
Hình 3.1: Sơ đồ mạng......................................................................................................32
Hình 3.2: Sau khi đã cấu hình AD trên server.................................................................44
Hình 3.3: Sau khi đã cài đặt role NPS trên server...........................................................45
Hình 3.4: Cấu hình chính sách bảo mật 802.1X trên NPS server...................................45
Hình 3.4: Chọn loại kết nối 802.1X và đặt tên cho chính sách.......................................46
Hình 3.5: Thêm Radius client vào chính sách mới.........................................................47
Hình 3.6: Tạo mới một client..........................................................................................47
Hình 3.7: Chọn phương thức bảo mật.............................................................................48
Hình 3.8: Chọn nhóm người dùng được phép truy cập...................................................48
Hình 3.9: Kết thúc tạo chính sách...................................................................................49
Hình 3.10: Cấu hình nâng cao cho client........................................................................49
Hình 3.11: Chọn vendor cho client..................................................................................50
Hình 3.12: Cấu hình nâng cao cho chính sách theo nhu cầu...........................................50


Hình 3.13: Bật Wire Autoconfig......................................................................................52
Hình 3.14: Cài đặt phương thức xác thực trong card mạng của người dùng (1).............52
Hình 3.15: Cài đặt phương thức xác thực trong card mạng của người dùng (2).............53
Hình 3.16: Cài đặt phương thức xác thực trong card mạng của người dùng (3).............53

Hình 3.17: Cài đặt phương thức xác thực trong card mạng của người dùng (4).............54
Hình 3.18: Chọn loại kết nối 802.1X và đặt tên cho chính sách.....................................54
Hình 3.19: Cấu hình cho Authenticator...........................................................................55
Hình 3.20: Kiểm tra kết nối SSH đến coreHN................................................................56
Hình 3.21: Kiểm tra cổng console trên coreHN..............................................................56
Hình 3.22: Máy tính 1 nhận địa chỉ IP của vlan 11.........................................................57
Hình 3.23: Máy tính 4 nhận địa chỉ IP của vlan 10.........................................................57
Hình 3.24: Ping thành cơng từ máy tính 1 đến máy tính 4..............................................57
Hình 3.25: Ping đến địa chỉ 8.8.8.8 và kiểm tra đường đi...............................................58
Hình 3.26: Ping đến public ip của chi nhánh Hồ Chí Minh............................................58
Hình 3.27: Ping đến public ip của chi nhánh Đà Nẵng...................................................59
Hình 3.28: Kiểm tra state của primaryHN......................................................................59
Hình 3.29: Kiểm tra state của backupHN........................................................................60
Hình 3.30: Kiểm tra state của primaryHN sau khi mất kết nối.......................................60
Hình 3.31: Kiểm tra đường đi của gói tin.......................................................................60
Hình 3.32: Thông báo của router khi dùng lệnh debug ip nat.........................................61
Hình 3.33: Ping từ chi nhánh Hà Nội sang Đà Nẵng......................................................62
Hình 3.34 : Ping từ chi nhánh Hồ Chí Minh sang Đà Nẵng............................................62
Hình 3.35: Ping từ chi nhánh Đà Nẵng đến hai chi nhánh cịn lại..................................63
Hình 3.36: Trạng thái các cổng được cấu hình xác thực.................................................63
Hình 3.37: Nhập tài khoản người dùng trong domain.....................................................64
Hình 3.38: Kiểm tra truy cập vào mạng của pc Windows 7............................................64


LỜI MỞ ĐẦU

Ngày nay, việc bảo mật thơng tin nói chung đóng một vai trị rất quan
trọng trong cuộc sống hàng ngày của mỗi chúng ta. Câu chuyện bảo mật trong
hệ thống mạng cũng không phải là ngoại lệ. Khi thiếu đi các yếu tố, các giải
pháp bảo mật trên cả hệ thống sẽ tạo tiền đề xấu cho một “user” “plug and play”

trong mạng.
Giả sử như người này có thể đăng nhập vào một ssid wifi nội bộ của một
tổ chức, ssid này chỉ dùng cho đội ngũ IT chẳng hạn. Trường hợp xấu nhất xảy
ra là một user có thể broadcast một gói tin mang mã độc ra toàn mạng này gây
thiệt hại nặng cho hệ thống. Khi này phiên đăng nhập của người user này sẽ rất
có khả năng khơng được ghi log lại, rất khó trong quá trình điều tra “kẻ phá
hoại”.
Hay một trường hợp khác, khi một người cắm dây mạng nối từ máy tính
của người đó vào một ổ mạng LAN hay một thiết bị như switch hay router trên
mạng thì chuyện gì sẽ xảy ra. Họ cũng có thể truy cập vào File Server ăn cắp dữ
liệu, phát tán mã độc, v.v.. cũng như trường hợp ở trên, ta sẽ khơng có log chính
xác về thời gian user đăng nhập phá rối trong mạng gây khó khăn trong q
trình điều tra.
Qua những ví dụ ở trên ta thấy được rằng việc xác thực tập trung các
người dùng truy cập trong mạng và áp dụng một chính sách bảo mật cho họ là
rất cần thiết.
Đề tài hướng đến giải pháp quản trị tập trung các thiết bị trong một mạng
giả lập, thông qua giao thức RADIUS trên nền hệ điều hành Window Server
2012. Mục tiêu đặt ra khi thực hiện chuyên đề là:
 Hệ thống kiến thức liên quan đến giao thức RADIUS, chuẩn xác
thử 802.1X.
 Thiết kế, xây dựng hệ thống mạng trong đó tạo ra các chính sách
xác thực người dùng truy cập vào mạng có dây và khơng dây qua
giao thức RADIUS.
 Triển khai hệ thống trong mơi trường ảo hóa.


CHƯƠNG 1. CƠ SỞ LÝ THUYẾT

1.1 Yêu cầu của bài tốn

Giả định chúng ta là một cơng ty có các dịch vụ tư vấn, thiết kế, xây dựng, triển
khai một hệ thống mạng với nhiều dịch vụ.
Một đối tác liên hệ đến công ty với yêu cầu thiết kế một hệ thống mạng bao
gồm các yêu cầu:
 Có 3 chi nhánh chính ở Hà Nội, Đà Nẵng, Hồ Chí Minh.
 Các chi nhánh này có thể liên lạc nội bộ với nhau.
 Có mạng SSID riêng biệt cho Khách, Nhân Viên, IT.
 Người nào muốn dùng mạng LAN hoặc mạng wifi đều phải có
Username trên Server.

1.2 Tổng quan về giao thức RADIUS
1.2.1 Lịch sử hình thành và phát triển
Trước khi đi vào tìm hiểu sâu về RADIUS, chúng ta cần phải biết được AAA là
gì? AAA viết tắt cho xác thực (authentication), phân quyền (accounting), tính cước
(accounting). Ta sẽ tìm hiểu sự khác nhau của ba phần này và cách thức chúng làm
việc như thể nào.
Xác thực người dùng (Authentication user)
Xác thực dùng để định danh, nhận dạng (identify user) người dùng. Trong suốt
quá trình xác thực, username và password của người dùng được kiểm tra và đối chiếu
với cơ sở dữ liệu lưu trong AAA Server hoặc external database. Tất nhiên, tùy thuộc
vào giao thức mà AAA hỗ trợ mã hóa đến đâu, ít nhất thì cũng mã hóa username và
password. Xác thực sẽ xác định người dùng là ai.
Ví dụ: Người dùng có username và mật khẩu trong hệ thống, sẽ là hợp lệ và
được xác thực thành công với hệ thống. Sau khi xác thực thành công thì người dùng đó
có thể truy cập được vào mạng. Tiến trình này chỉ là một trong các thành phần để điều
khiển người dùng với AAA. Một khi username và password được chấp nhận, AAA có
thể dùng để định nghĩa phân quyền mà người dùng được phép làm trong hệ thống.
Phân quyền người dùng (Authorization user)



Authorization cho phép nhà quản trị điều khiển việc cấp quyền trong một
khoảng thời gian, hay trên từng thiết bị, từng nhóm, từng người dùng cụ thể hay trên
từng giao thức. AAA cho phép nhà quản trị tạo ra các thuộc tính mơ tả các chức năng
của người dùng được phép làm. Do đó, người dùng phải được xác thực trước khi cấp
quyền cho người đó. AAA Authorization làm việc giống như một tập các thuộc tính
mơ tả những gì mà người dùng đã được xác thực có thể có. Ví dụ: 1 người dùng là
nhân viên thuộc phịng nhân sự, truy cập vào hệ thống, sẽ được phân quyền theo chúc
năng của phòng nhân sự, người dùng là khách của công ty, sẽ được phân quyền tối
thiểu để truy cập internet, không truy cập vào tài nguyên hệ thống được. Những thuộc
tính này được so sánh với thơng tin chứa trong cơ sở dữ liệu của người dùng đó và kết
quả được AAA trả về để xác định khả năng cũng như giới hạn thực tế của người đó.
Điều này yêu cầu cơ sở dữ liệu phải giao tiếp liên tục với AAA server trong suốt quá
trình kết nối đến thiết bị truy cập từ xa.
Tính cước người dùng (Accounting user)
Accounting cho phép nhà quản trị có thể thu thập thông tin như thời gian bắt
đầu, thời gian kết thúc người dùng truy cập vào hệ thống, các câu lệnh đã thực thi,
thống kê lưu lượng, việc sử dụng tài ngun và sau đó lưu trữ thơng tin trong hệ thống
cơ sở dữ liệu quan hệ. Nói cách khác, accounting cho phép giám sát dịch vụ và tài
nguyên được người dùng sử dụng.
Ví dụ: thống kê cho thấy người dùng đã truy cập vào web server với số lượng
bao nhiêu lần, thời gian truy cập vào server là bao lâu. Điểm chính trong Accounting
đó là cho phép người quản trị giám sát tích cực và dự đốn được dịch vụ và việc sử
dụng tài ngun. Thơng tin này có thể được dùng để thời gian truy cập của khách
hàng, quản lý mạng, kiểm tốn trong các chính sách bảo mật của công ty.
RADIUS - Remote Authentication Dial In User Service
RADIUS là một giao thức để mang thông tin liên quan đến xác thực, ủy quyền
và cấu hình giữa Máy chủ truy cập mạng (NAS) mong muốn xác thực các liên kết của
nó và Máy chủ xác thực được chia sẻ (Authentication Server). Radius là một giao thức
AAA cho các ứng dụng như Truy cập mạng (Network Access) hoặc Di động IP (IP
Mobility).

Khi nhiều khách hàng quay số sử dụng NSFnet, một yêu cầu đề xuất đã được
Merit Network gửi ra vào năm 1991 để củng cố các hệ thống xác thực, ủy quyền và kế
toán độc quyền khác nhau của họ. Trong số những người trả lời sớm có Livingston
Enterprises và một phiên bản đầu tiên của RADIUS đã được viết sau một cuộc họp.
Máy chủ RADIUS ban đầu được cài đặt trên hệ điều hành UNIX. Livingston
Enterprises đã được Lucent mua lại và cùng với các bước Merit đã được thực hiện để
đạt được sự chấp nhận của ngành đối với RADIUS như một giao thức. Cả hai công ty


đều cung cấp một máy chủ RADIUS miễn phí. RADIUS được phát hành vào năm
1997 với tên RFC 2058 và RFC 2059, các phiên bản hiện tại là RFC 2865 và RFC
2866.
Tiêu chuẩn RADIUS ban đầu đã chỉ định rằng RADIUS không trạng thái và sẽ
chạy trên UDP Giao thức gói dữ liệu người dùng. Để xác thực, người ta đã dự tính
rằng RADIUS nên hỗ trợ Giao thức xác thực mật khẩu PAP và Giao thức xác thực bắt
tay thử thách CHAP qua Giao thức điểm-điểm. Mật khẩu được ẩn bằng cách lấy băm
MD5 của gói và một bí mật được chia sẻ, sau đó XOR băm đó với mật khẩu. RADIUS
ban đầu cũng cung cấp hơn 50 cặp thuộc tính hoặc giá trị, với khả năng các nhà cung
cấp định cấu hình các cặp của riêng họ.
Việc lựa chọn mơ hình bảo mật hop-by-hop, thay vì mã hóa đầu cuối, có nghĩa
là nếu một số máy chủ RADIUS proxy được sử dụng, mọi máy chủ phải kiểm tra, thực
hiện logic và truyền tất cả dữ liệu trong một yêu cầu. Điều này làm lộ dữ liệu như mật
khẩu và chứng chỉ ở mỗi bước nhảy. Các máy chủ RADIUS cũng khơng có khả năng
dừng truy cập vào tài nguyên sau khi ủy quyền đã được cấp. Các tiêu chuẩn tiếp theo
như RFC 3576 và RFC 5176 kế nhiệm của nó cho phép các máy chủ RADIUS thay
đổi động ủy quyền người dùng hoặc ngắt kết nối hoàn toàn người dùng.
Bây giờ, một số máy chủ RADIUS thương mại và nguồn mở tồn tại. Các tính
năng có thể khác nhau, nhưng hầu hết có thể tra cứu người dùng trong tệp văn bản,
máy chủ LDAP, cơ sở dữ liệu khác nhau, v.v ... Bản ghi kế tốn có thể được ghi vào
tệp văn bản, cơ sở dữ liệu khác nhau, được chuyển tiếp đến máy chủ bên ngoài, v.v.

SNMP thường được sử dụng để theo dõi từ xa và kiểm tra trực tiếp máy chủ RADIUS.
Các máy chủ proxy RADIUS được sử dụng để quản trị tập trung và có thể viết lại các
gói RADIUS khi đang hoạt động vì lý do bảo mật hoặc để chuyển đổi giữa các phương
ngữ của nhà cung cấp.
Giao thức Đường kính được dự định là sự thay thế cho RADIUS. Mặc dù cả hai
đều là các giao thức Xác thực, Ủy quyền và Kế toán AAA, các trường hợp sử dụng cho
hai giao thức đã được chuyển hướng. Đường kính phần lớn được sử dụng trong không
gian 3G. RADIUS được sử dụng ở nơi khác. Một trong những rào cản lớn nhất để có
Đường kính thay thế RADIUS là các cơng tắc và Điểm truy cập thường triển khai
RADIUS, nhưng không phải Đường kính. Đường kính sử dụng SCTP hoặc TCP trong
khi RADIUS thường sử dụng UDP làm lớp vận chuyển. Kể từ năm 2012, RADIUS
cũng có thể sử dụng TCP làm lớp vận chuyển với TLS để bảo mật.
1.2.2 Cơ chế hoạt động
RADIUS tận dụng mơ hình máy khách/máy chủ để xác thực quyền truy cập của
người dùng mạng. Trong thực tế, yêu cầu người dùng truy cập mạng được gửi từ máy


khách như hệ thống người dùng hoặc điểm truy cập WiFi đến máy chủ RADIUS để
xác thực.
Các máy chủ RADIUS thường được kết hợp với một identity provider (hệ
thống tạo, duy trì và quản lý thơng tin nhận dạng, đồng thời cung cấp dịch vụ xác
thực) riêng biệt. Khi người dùng cố gắng truy cập vào một mạng được bảo vệ bằng
RADIUS từ xa, họ phải cung cấp thông tin xác thực người dùng duy nhất được liên kết
với danh tính người dùng của mình, lưu trữ trong cơ sở dữ liệu thư mục được liên kết.
Sau khi được người dùng cung cấp, thông tin đăng nhập sẽ được chuyển từ máy
khách đến máy chủ RADIUS thông qua một supplicant (một chương trình chịu trách
nhiệm thực hiện các yêu cầu đăng nhập vào mạng khơng dây).
Nói một cách đơn giản, các yêu cầu và thông tin xác thực được gửi từ thiết bị
của người dùng thông qua supplicant đến thiết bị mạng hỗ trợ RADIUS. Sau đó, thiết
bị mạng hỗ trợ RADIUS chuyển tiếp yêu cầu đến máy chủ RADIUS để xác thực. Khi

nhận được yêu cầu và thông tin xác thực người dùng, máy chủ RADIUS sẽ xác thực
thông tin đăng nhập của người dùng đối với cơ sở dữ liệu directory service liên quan.
Nếu thông tin người dùng khớp với thông tin lưu trữ trong cơ sở dữ liệu thư
mục được liên kết, thông báo xác thực hợp lệ sẽ được gửi lại cho máy khách RADIUS
để bắt đầu kết nối với mạng. Nếu không, một thông báo từ chối sẽ được đưa ra.

Hình 1.1: Cơ chế hoạt động của giao thức Radius

1.2.3 Dạng gói tin
Định dạng dữ liệu gói RADIUS được hiển thị bên phải. Các trường được truyền
từ trái sang phải, bắt đầu bằng mã, mã định danh, độ dài, trình xác thực và các thuộc
tính.
Mã thập phân RADIUS được gán như sau:
 Trường Định danh hỗ trợ phù hợp với yêu cầu và trả lời.


 Trường Độ dài cho biết độ dài của toàn bộ gói RADIUS bao gồm các
trường Mã, Mã định danh, Độ dài, Trình xác thực và các thuộc tính tùy
chọn.
 Authenticator được sử dụng để xác thực trả lời từ máy chủ RADIUS và
được sử dụng để mã hóa mật khẩu; chiều dài của nó là 16 byte.


Các cặp giá trị thuộc tính RADIUS AVP mang dữ liệu trong cả yêu cầu và phản
hồi cho các giao dịch xác thực, ủy quyền và kế tốn. Độ dài của gói bán kính
được sử dụng để xác định sự kết thúc của AVPs.

Hình 1.2: Dạng gói tin RADIUS

1.2.4 Nhược điểm

Giao thức RADIUS đã được chứng minh là giúp tăng khả năng kiểm sốt và
bảo mật mạng, nhưng khơng phải khơng có những nhược điểm nhất định.
Ví dụ, trước đây, RADIUS là một triển khai tại chỗ (on-prem) yêu cầu hiệu quả
cơ sở hạ tầng quản lý nhận dạng tại chỗ để vận hành (ví dụ: hệ thống, máy chủ, router,
switch, v.v...). Thiết lập này có thể khó khăn và tốn kém. Hơn nữa, cơ sở hạ tầng quản
lý danh tính tại chỗ chủ yếu tập trung vào Microsoft Windows, với Microsoft Active
Directory (AD) đóng vai trị là identity provider chính.
Để cơng bằng, AD không cung cấp chức năng RADIUS phụ trợ của riêng mình.
Tuy nhiên, khi bối cảnh CNTT hiện đại tiếp tục đa dạng hóa, nhiều tổ chức CNTT
đang chuyển sang triển khai AD tại chỗ, do nhiều hạn chế của nó trong mơi trường đa
nền tảng và hybrid-cloud.
Trên thực tế, nhiều tổ chức CNTT đang chuyển toàn bộ cơ sở hạ tầng quản lý
danh tính tại chỗ của họ sang đám mây, với các lựa chọn thay thế Active Directory. Có
một số lợi ích với phương pháp này là tăng tính linh hoạt và giảm chi phí, nhưng làm


thế nào để các tổ chức CNTT tiếp tục cung cấp xác thực RADIUS bảo mật, khi khơng
có bất cứ thứ gì “on-prem”?

1.3 Tổng quan về “chứng thực 802.1X trong mạng có dây” và “chứng thực
802.1X trong Wireless”
IEEE 802.1X là một Tiêu chuẩn IEEE cho Kiểm soát truy cập mạng dựa trên
cổng (PNAC). Nó là một phần của nhóm giao thức mạng IEEE 802.1. Nó cung cấp
một cơ chế xác thực cho các thiết bị muốn gắn vào mạng LAN hoặc WLAN.
1.3.1 Chứng thực 802.1X trong mạng có dây
1.3.1.1 Khái niệm
802.1X định nghĩa 802.1X port-based authentication là kiểm soát truy cập dựa
trên máy khách-máy chủ và giao thức xác thực hạn chế các máy khách trái phép kết
nối với mạng LAN thơng qua các cổng có thể truy cập. Một máy chủ xác thực
(authentication server) xác nhận mỗi người hỗ trợ (máy khách) được kết nối với một

cổng xác thực (network access switch) trước khi cung cấp bất kỳ dịch vụ nào được
cung cấp bởi switch hoặc mạng LAN.
Cho đến khi máy khách được xác thực, chỉ lưu lượng Giao thức xác thực có thể
mở rộng qua mạng LAN (EAPOL) mới được phép thông qua cổng mà máy khách
được kết nối. Sau khi xác thực thành công, lưu lượng truy cập bình thường có thể đi
qua cổng.

Hình 1.3: Mơ hình xác thực Wired Network 802.1X

3 yếu tố lớn để bạn buộc phải sử dụng 802.1X :
 Yếu tố tiện dụng
 Yếu tố bảo mật
 Tránh thất thốt băng thơng
1.3.1.2 Cơ chế hoạt động
 Supplicant sẽ gửi EAPOL sang Authenticator.


 Authenticator sẽ nhận và gửi yêu cầu xác thực EAP về Supplicant.
 Supplicant gửi phản hồi EAP sang Authenticator.
 Authenticator nhận và gửi yêu cầu truy cập RADIUS
sang Authentication Server.
 Authentication gửi điều kiện truy cập về Authenticator.
 Authenticator gửi yêu cầu EAP với OTP về Supplicant.
 Supplicant phản hồi EAP với OTP cho Authenticator.
 Authenticator sẽ gửi yêu cầu truy cập RADIUS một lần nữa sang Authen
tication Server.
 Authentication Server xác thực, cấp quyền truy cập và trả về Authenticat
or.
 Authenticator trả về thông báo thành công EAP cho Supplicant và kết
nối thành cơng.


Hình 1.4: Cơ chế xác thực Wired Network 802.1X


1.3.1.3 Chứng thực 802.1X mạng có dây trên Window Server 2012
Windows Server 2012 cung cấp các tính năng mà bạn có thể sử dụng để triển
khai dịch vụ xác thực có dây 802.1X của Institute of Electrical and Electronic
Engineers (IEEE) cho các máy khách mạng IEEE 802.3 Ethernet. Kết hợp với các loại
switch Ethernet hỗ trợ 802.1X và các dịch vụ Windows Server 2012 khác mà bạn triển
khai trên mạng của mình, bạn có thể sử dụng các tính năng này của Windows Server
2012 để kiểm sốt ai có thể truy cập vào mạng của bạn.
Bạn cũng có thể sử dụng các tính năng trong Windows Server 2012 để xác định
kết nối bộ điều hợp mạng cục bộ (LAN) và cài đặt bảo mật mà máy khách của bạn sử
dụng cho các lần kết nối. Ví dụ: Network Policy Server (NPS) cho phép bạn tạo và
thực thi các chính sách truy cập mạng để xác thực, ủy quyền và tình trạng máy
khách. Chính sách Mạng có dây (IEEE 802.3) trong Group Policy của Windows
Server 2012 cho phép bạn định cấu hình máy tính khách mạng của mình với cài đặt
bảo mật và kết nối mà chúng phải sử dụng để kết nối với mạng của bạn.
1.3.2 Chứng thực 802.1X trong Wireless
1.3.2.1 Khái niệm
Khái niệm của chuẩn chứng thực 802.1X trong việc xác thực Wireless tương tự
trong việc xác thực mạng có dây, q trình cũng tương tự. Nhưng thay vì việc dùng
giao thức EAPOL thì ở đây chúng ta sử dụng Giao thức xác thực có thể mở rộng thơng
qua WLAN (EAPOWLAN). Tức ở đây thiết bị đóng vai trị Authenticator là Access
Point.

Hình 1.5: Mơ hình xác thực Wireless Network 802.1X

Thử đặt bài tốn, bạn có nhiều thiết bị access point đặt ở nhiều địa điểm khác
nhau của văn phòng, thậm chí là nhiều nơi, nhiều tĩnh thành, thậm chí là nhiều quốc

gia khác nhau, bạn sẽ mất thời gian cho việc quản lý nó, nếu bạn đặt password theo
kiểu WPA-Persional hoặc Web,… bạn phải đưa password access point cho nhân viên
để họ tự join vào wifi hoặc bạn là gửi gõ. Mọi thứ sẽ khơng có gì bàn nếu nhân viên
bạn chỉ công tác 1 vài nơi không đi nhiều chi nhánh, mọi việc sẽ phiền hơn nếu họ di
chuyển nhiều chi nhánh, mỗi chi nhánh họ lại gõ password để login vào access point.


Cho là gõ 1 lần rồi thôi, bạn đặt trường hợp password có quá nhiều người biết,
và nhân viên của bạn lạm dụng để sử dụng cho thiết bị cá nhân, hoặc đưa cho người
khác, như vậy băng thông sử dụng mạng không dây của bạn sẽ bị ảnh hưởng nặng nề.
Chưa kể việc lộ password rơi vào tay đối thủ, thì đó là 1 kênh để hacker hoặc cơng ty
đối thủ xâm nhập vào mạng nội bộ công ty, điều nầy vô cùng nguy hiểm.
Khi áp dụng 802.1x vào việc chứng thực wifi công việc của bạn trở nên đơn
giản hơn, và user của bạn cũng vậy, họ không cần biết cũng như chẳng cần quan tâm
làm thế nào để access vào mạng công ty thông qua wifi. mọi thứ sẽ tự động hóa, user
chỉ cần biết vào khu vực có wifi của cơng ty máy của họ sẽ tự động join vào hệ thống
mạng của công ty thông qua những thơng tin xác thực đã được cấu hình trên máy họ.
1.3.2.2 Cơ chế hoạt động
Quá trình chứng thực tương tự kiểu chứng thực mở Sau khi quá trình chứng
thực mở ra, 2 bên có thể bắt đầu quá trình 802.1x. Trong suốt thời gian này, “port” vẫn
bị chặn và xảy ra những điều sau đây:
 Supplicant gửi giấy chứng nhận đến authenticator.
 AP gửi thông tin chứng thực đến server thơng qua gói tin RADIUS.
 Luồng RADIUS được authentication server gửi đến client thông qua AP.
 Trong suốt quá trình thay đổi, client và AP sử dụng các key là duy nhất.
 RADIUS server gửi một thông điệp truy cập thành công đến client với
một key seasion WEP.
 AP giữ key seasion WEP đó để sử dụng giữa AP và chính nó.
 AP gửi key seasion WEP cùng với một key broadcast/multicast WEP đến
client.

 Client và AP có thể sử dụng key seasion WEP để mã hóa luồng lưu
lượng.
1.3.2.3 Chứng thực 802.1X mạng không dây trên Window Server 2012
Windows Server 2012 cung cấp các tính năng mà bạn có thể sử dụng để triển
khai dịch vụ khơng dây xác thực 802.1X của Institute of Electrical and Electronic
Engineers (IEEE) cho các máy khách mạng không dây IEEE 802.11. Kết hợp với các
điểm truy cập không dây (AP) hỗ trợ 802.1X và các dịch vụ Windows Server 2012
khác mà bạn triển khai trên mạng của mình, bạn có thể sử dụng các tính năng này của
Windows Server 2012 để kiểm sốt ai có thể truy cập vào mạng của bạn.


Bạn cũng có thể sử dụng các tính năng trong Windows Server 2012 để xác định
kết nối bộ điều hợp mạng không dây và cài đặt bảo mật mà máy khách không dây của
bạn sử dụng cho các lần thử kết nối. Ví dụ: Network Policy Server (NPS) cho phép
bạn tạo và thực thi các chính sách truy cập mạng để xác thực, ủy quyền và tình trạng
máy khách. Chính sách Mạng Không dây (IEEE 802.11) trong Group Policy của
Windows Server 2012 cho phép bạn định cấu hình máy tính khách mạng của mình với
cài đặt bảo mật và kết nối mà chúng phải sử dụng để kết nối với mạng của bạn.

1.4 1.4 Các công nghệ, ứng dụng sử dụng trong việc xây dựng hệ thống
mạng ảo
1.4.1 Phần mềm ảo hóa VMware Workstation
VMware là một phần mềm tạo ra máy ảo chạy trên các hệ điều hành windows,
linux. Nó được cài đặt trực tiếp trên một server vật lý hay một chiếc máy tính cá nhân,
việc cài trên máy tính cá nhân thì sẽ biến một chiếc máy tính cá nhân trở thành một
server nhỏ.
Các loại Vmware:
 Vmware work station.
 Vmware server.
 Vmware vsphere.

 Vmware Work Station và Vmware server sẽ được ứng dụng cho máy
tính cá nhân trên trên nền windows và linux. Khi chúng ta sử dụng nó thì
có thể tạo được rất nhiều máy ảo có chức năng gần như một chiếc máy
tính vật lý bình thường. Mục đích có thể là để test hiệu suất của máy tính
hoặc có thể để tận dụng tối đa cơng suất của máy tính.
 Cịn Vmware vsphere có chức năng tương tự như hai loại trên nhưng
phạm vi của nó lớn hơn rất nhiều. Sử dụng để tạo ra cơ sở hạ tầng điện
toán đám mây. Thường được ứng dụng cho các đơn vị lớn hoặc doanh
nghiệp… Nơi cài đặt chính của Vmware vsphere là trên server hay cịn
gọi là máy chủ.
Lí do sử dụng
Hợp nhất máy chủ là lý do hàng đầu để sử dụng máy ảo. Hầu hết hệ điều hành
và ứng dụng chỉ sử dụng một lượng nhỏ tài nguyên vật lý có sẵn khi triển khai


trên bare metal. Bằng cách ảo hóa các máy chủ của mình, bạn có thể đặt nhiều máy
chủ ảo trên mỗi máy chủ vật lý để cải thiện việc sử dụng phần cứng. Chúng giúp bạn
không cần phải mua thêm tài nguyên vật lý, như ổ cứng, cũng như giảm nhu cầu về
nguồn, không gian và làm mát trong trung tâm dữ liệu. Máy ảo cung cấp một môi
trường tách biệt với phần cịn lại của hệ thống, vì vậy bất cứ thứ gì đang chạy bên
trong máy ảo sẽ khơng ảnh hưởng đến phần cứng máy chủ.

Hình 1.6: VMware Workstation

1.4.2 Phần mềm giả lập thiết bị mạng GNS3
Graphical Network Simulator-3 hay GNS3 là trình giả lập mạng mã nguồn
mở và miễn phí. Nó dựa trên Python và chủ yếu dựa vào phần mềm được gọi
là Dynamips để mô phỏng các công nghệ của Cisco.
Ưu điểm: Giống như Cisco Packet Tracer, GNS3 cũng là trình giả lập mạng
miễn phí. Vì nó có mã nguồn mở, nên bạn cũng có thể xem và sửa đổi mã nguồn của

GNS3 từ GitHub. Với công cụ này, mỗi thiết bị ảo mà bạn sử dụng trong trình giả lập
có thể được khởi động và dừng độc lập. Đây là tính năng rất hiếm thấy trong các trình
giả lập mạng khác.
Nhược điểm: Nhược điểm chính của GNS3 là nó khơng đi kèm với bất kỳ thiết
bị ảo nào. Để có được thiết bị, bạn cần phải có file phần mềm Cisco IOS tương thích
với GNS3, sau đó bạn mới có thể nhận được thiết bị.


Hình 1.7: GNS3

1.4.4 Các image máy áo cần sử dụng
Một File ISO, thường được gọi là một hình ảnh ISO, là một File đại diện hoàn
hảo cho toàn bộ một đĩa CD, DVD hoặc BD. Toàn bộ nội dung của một đĩa có thể
được sao chép chính xác trong một File ISO duy nhất. Tất cả các ảnh ISO đều kết thúc
bằng phần mở rộng của file ISO, và thường được sử dụng để phân phối các chương
trình lớn qua Internet do tất cả các file của chương trình có thể được chứa gọn gàng
dưới dạng một tệp duy nhất. Thậm chí Windows 10 và Windows 8 và Windows 7
trước đó có thể được Microsoft mua trực tiếp theo định dạng ISO, sẵn sàng để được
trích xuất sang một thiết bị hoặc được cài đặt trong một máy ảo.
Các file ISO cần dùng trong bài lab
 Windows 7.
 Windows Server 2012.
1.4.5 Phần mềm Visio
Microsoft Office Visio là một chương trình vẽ sơ đồ thơng minh, được tích hợp
vào bộ chương trình Microsoft Office từ phiên bản 2003. MS Visio cho phép bạn thể
hiện bản vẽ một cách trực quan. Trải qua nhiều phiên bản từ MS Visio 2003, MS Visio
2007, MS Visio 2010 thì mới đây nhất là phiên bản Microsoft Visio 2019 với vơ vàn
tính năng hữu ích.
Với MS Visio, bạn có thể tạo các sơ đồ liên quan đến cơng việc như là : biểu đồ
dịng (flowcharts), sơ đồ tổ chức (organization charts), và lịch trình dự án (project

scheduling). Ngồi ra, Visio cịn cho phép bạn tạo các sơ đồ mang tính kỹ thuật, chẳng


hạn tạo các bản vẽ xây dựng, thiết kế nhà, sơ đồ mạng, sơ đồ phần mềm, sơ đồ trang
web, sơ đồ máy móc, và các sơ đồ kỹ thuật khác.
Đơn giản hóa quy trình vẽ biểu đồ phức tạp
Tạo giản đồ luồng, đồ thị mạng, sơ đồ tổ chức, mặt bằng, thiết kế kỹ thuật…
bằng các hình dạng và template hiện đại. Tăng cường hiệu suất với trải nghiệm Office
quen thuộc và tạo đồ thị cao cấp dễ hơn bao giờ hết.
Hình ảnh hóa mọi thứ
Dễ dàng biến cơng việc của bạn thành những biểu đồ đẹp hoàn hảo đáp ứng tiêu
chuẩn mọi ngành nghề với sự trợ giúp của bộ sưu tập template phong phú và 250.000
hình mẫu trong hệ sinh thái Visio.
Thao tác dễ dàng
Lập biểu đồ tiến trình dễ dàng với trải nghiệm Office quen thuộc. Bắt đầu phác
thảo ý tưởng sử dụng bút hoặc ngón tay hay những mẹo phác thảo trước trong Starter
Diagrams.
Thoải mái hợp tác trên đồ thị
Hợp tác theo cách bạn muốn, làm việc cùng nhau trên cùng đồ thị tại cùng một
thời điểm, trò chuyện qua Skype for Business hoặc viết chú thích nhanh bằng bút hoặc
ngón tay.
u cầu hệ thống MS Visio
 Máy tính và bộ xử lý: Core 2 Duo 2 GHz.
 Bộ nhớ: RAM 2 GB.
 Đĩa cứng: 3.0 GB dung lượng đĩa khả dụng.
 Hệ điều hành: các bản cập nhật Windows mới nhất.
 Màn hình: Độ phân giải màn hình 1280 x 800.
 Đồ họa: Tăng tốc phần cứng đồ họa yêu cầu cạc đồ họa DirectX 10.
 Phiên bản .NET: Yêu cầu NET 3.5.
Trong bài lab dưới đây, phần mềm này được sử dụng trong bước thiết kế sơ đồ

vật lý và luận lý của hệ thống.


Hình 1.8: Microsoft VISIO


CHƯƠNG 2. PHÂN TÍCH VÀ THIẾT KẾ HỆ THỐNG

2.1 Các thành phần trong mạng
2.1.1 Router
Router (bộ định tuyến) là thiết bị mạng có chức năng chuyển
tiếp gói dữ liệu giữa các mạng máy tính. Có thể hiểu, router thực
hiện "chỉ đạo giao thông" trên Internet. Dữ liệu được gửi đi trên
Internet dưới dạng gói, ví dụ như trang web hay email. Gói dữ liệu sẽ
được chuyển tiếp từ router này đến router khác thông qua các mạng
nhỏ, được kết nối với nhau để tạo thành mạng liên kết, cho đến khi
gói dữ liệu đến được điểm đích. Q trình chuyển gói dữ liệu như thế
nào, làm sao để gói dữ liệu đến đúng "địa chỉ" bạn đọc sẽ được tìm
hiểu kỹ hơn trong phần Quá trình định tuyến của Router.
Các yêu cầu khi lựa chọn router:


Ta coi từng chi nhánh là một doanh nghiệp vừa đến lớn (do có từ 30 đến 40
nhân viên), nên gói mạng sẽ có băng thơng trong nước là 500Mbps và bang
thơng ra nước ngồi tối thiểu 15Mbps. Vì vậy ta chọn router có thơng lượng tối
thiểu là 500Mbps



Chọn router có tích hợp cổng quang.


Theo nhu cầu trên ta chọn router Cisco-ISR4431-AXK9, số lượng
là 2 thiết bị cho mỗi chi nhánh.

Hình 2.1: Cisco-ISR4431-AXK9


2.1.2 Switch
Switch là một thiết bị dùng để kết nối các đoạn mạng với nhau
theo mơ hình mạng hình sao, nó làm việc như một Bridge nhiều
cổng. Switch đóng vai trò là thiết bị trung tâm, tất cả các máy tính
đều được nối về đây trong một hệ thống mạng. Một switch chia
mạng có khả năng nối thẳng với các máy tính nguồn, đích hay các
thiết bị nối-chuyển khác dùng chung một giao thức hay một kiến
trúc. Switch có khả năng kết nối được nhiều segment lại với nhau tuỳ
thuộc vào số cổng (port) trên Switch.
Theo mơ hình mạng sắp tới chúng ta sẽ thiết kế theo hướng 3
lớp Core – Distribution – Access (lớp Distribution sẽ rút gọn với lớp
Core), vì vậy phải chọn các Switch cả lớp 2 và lớp 3, gồm các yêu
cầu:
 Đáp ứng đủ số port trong hệ thống (trong phần sơ đồ vật lý ta sẽ thấy là
cần 52 port).
 Có tích hợp POE (Power Over Ethernet).
 Có hỗ trợ chuẩn xác thực 802.1X.
Chính từ những lý do trên ta sẽ chọn được các mẫu switch của
Cisco như: Cisco SG110-24HP, Cisco WS-C3560CX12TCS-RF, Cisco
C9500-32C-E.

Hình 2.2: Cisco SG110-24HP



Hình 2.3: Cisco WS-C3560CX12TCS-RF

Hình 2.4: Cisco C9500-32C-E

2.1.3 Máy tính đóng vai trị Server
Ta sẽ chọn một máy chủ có cấu hình mạnh và có khả năng mở rộng trong tương
lai như mẫu DELL PowerEdge T340.

Hình 2.5: DELL PowerEdge T340


2.1.4 Máy tính đóng vai trị end user trong mạng
Ta giả định rằng trong một chi nhánh thì cần 40 máy tính bàn cho các nhân
viên, các yêu cầu khi chọn gồm:


Chọn 40 máy tính văn phịng cho 40 nhân viên.



Chạy hệ điều hành Windows 7.



Yêu cầu: dùng word, excel, chỉnh sửa tài liệu, giá cả phù hợp.



Chọn máy tính đồng bộ Dell Optiplex 990 core i5 RAM 4GB HDD 250GB.


Hình 2.6: Máy tính đồng bộ Dell Optiplex 990

2.1.5 Thiết bị phát wifi
Giả định trong mỗi phòng của một chi nhánh có 10 người, mỗi người trong
phịng sử dụng tối thiểu 2 thiết bị bắt sóng khơng dây, ta cần chọn một thiết bị phát
sóng wifi có các yêu cầu:
 Có thể phát sóng của 2 băng tần là 2.4Ghz và 5Ghz.
 Có chuẩn xác thực 802.1X.
 Có thể hỗ trợ khoảng 30 thiết bị.
Vì vậy sẽ chọn thiết bị Wifi Totolink A3700R - Router Wi-Fi băng tần
kép Gigabit AC1200.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×