Đối với hệthống chuyển mạch Switch cách thức để kiểm soát máy tính người dùng kết nối vào hệthống chính là Port security. Mô hình kiểm soát sẽ được hoạt động như sau:
Hình 16: Mô tả cách thức gán Mac của người dùng vào hệ thống Người dùng được khai báo thông tin Mac Pc trên hệthống
Người dùng được cấp phát tài nguyên port trên hệthống
Hệthống quản trịSwitch cấu hình gán Mac vào các cổng tương ứng trên các port Switch được cấp
Trường hợp người sửdụng khác vi phạm sửdụng sai vịtrí cổng được cấp phát Switch sẽchủ động chặn người dùng kết nối đến hệthống.
Cách thức chặn kết nối là một trong những cơ chếquan trọng của Switch. Dưới đây là một mô tảvềcách thức Switch làm việc đối với trường hơp người dùng sửdụng sai công kết nối được cấp. Khi nhận thấy địa chỉMac khác với thông tin được cung cấp của người dùng Switch sẽtiến hành ngăn chặn kết nối đến hệthống bằng cách đưa cổng kết nối vềtrạng thái err-disable.
SW1(config-if)#
%PM-4-ERR_DISABLE: psecure-violation error detected on Et0/0, putting Et0/0 in err-disable state
SW1(config-if)#
%PORT_SECURITY-2-PSECURE_VIOLATION: Security violation occurred, caused by MAC address 1234.5678.9abc on port Ethernet0/0.
%LINEPROTO-5-UPDOWN: Line protocol on Interface Ethernet0/0, changed state to down
SW1(config-if)#
%LINK-3-UPDOWN: Interface Ethernet0/0, changed state to down
B. Kiểm soát người dùng thông qua tích hợp 802.1x với NAC
Sau khi được chính sách port security cho phép kết nối vào hệthống người dùng sẽ bắt buộc phải thỏa mãn các tiêu chí sauđể được phép vào hệthống:
- Kiểm soát tuân thủ cài đặt phần mềm: cung cấp danh sách các phần mềm bắt buộc phải cài đặt trển hê thống
- Kiểm soát cập nhật bản vá: cung cấp khả năng yêu cầu cập nhật bản vá của hệ điều hành, phần mềm diệt virust
- Kiểm soát danh tính người dùng: yêu cầu bắt buộc để truy cập được vào hệ thống là người dùng phải có thông tin tài khoản trên hệ thống, máy tính của người dùng phải nằm trong hệthống.
- Hỗtrợphân loại máy tính người dùng kết nối đến hệthống theo phiên bản hệ điều hành: Window, Linux, Mac, android, IOS
Hình 18. Hệ thống kiểm soát truy cập sử dụng mô hình client server Agent được cài đặt trên máy tính người dùng nhằm mục đích cung cấp thông
tin của máy người dùng đến server
Người dùng sẽsửdụng giao tiếp EAP/802.1x cung cấp thông tin đến máy chủ thông qua hệthống Switch đã tích hợp với máy chủ.
Cơ chếxác thực được sửdụng là chuẩn xác thực Radius
Đối với giải pháp này Switch cũng đóng vai trò như một client của máy chủ NAC. Theo đó Switch cung cấp thông tin của người dùng đến máy chủ. Máy tính người dùng sau khi thỏa mãn các tiêu chí nêu trên sẽ được phép truy
CHƯƠNG 3: ỨNG DỤNG QUẢN TRỊ MẠNG DỰA TRÊN ĐỊNH DANH TOÀN CỤC