本章涵盖以下主题:
带外概述和设计
第2层带外部署的示例设计和配置
第3层带外部署的示例设计和配置
本章涵盖了带外(OOB)模式在第2层(用户是与NAC设备服务器相邻的第2层)和第3层(用户距离NAC设备服务器有一个或多个跳点)场景中的配置。关于OOB是什么以及它如何与带内(IB)模式进行比较的详细信息,请参阅本书前面的第4章“理解所有Cisco NAC设备设计选项”。这本书不包括关于配置带内模式的章节。这样做的主要原因是,如果您知道如何配置OOB模式,那么您也知道如何配置IB模式。要配置IB模式,您几乎要遵循配置OOB模式的相同步骤,但是您省略了交换机和VLAN配置步骤。
带外概述和设计
在计划带外模式部署时,请记住以下因素将影响设计。
用户访问方法
今天,NAC设备只支持带外模式的用户在一个有线局域网。无线和虚拟专用网(VPN)用户必须使用带内模式。
开关的支持
NAC产品放置在带外模式下工作,只有Cisco Catalyst交换机。NAC设备带内模式支持大多数思科交换机。支持的交换机的完整的兼容性矩阵是在
http://www.cisco.com/univercd/cc/td/doc/product/vpn/ciscosec/cca/cca40/switch.htm
中央部署模式或边缘部署模式
这里的术语中央和边缘部署请参考NAC设备服务器的物理配置。中央部署模式意味着NAC设备服务器(NAS)的受信任接口和不受信任接口都插入到同一个物理交换机中。边缘部署模式意味着接口被插入到两个独立的开关。带外部署使用中央部署模式。这是因为在带外部署中,NAC设备服务器几乎总是放在分布层或核心层,而不是在网络的边缘。
第二层或第三层
如果NAC设备服务器被放置成使得最终用户第2层与其相邻的,配置NAC设备服务器是在第2层外的带外(L2OOB)模式。
如果NAC设备服务器放置在终端用户与其相隔一个或多个跃点的位置,则将NAC设备服务器配置为第3层带外(L3OOB)模式。
网关模式NAC Appliance服务器
NAC设备服务器可以配置为虚拟网关模式或实ip网关模式。大多数L2OOB部署将采用虚拟网关模式,因为与实际ip网关模式相比,这种模式需要的配置更改相对较少。
在虚拟网关模式,NAC设备服务器的信任端口上配置的IP地址是没有实际用途的。请记住,在虚拟网关模式,NAC Appliance服务器充当第2层透明桥,所以只有一个管理IP。NAC设备服务器的信任端口上配置的IP地址作为管理IP。因此,非信任端口的IP地址不能被用于任何实际用途。
在实ip网关模式下,NAC设备服务器作为第3层设备(路由器);因此,受信任和不受信任的端口IP地址都是可用的。大多数L3OOB部署将采用实ip网关模式。这是因为在L3OOB中,在不受信任的端口上必须有一个可用的IP地址。当本章后面讨论L3OOB设计时,这一点将变得更加清晰。
表10-1列出了开关与网关模式类型的兼容性矩阵。
表10 - 1网关模式切换兼容性列表
L2或L3开关 |
虚拟网关模式 |
ip模式 |
|
中央部署 |
边缘部署 |
中央或边缘部署 |
|
6500 |
是的 |
是的 |
是的 |
4500 |
是的 |
是的 |
是的 |
3750/3560 (L3开关) |
是,12.2(25)见及更高 |
是的 |
是的 |
3550(L3交换机) |
没有* |
是的 |
是的 |
3750/3560 (L2开关) |
是的 |
是的 |
是的 |
3550 (L2开关) |
是的 |
是的 |
是的 |
2950/2960 |
是的 |
是的 |
是的 |
*由于思科IOS切换警告CSCsb62432
注意,表10-1中的信息与IB或OOB模式无关。表10-1中的一个危险信号是,在中央部署模式下连接到Catalyst 3550交换机(作为第3层交换机)的NAC设备服务器不能在虚拟网关模式下配置。这是由于思科IOS切换警告CSCsb62432 (http://www.cisco.com/cgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsb62432)。请注意,访问某些Cisco.com资源需要用户注册或服务合同。
简单网络管理协议陷阱,触发NAC过程
一个交换机可以被配置成生成一个连接或mac通知陷阱来检测一个新用户已经连接到交换机端口。选择使用连接还是mac通知取决于开关和开关运行的代码。如果你有选择,你应该总是使用mac通知。这是一个更有效、更灵活的陷阱。
决定最佳的陷阱中使用的其他因素是你是否有IP电话和用户的机器是否打算从这些IP电话背后连接到网络。当用户连接到在这种情况下,网络,没有新的衔接被检测;因此,你必须依靠MAC通知来检测新用户是否连接到从IP电话背后的网络。
基于端口的VLAN分配或基于用户角色的VLAN分配
如果在带外模式下使用基于端口的VLAN分配,那么不受信任的VLAN和特定端口的受信任VLAN都是静态的。当用户连接到该端口时,用户将移动到预配置的不可信VLAN。在用户进行身份验证和补救之后,用户转移到同样为该端口预先配置的受信任VLAN。
如果使用基于用户角色的VLAN分配,特定端口的不受信任VLAN是静态的。但是,在对用户进行身份验证和纠正之后,用户移动到的受信任VLAN取决于用户所属的角色。这是根据用户的用户角色动态确定的。
第2层带外部署的示例设计和配置
对于这个2层外的乐队模式的例子,可以考虑在拓扑图10-1。
示例网络拓扑
用户PC,NAC设备管理器,NAC设备服务器连接到一台Catalyst 3750交换机。NAC Appliance服务器在虚拟网关集中式部署模式下配置。
NAC设备管理器(NAM)位于VLAN 30上,具有一个IP地址(10.10.30.5 /24)。NAC设备服务器管理在VLAN 20上,有一个IP地址(10.10.20.5 /24)。
注意 -在虚拟网关模式下,NAC设备服务器管理IP一定要在不同的子网的NAC设备管理器。这是因为当NAS具有启动包,而在虚拟网关模式,它总是将他们从非信任端口(除往其默认网关或大于NAC设备服务器管理子网的其他子网的数据包)。NAC设备管理器中始终驻留在可信网络上。因此,谈NAC设备管理器中,NAC设备服务器必须将数据包发送出去的信任端口的,这需要的是NAC设备管理器驻留在从NAC Appliance服务器的子网不同。
在本设计中,您将使用基于角色的用户VLAN分配。有三个用户VLAN:
VLAN 10(游客)
VLAN 11(顾问)
VLAN 12(员工)
根据谁连接到交换机端口,您希望将用户移动到前面列表中的一个vlan。vlan具有与其交换虚拟接口(SVIs)相关联的访问控制列表,以适当地限制那些用户角色的网络访问。需要注意的是,这些acl不是由NAC设备管理或控制的,它们作为VLAN acl应用于Cisco交换机本身。现在您已经对设计原则有了一个很好的了解,本节的其余部分将展示如何配置第2层带外部署。
步骤1:配置交换机
催化剂3750开关被用作一个第3层交换机中运行的代码12.2(25)查阅。(看到图10-1)。
配置VLAN中继协议和VLAN
您要做的第一件事是配置您的交换机以支持OOB部署。示例10-1展示了如何在所示的交换机上配置vlan图10-1的样本网络。
实施例10-1切换OOB部署的配置
vtp领域思科VTP模式透明ip路由!vlan 10客人的名字!vlan 11名顾问!vlan 12名员工!VLAN 20名NAS_mgmt!vlan 30名字NAM_mgmt!VLAN 110命名untrusted_vlan!vlan 998 - 999!
配置SVIs
下一步是配置交换机上的第3层接口(SVIs)。示例10-2展示了示例网络的SVI配置(参见图10-1)。注意,所有这些SVIS驻留只在NAC设备服务器的可信的一面。有关VLAN 110(不可信侧),以达到他们的客户端,它被迫去通过NAC设备服务器。其他利用SVI为不同的用户访问VLAN的默认网关。请记住,客户端被认为是后“干净”,它的交换机端口动态重新配置和客户端移动到其访问VLAN。在这一点上,NAC设备不再是在客户端的流量路径。在这个例子中,接入VLAN是由客户端的用户角色来确定;雇员是VLAN 12,例如。
例10-2开关SVI配置
接口VLAN10ip地址10.10.10.1 255.255.255.0!接口VLAN11ip地址10.10.11.1 255.255.255.0!接口VLAN12IP地址10.10.12.1 255.255.255.0!接口Vlan20ip地址10.10.20.1 255.255.255.0!接口Vlan30IP地址10.10.30.1 255.255.255.0!
注意,您没有为VLAN 110配置SVI。这对于迫使VLAN 110流量通过NAC设备服务器作为从VLAN 110退出的唯一途径是必要的。
将交换机配置为DHCP服务器
在虚拟网关模式下运行的NAC设备服务器不能作为其非托管端网络的DHCP服务器。在此模式下运行时,NAC设备服务器功能被禁用。因此,您必须提供一个DHCP服务器。许多组织使用内置在大多数思科交换机中的DHCP服务器功能。但是,任何DHCP服务器都可以工作。
如果NAC设备服务器以实ip网关模式运行,建议使用NAC设备服务器内置的DHCP服务器功能。在示例网络中(参见图10-1), NAC设备服务器处于虚拟网关模式。示例10-3展示了如何将Cisco交换机配置为DHCP服务器。记住,VLAN 110(认证VLAN)被映射到受信任端VLAN 10。交换机被配置为作为身份验证VLAN 10和访问VLAN 11和12的DHCP服务器。
例10-3配置Cisco交换机DHCP服务器
ip dhcp外排地址10.10.10.1IP DHCP排除地址10.10.10.254ip dhcp外排地址10.10.11.1IP DHCP排除地址10.10.11.254ip dhcp外排地址10.10.12.1ip dhcp外排地址10.10.12.254!ip dhcp池vlan10网络10.10.10.0 255.255.255.0默认的路由器10.10.10.1dns服务器192.168.35.2域名cisco.com!ip dhcp池vlan11网络10.10.11.0 255.255.255.0默认的路由器10.10.11.1dns服务器192.168.35.2域名cisco.com!ip dhcp池vlan12网络10.10.12.0 255.255.255.0默认的路由器10.10.12.1dns服务器192.168.35.2域名cisco.com!
配置fa1 /0/1 -连接NAC设备管理器eth0端口的接口
接下来,您必须配置交换机端口NAC设备管理器的eth0接口插入。NAC设备管理器中的eth0接口驻留在一个VLAN上的可信的一面。如果NAC Appliance服务器在虚拟网关模式下运行,其VLAN必须不一样NAC Appliance服务器管理的VLAN。在示例网络拓扑(参见图10-1),则NAC设备管理器eth0接口连接于开关的FA1 / 0/1,驻留在VLAN 30实施例10-4示出了这种开关的配置。
例10-4在NAC设备管理器中的eth0端口的Cisco交换机配置
接口FastEthernet1/0/1说明经理的eth0交换机端口接入VLAN 30switchport模式访问扩充树portfast
配置fa1 /0/3 -连接NAC设备服务器的可信端口(eth0)的接口
eth0接口插入的交换机端口将被配置为映射身份验证VLAN和NAC设备服务器管理VLAN的中继链路转发流量。主干的本地VLAN应该设置为网络中其他任何地方都不会使用的内容,这本质上使它成为一个黑洞。示例10-5显示了示例拓扑的交换机配置(参见图10-1)。在样例拓扑中,VLAN 10是映射身份验证VLAN, VLAN 20是NAC设备服务器管理VLAN。
示例10-5为NAC设备服务器的eth0后的Cisco交换机配置
接口FastEthernet1/0/3交换机端口中继线封装dot1q交换机中继本地vlan 998主干交换机端口的VLAN允许10,20switchport模式树干
配置FA1 / 0/4的接口连接NAC设备服务器的不可信端口(ETH1)
eth1接口插入的交换机端口将被配置为不受信任端上身份验证VLAN的中继链路转发流量。示例10-6显示了基于示例网络拓扑的交换机配置。
例10-6NAC设备服务器eth0端口的Cisco交换机配置