接口FastEthernet1 / 0/4交换机端口中继封装dot1q交换机端口中继本地VLAN 999交换机端口主干允许VLAN 110交换机端口模式中继
在配置连接NAC设备服务器的受信任和不受信任端口的交换机端口时,请注意以下几点:
始终确保没有共同的VLAN被转发的可信和不可信端口之间。端口之间的一个常见VLAN可能会导致发生第2层循环。
配置不同的黑洞本地VLAN的不信任和信任端口。确保这些VLAN不用于用户流量。修剪从另一个中继端口这些黑洞本地VLAN整个网络中。我们的目标是不会传播这些VLAN超越他们上配置的开关。
允许相关的VLAN只对Trunk可信和不可信的端口转发。修剪剩余的VLAN关闭这些端口。
配置FA1 / 0/5-接口与主机连接
最好的做法是将所有客户端的交换机端口分配到初始VLAN等于AUTH VLAN该开关。在该样品中的拓扑中,auth VLAN为110例10-7示出了用于此的开关配置。
例10-7客户端交换机端口的Cisco交换机配置
接口FastEthernet1 / 0/5VLAN交换机端口110访问交换机端口模式访问配置速端口
配置简单网络管理协议
所述开关和NAC设备通过简单网络管理协议(SNMP)进行通信。对于这项工作,交换机必须支持SNMP设置。实施例10-8用于配置带SNMP MAC通知陷阱和链路故障陷阱交换机。该MAC-通知陷阱检测到网络上的新用户并触发NAC处理。所述的linkDown Trap检测到用户从网络断开连接。只读团体字符串上市与访问列表一起使用10个,其中只允许访问由NAC设备管理器。读写团体字符串私有的使用访问列表10个.它始终是配置上的SNMP社区访问列表,以保护受到不必要的访问安全性的最佳实践。该交换机被配置为这些陷阱在10.10.30.5发送到NAC设备管理器。实施例10-8所示SNMPv2c的的结构中,但NAC设备支持v1和v3的为好。
例10-8思科交换机SNMP配置
snmp服务器社区公共RO 10SNMP服务器社区私人RW 10snmp服务器启用陷阱snmp链接关闭SNMP服务器启用陷阱MAC-通知SNMP服务器主机10.10.30.5版本2C公开访问列表10许可ip 10.10.30.5
第2步:配置NAC设备管理器
现在,网络配置,转移到配置NAC设备管理器。在NAC设备管理器中,你所要做的使用配置脚本一些基本的配置。从NAC设备管理器命令行界面(CLI),则必须在服务性能配置. 在配置NAC设备管理器的IP地址之前,您可以通过连接监视器和键盘或使用串行电缆到端口1来访问CLI。串行速度和设置为38400,N,8,1。示例10-9显示了配置设置脚本。
例10-9通过CLI配置NAM
的Fedora Core释放4(Stentz)内核2.6.11-i686上的perfigo凸轮登录:根密码:[根@凸轮〜]#服务性能配置欢迎使用Cisco Clean Access Manager快速配置实用程序。请注意,您需要root权限才能执行此实用程序。该工具现在会问你一系列的配置问题。请仔细回答。思科清洁接入管理器,(C)2006年思科系统公司配置网络接口:请输入IP地址的接口eth0的[10.2.0.15]:10.10.30.5您输入10.10.30.5。是这样吗?(是/否)?[是]请输入接口eth0的[255.255.255.0]网络掩码:您输入了255.255.255.0。是这样吗?(是/否)?[是]请输入IP地址,默认网关[10.2.0.1]:10.10.30.1您输入10.10.30.1。是这样吗?(是/否)?[是]请输入主机名[CAM1]:南你进入了越南。是这样吗?(是/否)?[是]请输入名称服务器的IP地址:[192.168.10.1]:10.10.30.6您输入10.10.30.6。是这样吗?(是/否)?[是]你想改变共享的秘密?(Y / N)?[Y]请记住用相同的字符串配置清洁访问服务器。请输入清洁访问服务器之间的共享密码您输入了:cisco123是这样吗?(是/否)?[是]>>>配置日期和时间:该时区当前设置为:美洲/洛杉矶您想更改此设置?(Y / N)?[Y]n个当前日期和时间为hh:mm:ss的MM / DD / YY [1点01分01秒01/01/07]:一点20分零零秒01/01/07您输入了一点20分零零秒2007年1月1日是这样吗?(是/否)?[是]周一1月1一点20分零零秒2007 PST您必须使用清洁Access Manager的安全Web控制台产生有效的SSL证书。请正确回答以下问题。对于一个新的SSL证书信息:输入完全合格的域名或IP:10.10.30.5输入组织单位名称:纳卡普输入组织名称:思科输入城市名称:圣荷西输入州代码:加州输入两个字母的国家代码:我们您输入了以下内容:域:10.10.30.5组织单位:nacapp组织名称:思科城市名称:圣何塞国家代码:CA国家代码:美国是这样吗?(是/否)?[是]正在生成SSL证书。。。CA签名:/root/.tomcat.csr - > /root/.tomcat.crt:CA验证:/root/.tomcat.crt < - > CA证书/root/.tomcat.crt:OK完成出于安全原因,强烈建议您更改根用户的默认密码。用户:根root用户更改密码。新的UNIX密码:重新键入新的UNIX密码:passwd:已成功更新所有身份验证令牌。更改需要重新启动Clean Access Manager。配置已完成。[根@ CAM1〜]#服务perfigo重启
步骤3:配置NAC Appliance服务器
在NAC设备服务器,您需要做的使用配置脚本一些基本的配置。从NAC设备服务器CLI,则必须在服务性能配置.实施例10-10显示了配置安装脚本。
实施例10-10通过CLI配置NAS
[根@ CAS〜]#服务性能配置欢迎思科清洁接入服务器快速配置工具。请注意,您需要root权限才能执行此实用程序。该工具现在会问你一系列的配置问题。请仔细回答。思科清洁访问服务器,(C)2006思科系统公司。配置网络接口:请输入接口eth0[10.2.0.15]:10.10.20.5的IP地址您输入10.10.20.5。是这样吗?(是/否)?[是]请输入接口eth0的[255.255.255.0]网络掩码:您输入了255.255.255.0。是这样吗?(是/否)?[是]默认网关[10.2.0.1]请输入IP地址:10.10.20.1您输入10.10.20.1。是这样吗?(是/否)?[是]从eth0到eth1的数据包的[Vlan Id Passthrough]已禁用。要启用它吗?(是/否)?[不][管理VLAN标记]为eth0的出口分组被禁止。要启用它吗?(是/否)?[不]对于不受信任的eth1接口[10.2.0.15]请输入IP地址:10.10.20.5您输入10.10.20.5。是这样吗?(是/否)?[是]请输入接口eth1的[255.255.255.0]网络掩码:您输入了255.255.255.0。是这样吗?(是/否)?[是]默认网关[10.2.0.1]请输入IP地址:10.10.20.1您输入10.10.20.1。是这样吗?(是/否)?[是]从eth1到eth0的数据包的[Vlan Id Passthrough]已禁用。要启用它吗?(是/否)?[不]eth1的出口数据包的[管理Vlan标记]已禁用。要启用它吗?(是/否)?[不]请输入主机名[CAS 1]:NAS你进入了NAS1。是这样吗?(是/否)?[是]名称服务器,请输入IP地址:192.168.10.1]:10.10.30.6您输入10.10.30.6。是这样吗?(是/否)?[是]你想改变共享的秘密?(Y / N)?[Y]请输入共享的秘密:cisco123您输入:cisco123是这样吗?(是/否)?[是]>>>配置日期和时间:该时区当前设置为:美洲/洛杉矶是否要更改此设置?(是/否)?[y] n个当前日期和时间为hh:mm:ss的MM / DD / YY [1点01分01秒01/01/07]:1点40分零零秒01/01/07您输入了一点40分00秒01/01/07这是正确的吗?(Y / N)?[Y]2007年1月1日,星期一,太平洋标准时间01:40:00必须生成有效的SSL证书才能使用Clean Access服务器的安全web控制台。请正确回答以下问题。对于一个新的SSL证书信息:输入完全合格的域名或IP:10.10.20.5输入组织单位名称:nacapp输入单位名称:思科输入城市名称:圣何塞输入州代码:CA输入2个字母的国家代码:美国您输入了以下内容:域名:10.10.20.5组织单位:nacapp组织名称:思科城市名称:圣何塞国家代码:CA国家代码:美国是这样吗?(是/否)?[是]正在生成SSL证书。。。CA签名:/root/.tomcat.csr - > /root/.tomcat.crt:CA验证:/root/.tomcat.crt < - > CA证书/root/.tomcat.crt:OK完成出于安全考虑,强烈建议您更改root用户的默认密码。用户:根root用户更改密码。新的UNIX密码:重新键入新的UNIX密码:passwd:已成功更新所有身份验证令牌。是否要更改web控制台管理用户密码的默认密码?(是/否)?[是]请输入Web控制台管理员用户适当的安全密码。web控制台管理的新密码:确认Web控制台管理的新密码:Web控制台管理员密码更改成功。配置已完成。[根@ CAS1〜]#服务perfigo重启
第4步:登录到NAC设备管理器
打开浏览器并通过SSL连接连接到NAM。输入NAM的IP(https://10.10.30.5)并输入用户名:管理和密码:cisco123.图10-2显示了NAC设备管理器登录屏幕的样本屏幕截图。
NAC设备管理器登录屏幕
您可以在查看NAM的网络配置管理> CCA经理.图10-3显示在此示例拓扑中的NAC设备管理器中的网络配置页(见图10-1)。
管理网络配置页
步骤5:将NAC设备服务器添加到NAC设备管理器
您可以通过添加NAC Appliance服务器设备管理> CCA服务器>新服务器.图10-4显示了添加新的服务器页面。
添加新服务器页面
图10-5显示,NAC Appliance服务器已在OOB虚拟网关模式被添加。
的服务器页面列表
步骤6:编辑NAC设备服务器上的网络设置
去设备管理> CCA服务器>管理>网络> IP.您将看到一个复选框集管理VLAN ID. 这通常会引起很多混乱。默认情况下,此选项未启用。禁用此选项后,当NAC设备服务器启动通信并发送出受信任端口时,它将发送未标记的数据包。因此,当这些数据包到达交换机时,它确定这些数据包是在本机VLAN上接收的,并在该VLAN中将它们转发到目的地。如果启用此选项并输入VLAN ID,则当NAC设备启动通信时,它将发送用该VLAN ID标记的数据包。当交换机接收到这些数据包时,它将确定它们位于该标记的VLAN中。因此,只要交换机上的配置与NAC设备服务器上的配置匹配,就可以了。如果这些配置之间不匹配,您可能会阻塞NAS通信量,无法从NAM管理NAS。
在本例中,NAS受信任端口(eth0)连接到Fa1/0/3,Fa1/0/3是802.1q中继链路。因此,交换机期望从NAS管理接收作为802.1q标记的流量的流量。因此,在NAS的Network Settings页面中,您应该启用集管理VLAN ID并进入20个因为VLAN 20是NAS管理VLAN。图10-6显示了在样品拓扑NAC Appliance服务器的网络配置页。
你会发现,你已经配置了可信和不可信接口都相同的IP。请记住,在虚拟网关模式,NAC Appliance服务器作为一个纯粹的二层设备。因此,这种设备只能有一个IP:它的管理IP。NAC Appliance会认为它的管理IP是信任端口上配置的IP。您配置的信任端口上的IP有没有关系。您必须在可信和不可信接口都配置相同的IP。
服务器网络配置页
步骤7:配置VLAN映射
在OOB虚拟网关模式部署的中央,你要对不可信VLAN用户流量击中用户的默认网关之前要经过NAC设备服务器。不受信任的VLAN也被称为验证VLAN(AUTH VLAN简而言之)在OOB模式下。为了实现这个流量,NAC设备服务器执行VLAN映射。在NAC设备服务器上配置VLAN映射,以便将不受信任的VLAN映射到受信任的VLAN。这允许不受信任端的用户通过NAC设备服务器访问其受信任端的默认网关。NAC设备服务器正在桥接两个VLAN。