当然,在用户被桥接之前,NAC设备服务器会停止他们进行身份验证和姿态评估。默认情况下,一个例外是允许用户的DNS和DHCP请求在身份验证之前通过。在本例中,来自不受信任VLAN 110的流量映射到受信任VLAN 10(请参阅图10 - 1)。图10-7显示通过导航找到的VLAN映射配置页设备管理>清洁访问服务器>10.10.20.5>先进的>VLAN映射。
启用VLAN映射和点击更新按钮。将不受信任的VLAN配置为VLAN 110,将受信任的VLAN配置为VLAN 10。启用和配置VLAN映射后,还可以启用接口Fa1/0/4。当配置了VLAN映射时,NAC设备服务器放弃了所有第2层控制流量,包括桥接协议数据单元、思科发现协议等等。
VLAN映射配置页
步骤8:配置管理子网
理解的概念是非常重要的管理子网当NAC设备服务器被配置为处于虚拟网关模式时。图可达显示示例网络拓扑。
样本网络拓扑
不可信接口IP是没有意义的。当用户连接到网络和移动到不可信的VLAN中,NAC设备代理用户的机器开始发送发现包NAC设备管理器的IP地址。在他们的方式来NAC设备管理器,数据包通过,并通过NAC设备服务器被截获。NAC Appliance服务器必须响应这些数据包,但要能做到这一点,就必须为客户端发送地址解析协议(ARP)项。因此,它必须首先发出一个ARP请求。但是,它不能使用不可信接口的IP作为源的ARP请求。此外,NAC设备服务器必须发送ARP请求出正确的VLAN不可信。
这是通过在NAC设备服务器上配置托管子网来实现的。将托管子网想像成路由器上的子接口。图- 9显示一个示例托管子网配置页。
子网管理页面
在本例中,不受信任网络上的用户将位于VLAN 110上。因为VLAN 110被映射到受信任网络上的VLAN 10,所以VLAN 110上的用户实际上将从VLAN 10上的DHCP服务器获得一个IP地址。您在这里配置的托管子网将位于VLAN 10子网范围内;然而,它的VLAN ID将是VLAN 110,因为您希望ARP请求发送到不受信任的端VLAN 110。
托管子网这个术语有点误导人。确实应该是这样子网管理界面。在配置托管子网时,请确保配置的是IP地址而不是子网地址。这样NAC设备服务器发送的ARP请求就有一个有效的源IP地址。在本例中,托管子网110的IP地址为10.10.10.254。你可以从图- 9该VLAN -1,这是管理VLAN 20,有10.10.20.5的IP地址。-1是一个映射到在eth0的配置的VLAN的可变信任接口。所有的管理网络的IP地址必须被排除从DHCP服务器的地址范围。
步骤9:配置一个交换机组
这一步是可选的。已经有一个预先配置的默认组。当您添加要由NAC设备管理器管理的开关时,它们将被添加到默认组中。您可以配置其他组,然后将开关添加到特定组。通过这样做,在列出开关时,可以按组列出它们。如果NAC设备需要管理大量的交换机,则此步骤非常有用。在本例中,您将配置一个名为cat3750的组。这是通过导航到开关管理>简介>组,如图图的真空度。
添加交换机组
步骤10:配置一个开关配置文件
配置了一个开关配置文件来定义NAC设备管理器如何与开关通信。当您添加要由NAC设备管理器管理的开关时,您需要配置该开关属于哪个配置文件。您必须为您想要支持的每个Cisco交换机模型添加一个交换机配置文件。图10 - 11示出了对于样品开关型材,3750。在该页面可以通过导航到被访问开关管理>简介>开关>新。
创建切换配置文件
确保您配置了交换机模型、SNMP端口和SNMP读/写社区字符串,以匹配交换机上的配置。
步骤11:配置端口配置文件
端口配置文件应用于端口,以确定该端口是否由NAC设备控制以及如何控制。您可以使用端口配置文件配置身份验证VLAN、缺省访问VLAN和VLAN分配方法。中所示的配置图10 - 12,访问VLAN领域,用户角色VLAN已经从下拉菜单中选择。这意味着,当用户进行身份验证和健康的,该用户被移动的VLAN将被用户角色决定。显示在页面图10 - 12可以通过导航到开关管理>简介>港口>新。
端口配置文件配置页
该生成事件日志当检测到在同一个交换机端口多个MAC地址选项已启用,以便您将知道最终用户是否已在nacl控制的交换机后面连接了集线器或非托管的交换机。
该删除出带外在线用户当SNMP的linkDown Trap接收选项已启用,以便如果用户机器与交换机端口断开连接,则用户将从NAC设备注销。
如果用户从IP电话后面连接他的机器,当该用户断开连接时,开关将不会检测到链路关闭,因此不会将用户从NAC设备注销。该当在同一端口上检测到新用户时,删除交换机端口上的其他带外联机用户选项已启用,以便如果在端口上检测到新用户,NAC设备将自动注销旧用户。
如果您的客户端将插入IP电话,您必须检查删除出带外在线用户不回弹港选择。这确保了IP电话不会在每次主机断开连接时断开。
步骤12:配置SNMP接收器
SNMP接收器配置必须与nacl控制的交换机上的SNMP配置匹配。SNMP接收器接收交换机发送的SNMP陷阱并作出响应。中所示的SNMP接收器页图10 - 13可以通过导航到交换机管理>配置文件> SNMP接收机> SNMP陷阱。
SNMP接收器配置页
高级设置,你可以调整不同的计时器也可用。通过导航到交换机管理>配置文件> SNMP接收器>高级设置。调整计时器通常不要求,除非在所述开关和所述NAC设备管理器通信意外延迟。图10 - 14显示高级设置配置页。
SNMP接收器高级设置
步骤13:交换机加入NAC设备管理器
现在您需要添加单个开关。为此,导航到交换机管理>设备>开关>新。选择适当的开关配置文件和开关组。大多数情况下,最好将缺省端口配置文件设置为不受控制的。这指示NAC设备不控制任何交换机端口直到被告知。最后,输入开关和点击的IP地址加。图10 - 15示出了在加入样品开关。
添加一个开关到NAC设备
步骤14:配置要由NAC管理的端口
要配置交换机端口的控件,请单击港口图标,在所示图10到16,因为开关。
开关一览表
所示图- 17,点击港口图标列出了该交换机上可用的所有端口以及每个端口的配置。
端口列表
由于用户PC连接在FA1 / 0/5,改变轮廓端口FA1 / 0/5向NAC_controlled端口配置文件并单击更新。当您点击更新按钮,NAC设备管理器添加命令加入SNMP陷阱MAC通知到Fa1/0/5接口配置。此配置更改将对交换机的运行配置进行更改。
步骤15:配置用户角色
您将配置三个用户角色:客户,顾问和员工。在用户角色页面,您还将配置OOB用户角色的VLAN,这是VLAN交换机端口将被分配当属于用户角色的用户完成NAC过程。请注意,任何的IPsec,VPN,或漫游参数是不再相关的配置。这些被弃用的功能很快从溶液中取出。图10 - 18显示访客用户角色创建。
新用户角色配置页面- guest
图10 - 19显示为顾问创建的用户角色。
新用户角色配置页面-顾问
图10 - 20显示为Employee创建的用户角色。
新用户角色配置页面- employee
图10-21显示所有的用户角色。
的角色页面列表
步骤16:在本地数据库上配置用户身份验证
向NAC设备本地数据库添加两个本地用户。一个是雇员,另一个是顾问。这些本地用户帐户将用于测试目的。在生产环境中,应该配置LDAP、Kerberos或RADIUS服务器。本地用户通常只用于测试和客户访问。图10-22显示作为顾问角色成员的顾问用户的创建。
新的本地用户配置页,顾问
图10-23节目创作谁是员工角色的成员,雇员用户。
新的本地用户配置页面- employee
第17步:测试是否OOB和用户基于角色的VLAN分配作品
如果你去交换机管理>设备>开关>目录> 10.10.30.1>端口,您将看到接口Fa1/0/5,客户端端口,目前在VLAN 10上。这是在图10 - 24。
的端口列表
现在继续连接一台笔记本电脑接口FA1 / 0/5。你看图十到二十五该端口被立即移动到不受信任的VLAN 110。这是因为端口配置文件将认证(不受信任)VLAN设置为VLAN 110。
在用户PC上,您将看到NAC设备代理已经弹出。继续为用户jane输入凭据,如图选手。
客户端连接后的端口列表
清除访问代理身份验证弹出
你点击后登录,NAC设备确定用户简属于雇员用户角色。NAC设备看起来在下面的员工用户角色配置的OOB用户角色VLAN和移动用户的交换机端口FA1 / 0/5至VLAN 12参见第6章“构建思科NAC设备主机安全策略”,为有关用户的更多信息角色。图10-27显示端口FA1 / 0/5现在在接入VLAN 12中,如由用户角色来确定。
端口列表,访问VLAN
因为您在这个过程中将用户的VLAN从VLAN 110更改为VLAN 12,所以用户的子网也更改了。以前,用户从VLAN 10子网范围收到一个IP地址。但是,因为用户现在在VLAN 12中,所以它必须刷新它的IP地址。这可以通过配置端口弹回来实现。但是,不建议这样做,如果您有IP电话,也不可能这样做。相反,使用内置在Clean Access代理和web登录applet中的DHCP发布/更新功能。因此,在登录过程中,您将看到Clean Access Agent屏幕显示在图28和图10-29。
IP刷新对话框
IP刷新成功对话框
所示的在线用户列表中将显示该用户图10 - 30。通过导航到访问此列表监视>在线用户>带外。如果OOB用户处于隔离状态,它将显示在带内用户列表中,直到通过认证。
OOB在线用户列表
现在,如果用户从交换机端口断开连接,NAC设备将从在线用户列表中删除该用户。NAC设备知道用户已断开连接,因为交换机被配置为向NAC设备管理器发送一个linkdown SNMP陷阱。注意,该端口保留在VLAN 12中。端口的VLAN不会再改变,直到NAC设备管理器收到一个连接或mac通知陷阱从交换机端口。
另一位用户,约翰,现在连接到同一个用户端口。端口立即移动到AUTH(不可信)VLAN 110,如图图10-31。
交换机端口List-Untrusted
在用户的机器上,Clean Access Agent弹出请求身份验证。为用户john输入凭据并单击登录所示图10-32。
清洁访问代理登录
在用户经过身份验证之后,NAC Appliance Manager确定该用户是一名顾问,并将该用户转移到VLAN 11。的端口列表中显示了这一点图10-33对于界面的FastEthernet1/0/5。顾问用户角色被配置为使用VLAN 11。
切换端口列表顾问角色
用户显示了在线用户列表作为顾问,如图图10-34。
在线用户List-Consultant
第3层带外部署的示例设计和配置
在第3层进行带外部署,可考虑在拓扑图10 - 35。
示例层3oob网络拓扑
注意:图10 - 35是这个例子的基础,在整个下面的文字中提到的若干倍。这将有助于收藏此页或笔记,以供参考页码,你通过这个例子读取。