您可以从拓扑结构看图10-35NAC设备服务器连接到中央交换机。在中心和边缘交换机之间有一个网络云。这个云可以只是一个路由的校园网,也可以是一个WAN连接。这个场景中的要点是,用户距离NAC设备服务器有多个路由跳;因此,它是层3 OOB模式。在这个例子中,客户端不再是第2层与NAC设备服务器相邻,而是第3层与NAC设备服务器相邻。
随着出带外模式,我们的目标是当用户连接到网络上的用户移动到不可信的VLAN。当用户在不受信任的VLAN,要能够进行验证,状态评估和补救,以便用户。当用户在不受信任的VLAN,NAC Appliance服务器充当执法设备并且传递与NAC设备代理进行用户验证,状态评估和修复。
在出带外模式,NAC设备服务器必须能够确定用户的IP地址和MAC地址。当用户第2层相邻于NAC设备服务器(L2OOB)和用户的数据包到达NAC设备服务器,NAS可以判断从这些数据包的用户的源IP地址和MAC地址。当用户从NAC设备服务器的一个或多个跳以外,前一跳路由器覆盖到达NAS的数据包的源MAC地址。其结果是,NAC设备服务器是无法确定从所述数据包的用户的MAC地址。
NAC设备代理从版本4.0.0.0开始向NAC设备服务器发送关于用户MAC地址和IP的信息。对于没有NAC设备代理的用户,web登录页面可以配置为使用ActiveX或Java applet控件来从用户的设备获取相同的信息。
第4章介绍三层OOB各种交通控制方法。在下面的例子中,你将看到如何使用ACL配置三层OOB。如拓扑所示,NAC Appliance服务器配置为可以实时IP网关模式。这使得NAC Appliance服务器到路由器,并要求NAC设备服务器的信任端口(eth1的)都有一个唯一的IP地址和子网掩码。以下各节形成用于配置将ACL三层OOB部署一步一步的方法。
步骤1:配置开关
示例拓扑(请参阅图10-35)有一个中心交换机和边缘交换机,这两者都是Catalyst 3750系列交换机中运行的代码12.2(25)查阅或更高版本。
配置中央交换机
第一步是配置中央交换机。您至少要完成以下配置步骤:
配置虚拟LAN中继协议(VTP)和vlan
配置SVIS
配置端口NAC设备管理器和NAC Appliance服务器连接到
完成这些步骤后,您可能需要配置额外的接口和功能,如果这样做是必要为您的环境。
配置VTP和vlan
这是一个最好的做法校园设计不启用交换机上VTP服务器模式。而应该设置VTP为透明模式,有效地禁用VTP操作。该ip路由命令允许开关也作为一个路由器。示例10-11显示了VTP和VLAN中央交换机配置,因为它与示例网络拓扑有关。
例如10-11中央交换机VTP和VLAN配置
VTP域思科VTP模式透明ip路由!VLAN 20名NAS_Trusted!VLAN 21名NAS_Untrusted!VLAN 30名NAM_mgmt!
配置SVIs
接下来在中央交换机上配置交换机虚拟接口。SVI是一个映射到VLAN的第三层虚拟接口,用于通过交换机路由流量。示例10-12展示了示例拓扑中SVIs的中央交换机配置(参见图10-35)。
例如10-12中心交换机SVI配置
接口Vlan20IP地址10.10.20.1 255.255.255.0描述服务器可信!接口Vlan21IP地址10.10.21.1 255.255.255.0描述服务器不可信!接口VLAN30IP地址10.10.30.1 255.255.255.0说明经理的eth0!
配置FA1 / 0/1-的接口连接NAC设备管理器
配置该接口是在VLAN 30.中部开关配置的进入端口实施例10-13中被示出。
例如10-13管理器端口的开关配置
接口FastEthernet1 / 0/1说明经理交换机端口接入VLAN 30交换机端口模式访问扩充树portfast!
配置FA1 / 0/1-的接口连接NAC设备服务器的可信端口
将这个NAC设备服务器接口eth0配置为VLAN 20中的访问端口。示例10-14显示了交换机配置。
例如10-14可信任服务器端口的交换机配置
接口FastEthernet1 / 0/3说明服务器信任的eth0交换机端口接入VLAN 20交换机端口模式访问扩充树portfast!
配置FA1 / 0/4的接口连接NAC设备服务器的非信任端口
配置该接口,ETH1,如VLAN 21中的接入端口,如实施例10-15英寸
例如10-15交换机不受信任的服务器端口的配置
接口FastEthernet1 / 0/4说明服务器不可信的eth1交换机端口接入VLAN 21交换机端口模式访问扩充树portfast!
配置边缘交换机
接着配置边缘交换机。您至少要完成以下配置步骤:
配置VTP和VLAN。
为了提高安全性和交通控制交换机上配置ACL。
配置SVIS。
配置DHCP服务器;在此示例情况下,您使用的交换机作为DHCP服务器。
配置客户端端口。
在交换机上配置SNMP。
完成这些步骤后,您可能需要配置额外的接口和功能,如果这样做是必要为您的环境。
配置VTP和vlan
VTP使用,不建议你将其设置为透明模式下做到这一点。启用使用IP路由ip路由命令。实施例10-16示出了用于VTP和VLAN,因为它涉及到示例网络拓扑的开关配置(参见图10-35)。
例如10-16边缘开关VTP和VLAN配置
VTP域思科VTP模式透明ip路由!vlan 10名客人!vlan 11名顾问!vlan 12名员工!VLAN 110名字不可信!VLAN 22名switch_mgmt!
配置访问控制列表
在本设计中,强制部分从NAC设备服务器移到边缘交换机。您将在身份验证/不受信任的VLAN上配置acl,以便允许通信流向NAC设备服务器、补救服务器、DHCP服务器、Active Directory服务器(如果使用AD SSO)以及用于补救目的所需的任何其他资源。当用户处于不受信任的VLAN中时,NAC设备代理开始发送ACL将允许的发现包。在NAC设备服务器获得NAC设备代理发现包之后,它将知道有一个新的主机连接到网络。然后,它可以提示用户进行身份验证和姿态评估。
对于姿势整治,NAC设备代理通过引导用户去补救资源有利于整治。对这些资源的访问已被允许的ACL。因此,用户在不受信任VLAN经过完整的NAC过程。因为ACL阻止访问任何东西在网络上,从而防止不符合要求的用户获得访问其他网络资源。例如10-17所示的访问列表,你会为不可信的VLAN配置110的样本。
例如10-17不可信的VLAN 110 ACL
ip访问列表100允许ip任意主机10.10.21.5IP访问列表100允许UDP任何任何EQ域IP访问列表100允许TCP任何任何EQ域ip访问列表100允许udp任何任何eq 67ip访问列表100允许udp任何任何eq 68允许ip任意主机[wsus,av,等等]
主机10.10.21.5是NAC设备服务器。这个ACL允许NAC设备代理发现数据包到达NAS。剩余的ACL允许DNS(域名),DHCP(67端口),并获得了WSUS服务器,防病毒服务器,和其他补救资源。
除了不受信任的VLAN上的ACL外,还必须在受信任的VLAN上配置ACL。这是因为NAC设备代理将每5秒连续发送发现包。因此,即使用户被移动到受信任访问VLAN, NAC设备代理仍继续发送发现包。您希望阻止这些包到达NAC设备服务器。为此,在受信任的vlan上配置以下ACL:
访问列表101拒绝ip任何主机10.10.21.5访问列表101允许IP的任何任何
当用户的信任VLAN此访问列表会阻止到达NAC设备服务器的流量。您可以选择添加到前面的ACL进一步控制客户端的流量。例如,您可以创建一个访问控制列表,具体到顾问,这使得他们只能到网络的有限访问。然后,将适用该ACL顾问VLAN 11。
配置SVIs
实施例10-18示出了三层SVI接口的开关配置。注意命令IP访问组100中要么ip访问组101 in在SVI接口上。此命令适用于SVI访问列表,该访问列表可以限制客户机的访问。您可以在“配置访问控制列表“ 部分。
例如10-18边缘开关SVI配置
接口VLAN10说明游客ip地址10.10.10.1 255.255.255.0ip访问组101 in!接口VLAN11描述顾问IP地址10.10.11.1 255.255.255.0ip访问组101 in!接口VLAN12说明员工IP地址10.10.12.1 255.255.255.0ip访问组101 in!接口Vlan110说明不可信ip地址10.10.110.1 255.255.255.0IP访问组100中!接口Vlan22说明交换机管理IP地址10.10.22.2 255.255.255.0!
将交换机配置为DHCP服务器
几乎每个网络都需要一个DHCP服务器。在样例拓扑中(请参阅图10-35),您将配置交换机作为DHCP服务器。交换机被配置为作为用户VLAN 10、11和12以及不受信任的VLAN 110的DHCP服务器。示例10-19显示了边缘开关DHCP配置。
例如10-19边缘交换机DHCP服务器配置
IP DHCP排除地址10.10.10.1IP DHCP排除地址10.10.10.254IP DHCP排除地址10.10.11.1IP DHCP排除地址10.10.11.254ip dhcp外排地址10.10.12.1ip dhcp外排地址10.10.12.254IP DHCP排除地址10.10.110.1ip dhcp逐出地址10.10.110.254!ip dhcp池vlan10网络10.10.10.0 255.255.255.0默认情况下,路由器10.10.10.1dns服务器192.168.35.2域名cisco.com!ip dhcp池vlan11网络10.10.11.0 255.255.255.0默认情况下,路由器10.10.11.1dns服务器192.168.35.2域名cisco.com!ip dhcp池vlan12网络10.10.12.0 255.255.255.0默认的路由器10.10.12.1dns服务器192.168.35.2域名cisco.com!ip dhcp池vlan110网络10.10.110.0 255.255.255.0默认的路由器10.10.110.1dns服务器192.168.35.2域名cisco.com!
配置FA1 / 0/5-接口与主机连接
客户端端口的配置非常简单;他们只需要被设置为接入端口。在该样品中的拓扑中,客户端端口FA1 / 0/5构成为能够在VLAN 10的进入端口,如实施例10-20英寸
例如10-20边缘交换机配置 - 客户端端口
接口FastEthernet1 / 0/5说明客户端端口交换机端口接入VLAN 10交换机端口模式访问扩充树portfast!
配置SNMP
该开关必须用SNMP MAC通知陷阱和链路故障陷阱来配置。该MAC-通知陷阱被用于检测在网络上的一个新的用户,并触发NAC处理。所述的linkDown Trap用于检测用户从网络断开连接。边缘交换机上实施例10-21示出了必要的SNMP配置。访问列表10被应用到SNMP配置,以提高安全性。这样只允许NAC设备管理器来说话SNMP与交换机。
例如10-21边缘交换机SNMP配置
SNMP服务器社区公共RO 10SNMP服务器社区私人RW 10snmp-server启用陷阱snmp链接SNMP服务器启用陷阱MAC-通知snmp-server主机10.10.30.5 snmpv2c公开访问列表10,允许IP 10.10.30.5
第2步:配置NAC设备管理器
在NAC设备管理器中,你所要做的使用配置脚本一些基本的配置。从NAC设备管理器CLI,则必须在服务perfigo配置。最初,您可以通过将键盘和显示器NAC设备管理器或通过串口(38400BPS)访问CLI。之后NAC设备管理器中有一个IP地址,CLI可以通过SSH进行访问。实施例10-22显示了配置安装脚本。
例如10-22在管理运行配置脚本