Fedora核心发布4内核2.6.11-perigom登录方式 :根线密码 :[root@cam~]#服务perfigo配置欢迎使用思科无障碍管理器快速配置工具注意执行此工具需要root工具现在会问一系列配置问题请仔细回答Cisco清洁存取管理器,Cisco系统公司配置网络接口请输入接口ETS0IP地址[10.2.015]10.10.30.510.10.30.5正确吗y/n?y输入网膜接口ETSET0[255.555.0]255.555.0正确吗y/n?y请输入默认网关IP地址 [10.2.0.1]10.10.30.110.10.30.1正确吗y/n?y请输入主机名南城你输入nam正确吗y/n?y请输入名服务器IP地址:[192.168.10.1]10.10.30.6输入10.10.30.6正确吗y/n?y改用共享秘密y/n?y记住用同字符串配置清洁存取服务器请输入清洁存取服务器共享秘密您输入 :Cisco123正确吗y/n?y配置日期和时间时区当前定值为:America/Los-Angeles您想修改设置吗?y/n?yN级hh:mm:smm/dd/yy01/01/0701:200001/07y/n?y01:20:00PST2007生成有效SSL证书使用清洁存取管理员安全网络控制台请正确回答下列问题新建SSL证书信息输入完全合格的域名或IP10.10.30.5输入组织单位名 :纳卡输入组织名称 :Cisco公司输入城名 :南约斯市输入状态代码 :卡市输入2字母国家代码我们您输入了以下内容 :领域:10.10.30.5组织单元:naca组织名称:cisco市名:San Jose状态代码:国家代码:我们正确吗y/n?y生成SSL证书CA签名/root/.tomcat.csr->/root/.tomcat.crCA验证/root/.tomcat.crt <->CA证书/root/.tomcat.crt成交安全理由高度推荐你修改root用户默认密码用户:root修改用户密码root新建UNIX密码重类型UNIX密码passwd:所有认证令牌成功更新更改需要重订净存取管理程序配置完全化[root@cam1~#服务perfigo重开
步骤3配置NAC应用服务器
NAC应用服务器上,你必须使用配置脚本再次执行某些基本配置从NAC应用服务器CLI输入服务perfigo配置.初始时,您可以通过安装键盘并监控NAC应用管理器或串行端口(38400bps)访问CLI等NAC应用服务器IP地址后,CLI可通过SSH访问例10-23显示配置脚本
例10-23通过CLI配置NAS
[root@cas~]#服务perfigo配置欢迎使用思科无障碍服务器快速配置工具注意执行此工具需要root工具现在会问一系列配置问题请仔细回答Cisco清洁服务器,Cisco系统公司配置网络接口请输入接口ETS0地址[10.2.0.15]:10.10.20.510.10.20.5正确吗y/n?y输入网膜接口ETSET0[255.555.0]255.555.0正确吗y/n?y请输入默认网关IP地址 [10.2.0.1]:10.10.20.1输入10.10.20.1正确吗y/n?ysbacks从ETS0到ETSI禁止需要启动它吗y/n?家常便饭Exgress包ETS0禁止需要启动它吗y/n?家常便饭IP地址10.10.20.5正确吗y/n?y输入网膜接口eth1255.555.0正确吗y/n?y请输入默认网关IP地址 [10.2.0.1]: 10.10.21输入10.10.20.1正确吗y/n?y从ths1到ths0包失效需要启动它吗y/n?家常便饭egress包ETS1禁止需要启动它吗y/n?家常便饭请输入主机名[cas1]:l3oobnas你输入NAS1正确吗y/n?y请输入名服务器IP地址:[192.168.10.1]:10.10.30.6输入10.10.30.6正确吗y/n?y改用共享秘密y/n?y请输入共享密钥:cisco输入器:cisco123正确吗y/n?y配置日期和时间时区当前定值为:America/Los-Angeles您想修改设置吗?y/n?ysnhh:mm:smm/dd/yy01: 55: 00 01/02/07正确吗y/n?yTuesJan020:55:00PST2007生成有效SSL证书使用清洁存取服务器安全网络控制台请正确回答下列问题新建SSL证书信息输入完全合格的域名或IP:10.10.20.5输入组织单位名:naca输入组织名:cisco输入城名:输入状态代码:输入2字母国家代码您输入了以下内容 :领域:10.10.20.5组织单元:naca组织名称:cisco市名:San Jose状态代码:国家代码:我们正确吗y/n?y生成SSL证书CA签名/root/.tomcat.csr->/root/.tomcat.crCA验证/root/.tomcat.crt <->CA证书/root/.tomcat.crt成交安全理由高度推荐你修改root用户默认密码用户:root修改用户密码root新建UNIX密码重类型UNIX密码passwd:所有认证令牌成功更新您想修改网络托管器用户密码默认密码吗?y/n?y请输入适当安全密码Web主机管理员web主机管理员新密码确认网络托管器管理员新密码Web控制台密码成功修改配置完全化serviceperfigo重开
步骤4:登录到NAC应用管理器
打开浏览器并通通SSL连接IP类型或网域名(https://10.10.30.5)默认用户名管理员默认密码Cisco123.
可查看全局配置行政>CCA管理器中显示图10-36.
NAC应用管理器配置页
步骤5:向NAC应用管理器添加NAC应用服务器
可添加NAC应用服务器设备管理>CA服务器>新服务器中显示图10-37.样本表层学中(见图10-35NAC应用服务器类型监外实战网关.确定从下拉菜单中选择正确的服务器类型
新建服务器配置页面
图10-38显示NAC应用服务器以OOBReal-IP网关模式添加并连接状态
服务器链表
步骤6编辑NAC应用服务器网络设置
内图10-39通知设置管理VLANID未启动 。这是因为连接NAC应用服务器的开关端点为存取端口,而非802.1q中继端口因此,你不希望NAS标签任何包相邻复选框L3启动支持检查中 。允许NAC应用服务器与二层相邻或多路由跳离客户通信
服务器网络配置页面
步骤7配置静态路线
例子中,您不必配置受控子网然而,你将配置静态路径2OB部署与3OB部署之差
视受控子网为路由器直接连通子网用户子网直接连接NAC应用服务器时,你配置受控子网
NAC应用服务器不支持路由协议用户子网从NAC应用服务器跳出一个或多个次网时,必须配置静态路径NAC应用服务器与用户设备通信时用户置信VLAN静态路径配置 子网关联 不受信任VLANs图10-40.VLAN110 (10.10.110.0/24)为不信任VLAN
添加NAC应用服务器静态路由
步骤8配置开关组
本步骤任选预配置默认组已经存在添加切换由NAC应用管理器管理时,这些切换器加入默认组可配置更多组并随后在特定组中添加开关通过这样做,当列表开关时,可按组列高容量开关由NAC应用管理时此步有用 。示例中,您将配置组cat3750显示图10-41.
添加开关分组
步骤9:配置开关配置
开关剖面配置定义NAC应用管理员与开关通信方式添加由NAC应用管理器管理的开关时,将配置哪个配置开关所属需要为您管理的思科切换模型添加切换配置图10-42显示切换配置页面
添加开关配置
确定配置开关模型、SNMP端口和SNMP读写社区字符串匹配每个开关配置
步骤10:配置端口配置
端口剖面图应用到端口以确定它是否受NAC应用控制可配置验证VLAN、默认访问VLAN和VLAN分配法使用端口剖面记住验证VLAN和不信任VLAN或隔离VLAN相同VLAN访问端信任VLAN配置中(见图10-35)为访问VLAN字段内用户作用VLAN从下拉菜单中选择表示当用户验证健康时,用户移动的VLAN由用户作用决定图10-43显示端口剖面配置页面
端口配置页面
上头生成事件日志时,选项被激活,以便知道终端用户是否连接到NAC控开关背后的枢纽或非托管开关
上头接收SNMP链接陷阱时删除网外用户选项启动后,如果用户机从开关端断开,用户将从NAC应用上登陆
假设用户从IP手机后连接机器,当用户断开时,开关无法检测链路下拉并因此不从NAC应用程序上登陆用户上头取开关端站新用户在同一端口检测到时删除其他停机在线用户选项启动后,如果移植检测到新用户,NAC应用自动登陆老用户此外,删除网外用户而不启动端口选项检查客户支持IP手机时需要此功能
步骤11:配置SNMP接收器
SNMP接收器配置必须与NAC控开关SNMP配置匹配SNMP接收器接收并响应交换机发送SNMP陷阱图10-44显示样本表层学SNMP接收器配置
SNMP接收器配置页面
高级设置中可调换不同定时器也可用,如图所示图10-45.调整定时器不需使用,除非开关和NAC应用程序管理员通信中出现意外延迟
步骤12:向NAC应用管理器添加开关
NAC应用程序管理开关,必须先添加开关(见图10-46)通向开关管理 > 设备 > 新建
SNMP接收器高级搭建
添加新开关配置页
您必须选择合适的切换配置和切换组确定选择默认端口配置原封非控件.插上开关IP地址并点击添加.
步骤13:配置端口受NAC应用程序管理
现在开关添加后,NAC应用动态学习所有端口要查看它们,请点击端口图标开关显示图10-47.并列所有端口开关显示图10-48.
开关链表
端口链表
因用户PCfa1/0/5连接NAC_控件端口剖面并点击更新.时点击搭建按钮,NAC应用管理器添加命令snmp陷阱通知加注Fa1/0/5接口配置配置变换为开关运行配置要保存到启动配置中,请点击保存按钮.
步骤14:配置用户角色
样本表层设计三大用户作用:客商参事和员工用户角色页定义OOB用户角色VLANVLAN启动时用户角色完成NAC进程时,开关端将分配到VLAN看吧图10-35列表VLAN任务记住用户角色配置页面上所有漫游、IPsec和VPN引用都应予忽略,因为它们有预设特性图10-49显示用户角色创建
添加用户作用指南
图10-50显示为咨询师创建用户角色
添加用户角色咨询
图10-51显示雇员用户角色创建
添加用户角色-雇员
图10-52显示所有用户角色
用户角色表
步骤15:配置用户验证本地数据库
向NAC应用局域数据库添加两个本地用户:一名雇员和一名顾问本地用户账号将用于测试目的生产环境中,你应配置LDAP、Kerberos或RADIUS服务器,而不是本地用户数据库本地用户通常只用于测试和客服访问图10-53显示创建咨询用户
添加本地用户咨询
图10-54显示雇员用户创建
添加本地用户-雇员
步骤16:改变发现主机
NAC应用代理发送发现包发现NAC应用服务器,以便它能开始通信并启动NAC进程信息包发送到UDP端口8905和8906
NAC应用服务器在UDP端口8905和8906监听当它从这些端口接收NAC应用代理包时,它知道新主机连接网络并指令NAC应用代理跳出并挑战用户认证NAC应用服务器不转发这些包
UDP8905包发送用户设备默认网关因此,如果NAC应用服务器二层邻近用户,NAC应用代理包将达NAS