NAC设备代理将端口8905上的发现数据包发送到NAC设备管理器上配置的发现主机。默认情况下,发现主机是NAM的IP地址。这是因为NAM总是存在于受信任的网络上,对于不受信任网络上的用户来说,要到达受信任网络上的主机,它必须通过NAS,因此会发现NAS。
在本设计中,你是不是强制所有用户流量到达NAC Appliance服务器。添加技术,如基于策略的路由,虚拟路由和转发,或通用路由封装将迫使流量通过NAC设备服务器。您正在使用VLAN的ACL不强制信息流回到NAC Appliance服务器,但只能限制的地方可以去。因此,必须改变从NAC设备管理器(默认)发现主机是NAC Appliance服务器的信任端口IP,如图图10-55。这样做可以确保NAC设备代理发现数据包将达到NAC设备服务器。
更改发现主机
步骤17:配置Web登录页
您必须为不使用NAC设备代理的用户配置web登录页。登录页编辑屏幕显示在图10-56。
本设计采用ActiveX和Java小程序的控制为以下两个目的:
获取用户设备的MAC地址。这是OOB第3层模式运行所必需的。客户端的MAC地址用于查找客户端连接到的交换机端口。
触发IP发布/更新,当用户从不受信任的VLAN到受信任的VLAN移动。
请确保启用web客户端并选中或启用其下面的每个选项。
登录页面编辑屏幕
第18步:测试是否OOB和用户基于角色的VLAN分配作品
如果您导航到交换机管理>设备>开关>目录> 10.10.30.1>端口,您将看到接口Fa1/0/5未连接,并且当前位于VLAN 10(初始VLAN)上。如所示图10-57。
现在连接一台笔记本电脑对接FA1 / 0/5。你会看到该端口立即转移到不可信VLAN 110.这是由交换机发送SNMP MAC通知陷阱NAC设备管理器触发。端口被转移到VLAN 110,因为端口配置文件有AUTH(不可信)VLAN设置为VLAN 110查看图10-58详细情况。
连接端口列表,前
连接端口列表,之后
在用户PC上,您将看到NAC设备代理已弹出。输入用户jane的凭据,如中所示图10-59。
清洁访问代理身份验证弹出
当你点击登录,NAC设备确定用户简属于雇员用户角色。NAC设备看起来在下雇员用户角色配置的OOB用户角色VLAN和移动用户的交换机端口,FA1 / 0/5,VLAN 12。这在示出图10-60。
端口列表,之后认证
因为您在此过程中将用户的VLAN从VLAN 110更改为VLAN 12,所以您还将在用户的计算机上触发DHCP释放/续订。因此,在登录过程中,您将看到NAC设备代理屏幕,如图10-61和图10-62。
代理刷新IP
代理刷新IP成功
用户出现在OOB联机用户列表中,如图10-63. 如果用户被置于临时角色以进行修正,则它将显示在带内用户列表中,直到它变得干净为止。
现在,如果用户从交换机端口断开连接,NAC设备将从联机用户列表中删除该用户。这是由交换机向NAC设备管理器发送SNMP链接关闭陷阱触发的。但是,端口VLAN没有改变,它仍保留在VLAN 12中。
在线用户列表OOB
现在,另一个用户John连接到同一个交换机端口。交换机向NAC设备管理器发送新的SNMP MAC通知陷阱。端口将立即移动到auth(不受信任)VLAN 110,如所示图10-64,让新用户可以登录。
端口列表下一个用户
在用户的机器,清洁接入代理弹出,如图图10-65. 输入用户John的凭据并单击登录。
清洁访问代理身份验证弹出
用户通过身份验证后,NAC设备管理器确定该用户是顾问,并将该用户移动到VLAN 11,这是为来宾角色的OOB用户角色VLAN配置的VLAN。用户作为顾问出现在带外在线用户列表中,如图10-66。
在线用户列表OOB
附加出带外的注意事项
以下是有关您刚刚运行的示例设置的其他注意事项列表:
前面的步骤介绍了一个场景,在该场景中,用户拥有NAC设备代理,代理能够发现NAC设备服务器。
不具备NAC设备代理谁的用户必须获得相应的URL,他们可以去验证。该URL应该下定决心,NAC Appliance服务器的信任端口IP。因此,谁想要得到网络接入访客用户可以给出一个URL,例如:http://hotspot.cisco.com/。你可以把一个进入DNS服务器,使这个DNS名称解析为10.10.21.5,这是NAS的信任端口IP。
如果要在第3层OOB环境中执行NAC设备服务器负载平衡,可以有以下几种选择:
-使用服务器负载平衡设备,如Cisco ACE模块。
- 使用发现主机的IP地址指向一个客户端,只有通过服务器去可达。然后通过路由配置网络负载平衡这个地址。
- 使用DNS轮循负载平衡服务器。小心使用这种方法,因为它可能无法与故障处理好,这取决于您的环境。要使用它,您可以配置DNS主机名解析到不同的服务器,使它们之间的DNS服务器的负载均衡。如果您使用NAC设备代理,您可以配置主机的发现是一个DNS名称而不是IP,使DNS服务器解析DNS名称不同的服务器,以及它们之间的负载均衡。
在带外模式下,使用SNMP陷阱触发NAC进程,并使用SNMP集更改交换机端口上的VLAN。如果在第3层环境中配置带外,则必须确保网络可靠且不会丢弃SNMP数据包。如果为远程站点部署第3层OOB,而SNMP流量可能会穿越不可靠或拥塞的WAN链路,则应考虑此因素。您可以考虑使用QoS机制对广域网链路上的SNMP流量进行优先级排序。这样做将有助于确保远程站点的交换机和中心站点的NAC设备管理器之间的良好SNMP通信。NAC设备的未来版本将使用SNMP通知来帮助解决此问题。
摘要
在本章中,您研究了如何使用带外部署模式来配置NAC设备。你盖几个设计考虑为OOB,以及它是如何工作的。两个详述的,一步一步OOB样品设置分别给予。第一设置用于与第2层的客户端邻接OOB,而第二设置中使用OOB与第3层的客户端邻接。每个实施例中提供了关于如何配置每一个相关设备的在溶液中的指令。这包括思科交换机,路由器,NAC设备管理器和NAC设备服务器和VLAN接入酌情列表。这些样本配置旨在为指南,以帮助您构建适合您的环境,自己的NAC设备OOB解决方案。
版权所有©2007皮尔逊教育。保留所有权利。