本章包括以下主题:
出带外概述和设计
样本设计和配置为2层外的频段部署
第3层带外部署的示例设计和配置
本章涵盖了带外(OOB)模式在第2层(用户是与NAC设备服务器相邻的第2层)和第3层(用户距离NAC设备服务器有一个或多个跳点)场景中的配置。关于OOB是什么以及它如何与带内(IB)模式进行比较的详细信息,请参阅本书前面的第4章“理解所有Cisco NAC设备设计选项”。这本书不包括关于配置带内模式的章节。这样做的主要原因是,如果您知道如何配置OOB模式,那么您也知道如何配置IB模式。要配置IB模式,您几乎要遵循配置OOB模式的相同步骤,但是您省略了交换机和VLAN配置步骤。
出带外概述和设计
在计划带外模式部署时,请记住以下因素将影响设计。
用户访问方法
今天,NAC设备支持出带外模式仅适用于有线局域网上的用户。无线和虚拟专用网络(VPN)用户必须使用带内模式。
交换机支持
NAC设备带外模式只与思科催化剂开关工作。NAC设备带内模式支持大多数思科交换机。支持开关的完整兼容性矩阵是at
http://www.cisco.com/univercd/cc/td/doc/product/vpn/ciscosec/cca/cca40/switch.htm
中央部署模式或边缘部署模式
这里的术语中央和边缘部署参考NAC Appliance服务器的物理配置。两个可信任接口和NAC Appliance服务器(NAS)的不可信接口被插入到相同的物理开关集中式部署模式的手段。各接口所插入到两个分开的交换机边缘部署模式的装置。出带外部署使用集中式部署模式。这是因为在出带外的部署中,NAC Appliance服务器几乎总是放置在分布层或核心层而不是在网络的边缘。
第二层或第三层
如果NAC设备服务器放置在终端用户与它相邻的第2层,则将NAC设备服务器配置为第2层带外(L2OOB)模式。
如果NAC设备服务器放置在终端用户与其相隔一个或多个跃点的位置,则将NAC设备服务器配置为第3层带外(L3OOB)模式。
NAC设备服务器的网关模式
NAC设备服务器可以配置为虚拟网关模式或实ip网关模式。大多数L2OOB部署将采用虚拟网关模式,因为与实际ip网关模式相比,这种模式需要的配置更改相对较少。
在虚拟网关模式下,配置在NAC设备服务器的不可信端口上的IP地址没有实际用途。请记住,在虚拟网关模式中,NAC设备服务器充当第二层透明桥,因此只有一个管理IP。NAC设备服务器的受信任端口上配置的IP地址用作管理IP。因此,不受信任的端口IP地址不能用于任何实际目的。
在实ip网关模式下,NAC设备服务器作为第3层设备(路由器);因此,受信任和不受信任的端口IP地址都是可用的。大多数L3OOB部署将采用实ip网关模式。这是因为在L3OOB中,在不受信任的端口上必须有一个可用的IP地址。当本章后面讨论L3OOB设计时,这一点将变得更加清晰。
表10-1列出了开关与网关模式类型的兼容性矩阵。
表10-1网关模式开关兼容性矩阵
L2或L3开关 |
虚拟网关模式 |
实时IP模式 |
|
中央的部署 |
边缘部署 |
中央或边缘部署 |
|
6500 |
是 |
是 |
是 |
4500 |
是 |
是 |
是 |
3560分之3750(L3交换机) |
是,12.2(25)见及更高 |
是 |
是 |
3550 (L3开关) |
没有* |
是 |
是 |
3750/3560 (L2开关) |
是 |
是 |
是 |
3550(L2切换) |
是 |
是 |
是 |
二千九百六分之二千九百五十 |
是 |
是 |
是 |
*由于与Cisco IOS交换机的警告CSCsb62432
请注意,表10-1中的信息是独立IB或OOB模式。表10-1中的一个红旗是,NAC设备服务器在集中式部署模式中,连接到Catalyst 3550交换机(如一个第3层交换机),不能在虚拟网关模式进行配置。这是由于与Cisco IOS开关警告CSCsb62432(http://www.cisco.com/cgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsb62432)。需要注意的是用户注册或劳务合同需要访问某些资源Cisco.com。
简单的网络管理协议陷阱触发NAC进程
一个交换机可以被配置成生成一个连接或mac通知陷阱来检测一个新用户已经连接到交换机端口。选择使用连接还是mac通知取决于开关和开关运行的代码。如果你有选择,你应该总是使用mac通知。这是一个更有效、更灵活的陷阱。
决定使用最佳陷阱的其他因素是您是否有IP电话,以及用户机器是否将从这些IP电话后面连接到网络。当用户在这种情况下连接到网络时,不会检测到新的连接;因此,你必须依靠MAC通知来检测新用户是否从IP电话后面连接到网络。
基于端口的VLAN分配或基于用户角色的VLAN分配
如果在带外模式下使用基于端口的VLAN分配,那么不受信任的VLAN和特定端口的受信任VLAN都是静态的。当用户连接到该端口时,用户将移动到预配置的不可信VLAN。在用户进行身份验证和补救之后,用户转移到同样为该端口预先配置的受信任VLAN。
如果您使用基于用户角色的VLAN分配,对于一个特定端口的VLAN不可信是静态的。然而,在用户进行身份验证和修复后,受信任的VLAN,用户移动到取决于该用户所属的角色。这是基于用户的用户角色动态确定。
样本设计和配置为2层外的频段部署
对于这个层2带外模式的例子,考虑拓扑图10 - 1。
样本网络拓扑
用户PC、NAC设备管理器和NAC设备服务器连接到一个Catalyst 3750交换机。NAC设备服务器采用虚拟网关中央部署模式配置。
NAC设备管理器(NAM)是VLAN 30和具有IP地址(10.10.30.5 / 24)。NAC Appliance服务器的管理是对VLAN 20,并具有一个IP地址(10.10.20.5 / 24)。
注意:在虚拟网关模式下,NAC设备服务器管理IP必须位于与NAC设备管理器不同的子网上。这是因为,当NAS在虚拟网关模式下必须发起数据包时,它总是将数据包发送到不受信任的端口之外(发送到它的默认网关或NAC设备服务器管理子网以外的子网的数据包除外)。NAC设备管理器始终驻留在可信网络上。因此,要与NAC设备管理器进行通信,NAC设备服务器必须从受信任端口发送数据包,这就要求NAC设备管理器驻留在与NAC设备服务器不同的子网上。
在本设计中,您将使用基于用户角色的VLAN分配。有三种用户vlan:
VLAN 10(客人)
VLAN 11(顾问)
VLAN 12(员工)
根据谁连接到交换机端口,您希望将用户移动到前面列表中的一个vlan。vlan具有与其交换虚拟接口(SVIs)相关联的访问控制列表,以适当地限制那些用户角色的网络访问。需要注意的是,这些acl不是由NAC设备管理或控制的,它们作为VLAN acl应用于Cisco交换机本身。现在您已经对设计原则有了一个很好的了解,本节的其余部分将展示如何配置第2层带外部署。
步骤1:配置交换机
Catalyst 3750开关被用作第3层开关运行代码12.2(25)见。(见图10 - 1)。
配置VLAN中继协议和VLAN
你们中的一个会做的第一件事情就是配置您的交换机支持OOB部署。例10-1显示了如何在所示的交换机上的VLAN配置图10 - 1样品网络。
例子1切换OOB部署的配置
vtp领域思科vtp模式透明IP路由!VLAN 10客人的名字!VLAN 11,名顾问!VLAN 12名员工!vlan 20名字NAS_mgmt!vlan 30名字NAM_mgmt!vlan 110名字untrusted_vlan!VLAN 998-999!
配置SVIS
下一步是配置交换机上的第3层接口(SVIs)。示例10-2展示了示例网络的SVI配置(参见图10 - 1)。注意,所有这些SVIs只驻留在NAC设备服务器的受信任端。对于VLAN 110(不受信任的端)上的客户机,要到达它们,必须通过NAC设备服务器。其他SVIs用作不同用户访问vlan的默认网关。请记住,在客户端被认为是“干净的”之后,它的交换机端口将动态地重新配置,客户端将移动到它的访问VLAN。此时,NAC设备不再位于客户机的通信路径中。在本例中,访问VLAN是由客户机的用户角色决定的;例如,雇员是VLAN 12。
示例10 - 2交换机SVI配置
接口Vlan10IP地址10.10.10.1 255.255.255.0!接口Vlan11IP地址10.10.11.1 255.255.255.0!接口Vlan12ip地址10.10.12.1 255.255.255.0!接口VLAN20IP地址10.10.20.1 255.255.255.0!接口VLAN30ip地址10.10.30.1 255.255.255.0!
注意,您没有为VLAN 110配置SVI。这对于迫使VLAN 110流量通过NAC设备服务器作为从VLAN 110退出的唯一途径是必要的。
配置交换机作为DHCP服务器
NAC Appliance服务器虚拟网关模式下运行不能作为其不可信端网络的DHCP服务器。在此模式下运行时,NAC Appliance服务器功能被禁用。因此,你必须提供一个DHCP服务器。许多组织都使用内置于大多数Cisco交换机DHCP服务器功能。但是,任何DHCP服务器会工作。
如果NAC Appliance服务器被实时IP网关模式下运行,使用NAC设备服务器的内置DHCP服务器功能建议。在示例网络(见图10 - 1), NAC设备服务器处于虚拟网关模式。示例10-3展示了如何将Cisco交换机配置为DHCP服务器。记住,VLAN 110(认证VLAN)被映射到受信任端VLAN 10。交换机被配置为作为身份验证VLAN 10和访问VLAN 11和12的DHCP服务器。
例子三分Cisco交换机DHCP服务器配置
ip dhcp外排地址10.10.10.1ip dhcp逐出地址10.10.10.254ip dhcp外排地址10.10.11.1ip dhcp逐出地址10.10.11.254IP DHCP排除地址10.10.12.1IP DHCP排除地址10.10.12.254!IP地址池VLAN10网络10.10.10.0 255.255.255.0默认的路由器10.10.10.1DNS服务器192.168.35.2域名cisco.com!IP地址池VLAN11网络10.10.11.0 255.255.255.0默认的路由器10.10.11.1DNS服务器192.168.35.2域名cisco.com!IP地址池VLAN12网络10.10.12.0 255.255.255.0默认情况下,路由器10.10.12.1DNS服务器192.168.35.2域名cisco.com!
配置FA1 / 0/1-接口连接NAC设备管理器的eth0端口
接下来,您必须配置NAC设备管理器的eth0接口插入的交换机端口。NAC设备管理器的eth0接口驻留在受信任端的VLAN上。如果NAC设备服务器以虚拟网关模式运行,其VLAN必须与NAC设备服务器管理的VLAN不同。在示例网络拓扑中(请参阅图10 - 1), NAC设备管理器eth0接口连接到交换机的Fa1/0/1并驻留在VLAN 30中。示例10-4显示了此开关配置。
4例打败NAC设备管理器eth0端口的Cisco交换机配置
接口FastEthernet1/0/1描述经理eth0交换机接入vlan 30switchport模式访问生成树的PortFast
配置fa1 /0/3 -连接NAC设备服务器的可信端口(eth0)的接口
eth0接口插入的交换机端口将被配置为映射身份验证VLAN和NAC设备服务器管理VLAN的中继链路转发流量。主干的本地VLAN应该设置为网络中其他任何地方都不会使用的内容,这本质上使它成为一个黑洞。示例10-5显示了示例拓扑的交换机配置(参见图10 - 1)。在示例拓扑,VLAN 10是映射的认证VLAN和VLAN 20是NAC设备服务器管理VLAN。
这个例子用于NAC设备服务器eth0 Post的Cisco交换机配置
接口FastEthernet1/0/3交换机端口中继封装DOT1Q交换机端口中继本地VLAN 998交换机中继线允许vlan 10,20交换机端口模式干线
配置fa1 /0/4连接NAC设备服务器的不受信任端口(eth1)的接口
交换机端口eth1接口插头插入将被配置为用于在不可信侧的认证VLAN中继链路转发流量。例10-6示出了基于示例网络拓扑的开关配置。
示例10 - 6NAC设备服务器eth0端口的Cisco交换机配置