接口FastEthernet1/0/4交换机端口trunk封装dot1qSwitchport trunk本地vlan 999Switchport trunk允许vlan 110通过switchport模式树干
在配置NAC Appliance Server的可信端口和非可信端口连接的交换机端口时,请注意以下事项:
始终确保在受信任端口和不受信任端口之间没有转发公共vlan。端口间共用VLAN可能导致二层环路。
为不受信任和受信任的端口配置不同的黑洞本地vlan。请确保这些vlan不用于用户流量。从整个网络的其他主干端口删除这些黑洞本地vlan。目标是不将这些vlan传播到配置它们的交换机之外。
只允许在可信端口和非可信端口转发相应的vlan。删除这些端口上剩余的vlan。
配置与主机连接的接口fa1 /0/5
最佳实践是将所有客户端交换机端口分配到与该交换机的auth VLAN相等的初始VLAN。在示例拓扑中,auth VLAN是VLAN 110。示例10-7显示了此功能的交换机配置。
例子10-7Cisco交换机配置客户端交换机端口
接口FastEthernet1/0/5交换机端口访问vlan 110switchport模式访问扩充树portfast
配置简单网络管理协议
交换机和NAC设备通过简单网络管理协议(SNMP)进行通信。要实现此功能,必须为SNMP设置交换机。例10-8配置交换机的SNMP MAC-notification trap和linkdown trap。MAC-notification trap检测到网络中有新用户,并触发NAC进程。linkdown告警表示检测到用户与网络断开连接。只读团体字串公共与访问列表一起使用10,它只允许NAC Appliance Manager访问。读写团体字串私人与访问列表一起使用10.在SNMP团体上配置访问列表,以防止不需要的访问,始终是一种安全最佳实践。交换机被配置为发送这些trap到NAC Appliance Manager在10.10.30.5。举例10-8显示了SNMPv2c的配置,NAC一体机还支持v1和v3。
例子可Cisco交换机SNMP配置
snmp-server community public ro10snmp-server community private RW 10SNMP -server enable trap SNMP linkdownsnmp-server使能trap MAC-NotificationSnmp-server主机10.10.30.5版本2c publicAccess-list 10 permit IP 10.10.30.5
步骤2:配置NAC Appliance Manager
现在已经配置了网络,接下来配置NAC Appliance Manager。在NAC Appliance Manager上,您必须使用配置脚本执行一些基本配置。必须在NAC Appliance Manager命令行界面(CLI)中输入服务perfigo配置.在NAC Appliance Manager配置IP地址之前,您可以通过连接显示器和键盘或串口线进入CLI。串行速度和设置是38400,N, 8,1。示例10-9显示了配置设置脚本。
例9通过CLI配置NAM
Fedora Core release 4 (Stentz)内核2.6.11-perfigo在i686凸轮登录:根密码:root@cam ~ #服务perfigo配置欢迎使用思科清洁访问管理器快速配置工具。注意,您需要是根用户才能执行此实用程序。该实用程序现在将问您一系列配置问题。请仔细回答。思科清洁访问管理器,(C) 2006配置网络接口:请输入eth0接口的IP地址[10.2.0.15]:10.10.30.5你进入10.10.30.5。这是正确的吗?(y / n) ?[y]请输入eth0接口的netmask [255.255.255.0]:你进入255.255.255.0。这是正确的吗?(y / n) ?[y]请输入默认网关的IP地址[10.2.0.1]:10.10.30.1你进入10.10.30.1。这是正确的吗?(y / n) ?[y]请输入主机名[cam1]:不结盟运动你进入南。这是正确的吗?(y / n) ?[y]请输入名称服务器的IP地址:[192.168.10.1]10.10.30.6你进入10.10.30.6。这是正确的吗?(y / n) ?[y]您想要更改共享秘密吗?(y / n) ?[y]请记住使用相同的字符串配置Clean Access Server。请输入Clean Access Server之间的共享秘密你输入:cisco123这是正确的吗?(y / n) ?[y]>>>配置日期和时间:时区当前设置为:America/Los_Angeles您想更改此设置吗?(y / n) ?[y]n当前时间hh:mm:ss mm/dd/yy [01:01:01 01/01/07]:01:20:00 01/01/07你进入01:20:0001/01/07这是正确的吗?(y / n) ?[y]星期一一月01 01:20:00太平洋标准时间2007为了使用Clean Access Manager的安全web控制台,您必须生成有效的SSL证书。请正确回答下列问题。新SSL证书的信息:输入完全限定的域名或IP:10.10.30.5输入组织单位名称:nacapp输入组织名称:思科输入城市名称:圣荷西输入国家代码:ca输入2个字母的国家代码:我们您输入以下内容:域:10.10.30.5组织单位:nacapp组织名称:思科城市名称:圣何塞国家代码:ca国家代码:美国这是正确的吗?(y / n) ?[y]生成SSL证书……CA签名:/root/.tomcat.企业社会责任——> /root/.tomcat.crt:CA验证:/root/.tomcat.-> CA证书/root/.tomcat.crt:好的完成出于安全考虑,建议修改root用户的默认密码。用户:根修改root用户密码。新的UNIX密码:重新输入新的UNIX密码:Passwd:所有认证令牌更新成功。更改需要重新启动Clean Access Manager。配置完成。root@cam1 ~ #服务perfigo重启
步骤3:配置NAC Appliance服务器
在NAC Appliance Server上,必须使用配置脚本进行一些基本配置。在NAC Appliance Server命令行中,必须输入服务perfigo配置.示例10-10显示了配置设置脚本。
例子的真空度通过CLI配置NAS
root@cas ~ #服务perfigo配置欢迎使用思科清洁访问服务器快速配置实用程序。注意,您需要是根用户才能执行此实用程序。该实用程序现在将问您一系列配置问题。请仔细回答。思科清洁访问服务器,(C) 2006配置网络接口:请输入eth0[10.2.0.15]的IP地址:10.10.20.5你进入10.10.20.5。这是正确的吗?(y / n) ?[y]请输入eth0接口的netmask [255.255.255.0]:你进入255.255.255.0。这是正确的吗?(y / n) ?[y]请输入默认网关[10.2.0.1]的IP地址:10.10.20.1你进入10.10.20.1。这是正确的吗?(y / n) ?[y]关闭从eth0到eth1的报文[Vlan Id Passthrough]。您想启用它吗?(y / n) ?[n]关闭eth0的出口报文[Management Vlan Tagging]。您想启用它吗?(y / n) ?[n]请输入不受信任的接口eth1[10.2.0.15]: 10.10.20.5的IP地址你进入10.10.20.5。这是正确的吗?(y / n) ?[y]请输入接口eth1的netmask [255.255.255.0]:你进入255.255.255.0。这是正确的吗?(y / n) ?[y]请输入默认网关[10.2.0.1]的IP地址:10.10.20.1你进入10.10.20.1。这是正确的吗?(y / n) ?[y]禁用eth1到eth0的报文[Vlan Id Passthrough]。您想启用它吗?(y / n) ?[n]关闭eth1的出接口报文[Management Vlan Tagging]。您想启用它吗?(y / n) ?[n]请输入主机名[cas1]: nas你进入NAS1。这是正确的吗?(y / n) ?[y]请输入名称服务器的IP地址:[192.168.10.1]:10.10.30.6你进入10.10.30.6。这是正确的吗?(y / n) ?[y]您想要更改共享秘密吗?(y / n) ?[y]请输入共享密钥:cisco123输入:cisco123这是正确的吗?(y / n) ?[y]>>>配置日期和时间:时区当前设置为:America/Los_Angeles您想更改此设置吗?(y / n) ?[y] n当前日期和时间hh:mm:ss mm/dd/yy [01:01:01 01/01/07]: 01:40:00 01/01/07您输入01:40:00 01/01/07是否正确?(y / n) ?[y]星期一一月01 01:40:00太平洋标准时间2007为了使用Clean Access Server的安全web控制台,您必须生成有效的SSL证书。请正确回答下列问题。新SSL证书的信息:输入完全限定的域名或IP: 10.10.20.5输入组织单元名称:nacapp输入组织名称:cisco输入城市名称:圣何塞输入状态码:ca输入2个字母的国家代码:us您输入以下内容:域:10.10.20.5组织单位:nacapp组织名称:思科城市名称:圣何塞国家代码:ca国家代码:美国这是正确的吗?(y / n) ?[y]生成SSL证书……CA签名:/root/.tomcat.企业社会责任——> /root/.tomcat.crt:CA验证:/root/.tomcat.-> CA证书/root/.tomcat.crt:好的完成出于安全考虑,建议修改root用户的默认密码。用户:根修改root用户密码。新的UNIX密码:重新输入新的UNIX密码:Passwd:所有认证令牌更新成功。您想更改web控制台admin用户的默认密码吗?(y / n) ?[y]请为web控制台管理用户输入适当的安全密码。web控制台管理员的新密码:确认web控制台管理员的新密码:Web控制台管理员密码修改成功。配置完成。[root@cas1 ~]#服务perfigo重启
步骤4:登录NAC Appliance Manager
打开浏览器并通过SSL连接连接到NAM。输入NAM的IP (https://10.10.30.5),并输入username:管理和密码:cisco123.图10 - 2显示NAC Appliance Manager登录屏幕的示例屏幕截图。
NAC设备管理器登录屏幕
可以查看NAM at的网络配置信息行政> CCA经理.图三分在此示例拓扑中显示NAC Appliance Manager的网络配置页面(请参阅图10 - 1).
管理员网络配置界面
步骤5:将NAC设备服务器添加到NAC设备管理器中
您可以通过下面的命令添加NAC Appliance Server设备管理> CCA服务器>新服务器.4图打败显示添加新服务器页面。
添加新服务器页面
图的纯显示NAC Appliance Server已以OOB虚拟网关模式添加。
服务器列表页面
步骤6:在NAC设备服务器上编辑网络设置
去设备管理> CCA服务器>管理>网络> IP.您将看到一个复选框设置管理VLAN ID.这通常是很多混乱的来源。默认情况下,不启用此选项。禁用此选项后,当NAC Appliance Server初始化流量并从受信任端口发送时,它将不带标记地发送数据包。因此,当这些报文到达交换机时,交换机就确定这些报文是在本机VLAN上收到的,并将它们在该VLAN中转发到目的地。如果启用该选项并输入VLAN ID, NAC一体机发起流量时,发送带有该VLAN ID标记的报文。当交换机接收到这些数据包时,它决定它们属于那个带标签的VLAN。因此,只要交换机和NAC Appliance Server上的配置匹配,就可以了。如果这些配置之间存在不匹配,您可能会使您的NAS通信陷入黑洞,无法从NAM管理NAS。
以NAS信任端口eth0与802.1q中继链路Fa1/0/3连接为例。因此,交换机希望从NAS管理接收802.1q标记的流量。因此,在NAS的网络设置页面中,应该启用该选项设置管理VLAN ID并输入20.因为VLAN 20为NAS管理VLAN。图10 - 6在示例拓扑中显示NAC Appliance Server的网络配置页面。
您将注意到,您为受信任和不受信任的接口配置了相同的IP。请记住,在虚拟网关模式中,NAC Appliance Server充当纯粹的第二层设备。因此,该设备只有一个IP地址:管理IP地址。NAC Appliance假定其管理IP是在受信任端口上配置的IP。您在不受信任的端口上配置的IP没有相关性。在受信任和不受信任的接口上配置相同的IP地址。
服务器网络配置界面
步骤7:配置VLAN映射
在OOB虚拟网关模式中央部署中,您希望不受信任VLAN上的用户流量在到达用户的默认网关之前通过NAC Appliance Server。不受信任的VLAN也称为身份验证VLAN(auth VLAN简称)的OOB模式。为了实现这个流量,NAC Appliance Server执行VLAN映射。在NAC Appliance Server上配置VLAN映射,将不受信任的VLAN映射为受信任的VLAN。这允许不受信任端的用户通过NAC Appliance Server到达受信任端的默认网关。NAC Appliance Server正在桥接两个vlan。