当然,在用户被桥接之前,他们会被NAC Appliance Server停止以进行身份验证和姿态评估。缺省情况下,只允许用户的DNS和DHCP请求通过认证。在本例中,来自不受信任的VLAN 110的流量映射到受信任的VLAN 10(参见图10 - 1).图10-7显示导航到的VLAN映射配置页面设备管理>清洁访问服务器>10.10.20.5>先进的>VLAN的映射.
启用VLAN映射,单击更新按钮。将不受信任的VLAN配置为VLAN 110,受信任的VLAN配置为VLAN 10。使能并配置VLAN映射后,可以同时使能接口Fa1/0/4。当配置VLAN映射时,NAC Appliance Server将丢弃所有的二层控制流量,包括桥接协议数据单元、思科发现协议等。
VLAN映射配置界面
步骤8:配置管理子网
理解的概念是非常重要的管理子网NAC Appliance Server配置为虚拟网关模式时。图可达显示示例网络拓扑。
样本网络拓扑
不受信任的接口IP与此无关。当用户连接到网络并移动到不受信任的VLAN时,用户机器上的NAC Appliance Agent开始向NAC Appliance Manager的IP地址发送发现报文。在前往NAC Appliance Manager的途中,数据包通过并被NAC Appliance Server拦截。NAC Appliance Server必须响应这些数据包,但是为了能够这样做,它必须为发送客户机提供一个地址解析协议(ARP)条目。因此,它必须先发送一个ARP请求。但是不能使用不受信任的接口的IP地址作为ARP请求的源。此外,NAC Appliance Server必须将ARP请求发送到正确的不受信任的VLAN。
这是通过在NAC Appliance Server上配置托管子网来实现的。将托管子网想像成路由器上的子接口。图- 9显示示例托管子网配置页面。
子网管理页面
本例中,不受信任网络上的用户将在VLAN 110上。由于VLAN 110在可信网络中映射到VLAN 10, VLAN 110上的用户实际上将从VLAN 10上的DHCP服务器获得一个IP地址。您在这里配置的管理子网将在VLAN 10子网范围内;但是,它的VLAN ID是VLAN 110,因为您希望ARP请求从不受信任的端VLAN 110发出。
管理子网这个术语有点误导人。真的应该是这样子网管理界面.在配置托管子网时,请确保配置的是IP地址而不是子网地址。这是为了使NAC Appliance Server发出的ARP请求具有有效的源IP地址。在此例中,管理子网110的IP地址为10.10.10.254。你可以看到图- 9VLAN -1的IP地址为10.10.20.5,即管理VLAN 20。-1是一个变量,映射到eth0信任接口上配置的VLAN。所有托管子网IP地址必须从DHCP服务器的地址范围中排除。
步骤9:配置交换组
此步骤为可选步骤。已存在预先配置的Default组。当添加需要由NAC Appliance Manager管理的交换机时,交换机被添加到“Default”组中。您可以配置其他组,然后将交换机添加到特定组。通过这样做,在列出交换机时,可以按组列出它们。如果有大量交换机要由NAC Appliance管理,则此步骤非常有用。在本例中,您将配置一个名为cat3750的组。这是通过导航到开关管理>配置文件>集团,如图的真空度.
添加交换机组
步骤10:配置Switch Profile
交换机配置文件用于定义NAC Appliance Manager与交换机通信的方式。在添加交换机时,需要配置交换机属于哪个profile。必须为希望支持的每个思科交换机型号添加交换机配置文件。图10 - 11显示示例开关的配置文件,一个3750。该页面可通过导航到开关管理>配置文件>开关>新.
创建转换配置文件
请确保配置的交换机型号、SNMP端口和SNMP读写团体字与交换机的配置相匹配。
步骤11:配置端口策略
端口配置文件应用于端口,以确定端口是否以及如何由NAC Appliance控制。通过端口配置文件可以配置认证VLAN、缺省接入VLAN和VLAN分配方式。在配置中显示图10 - 12,访问VLAN领域,用户角色VLAN已从下拉菜单中选择。这意味着,当用户经过身份验证并处于健康状态时,将根据用户角色决定用户移动到的VLAN。中显示的页面图10 - 12可以通过导航到开关管理>配置文件>港口>新.
端口配置文件配置界面
的当同一个交换机端口上检测到多个MAC地址时,生成事件日志选项,以便您可以知道终端用户是否连接了na控制交换机后面的集线器或非托管交换机。
的当收到SNMP Linkdown Trap时,删除带外在线用户选项已启用,因此如果用户计算机与交换机端口断开连接,则用户将从NAC Appliance注销。
如果用户从IP电话后面连接他的机器,当用户断开连接时,交换机不会检测到链接断开,因此不会将用户从NAC Appliance注销。的当在交换机端口上发现新用户时,需要移除该端口上的其他带外在线用户选项已启用,因此如果在端口上检测到新用户,NAC Appliance将自动注销旧用户。
如果您的客户端将接入IP电话,您必须检查在不弹跳端口的情况下移除带外在线用户选择。确保主机每次断开连接时,IP话机不会断开连接。
步骤12:配置SNMP Receiver
SNMP receiver的配置必须与na控制的交换机上的SNMP配置相匹配。SNMP接收端接收并响应交换机发送的SNMP trap。中显示的SNMP接收方页面图10 - 13可以通过导航到Switch Management > Profiles > SNMP Receiver > SNMP Trap.
SNMP接收方配置界面
高级设置,你可以调整不同的计时器也可用。通过导航到交换机管理>配置文件> SNMP Receiver >高级设置.通常不需要调整计时器,除非在交换机和NAC Appliance Manager通信中存在意料之外的延迟。图10 - 14显示高级设置配置界面。
SNMP接收方高级设置
步骤13:将交换机添加到NAC Appliance Manager
现在您需要添加单独的交换机。要做到这一点,导航到交换机管理>设备>交换机>新增.选择适当的开关配置文件和开关组。大多数情况下,最好将默认端口配置文件设置为不受控制的.这指示NAC设备在被告知之前不要控制任何交换机端口。最后,输入交换机的IP地址并单击添加.图10 - 15显示添加的样例开关。
添加交换机到NAC一体机
步骤14:配置NAC管理的端口
若要配置交换机端口控制,请单击港口中所示的图标,图10到16,换开关。
的开关
所示图- 17,单击港口图标列出该交换机上所有可用的端口和每个端口的配置。
端口列表
由于用户PC连接在Fa1/0/5上,因此将Fa1/0/5端口的配置策略修改为NAC_controlled端口配置文件,点击更新.当你点击更新按钮时,NAC设备管理器添加命令新增SNMP trap mac-notification配置Fa1/0/5接口。此配置更改是对交换机的运行配置进行的。
步骤15:配置用户角色
您将配置三种用户角色:Guest、Consultant和Employee。在用户角色页面中,您还将配置OOB用户角色VLAN—当属于该用户角色的用户完成NAC过程时,交换机端口将被分配到该VLAN。需要注意的是,任何IPsec、VPN或漫游参数的配置都不再相关。这些已弃用的特性将很快从解决方案中删除。图10 - 18显示为Guest创建的用户角色。
新用户角色配置页面- guest
图10 - 19显示为Consultant创建的用户角色。
新用户角色配置页面顾问
图10 - 20显示为Employee创建的用户角色。
新增用户角色配置页面-员工
图10-21显示所有用户角色。
角色列表页面
步骤16:配置本地数据库的用户认证
向NAC Appliance本地数据库添加两个本地用户。一个是雇员,另一个是顾问。这些本地用户帐户将用于测试目的。在生产环境中,应该配置LDAP、Kerberos或RADIUS服务器。本地用户通常只用于测试和来宾访问。图10-22显示作为顾问角色成员的顾问用户的创建。
新建本地用户配置页面-顾问
图10-23显示employee角色成员的雇员用户的创建。
新建本地用户配置页面-员工
步骤17:测试基于OOB和用户角色的VLAN分配是否有效
如果你去交换机管理>设备>交换机>列表> 10.10.30.1 >端口,你会看到接口Fa1/0/5,客户端端口,目前在VLAN 10。这在图10 - 24.
的端口列表
现在将一台笔记本电脑连接到接口Fa1/0/5。你看到在图十到二十五该端口立即被转移到不受信任的VLAN 110。这是因为该端口配置文件将认证(不受信任)VLAN设置为VLAN 110。
在用户PC上,您将看到弹出了NAC Appliance Agent。继续输入用户jane的凭据,如图选手.
客户端连接后的端口列表
Clean Access Agent Authentication Popup
你点击后登录, NAC Appliance确定用户jane属于Employee用户角色。NAC Appliance查看在Employee用户角色下配置的OOB用户角色VLAN,并将用户的交换机端口Fa1/0/5移动到VLAN 12。有关用户角色的更多信息,请参见第6章“构建Cisco NAC设备主机安全策略”。图10-27显示端口Fa1/0/5现在在access VLAN 12,由用户角色决定。
List-Access VLAN端口
由于在此过程中将用户的VLAN从VLAN 110更改为VLAN 12,因此用户的子网也发生了变化。以前,用户从VLAN 10子网范围接收到IP地址。但是,因为用户现在在VLAN 12中,所以它必须刷新IP地址。这可以通过配置端口跳跃来实现。但是,不建议这样做,如果您有IP电话,也不可能这样做。相反,使用内置在Clean Access Agent和web登录小程序中的DHCP释放/更新功能。因此,在登录过程中,您将看到如下所示的Clean Access Agent屏幕图28和图10-29.
IP刷新对话框
“IP刷新成功”对话框
用户将显示在联机用户列表中图10 - 30.此列表可通过导航到监控>在线用户>频段外.如果OOB用户处于隔离状态,它将显示在带内用户列表中,直到通过认证。
OOB在线用户列表
现在,如果用户断开了与交换机端口的连接,NAC Appliance将从在线用户列表中删除该用户。NAC Appliance知道用户已断开连接,因为交换机被配置为向NAC Appliance Manager发送linkdown SNMP trap。注意,该端口仍在VLAN 12中。该端口的VLAN不会再次更改,直到NAC Appliance Manager从交换机收到该端口的连接或mac通知trap。
另一个用户John现在连接到相同的用户端口。端口立即移动到auth(不受信任的)VLAN 110,如图10-31.
交换机端口List-Untrusted
在用户的机器上,Clean Access Agent弹出请求身份验证的窗口。输入用户john的凭据并单击登录所示图10-32.
Clean Access Agent登录
用户通过身份验证后,NAC Appliance Manager确定该用户是顾问,并将该用户移动到VLAN 11。的端口列表中显示了图10-33为接口FastEthernet1/0/5。已配置顾问用户角色使用VLAN 11。
交换机端口列表顾问角色
该用户在在线用户列表中以顾问的身份显示,如图10-34.
在线用户List-Consultant
第三层带外部署的示例设计和配置
对于第三层带外部署,请考虑入的拓扑结构图10 - 35.
样本3层OOB网络拓扑
注意:图10 - 35是本示例的基础,并在下面的文本中多次提到。当您阅读这个示例时,将此页面标记为书签或记下页码以方便参考是很有帮助的。