Fedora Core release 4 (Stentz)内核2.6.11-perfigo在i686凸轮登录:根密码:root@cam ~ #服务perfigo配置欢迎使用思科清洁访问管理器快速配置工具。注意,您需要是根用户才能执行此实用程序。该实用程序现在将问您一系列配置问题。请仔细回答。思科清洁访问管理器,(C) 2006配置网络接口:请输入eth0接口的IP地址[10.2.0.15]:10.10.30.5你进入10.10.30.5。这是正确的吗?(y / n) ?[y]请输入eth0接口的netmask [255.255.255.0]:你进入255.255.255.0。这是正确的吗?(y / n) ?[y]请输入默认网关的IP地址[10.2.0.1]:10.10.30.1你进入10.10.30.1。这是正确的吗?(y / n) ?[y]请输入主机名[cam1]:不结盟运动你进入南。这是正确的吗?(y / n) ?[y]请输入名称服务器的IP地址:[192.168.10.1]10.10.30.6你进入10.10.30.6。这是正确的吗?(y / n) ?[y]您想要更改共享秘密吗?(y / n) ?[y]请记住使用相同的字符串配置Clean Access Server。请输入Clean Access Server之间的共享秘密你输入:cisco123这是正确的吗?(y / n) ?[y]>>>配置日期和时间:时区当前设置为:America/Los_Angeles您想更改此设置吗?(y / n) ?[y]n当前日期和时间hh:mm:ss mm/dd/yy [01:01:01 01/01/07]: 01:20:0001/01/07您输入01:20:00 01/01/07是否正确?(y / n) ?[y]星期一一月01 01:20:00太平洋标准时间2007为了使用Clean Access Manager的安全web控制台,您必须生成有效的SSL证书。请正确回答下列问题。新SSL证书的信息:输入完全限定的域名或IP:10.10.30.5输入组织单位名称:nacapp输入组织名称:思科输入城市名称:圣荷西输入国家代码:ca输入2个字母的国家代码:我们您输入以下内容:域:10.10.30.5组织单位:nacapp组织名称:思科城市名称:圣何塞国家代码:ca国家代码:美国这是正确的吗?(y / n) ?[y]生成SSL证书……CA签名:/root/.tomcat.企业社会责任——> /root/.tomcat.crt:CA验证:/root/.tomcat.-> CA证书/root/.tomcat.crt:好的完成出于安全考虑,建议修改root用户的默认密码。用户:根修改root用户密码。新的UNIX密码:重新输入新的UNIX密码:Passwd:所有认证令牌更新成功。更改需要重新启动Clean Access Manager。配置完成。root@cam1 ~ #服务perfigo重启
步骤3:配置NAC Appliance服务器
在NAC Appliance Server上,您必须再次使用配置脚本执行一些基本配置。从NAC Appliance Server CLI中输入服务perfigo配置.最初,您可以通过在NAC Appliance Manager上放置键盘和显示器或通过串口(38400bps)访问CLI。NAC Appliance Server配置IP地址后,可以通过SSH登录CLI。示例10-23显示配置设置脚本。
例子10-23通过CLI配置NAS
root@cas ~ #服务perfigo配置欢迎使用思科清洁访问服务器快速配置实用程序。注意,您需要是根用户才能执行此实用程序。该实用程序现在将问您一系列配置问题。请仔细回答。思科清洁访问服务器,(C) 2006配置网络接口:请输入eth0[10.2.0.15]的IP地址:10.10.20.5你进入10.10.20.5。这是正确的吗?(y / n) ?[y]请输入eth0接口的netmask [255.255.255.0]:你进入255.255.255.0。这是正确的吗?(y / n) ?[y]请输入默认网关[10.2.0.1]的IP地址:10.10.20.1你进入10.10.20.1。这是正确的吗?(y / n) ?[y]关闭从eth0到eth1的报文[Vlan Id Passthrough]。您想启用它吗?(y / n) ?[n]关闭eth0的出口报文[Management Vlan Tagging]。您想启用它吗?(y / n) ?[n]请输入不受信任的接口eth1[10.2.0.15]: 10.10.21.5的IP地址你进入10.10.20.5。这是正确的吗?(y / n) ?[y]请输入接口eth1的netmask [255.255.255.0]:你进入255.255.255.0。这是正确的吗?(y / n) ?[y]请输入默认网关[10.2.0.1]的IP地址:10.10.21.1你进入10.10.20.1。这是正确的吗?(y / n) ?[y]禁用eth1到eth0的报文[Vlan Id Passthrough]。您想启用它吗?(y / n) ?[n]关闭eth1的出接口报文[Management Vlan Tagging]。您想启用它吗?(y / n) ?[n]请输入主机名[cas1]: l3oobnas你进入NAS1。这是正确的吗?(y / n) ?[y]请输入名称服务器的IP地址:[192.168.10.1]:10.10.30.6你进入10.10.30.6。这是正确的吗?(y / n) ?[y]您想要更改共享秘密吗?(y / n) ?[y]请输入共享密钥:cisco123输入:cisco123这是正确的吗?(y / n) ?[y]>>>配置日期和时间:时区当前设置为:America/Los_Angeles您想更改此设置吗?(y / n) ?[y] n当前日期和时间hh:mm:ss mm/dd/yy [01:01:01 01/02/07]: 01:55:00 01/01/07你输入了01:55:00 01/02/07。这是正确的吗?(y / n) ?[y]星期二1月02日01:55:00 PST 2007为了使用Clean Access Server的安全web控制台,您必须生成有效的SSL证书。请正确回答下列问题。新SSL证书的信息:输入完全限定的域名或IP: 10.10.20.5输入组织单元名称:nacapp输入组织名称:cisco输入城市名称:圣何塞输入状态码:ca输入2个字母的国家代码:us您输入以下内容:域:10.10.20.5组织单位:nacapp组织名称:思科城市名称:圣何塞国家代码:ca国家代码:美国这是正确的吗?(y / n) ?[y]生成SSL证书……CA签名:/root/.tomcat.企业社会责任——> /root/.tomcat.crt:CA验证:/root/.tomcat.-> CA证书/root/.tomcat.crt:好的完成出于安全考虑,建议修改root用户的默认密码。用户:根修改root用户密码。新的UNIX密码:重新输入新的UNIX密码:Passwd:所有认证令牌更新成功。您想更改web控制台admin用户的默认密码吗?(y / n) ?[y]请为web控制台管理用户输入适当的安全密码。web控制台管理员的新密码:确认web控制台管理员的新密码:Web控制台管理员密码修改成功。配置完成。[root@cas1 ~]#服务perfigo重启
步骤4:登录NAC Appliance Manager
打开浏览器并通过SSL连接连接到NAM。输入NAM的IP或域名(https://10.10.30.5)。默认用户名为管理,默认密码为cisco123.
可以在以下地址查看NAM配置行政> CCA经理,如图10-36.
NAC设备管理器配置页面
步骤5:将NAC设备服务器添加到NAC设备管理器中
您可以通过下面的命令添加NAC Appliance Server设备管理> CCA服务器>新服务器,如图10-37.在示例拓扑中(参见图10 - 35), NAC Appliance Server的类型带外ip网关.请确保从下拉菜单中选择正确的服务器类型。
新服务器配置页面
图10-38显示NAC Appliance Server已以OOB Real-IP Gateway方式添加,且状态为connected。
服务器列表
步骤6:在NAC设备服务器上编辑网络设置
在图10-39,请注意设置管理VLAN ID不启用。这是因为NAC Appliance Server连接的交换机端口为接入端口,而不是802.1q中继端口。因此,您不希望NAS对任何数据包进行标记。另外,旁边的复选框启用L3支持检查。这允许NAC Appliance Server与第2层相邻或多个路由跳之外的客户机通信。
服务器网络配置界面
步骤7:配置静态路由
在本例中,您不需要配置任何托管子网。但需要配置静态路由。这是第2层OOB部署和第3层OOB部署之间的一个区别。
可以将管理子网看作是路由器的直接连接子网。因此,对于直接连接到NAC Appliance Server的用户子网,需要配置托管子网。
NAC Appliance Server不支持路由协议。因此,对于距离NAC Appliance Server有一跳或多跳的用户子网,必须配置静态路由。当用户在不受信任的VLAN内时,NAC Appliance Server与用户设备通信。因此,您需要为不受信任的vlan关联的子网配置静态路由,如下所示图10-40.在本例中,VLAN 110(10.10.110.0/24)为不可信VLAN。
在NAC一体机服务器上添加静态路由
步骤8:配置交换组
此步骤为可选步骤。已存在预先配置的Default组。当您添加需要由NAC Appliance Manager管理的交换机时,它们会被添加到Default组中。您可以配置其他组,然后将交换机添加到特定组中。通过这样做,当您列出交换机时,您可以按组列出它们。如果有大量交换机要由NAC Appliance管理,则此步骤非常有用。在本例中,您将配置一个名为cat3750的组,如图10-41.
添加交换机组
步骤9:配置Switch Profile
交换机配置文件用于定义NAC Appliance Manager与交换机通信的方式。当您添加要由NAC Appliance Manager管理的交换机时,您将配置交换机属于哪个概要文件。您必须为所管理的每个型号的思科交换机添加交换机配置文件。图10-42显示交换机策略配置界面。
添加交换机策略
请确保您配置的交换机型号、SNMP端口和SNMP读写团体字与每个交换机上的配置相匹配。
步骤10:配置端口策略
端口配置文件应用于端口,以确定它是否由NAC设备控制。通过端口配置文件可以配置认证VLAN、默认接入VLAN和VLAN分配方式。请记住,身份验证VLAN与不受信任VLAN或隔离VLAN相同。access VLAN为可信侧VLAN。在配置中(参见图10 - 35)访问VLAN领域,用户角色VLAN已从下拉菜单中选择。这意味着,当用户经过身份验证并处于健康状态时,用户移动到的VLAN由用户角色决定。图10-43显示端口策略配置界面。
端口配置文件配置界面
的当同一个交换机端口上检测到多个MAC地址时,生成事件日志选项,以便您了解终端用户是否已将集线器或非托管交换机连接到na控制的交换机后面。
的当收到SNMP Linkdown Trap时,删除带外在线用户选项,以便如果用户计算机与交换机端口断开连接,则用户将从NAC Appliance注销。
在用户从IP电话后面连接他的机器的场景中,当用户断开连接时,交换机不会检测到链接断开,因此不会从NAC Appliance注销用户。的当在交换机端口上发现新用户时,需要移除该端口上的其他带外在线用户选项,以便如果在端口上检测到新用户,NAC Appliance将自动注销旧用户。此外,在不弹跳端口的情况下移除带外在线用户选项是检查。如果客户端在IP电话后面,这是必需的。
步骤11:配置SNMP Receiver
SNMP receiver的配置必须与na控制的交换机上的SNMP配置相匹配。SNMP接收端接收并响应交换机发送的SNMP trap。图10-44显示示例拓扑的SNMP接收方配置。
SNMP接收方配置界面
还可以使用高级设置来调整不同的计时器,如图10-45.不需要调整计时器,除非在交换机和NAC Appliance Manager通信中存在意外延迟。
步骤12:将交换机添加到NAC Appliance Manager中
对于NAC设备管理交换机,必须首先添加交换机(参见图10-46).可以通过导航到Switch Management > Devices > New找到此页面。
SNMP Receiver高级设置
添加新的交换机配置页面
您必须选择适当的交换机配置文件和交换机组。确保你做出选择缺省端口配置文件作为不受控制的.输入交换机的IP地址,单击添加.
步骤13:配置NAC一体机管理的端口
现在已经添加了交换机,NAC Appliance动态地学习它的所有端口。要查看它们,请单击港口交换机图标,如图所示图10-47.这样做会列出该交换机上所有可用的端口,如图10-48.
交换机列表
端口列表
由于用户PC连接在Fa1/0/5上,因此将Fa1/0/5端口的配置策略修改为NAC_controlled端口配置文件,点击更新.当你点击设置按钮时,NAC设备管理器添加命令新增SNMP trap mac-notification配置Fa1/0/5接口。此配置更改是对交换机的运行配置进行的。要将其保存到启动配置中,请单击保存按钮。
步骤14:配置用户角色
对于示例拓扑,您将配置三个用户角色:Guest、Consultant和Employee。在用户角色页面中,您将定义OOB用户角色VLAN。当属于用户角色的用户完成NAC进程时,交换机端口将被分配到这个VLAN。看到图10 - 35查看这些VLAN分配的列表。请记住,应该忽略用户角色配置页面上对漫游、IPsec和VPN的所有引用,因为它们是不推荐使用的特性。图10-49显示为Guest创建的用户角色。
添加用户角色- guest
图10 - 50显示为Consultant创建的用户角色。
添加用户角色顾问
图10-51显示为Employee创建的用户角色。
添加用户角色-员工
图10-52显示所有用户角色。
用户角色列表
步骤15:配置本地数据库的用户认证
向NAC Appliance本地数据库添加两个本地用户:一个雇员和一个顾问。这些本地用户帐户将用于测试目的。在生产环境中,应该配置LDAP、Kerberos或RADIUS服务器,而不是本地用户数据库。本地用户通常只用于测试和来宾访问。图10-53显示了顾问用户的创建。
添加本地用户顾问
图10-54显示Employee用户的创建。
添加本地用户-员工
步骤16:更改发现主机
NAC Appliance Agent通过发送发现包发现NAC Appliance Server,以便开始与NAC Server通信并启动NAC进程。这些数据包在UDP端口8905和8906上发送。
NAC Appliance Server侦听UDP端口8905和8906。因此,当它在这些端口上收到来自NAC Appliance Agent的数据包时,它知道有一个新主机已连接到网络,并指示NAC Appliance Agent弹出窗口,要求用户进行身份验证。NAC Appliance Server不会在受信任的网络上转发这些数据包。
UDP 8905报文发送到用户设备的默认网关。因此,如果NAC Appliance Server是与用户相邻的二层,NAC Appliance Agent报文将到达NAS。