NAC Appliance代理将端口8905上的发现数据包发送到NAC Appliance Manager上配置的Discovery主机。默认情况下,发现主机是NAM的IP地址。这是因为NAM始终存在于可信网络上,并且对于不受信任的网络上的用户在可信网络上到达主机,它必须通过NAS,因此将发现NAS。
在此设计中,您不会强制所有用户流量到达NAC Appliance Server。添加基于策略的路由、虚拟路由和转发或通用路由封装等技术将强制流量通过NAC Appliance Server。您使用的VLAN acl不强制流量返回NAC Appliance Server,而只是限制流量可以到达的位置。因此,必须将NAC Appliance Manager中的发现主机(默认)更改为NAC Appliance Server的不受信任端口IP,如图所示图10 55.这样做可以确保NAC Appliance Agent发现包将到达NAC Appliance Server。
改变发现主机
步骤17:配置Web登录页面
您必须为不使用NAC Appliance代理的用户配置Web登录页面。登录页面编辑屏幕显示在图10-56.
本设计使用ActiveX和Java applet控件实现以下两个目的:
获取用户设备的MAC地址。OOB第3层模式需要操作。客户端的MAC地址用于查找客户端连接到的交换机端口。
当用户从不信任VLAN移动到信任VLAN时,触发IP释放/更新。
请务必启用Web客户端并检查它下面的每个选项。
登录页面编辑界面
步骤18:测试OOB和基于用户角色的VLAN分配是否有效
如果你导航到Switch Management > Device > Switches > List > 10.10.30.1 > Ports,您将看到接口FA1 / 0/5未连接,当前在VLAN 10上(初始VLAN)。这显示在图57.
现在将笔记本电脑连接到Fa1/0/5接口。您将看到该端口立即被移动到不可信的VLAN 110。这是由交换机向NAC Appliance Manager发送SNMP mac通知trap触发的。日志含义端口被移动到VLAN 110,原因是端口配置文件将auth (untrusted) VLAN设置为VLAN 110。看到图10-58有关详细信息。
港口才能连接
连接端口列表
在用户PC上,您将看到NAC设备代理已启动。放入用户简的凭据,如图所示图10-59.
清洁访问代理身份验证弹出
当你点击登录, NAC Appliance确定用户jane属于Employee用户角色。NAC Appliance查看在Employee用户角色下配置的OOB用户角色VLAN,并将用户的交换机端口Fa1/0/5移动到VLAN 12。这显示在图10-60..
港口在身份验证
由于您在此过程中将用户的VLAN从VLAN 110更改为VLAN 12,因此您还将触发用户计算机上的DHCP发布/续订。结果,在登录过程中,您将看到显示的NAC设备代理屏幕图10-61.和图10-62..
代理刷新IP
代理刷新IP成功
用户出现在OOB在线用户列表中,如图所示图10-63..如果用户置于临时角色以进行修复,则会在带内用户列表中显示,直到它变得干净。
现在,如果用户从交换机端口断开连接,NAC设备将从在线用户列表中删除用户。这是由将SNMP LinkDown Trap发送到NAC Appliance Manager的交换机触发。但是,端口VLAN不会改变 - 它仍然在VLAN 12中。
在线用户列表 - OOB
现在另一个用户约翰,连接到相同的交换机端口。交换机将新的SNMP MAC通知陷阱发送到NAC Appliance Manager。端口将立即移动到AUTH(不受信任的)VLAN 110,如图所示图10-64,以便新用户可以登录。
端口列表 - 下一个用户
在用户的机器上,Clean Access Agent弹出,如图所示图10-65..放入用户约翰的凭据,然后点击登录.
清洁访问代理身份验证弹出
在用户身份验证之后,NAC Appliance Manager确定此用户是顾问,并将用户移动到VLAN 11,该VLAN 11是为Guest角色配置为OOB用户角色VLAN的VLAN。用户在乐队外面的在线用户列表中显示为顾问,如图所示图10-66。
在线用户列表 - OOB
额外的带外的考虑
以下是值得注意的其他考虑因素的列表,即您刚刚运行的示例设置:
以前的步骤涵盖了一个方案,其中用户具有NAC设备代理,并且代理能够发现NAC设备服务器。
对于没有NAC Appliance Agent的用户,必须向其提供一个URL,以便进行身份验证。该URL应该解析为NAC Appliance Server的不可信端口IP。因此,可以为希望访问网络的来宾用户提供一个URL,例如:http://hotspot.cisco.com/。可以通过在DNS服务器中添加条目,使DNS名称解析为10.10.21.5,即NAS不受信任的端口IP。
如果要在第3层OOB环境中执行NAC Appliance Server负载均衡,则您有几种选择:
- 使用服务器负载平衡设备,例如Cisco ACE模块。
- 使用Discovery Host IP地址,该端址指向仅通过服务器无法访问的客户端。然后通过路由配置网络以加载此地址的平衡。
—采用DNS轮循方式进行服务器负载均衡。使用此方法时要小心,因为它可能不能很好地处理故障,这取决于您的环境。使用该功能时,可以通过配置DNS主机名来解析不同的服务器,使DNS服务器在不同服务器之间负载均衡。如果您使用NAC Appliance Agent,您可以将发现主机配置为DNS名称而不是IP,让DNS服务器将DNS名称解析到不同的服务器,并在它们之间进行负载均衡。
在带外模式下,使用SNMP陷阱触发NAC进程和SNMP集以更改交换机端口上的VLAN。如果在第3层环境中配置带外,则必须确保网络是可靠的并且不会丢弃SNMP数据包。如果您在SNMP流量可能遍历不可靠或拥塞的WAN链接的远程站点,请考虑此因素。您可以考虑使用QoS机制在WAN链路上优先考虑SNMP流量。这样做将有助于确保远程站点和NAC Appliance Manager在中央站点的交换机之间的良好SNMP通信。未来的NAC设备发布将使用SNMP通知帮助解决此问题。
概括
在本章中,您了解了如何使用带外部署模式配置NAC Appliance。您讨论了OOB的几个设计注意事项以及它是如何工作的。给出了两个详细的、逐步的OOB示例设置。第一个设置使用带第2层客户端邻接的OOB,而第二个设置使用带第3层客户端邻接的OOB。每个示例都提供了关于如何配置解决方案中的每个相关设备的说明。这包括Cisco交换机、路由器、NAC Appliance Manager和NAC Appliance Server,以及适当的VLAN访问列表。这些示例配置旨在作为指导,帮助您构建适合您的环境的NAC Appliance OOB解决方案。
版权所有©2007 Pearson教育。版权所有。