《盈高-Cisco-VG-虚拟网关说明PPT课件》由会员分享,可在线阅读,更多相关《盈高-Cisco-VG-虚拟网关说明PPT课件(13页珍藏版)》请在金锄头文库上搜索。
1、Cisco VG 虚拟网关说明,谢威 2010-3-22,2,认证过程简介,3,认证过程简介,1. 192.168.54.57 接入switch 2950的端口0/1接口. 2. switch 2950会立即发送MAC-notification的SNMP trap给ASM,这个trap信息里包括192.168.54.57的MAC地址和另外二个信息(根据这二个信息可查询到端口号)。 3. ASM收到MAC-notification trap后,ASM先查询发送此Trap的端口号0/1 ,然后判断端口0/1是否被管理,如果是,ASM会判断其中的MAC是否是已经检查通过的电脑的,如果已检查过,ASM
2、会保证端口0/1在vlan 54中。如果没有检查过,ASM会根据vlan映射表,通过SNMP Write将端口0/1切换到110. 4. 此时,192.168.54.57的Vlan已经从54切换到了110,当用户打开网页的时候,只有ASM会收到相应的请求报文,并把打开的网页重定向到ASM的检查页面。 5. 检查页面开始做安全检查,如果检查通过了,ASM就通过SNMP Write将端口0/1的vlan切换到54,并记录一下电脑的MAC信息。 6. 检查通过的电脑可以正常上网了。,4,Cisco 3560 配置说明,配置端口fa0/3 fa0/4 CISCO-3560enable CISCO-35
3、60#Configure t CISCO-3560(config)#interface fastEthernet 0/3 CISCO-3560(config-if)# switchport trunk encapsulation dot1q CISCO-3560(config-if)#switchport mode trunk CISCO-3560(config-if)#exit CISCO-3560(config)#interface fastEthernet 0/4 CISCO-3560(config-if)# switchport trunk encapsulation dot1q CI
4、SCO-3560(config-if)#switchport mode trunk 最终配置如下所示 interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunk interface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunk,5,Cisco 2950 配置说明,配置与54对应的认证Vlan110 说明:每一个被管理的Vlan都对应要配一个认证Vlan. CISCO- 2950 en
5、able CISCO- 2950 #Configure t CISCO- 2950(config)#vlan 110 配置snmp-server CISCO- 2950 enable CISCO- 2950 #Configure t 配制用于通过SNMP查询交换机信息的共同体 CISCO- 2950(config)#snmp-server community asmpublic ro 配制用于通过snmp设置交机信息的共同体 CISCO- 2950(config)#snmp-server community asmprivate rw 启用linkdown trap CISCO- 2950(c
6、onfig)#snmp-server enable traps snmp linkdown 启用MAC address通知Trap CISCO- 2950(config)#snmp-server enable traps mac-notification 指定将Trap报文发给ASM(192.168.56.14) CISCO- 2950(config)#snmp-server host 192.168.56.14 version 2c asmtrap CISCO- 2950(config)#mac address-table notification,6,添加要管理的交换机,注意: 1.读和写
7、共同体要和交换机上配制的相同 2.如果交换机有多个地址,IP地址要填写与ASM通讯的地址,7,添加要管理的端口,注意: 端口的当前Vlan,后面要配置相应Vlan映射关系,8,配置 VLAN映射,每一个被管理的Vlan都要在这指定一个认证Vlan,并且要在交换机上添加此认证Vlan 比如vlan54要指定认证前vlan110,并在交换机上添加vlan110,9,配置重定向URL,一般都是指定重定向到ASM检查页面,10,VG认证日志分析,日志路径: /tmp/logs/VGAuth* 1.Receive Linkdown #表示收到一个linkdown trap 2.Receive Mac-N
8、otify #表示收到一个Mac-Notify trap 3. Switch 192.168.56.3 doest been managed #表示交换机192.168.56.3没有被管理 4. Recevie Mac-Notify from IP:192.168.56.5 Port:1 MAC: 00:F0:CF:85:5A:A8 #表示收到交换机192.168.56.5的端口1的Mac-Notify trap. 一般在电脑00:F0:CF:85:5A:A8上线或发生vlan切换时会收到此信息 5. SnmpGet Community: asmpublic OID: 1.3.6.1.4.1.
9、9.9.68.1.2.2.1.2.1 failed #表示通过SNMP取1.3.6.1.4.1.9.9.68.1.2.2.1.2.1 的值失败,这可能是因为交换机上的共同体和ASM配置页面上的不一置或配错了。有这个错误可能使接入电脑不用检查就可以上网。,11,VG认证日志分析,6. Switch: 192.168.56.5 Port: 2 doest been managed #表示交换机192.168.56.5的端口 2 没有被管理。 7. 00:F0:CF:85:5A:A8 have authed #表示电脑00:F0:CF:85:5A:A8已经检查通过了。 8. Change switc
10、h 192.168.56.5 s hub port 3 to vlan 113 #表示把交换机192.168.56.5的hub端口3的vlan切换为认证Vlan 113 9. Change switch 192.168.56.5 s port 1 to access vlan 54 #表示把交换机192.168.56.5的端口1 的vlan切换为工作vlan54,之后就可以正常上网了。 10. No VLAN-MAPING Switch 192.168.56.5s port 4s current vlan 10 is not a access vlan #表示192.168.56.5的端口4虽
11、然被管理,但与它的当前Vlan10对应Vlan-Mapping信息没有找到,所以无法对这个端口进行管理。出现这个说明忘了配vlan10的Vlan映射关系了。 11. Change switch 192.168.56.5s port 1 to auth vlan 110 #表示把交换机192.168.56.5的端口1切换到认证vlan 110,12,VG认证日志分析,12. Switch 192.168.56.5s port 1 linkdown # 表示交换机192.168.56.5的端口1下线 13. Chage switch 192.168.56.5s port 1 to work vlan 54 #表示把交换机192.168.56.5 的端口1 切换到工作vlan54.在电脑关机的时候,ASM会把管理端口的vlan还原为工作vlan.,13,谢 谢! INFOGO 带您进入安全准入世界,
