《盈高CiscoVG虚拟网关说明》由会员分享,可在线阅读,更多相关《盈高CiscoVG虚拟网关说明(13页珍藏版)》请在金锄头文库上搜索。
1、Cisco VG 虚拟网关说明虚拟网关说明谢威2010-3-22认证过程简介认证过程简介1. 192.168.54.57 接入switch 2950的端口0/1接口.2. switch 2950会立即发送MAC-notification的SNMP trap给ASM,这个trap信息里包括192.168.54.57的MAC地址和另外二个信息(根据这二个信息可查询到端口号)。3. ASM收到MAC-notification trap后,ASM先查询发送此Trap的端口号0/1 ,然后判断端口0/1是否被管理,如果是,ASM会判断其中的MAC是否是已经检查通过的电脑的,如果已检查过,ASM会保证端口
2、0/1在vlan 54中。如果没有检查过,ASM会根据vlan映射表,通过SNMP Write将端口0/1切换到110.4. 此时,192.168.54.57的Vlan已经从54切换到了110,当用户打开网页的时候,只有ASM会收到相应的请求报文,并把打开的网页重定向到ASM的检查页面。5. 检查页面开始做安全检查,如果检查通过了,ASM就通过SNMP Write将端口0/1的vlan切换到54,并记录一下电脑的MAC信息。6. 检查通过的电脑可以正常上网了。Cisco 3560 配置说明配置端口fa0/3 fa0/4CISCO-3560enableCISCO-3560#Configure t
3、CISCO-3560(config)#interface fastEthernet 0/3CISCO-3560(config-if)# switchport trunk encapsulation dot1qCISCO-3560(config-if)#switchport mode trunkCISCO-3560(config-if)#exitCISCO-3560(config)#interface fastEthernet 0/4CISCO-3560(config-if)# switchport trunk encapsulation dot1qCISCO-3560(config-if)#s
4、witchport mode trunk最终配置如下所示interface FastEthernet0/3 switchport trunk encapsulation dot1q switchport mode trunkinterface FastEthernet0/4 switchport trunk encapsulation dot1q switchport mode trunkCisco 2950 配置说明配置与54对应的认证Vlan110说明:每一个被管理的Vlan都对应要配一个认证Vlan.CISCO- 2950 enableCISCO- 2950 #Configure tCI
5、SCO- 2950(config)#vlan 110配置snmp-serverCISCO- 2950 enableCISCO- 2950 #Configure t配制用于通过SNMP查询交换机信息的共同体CISCO- 2950(config)#snmp-server community asmpublic ro配制用于通过snmp设置交机信息的共同体CISCO- 2950(config)#snmp-server community asmprivate rw启用linkdown trapCISCO- 2950(config)#snmp-server enable traps snmp link
6、down启用MAC address通知TrapCISCO- 2950(config)#snmp-server enable traps mac-notification 指定将Trap报文发给ASM(192.168.56.14)CISCO- 2950(config)#snmp-server host 192.168.56.14 version 2c asmtrapCISCO- 2950(config)#mac address-table notification添加要管理的交换机注意: 1.读和写共同体要和交换机上配制的相同 2.如果交换机有多个地址,IP地址要填写与ASM通讯的地址添加要管理
7、的端口注意: 端口的当前Vlan,后面要配置相应Vlan映射关系配置 VLAN映射每一个被管理的Vlan都要在这指定一个认证Vlan,并且要在交换机上添加此认证Vlan比如vlan54要指定认证前vlan110,并在交换机上添加vlan110配置重定向URL一般都是指定重定向到ASM检查页面VG认证日志分析日志路径: /tmp/logs/VGAuth* 1.Receive Linkdown #表示收到一个linkdown trap 2.Receive Mac-Notify #表示收到一个Mac-Notify trap3. Switch 192.168.56.3 doest been manag
8、ed #表示交换机192.168.56.3没有被管理4. Recevie Mac-Notify from IP:192.168.56.5 Port:1 MAC: 00:F0:CF:85:5A:A8 #表示收到交换机192.168.56.5的端口1的Mac-Notify trap. 一般在电脑00:F0:CF:85:5A:A8上线或发生vlan切换时会收到此信息5. SnmpGet Community: asmpublic OID: 1.3.6.1.4.1.9.9.68.1.2.2.1.2.1 failed #表示通过SNMP取1.3.6.1.4.1.9.9.68.1.2.2.1.2.1 的值失
9、败,这可能是因为交换机上的共同体和ASM配置页面上的不一置或配错了。有这个错误可能使接入电脑不用检查就可以上网。VG认证日志分析6. Switch: 192.168.56.5 Port: 2 doest been managed #表示交换机192.168.56.5的端口 2 没有被管理。7. 00:F0:CF:85:5A:A8 have authed #表示电脑00:F0:CF:85:5A:A8已经检查通过了。8. Change switch 192.168.56.5 s hub port 3 to vlan 113 #表示把交换机192.168.56.5的hub端口3的vlan切换为认证V
10、lan 1139. Change switch 192.168.56.5 s port 1 to access vlan 54 #表示把交换机192.168.56.5的端口1 的vlan切换为工作vlan54,之后就可以正常上网了。10. No VLAN-MAPING Switch 192.168.56.5s port 4s current vlan 10 is not a access vlan #表示192.168.56.5的端口4虽然被管理,但与它的当前Vlan10对应Vlan-Mapping信息没有找到,所以无法对这个端口进行管理。出现这个说明忘了配vlan10的Vlan映射关系了。
11、11. Change switch 192.168.56.5s port 1 to auth vlan 110 #表示把交换机192.168.56.5的端口1切换到认证vlan 110VG认证日志分析12. Switch 192.168.56.5s port 1 linkdown # 表示交换机192.168.56.5的端口1下线13. Chage switch 192.168.56.5s port 1 to work vlan 54 #表示把交换机192.168.56.5 的端口1 切换到工作vlan54.在电脑关机的时候,ASM会把管理端口的vlan还原为工作vlan. 谢 谢!INFOGO带您进入安全准入世界
