盈高 Cisco VG 虚拟网关说明

单击此处编辑母版标题样式,单击此处编辑母版文本样式,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,*,Cisco VG,虚拟网关说明,谢威,2010-3-22,认证过程简介,认证过程简介,1. 192.168.54.57,接入,switch 2950,的端口,0/1,接口,.,2. switch 2950,会立即发送,MAC-notification,的,SNMP trap,给,ASM,，这个,trap,信息里包括,192.168.54.57,的,MAC,地址和另外二个信息（根据这二个信息可查询到端口号）。,3. ASM,收到,MAC-notification trap,后，,ASM,先查询发送此,Trap,的端口号,0/1,，然后判断端口,0/1,是否被管理，如果是，,ASM,会判断其中的,MAC,是否是已经检查通过的电脑的，如果已检查过，,ASM,会保证端口,0/1,在,vlan,54,中。如果没有检查过，,ASM,会根据,vlan,映射表，通过,SNMP Write,将端口,0/1,切换到,110.,4.,此时,192.168.54.57,的,Vlan,已经从,54,切换到了,110,，当用户打开网页的时候,只有,ASM,会收到相应的请求报文，并把打开的网页重定向到,ASM,的检查页面。,5.,检查页面开始做安全检查，如果检查通过了，,ASM,就通过,SNMP Write,将端口,0/1,的,vlan,切换到,54,，并记录一下电脑的,MAC,信息。,6.,检查通过的电脑可以正常上网了。,Cisco 3560,配置说明,配置端口,fa0/3 fa0/4,CISCO-3560enable,CISCO-3560#Configure t,CISCO-3560(config)#interface,fastEthernet,0/3,CISCO-3560(config-if)#,switchport,trunk encapsulation dot1q,CISCO-3560(config-if)#switchport mode trunk,CISCO-3560(config-if)#exit,CISCO-3560(config)#interface,fastEthernet,0/4,CISCO-3560(config-if)#,switchport,trunk encapsulation dot1q,CISCO-3560(config-if)#switchport mode trunk,最终配置如下所示,interface FastEthernet0/3,switchport,trunk encapsulation dot1q,switchport,mode trunk,interface FastEthernet0/4,switchport,trunk encapsulation dot1q,switchport,mode trunk,Cisco 2950,配置说明,配置与,54,对应的认证,Vlan110,说明：每一个被管理的,Vlan,都对应要配一个认证,Vlan,.,CISCO- 2950 enable,CISCO- 2950 #Configure t,CISCO- 2950(config)#vlan 110,配置,snmp,-server,CISCO- 2950 enable,CISCO- 2950 #Configure t,配制用于通过,SNMP,查询交换机信息的共同体,CISCO- 2950(config)#snmp-server community,asmpublic,ro,配制用于通过,snmp,设置交机信息的共同体,CISCO- 2950(config)#snmp-server community,asmprivate,rw,启用,linkdown,trap,CISCO- 2950(config)#snmp-server enable traps,snmp,linkdown,启用,MAC address,通知,Trap,CISCO- 2950(config)#snmp-server enable traps,mac,-notification,指定将,Trap,报文发给,ASM(192.168.56.14),CISCO-,2950,(config)#snmp-server host,192.168.56.14,version 2c,asmtrap,CISCO- 2950(config)#mac address-table notification,添加要管理的交换机,注意：,1.,读和写共同体要和交换机上配制的相同,2.,如果交换机有多个地址，,IP,地址要填写与,ASM,通讯的地址,添加要管理的端口,注意： 端口的当前,Vlan,，后面要配置相应,Vlan,映射关系,配置,VLAN,映射,每一个被管理的,Vlan,都要在这指定一个认证,Vlan,并且要在交换机上添加此认证,Vlan,比如,vlan54,要指定认证前,vlan110,，并在交换机上添加,vlan110,配置重定向,URL,一般都是指定重定向到,ASM,检查页面,VG,认证日志分析,日志路径：,/,tmp/logs/VGAuth,*,1.,Receive Linkdown,#,表示收到一个,linkdown,trap,2.,Receive Mac-Notify,#,表示收到一个,Mac-Notify trap,3.,Switch,192.168.56.3,doest been managed,#,表示交换机,192.168.56.3,没有被管理,4.,Recevie Mac-Notify from IP:,192.168.56.5,Port:,1,MAC:,00:F0:CF:85:5A:A8,#,表示收到交换机,192.168.56.5,的端口,1,的,Mac-Notify,trap.,一般在电脑,00:F0:CF:85:5A:A8,上线或发生,vlan,切换时会收到此信息,5.,SnmpGet Community:,asmpublic,OID:,1.3.6.1.4.1.9.9.68.1.2.2.1.2,.1,failed,#,表示通过,SNMP,取,1.3.6.1.4.1.9.9.68.1.2.2.1.2,.1,的值失败，这可能是因为交换机上的共同体和,ASM,配置页面上的不一置或配错了。有这个错误可能使接入电脑不用检查就可以上网。,VG,认证日志分析,6.,Switch:,192.168.56.5,Port:,2,doest been managed,#,表示交换机,192.168.56.5,的端口,2,没有被管理。,7.,00:F0:CF:85:5A:A8,have authed,#,表示电脑,00:F0:CF:85:5A:A8,已经检查通过了。,8.,Change switch,192.168.56.5,s hub port,3,to vlan,113,#,表示把交换机,192.168.56.5,的,hub,端口,3,的,vlan,切换为认证,Vlan,113,9.,Change switch,192.168.56.5,s port,1,to access vlan,54,#,表示把交换机,192.168.56.5,的端口,1,的,vlan,切换为工作,vlan54,，之后就可以正常上网了。,10.,No VLAN-MAPING Switch,192.168.56.5,s port,4,s current vlan,10,is not a access vlan,#,表示,192.168.56.5,的端口,4,虽然被管理，但与它的当前,Vlan10,对应,Vlan,-Mapping,信息没有找到，所以无法对这个端口进行管理。出现这个说明忘了配,vlan10,的,Vlan,映射关系了。,11.,Change switch,192.168.56.5,s port,1,to auth vlan,110,#,表示把交换机,192.168.56.5,的端口,1,切换到认证,vlan,110,VG,认证日志分析,12.,Switch,192.168.56.5,s,port,1,linkdown,#,表示交换机,192.168.56.5,的端口,1,下线,13.,Chage switch,192.168.56.5,s port,1,to work vlan,54,#,表示把交换机,192.168.56.5,的端口,1,切换到工作,vlan54.,在电脑关机的时候，,ASM,会把管理端口的,vlan,还原为工作,vlan,.,谢 谢！,INFOGO,带您进入安全准入世界,