Ask question

Ask Questions and Get Answers from Our Community

Answer

Answer Questions and Become an Expert on Your Topic

Contact Staff

Our Experts are Ready to Answer your Questions

Follow Us On Social Media

Lab Cisco NAC (In-Band Virtual Gateway)

T

thanhdc

Super Moderator
Joined
Aug 10, 2014
Messages
124
Reaction score
3
Points
18
A. Mô hình triển khai:




Mô hình In-Band Virtual Gateway.


Để làm lab này bạn cần 2 con Switch Cisco, một Switch Layer 3, và một Switch Layer 2.


GNS3 1.1Release:

Router R1: Cisco Router C3725
Switch SW3750: Cisco Router C3725 với card NM-16ESW (xem như Switch Layer 3)
Switch SW2950: Cisco Router C3725 với card NM-16ESW (Xem như Switch Layer 2)​

VMware Workstation 10:

NAM: Cisco NAC Manager
NAS: Cisco NAC Server
DC: Windows Server 2008 R2, domain svuit.local
ClientXP1: Windows XP SP3, Đã Join domain, đã cài Cisco NAC Agent
ClientXP2: Windows XP SP3, Chưa Join domain, chưa cài Cisco NAC Agent.​

Bảng địa chỉ IP:

[TABLE="class: grid, width: 800"]
[TR]
[TD]R1[/TD]
[TD]DC[/TD]
[TD]NAM[/TD]
[TD]NAS[/TD]
[/TR]
[TR]
[TD]f0/0: 192.168.1.254
GW: 192.168.1.1

f0/1: 172.16.1.2[/TD]
[TD]IP: 172.16.1.15
GW: 172.16.1.10

DNS: 172.16.1.15[/TD]
[TD]IP: 172.16.1.11
GW: 172.16.1.10

DNS 172.16.1.15[/TD]
[TD]eth0: 10.10.10.4 Trusted
GW: 10.10.10.1

eth1: 10.10.10.4 UnTrusted
GW: 10.10.10.1

DNS: 172.16.1.15[/TD]
[/TR]
[/TABLE]

[TABLE="class: grid, width: 800"]
[TR]
[TD]SW3750[/TD]
[TD]SW2950[/TD]
[/TR]
[TR]
[TD]SVI VLAN2: 172.16.1.10
SVI VLAN10: 10.10.10.1[/TD]
[TD]SVI VLAN31: 10.10.10.5[/TD]
[/TR]
[/TABLE]

[TABLE="class: grid, width: 800"]
[TR]
[TD]ClientXP1[/TD]
[TD]ClientXP2[/TD]
[/TR]
[TR]
[TD]IP: 10.10.10.11
GW: 10.10.10.1
DNS: 172.16.1.15[/TD]
[TD]IP: 10.10.10.12
GW: 10.10.10.1
DNS: 172.16.1.15[/TD]
[/TR]
[/TABLE]



B. Các bước cấu hình:

B1. Cấu hình cho các thiết bị R1, DC, NAM, NAS, SW3750 có thể kết nối được với nhau, và truy cập được internet.

B2. Cấu hình các thông số Time Server, SSL, Trusted Certificate Authorities, Authorization trên NAM và NAS cho các thông tin khớp với nhau, nếu thời gian chưa được đồng trên cả 2 Server hoặc Chưa Trusted Certificate Authorities thì bạn sẽ ko thể thêm NAS vào NAM

B3. Sau khi thêm được NAS vào NAM, tiến hành cấu hình Mapping VLAN, giữa VLAN31 và VLAN10, Xong bước này bạn phải khởi động lại NAS.

B4. Khi đã xong bước cấu hình Mapping VLAN, bạn có thể cấu hình cho Switch SW2950.
Cisco khuyến cáo, bạn ko nên kết nối SW2950 vào cổng eth1 (Untrusted) của NAS trước khi cấu hình mapping Vlan vì dễ gây ra loop.
Cài Cisco NAC Agent trên Client…

B5. Cấu hình User Roles, Local Users:
Tạo Role, tạo User
Gán User vào Role
Cấu hình traffic control cho Role
Cấu hình Policies….

B6. Trên Client tiến hành login và kiểm tra các truy cập.​
 
Last edited:
Bước 1:
Cấu hình cho các thiết bị R1, DC, NAM, NAS, SW3750 có thể kết nối được với nhau, và truy cập được internet.

CẤU HÌNH ROUTER R1:

R1(config)#int f0/0
R1(config-if)#ip add 192.168.1.254 255.255.255.0
R1(config-if)#no shut

R1(config)#int f0/1
R1(config-if)#ip add 172.16.1.2 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exit


R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1


R1#ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/33/60 ms


R1(config)#access-list 1 permit any

R1(config)#ip nat inside source list 1 interface fastEthernet 0/0

R1(config)#int f0/0
R1(config-if)#ip nat outside

R1(config)#int f0/1
R1(config-if)#ip nat inside




CẤU HÌNH SWITCH SW3750:

SW3750#vlan database
SW3750(vlan)#vlan 2
VLAN 2 added:
Name: VLAN0002
SW3750(vlan)#vlan 10
VLAN 10 added:
Name: VLAN0010
SW3750(vlan)#exit
APPLY completed.
Exiting....

SW3750(config)#int range f1/0 - 3
SW3750(config-if-range)#switchport access vlan 2
SW3750(config-if-range)#switchport mode access


SW3750(config)#int f1/10
SW3750(config-if)#switchport access vlan 10
SW3750(config-if)#switchport mode access



SW3750(config)#int vlan 2
SW3750(config-if)#ip add 172.16.1.10 255.255.255.0



SW3750(config)#int vlan 10
SW3750(config-if)#ip add 10.10.10.1 255.255.255.0


SW3750#show vlan-switch br
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa1/4, Fa1/5, Fa1/6, Fa1/7
Fa1/8, Fa1/9, Fa1/11, Fa1/12
Fa1/13, Fa1/14, Fa1/15
2 VLAN0002 active Fa1/0, Fa1/1, Fa1/2, Fa1/3
10 VLAN0010 active Fa1/10
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active


SW3750#show ip int br | inc Vlan
Vlan1 unassigned YES NVRAM administratively down down
Vlan2 172.16.1.10 YES manual up up
Vlan10 10.10.10.1 YES manual up up
SW3750#



SW3750(config)#ip routing
SW3750(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.2


SW3750#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW3750(config)#ip name-server 172.16.1.15
SW3750(config)#ip domain-lookup
SW3750(config)#ip domain-name svuit.local
SW3750(config)#end


SW3750#ping 172.16.1.2
SW3750#ping 172.16.1.11
SW3750#ping 172.16.1.15
SW3750#ping 10.10.10.4
SW3750#ping svuit.local
SW3750#ping zing.vn
SW3750#ping 8.8.8.8
 
Last edited:
Bước 2:

Cấu hình NAM:
















Cấu hình NAS:












 
Last edited:
Bước 3: THÊM NAS VÀO NAM:

Sau khi đã cấu hình xong Time Server, SSL, Trusted Certificate Authorities, Authorization ở cả 2 máy CAM và CAS thì bạn có thể bắt đầu thêm CAS vào danh sách Server được quản lý bởi CAM. CAM có nhiệm vụ quản lý các con CAS.






 
Last edited:
Bước 4: Mapping Vlan31 và Vlan10:














Khởi động lại NAS:



Sau khi khởi động kiểm Interface eth0 và eth1:



 
Bước 5: Cấu hình SW2950:

SW2950#vlan database
SW2950(vlan)#vlan 31
VLAN 31 modified:
SW2950(vlan)#exit
APPLY completed.
Exiting....

SW2950(config)#int vlan 31
SW2950(config-if)#ip add 10.10.10.5 255.255.255.0
SW2950(config-if)#

SW2950(config)#int range f1/0 - 3
SW2950(config-if-range)#switchport access vlan 31
SW2950(config-if-range)#switchport mode access
SW2950(config-if-range)#end

SW2950#show vlan-switch br
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa1/4, Fa1/5, Fa1/6, Fa1/7
Fa1/8, Fa1/9, Fa1/10, Fa1/11
Fa1/12, Fa1/13, Fa1/14, Fa1/15
31 VLAN0031 active Fa1/0, Fa1/1, Fa1/2, Fa1/3
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active


SW2950#show ip int br | inc ^Vlan
Vlan1 unassigned YES NVRAM administratively down down
Vlan31 10.10.10.5 YES manual up up

SW2950#show ip route
Default gateway is not set
Host Gateway Last Use Total Uses Interface
ICMP redirect cache is empty


SW2950#ping 10.10.10.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/256/1100 ms
SW2950#


ClientXP Ping SW2950, NAS



 
Bước 6: Cấu hình User Roles, Local User, …


Tạo User Roles:







Tạo Local Users:













Cấu hình Role Unauthenticated




Cấu hình Role Employee:
Cho phép mọi truy cập đối với giao thức TCP.





Trên ClientXP1, cài đặt Cisco NAC Agent, và tiến hành login:






Trên ClientXP tiến hành kiểm tra:
Sau khi login vào Cisco NAC Agent thành công với user nv01, thuộc role Employees,
nv01 có thể truy cập Internet, duyệt web,...
nhưng ko thể ping được, do role Employees chỉ cho phép truy cập đối với giao thức TCP.

 
Last edited:
You must log in or register to reply here.

Follow Us On Social Media

About Us

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt.

Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.

What's new

New posts
New profile posts
Latest activity

Online statistics

Members online
0
Guests online
0
Total visitors
0
Totals may include hidden visitors.
Top