盈高 Cisco VG 虚拟网关说明VIP

CiscoVG虚拟网关说明 谢威 2010 3 22 认证过程简介 认证过程简介 1 192 168 54 57接入switch2950的端口0 1接口 2 switch2950会立即发送MAC notification的SNMPtrap给ASM 这个trap信息里包括192 168 54 57的MAC地址和另外二个信息 根据这二个信息可查询到端口号 3 ASM收到MAC notificationtrap后 ASM先查询发送此Trap的端口号0 1 然后判断端口0 1是否被管理 如果是 ASM会判断其中的MAC是否是已经检查通过的电脑的 如果已检查过 ASM会保证端口0 1在vlan54中 如果没有检查过 ASM会根据vlan映射表 通过SNMPWrite将端口0 1切换到110 4 此时 192 168 54 57的Vlan已经从54切换到了110 当用户打开网页的时候 只有ASM会收到相应的请求报文 并把打开的网页重定向到ASM的检查页面 5 检查页面开始做安全检查 如果检查通过了 ASM就通过SNMPWrite将端口0 1的vlan切换到54 并记录一下电脑的MAC信息 6 检查通过的电脑可以正常上网了 Cisco3560配置说明 配置端口fa0 3fa0 4CISCO 3560 enableCISCO 3560 ConfiguretCISCO 3560 config interfacefastEthernet0 3CISCO 3560 config if switchporttrunkencapsulationdot1qCISCO 3560 config if switchportmodetrunkCISCO 3560 config if exitCISCO 3560 config interfacefastEthernet0 4CISCO 3560 config if switchporttrunkencapsulationdot1qCISCO 3560 config if switchportmodetrunk最终配置如下所示interfaceFastEthernet0 3switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0 4switchporttrunkencapsulationdot1qswitchportmodetrunk Cisco2950配置说明 配置与54对应的认证Vlan110说明 每一个被管理的Vlan都对应要配一个认证Vlan CISCO 2950 enableCISCO 2950 ConfiguretCISCO 2950 config vlan110配置snmp serverCISCO 2950 enableCISCO 2950 Configuret配制用于通过SNMP查询交换机信息的共同体CISCO 2950 config snmp servercommunityasmpublicro配制用于通过snmp设置交机信息的共同体CISCO 2950 config snmp servercommunityasmprivaterw启用linkdowntrapCISCO 2950 config snmp serverenabletrapssnmplinkdown启用MACaddress通知TrapCISCO 2950 config snmp serverenabletrapsmac notification指定将Trap报文发给ASM 192 168 56 14 CISCO 2950 config snmp serverhost192 168 56 14version2casmtrapCISCO 2950 config macaddress tablenotification 添加要管理的交换机 注意 1 读和写共同体要和交换机上配制的相同2 如果交换机有多个地址 IP地址要填写与ASM通讯的地址 添加要管理的端口 注意 端口的当前Vlan 后面要配置相应Vlan映射关系 配置VLAN映射 每一个被管理的Vlan都要在这指定一个认证Vlan 并且要在交换机上添加此认证Vlan比如vlan54要指定认证前vlan110 并在交换机上添加vlan110 配置重定向URL 一般都是指定重定向到ASM检查页面 VG认证日志分析 日志路径 tmp logs VGAuth 1 ReceiveLinkdown 表示收到一个linkdowntrap2 ReceiveMac Notify 表示收到一个Mac Notifytrap3 Switch192 168 56 3does tbeenmanaged 表示交换机192 168 56 3没有被管理4 RecevieMac NotifyfromIP 192 168 56 5Port 1MAC 00 F0 CF 85 5A A8 表示收到交换机192 168 56 5的端口1的Mac Notifytrap 一般在电脑00 F0 CF 85 5A A8上线或发生vlan切换时会收到此信息5 SnmpGetCommunity asmpublicOID 1 3 6 1 4 1 9 9 68 1 2 2 1 2 1failed 表示通过SNMP取1 3 6 1 4 1 9 9 68 1 2 2 1 2 1的值失败 这可能是因为交换机上的共同体和ASM配置页面上的不一置或配错了 有这个错误可能使接入电脑不用检查就可以上网 VG认证日志分析 6 Switch 192 168 56 5Port 2does tbeenmanaged 表示交换机192 168 56 5的端口2没有被管理 7 00 F0 CF 85 5A A8haveauthed 表示电脑00 F0 CF 85 5A A8已经检查通过了 8 Changeswitch192 168 56 5 shubport3tovlan113 表示把交换机192 168 56 5的hub端口3的vlan切换为认证Vlan1139 Changeswitch192 168 56 5 sport1toaccessvlan54 表示把交换机192 168 56 5的端口1的vlan切换为工作vlan54 之后就可以正常上网了 10 NoVLAN MAPINGSwitch192 168 56 5 sport4 scurrentvlan10isnotaaccessvlan 表示192 168 56 5的端口4虽然被管理 但与它的当前Vlan10对应Vlan Mapping信息没有找到 所以无法对这个端口进行管理 出现这个说明忘了配vlan10的Vlan映射关系了 11 Changeswitch192 168 56 5 sport1toauthvlan110 表示把交换机192 168 56 5的端口1切换到认证vlan110 VG认证日志分析 12 Switch192 168 56 5 sport1linkdown