盈高 Cisco VG 虚拟网关说明PPT课件.ppt

CiscoVG虚拟网关说明,谢威2010-3-22,2,认证过程简介,3,认证过程简介,1.192.168.54.57接入switch2950的端口0/1接口.2.switch2950会立即发送MAC-notification的SNMPtrap给ASM，这个trap信息里包括192.168.54.57的MAC地址和另外二个信息（根据这二个信息可查询到端口号）。3.ASM收到MAC-notificationtrap后，ASM先查询发送此Trap的端口号0/1，然后判断端口0/1是否被管理，如果是，ASM会判断其中的MAC是否是已经检查通过的电脑的，如果已检查过，ASM会保证端口0/1在vlan54中。如果没有检查过，ASM会根据vlan映射表，通过SNMPWrite将端口0/1切换到110.4.此时,192.168.54.57的Vlan已经从54切换到了110，当用户打开网页的时候,只有ASM会收到相应的请求报文，并把打开的网页重定向到ASM的检查页面。5.检查页面开始做安全检查，如果检查通过了，ASM就通过SNMPWrite将端口0/1的vlan切换到54，并记录一下电脑的MAC信息。6.检查通过的电脑可以正常上网了。,4,Cisco3560配置说明,配置端口fa0/3fa0/4CISCO-3560enableCISCO-3560#ConfiguretCISCO-3560(config)#interfacefastEthernet0/3CISCO-3560(config-if)#switchporttrunkencapsulationdot1qCISCO-3560(config-if)#switchportmodetrunkCISCO-3560(config-if)#exitCISCO-3560(config)#interfacefastEthernet0/4CISCO-3560(config-if)#switchporttrunkencapsulationdot1qCISCO-3560(config-if)#switchportmodetrunk最终配置如下所示interfaceFastEthernet0/3switchporttrunkencapsulationdot1qswitchportmodetrunkinterfaceFastEthernet0/4switchporttrunkencapsulationdot1qswitchportmodetrunk,5,Cisco2950配置说明,配置与54对应的认证Vlan110说明：每一个被管理的Vlan都对应要配一个认证Vlan.CISCO-2950enableCISCO-2950#ConfiguretCISCO-2950(config)#vlan110配置snmp-serverCISCO-2950enableCISCO-2950#Configuret配制用于通过SNMP查询交换机信息的共同体CISCO-2950(config)#snmp-servercommunityasmpublicro配制用于通过snmp设置交机信息的共同体CISCO-2950(config)#snmp-servercommunityasmprivaterw启用linkdowntrapCISCO-2950(config)#snmp-serverenabletrapssnmplinkdown启用MACaddress通知TrapCISCO-2950(config)#snmp-serverenabletrapsmac-notification指定将Trap报文发给ASM(192.168.56.14)CISCO-2950(config)#snmp-serverhost192.168.56.14version2casmtrapCISCO-2950(config)#macaddress-tablenotification,6,添加要管理的交换机,注意：1.读和写共同体要和交换机上配制的相同2.如果交换机有多个地址，IP地址要填写与ASM通讯的地址,7,添加要管理的端口,注意：端口的当前Vlan，后面要配置相应Vlan映射关系,8,配置VLAN映射,每一个被管理的Vlan都要在这指定一个认证Vlan,并且要在交换机上添加此认证Vlan比如vlan54要指定认证前vlan110，并在交换机上添加vlan110,9,配置重定向URL,一般都是指定重定向到ASM检查页面,10,VG认证日志分析,日志路径：/tmp/logs/VGAuth*1.ReceiveLinkdown#表示收到一个linkdowntrap2.ReceiveMac-Notify#表示收到一个Mac-Notifytrap3.Switch192.168.56.3doestbeenmanaged#表示交换机192.168.56.3没有被管理4.RecevieMac-NotifyfromIP:192.168.56.5Port:1MAC:00:F0:CF:85:5A:A8#表示收到交换机192.168.56.5的端口1的Mac-Notifytrap.一般在电脑00:F0:CF:85:5A:A8上线或发生vlan切换时会收到此信息5.SnmpGetCommunity:asmpublicOID:1.3.6.1.4.1.9.9.68.1.2.2.1.2.1failed#表示通过SNMP取1.3.6.1.4.1.9.9.68.1.2.2.1.2.1的值失败，这可能是因为交换机上的共同体和ASM配置页面上的不一置或配错了。有这个错误可能使接入电脑不用检查就可以上网。,11,VG认证日志分析,6.Switch:192.168.56.5Port:2doestbeenmanaged#表示交换机192.168.56.5的端口2没有被管理。7.00:F0:CF:85:5A:A8haveauthed#表示电脑00:F0:CF:85:5A:A8已经检查通过了。8.Changeswitch192.168.56.5shubport3tovlan113#表示把交换机192.168.56.5的hub端口3的vlan切换为认证Vlan1139.Changeswitch192.168.56.5sport1toaccessvlan54#表示把交换机192.168.56.5的端口1的vlan切换为工作vlan54，之后就可以正常上网了。10.NoVLAN-MAPINGSwitch192.168.56.5sport4scurrentvlan10isnotaaccessvlan#表示192.168.56.5的端口4虽然被管理，但与它的当前Vlan10对应Vlan-Mapping信息没有找到，所以无法对这个端口进行管理。出现这个说明忘了配vlan10的Vlan映射关系了。11.Changeswitch192.168.56.5sport1toauthvlan110#表示把交换机192.168.56.5的端口1切换到认证vlan110,12,VG认证日志分析,12.Switch192.168.56.5sport1linkdown#表示交