Lab Cisco NAC (In-Band Virtual Gateway)

[thanhdc]

A. Mô hình triển khai:

​

Mô hình In-Band Virtual Gateway.
​

Để làm lab này bạn cần 2 con Switch Cisco, một Switch Layer 3, và một Switch Layer 2.


GNS3 1.1Release:

Router R1: Cisco Router C3725
Switch SW3750: Cisco Router C3725 với card NM-16ESW (xem như Switch Layer 3)
Switch SW2950: Cisco Router C3725 với card NM-16ESW (Xem như Switch Layer 2)​

VMware Workstation 10:

NAM: Cisco NAC Manager
NAS: Cisco NAC Server
DC: Windows Server 2008 R2, domain svuit.local
ClientXP1: Windows XP SP3, Đã Join domain, đã cài Cisco NAC Agent
ClientXP2: Windows XP SP3, Chưa Join domain, chưa cài Cisco NAC Agent.​

Bảng địa chỉ IP:

R1	DC	NAM	NAS
f0/0: 192.168.1.254 GW: 192.168.1.1 f0/1: 172.16.1.2	IP: 172.16.1.15 GW: 172.16.1.10 DNS: 172.16.1.15	IP: 172.16.1.11 GW: 172.16.1.10 DNS 172.16.1.15	eth0: 10.10.10.4 Trusted GW: 10.10.10.1 eth1: 10.10.10.4 UnTrusted GW: 10.10.10.1 DNS: 172.16.1.15

SW3750	SW2950
SVI VLAN2: 172.16.1.10 SVI VLAN10: 10.10.10.1	SVI VLAN31: 10.10.10.5

ClientXP1	ClientXP2
IP: 10.10.10.11 GW: 10.10.10.1 DNS: 172.16.1.15	IP: 10.10.10.12 GW: 10.10.10.1 DNS: 172.16.1.15

B. Các bước cấu hình:

B1. Cấu hình cho các thiết bị R1, DC, NAM, NAS, SW3750 có thể kết nối được với nhau, và truy cập được internet.

B2. Cấu hình các thông số Time Server, SSL, Trusted Certificate Authorities, Authorization trên NAM và NAS cho các thông tin khớp với nhau, nếu thời gian chưa được đồng trên cả 2 Server hoặc Chưa Trusted Certificate Authorities thì bạn sẽ ko thể thêm NAS vào NAM

B3. Sau khi thêm được NAS vào NAM, tiến hành cấu hình Mapping VLAN, giữa VLAN31 và VLAN10, Xong bước này bạn phải khởi động lại NAS.

B4. Khi đã xong bước cấu hình Mapping VLAN, bạn có thể cấu hình cho Switch SW2950.
Cisco khuyến cáo, bạn ko nên kết nối SW2950 vào cổng eth1 (Untrusted) của NAS trước khi cấu hình mapping Vlan vì dễ gây ra loop.
Cài Cisco NAC Agent trên Client…

B5. Cấu hình User Roles, Local Users:
Tạo Role, tạo User
Gán User vào Role
Cấu hình traffic control cho Role
Cấu hình Policies….

B6. Trên Client tiến hành login và kiểm tra các truy cập.​

 

[thanhdc]

Bước 1:
Cấu hình cho các thiết bị R1, DC, NAM, NAS, SW3750 có thể kết nối được với nhau, và truy cập được internet.

CẤU HÌNH ROUTER R1:

R1(config)#int f0/0
R1(config-if)#ip add 192.168.1.254 255.255.255.0
R1(config-if)#no shut

R1(config)#int f0/1
R1(config-if)#ip add 172.16.1.2 255.255.255.0
R1(config-if)#no shut
R1(config-if)#exit


R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.1


R1#ping 8.8.8.8
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 8.8.8.8, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 8/33/60 ms


R1(config)#access-list 1 permit any

R1(config)#ip nat inside source list 1 interface fastEthernet 0/0

R1(config)#int f0/0
R1(config-if)#ip nat outside

R1(config)#int f0/1
R1(config-if)#ip nat inside

​

CẤU HÌNH SWITCH SW3750:

SW3750#vlan database
SW3750(vlan)#vlan 2
VLAN 2 added:
Name: VLAN0002
SW3750(vlan)#vlan 10
VLAN 10 added:
Name: VLAN0010
SW3750(vlan)#exit
APPLY completed.
Exiting....

SW3750(config)#int range f1/0 - 3
SW3750(config-if-range)#switchport access vlan 2
SW3750(config-if-range)#switchport mode access


SW3750(config)#int f1/10
SW3750(config-if)#switchport access vlan 10
SW3750(config-if)#switchport mode access



SW3750(config)#int vlan 2
SW3750(config-if)#ip add 172.16.1.10 255.255.255.0



SW3750(config)#int vlan 10
SW3750(config-if)#ip add 10.10.10.1 255.255.255.0​

SW3750#show vlan-switch br
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa1/4, Fa1/5, Fa1/6, Fa1/7
Fa1/8, Fa1/9, Fa1/11, Fa1/12
Fa1/13, Fa1/14, Fa1/15
2 VLAN0002 active Fa1/0, Fa1/1, Fa1/2, Fa1/3
10 VLAN0010 active Fa1/10
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active
​

SW3750#show ip int br | inc Vlan
Vlan1 unassigned YES NVRAM administratively down down
Vlan2 172.16.1.10 YES manual up up
Vlan10 10.10.10.1 YES manual up up
SW3750#​

SW3750(config)#ip routing
SW3750(config)#ip route 0.0.0.0 0.0.0.0 172.16.1.2​

SW3750#conf t
Enter configuration commands, one per line. End with CNTL/Z.
SW3750(config)#ip name-server 172.16.1.15
SW3750(config)#ip domain-lookup
SW3750(config)#ip domain-name svuit.local
SW3750(config)#end​

SW3750#ping 172.16.1.2
SW3750#ping 172.16.1.11
SW3750#ping 172.16.1.15
SW3750#ping 10.10.10.4
SW3750#ping svuit.local
SW3750#ping zing.vn
SW3750#ping 8.8.8.8​

 

[thanhdc]

Bước 2:

Cấu hình NAM:

​

​

​

​

​

​

​

Cấu hình NAS:

​

​

​

​

​

​

 

[thanhdc]

Bước 3: THÊM NAS VÀO NAM:

Sau khi đã cấu hình xong Time Server, SSL, Trusted Certificate Authorities, Authorization ở cả 2 máy CAM và CAS thì bạn có thể bắt đầu thêm CAS vào danh sách Server được quản lý bởi CAM. CAM có nhiệm vụ quản lý các con CAS.

​

​

 

[thanhdc]

Bước 4: Mapping Vlan31 và Vlan10:

​

​

​

​

Khởi động lại NAS:

​

​

Sau khi khởi động kiểm Interface eth0 và eth1:



​

 

[thanhdc]

Bước 5: Cấu hình SW2950:

SW2950#vlan database
SW2950(vlan)#vlan 31
VLAN 31 modified:
SW2950(vlan)#exit
APPLY completed.
Exiting....

SW2950(config)#int vlan 31
SW2950(config-if)#ip add 10.10.10.5 255.255.255.0
SW2950(config-if)#

SW2950(config)#int range f1/0 - 3
SW2950(config-if-range)#switchport access vlan 31
SW2950(config-if-range)#switchport mode access
SW2950(config-if-range)#end

SW2950#show vlan-switch br
VLAN Name Status Ports
---- -------------------------------- --------- -------------------------------
1 default active Fa1/4, Fa1/5, Fa1/6, Fa1/7
Fa1/8, Fa1/9, Fa1/10, Fa1/11
Fa1/12, Fa1/13, Fa1/14, Fa1/15
31 VLAN0031 active Fa1/0, Fa1/1, Fa1/2, Fa1/3
1002 fddi-default active
1003 token-ring-default active
1004 fddinet-default active
1005 trnet-default active


SW2950#show ip int br | inc ^Vlan
Vlan1 unassigned YES NVRAM administratively down down
Vlan31 10.10.10.5 YES manual up up

SW2950#show ip route
Default gateway is not set
Host Gateway Last Use Total Uses Interface
ICMP redirect cache is empty


SW2950#ping 10.10.10.4
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.10.4, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 32/256/1100 ms
SW2950#​

ClientXP Ping SW2950, NAS

​

 

[thanhdc]

Bước 6: Cấu hình User Roles, Local User, …


Tạo User Roles:

​

​

​

Tạo Local Users:

​

​

​

Cấu hình Role Unauthenticated




Cấu hình Role Employee:
Cho phép mọi truy cập đối với giao thức TCP.





Trên ClientXP1, cài đặt Cisco NAC Agent, và tiến hành login:






Trên ClientXP tiến hành kiểm tra:
Sau khi login vào Cisco NAC Agent thành công với user nv01, thuộc role Employees,
nv01 có thể truy cập Internet, duyệt web,...
nhưng ko thể ping được, do role Employees chỉ cho phép truy cập đối với giao thức TCP.

​