接續前一篇Blog文章:NAC網路管控之Dynamic VLAN(前序篇) 這裡繼續看一下實作部分,首先我們先看一下實體接線;下圖中 L2 Switch Management IP 只需要與 RADIUS Server通即可,圖中Native VLAN = vlan1,所以用預設的方式就會通。當 L2 有 NB設備接上來時,Port Auth 就會依據送上來的MAC Address向 RADIUS驗證,RADIUS也會一併回應Attrib值。 

而大一點的公司、複雜一點的架構就應該是底下的基本架構並加以延伸的;

在 Core Switch 與 各樓層(各分區)的Distribution Switch 我是用 802.1Q Trunk (CISCO設備用專屬的ISL當然也可以), L2 Switch Management IP 必須能與 RADIUS通,我的建議是 Native VLAN 改用 VLAN 2.....或其他,就是不要用Default VLAN 1,原因是【確實佈署VLAN的安全】,分享一下我利用 終身保固的 HP Procurve 2500 Switch 的 Running Config,但是這裡貼的是LAB,請自行依據看官您的需求變更 VLAN 與 IP:

; J4899C Configuration Editor; Created on release #H.10.83  【這是這一台Switch IOS版本
hostname "101Fedge"
snmp-server contact "MIS-NET#14477"
snmp-server location "101F"
max-vlans 253
time timezone 8
no cdp run
mirror-port 18
console events Critical
no web-management
web-management ssl
no telnet-server
interface 1 - 48
   unknown-vlans Disable
   no lacp
exit
ip default-gateway 1.5.1.254
sntp server 1.5.1.254
timesync sntp
sntp unicast
logging facility syslog
logging 1.5.2.66
snmp-server community "public" Unrestricted
vlan 1
   name "DEFAULT_VLAN"
   untagged 1-50
   ip address 1.5.1.101 255.255.255.0
   ip igmp
   exit

vlan 5
   name "DENY-ACCESS"
 
;   注意唷~ 這邊沒有設定 Trunk Port唷~~~
   exit
vlan 101
   name "MIS"
   tagged 49-50
   exit
vlan 105
   name "MeetingRoom"    (Guest用VLAN)

   tagged 49-50
   exit
interface 48
   monitor
   exit
gvrp
aaa authentication port-access chap-radius
radius-server host 1.5.2.66
dhcp-snooping authorized-server 1.5.2.66
interface 49 - 50
   dhcp-snooping trust
   exit
aaa port-access gvrp-vlans
aaa port-access authenticator active
aaa port-access mac-based 1-47
aaa port-access mac-based 1-47 addr-moves
aaa port-access mac-based 1-47 quiet-period 30
aaa port-access mac-based 1-47 unauth-vid 5 (如果是在辦公區域的PORT,驗證錯誤的就切換到 VLAN 5)

aaa port-access mac-based 1-47 unauth-vid 105 (如果是在會議室的PORT,驗證錯誤的就切換到 VLAN 105,看公司的RULE來玩)

aaa port-access mac-based addr-format multi-dash
aaa port-access 18 controlled-direction in

 ============================================================

IOS版本:H.10.50 也有以支援GVRP

看一下各VLAN對應的Ether Port,先看我們設定的 VLAN 5  (Deny-Access VLAN),

佈署於辦公室區域的SWITCH上

用意:驗證MAC 為公司資產自動切換到各部門的VLAN底下並passthrough流量,若為非公司的設備一律給予VLAN5 (Deny Access)

 

相對的,如果 PORT 的位置在會議室裡,同理可以設定為:公司資產自動給予各部門VLAN ID,若是非公司資產就給予 VLAN105 / GuestVLAN (並在每一個節點的Router/L3 Switch上設定ACL僅允許上網必限制流量使用)


注意看一下 Ethernet Port 40.......WEBMAC (這裡的意思是,HP Switch AAA RADIUS驗證此PORT可以是WEB驗證或是MAC驗證,擇一)

我用私人的NB來測試 Ethernet Port 40...................果然就是切換到 VLAN105 MeetingRoom/Guest VLAN了!


如果是在辦公區域,又使用私人的NB來私接,那驗證錯誤就會給予 VLAN 5 (如下圖),因為VLAN5沒有設定 Trunk,所以永遠也不會跑到其他網段或是Unlink到Core Router上去處理,只會在 Local Swicth上,安全性還滿夠的。至於為何不設定 Port Violation-ERROR Disable,因為那網管一天到晚就要enable Port會被操死阿!!

完成Dynamic VLAN後,VLAN網路實體跳線就變成虛擬存在的VLAN 跳動,可以省下不少人力資源,所以這跟一年前的網路整線是有關聯的,點我跳去看看我們TEAM的努力........


延伸閱度:
1.VLAN的安全政策→Cisco:VLAN Security White Paper

2.OpenRADIUSFreeRADIUS

3.FreeNAC





創作者介紹

HarlemHsu

HarlemHsu 發表在 痞客邦 PIXNET 留言(0) 人氣()