2、其次切换到服务器的配置界面,对DHCP菜单进行配置,使连接此服务器的电脑自动分配IP地址。
3、然后对>
一 前言
通过往期3篇文章《思科ISE 对公司访客进行Portal 认证》,《思科ISE对有线接入用户进行MAC认证》,《思科ISE对有线接入用户进行8021X认证》的学习,想必大家对网络准入已经很熟悉了。了解了每一种准入方案的使用场景,为网络的安全起到了更大的保障。
通常情况下,我们在创建ACL时都是在路由器或者防火墙上进行创建,由于每个用户对应的ACL条目并不多,如果路由器或者防火墙上的ACL条目过多时,会降低它们的性能;我们可以在AAA服务器上创建ACL,当有用户要访问网络资源时,用户需要输入用户名和密码,然后AAA服务器将这个用户所对应的ACL条目动态地下发到目标主机上,从而实现针对不同授权的用户,实现不同网络权限的访问。
二 VLAN配置下发简介
本案例以授权ACL和动态VLAN为例,简单介绍如何通过思科ISE为终端用户授权。
一 实验拓扑
二 组网需求
如上图所示,某公司内部大量员工终端通过SwitchA上的接口GE1/0/1接入网络。为确保网络的安全性,管理员需对终端的网络访问权限进行控制,要求如下:
三 配置逻辑
华为交换机的配置逻辑如下图所示
表1 思科ISE的配置逻辑
四 实验设备及注意事项
本举例适用于华为V200R009C00及之后版本的所有交换机,Cisco ISE的版本为21,Cisco ISE作为RADIUS服务器与设备对接实现授权时,需要注意以下事项:
五 数据规划
表2 接入交换机业务数据规划
表3Cisco ISE服务器业务数据规划
六 配置步骤
Step 1 - 配置接入交换机SwitchA。
Step 2 - Cisco ISE 服务器侧配置
表4
在“Add New Standard Profile”页面,设置访问权限。
表5
1、内网的PC1可以访问内网的服务器,不能访问外网的服务器。。
这里,要做NAT的路由器是应该在Router0中做
2、外网的PC0可以访问外网的服务器,不能内问外网的服务器,如何解决
这里,因为内网服务器是通过NAT出去的,所以需要在Router0中做反向代理或者端口映射。
办公室里没有PT,没办法做出来截图。
cisco公司制造的路由器、交换机和其他设备承载了全球80%的互联网通信,成为了网络应用的成功实践者之一,那么你知道cisco设备基础配置的 方法 吗下面是我整理的一些关于cisco设备基础配置的相关资料,供你参考。
cisco设备基础配置1前提配置:
en
conf t
no ip domain-lookup
line con 0
logg syn
exec-time 0 0
exit
host r1
cisco设备基础配置2VTP配置:
vtp domain domain_name
vtp mode server/client/transparent
vtp password password
vtp pruning
vtp version 2
查看VTP配置:show vtp status
cisco设备基础配置3VLAN配置:
vlan database (特权模式)
vlan 2 name caiwubu
exit
vlan 2 (全局模式)
查看VLAN配置:show vlan brief
cisco设备基础配置4VLAN Trunk配置:
swit trunk encapsulation isl/dot1q/negotiate (接口里面,封装类型)
swit mode trunk
查看配置:show int f0/1 swit
cisco设备基础配置5以太网通道:
int rang f0/1 -f0/10
swit mode trunk
chan lacp;pagp
channel-group 1 mode on
exit
cisco设备基础配置6三层交换配置:
ip routing
no swt (改为路由接口)
ip helper-add 19216811 (DHCP服务器地址)
cisco设备基础配置7PVST+配置:
1span vlan 2,4-6 pri 4096(倍数0-32768)
2 root pri/sec
span vlan 2 cost 150 (0-255)
span vlan 2 por ()
查看配置:show span show span vlan d
cisco设备基础配置8HSRP配置:
int vlan 2
ip add 19216811 2552552550
stan 2 ip 1921681254 (虚拟的IP地址)
stan 2 pri 150 (0-255)
stan 2 pree
stan 2 track int f1/0 100
查看HSRP:show stan b
cisco设备基础配置9ACL配置:
标准:acc 1(1-99) per(pre den) source(数据源地址)
int f0/0
ip nat inside
int f1/0
ip nat outside
int f0/0
ip acc 1 in
扩展:acc 101(100-199) per(pre/den) protocol(协议) 源地址 目标地址 --
命名:ip acc stan/ext test
per/den host 19216811
定时:time-range mytie
per wee 8:30 to 17:30
acc time-range mytie
查看:show acc
cisco设备基础配置10NAT配置:
静态:ip nat ins sou sta 1921681002 6115962136
端口映射:ip nat ins sou sta tcp 1921681002 80 6115962131 8080 extendable
动态:acc 1 per 19216810 000255
ip nat pool test0 6115962131 6215962190 netmask 255255255192
ip nat ins sou list 1 pool test0 overload
PAT: acc 1 per 10110 000255
1ip nat pool test1 6115962131 6115962131 netmask 255255255148
ip nat ins sou list 1 pool test1 overload
2ip nat ins sou list 1 int f0/0 overload
cisco设备基础配置11RIP配置:
router rip
ver 2
no au-
network 19216810
-----
cisco设备基础配置12OSPF配置:
router ospf 1
router-id 1111
network 10000 0003 area 0
末梢区域:area 1 stub
完全末梢区域:area 1 stub no-su
ness:area 1 nssa
完全ness:area 1 nssa no-su
cisco设备基础配置13路由重分发:
router rip
red ospf 1 metric 10
router ospf 1
red rip subnets
def-in orig (默认)
red sta subnets (静态)
red conn subnets (直连)
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)