思科美洲台和ACL第3层OOB.PDFVIP

思科美洲台与ACL的第3层OOB 目录 简介 解决方案概述 解决方案描述 解决方案体系结构 接入层 分布层 核心层 数据中心服务层 解决方案组成部分 思科美洲台管理器 思科美洲台服务器 思科美洲台代理程序 带外(OOB)模式 设计注意事项 终端分类 终端角色 角色隔离 通信流 思科美洲台服务器模式 可扩展性 发现号主机 用户体验(用思科美洲台代理程序) 用户体验(没有思科美洲台代理程序) 思科美洲台进程流 思科美洲台解决方案实施 角色隔离 访问列表技术 对思科美洲台服务器通信的终端 美洲台第3层OOB ACL配置示例 验证VLAN分配 美洲台第3层无线的OOB ACL解决方案 附录 高可用性 活动目录SingleSignOn (活动目录SSO) Windows域环境考虑事项 配置座席登录和客户端状态评估的Cisco NAC设备 相关信息 简介 思科网络准入控制(美洲台)强制执行在寻找网络访问的所有设备的组织的网络安全策略。思科美洲 台只允许兼容并且委托端点设备，例如PCs、服务器和PDA，在网络上。访问为固执的设备限制 ，限制从新兴安全威胁和风险的可能损害。思科美洲台给组织一个强大，基于任务的方法对防止未 经授权的访问并且改进网络弹性。 思科美洲台解决方案提供以下商业效益： 安全策略标准 ：保证终端依照安全策略;保护基础设施和员工生产力;巩固被管理的和不受管理资 产;支持内部环境和访客访问;为策略专门制作您的风险级别。 保护现有投资 ：是与第三方管理应用程序兼容;灵活部署选项最小化对基础设施升级的需要。 缓和从病毒、蠕虫病毒和未经授权的访问的风险 ：控制和减少大规模基础设施中断;由动态和自 动化的进行的移动，添加和更改减少运营费用，启用更高的IT效率;集成其他思科自防御网络组 件提供全面的安全保护。 解决方案概述 此部分简要地引入第3层带外(OOB)使用访问控制表(ACL)方法实现思科网络准入控制(美洲台)体系 结构。 解决方案描述 思科美洲台用于网络基础设施强制执行在寻找对网络资源的访问的所有设备的安全策略标准。在他 们授权网络访问前，思科美洲台允许网络管理员验证和授权用户和评估和修正他们相关的机器。有 您能使用完成此任务的几个配置方法，但是第3层带外(OOB)迅速地变为其中一美洲台的最普遍的部 署方法学。此转移在大众化中根据几Dynamics，包括硬件资源的更加好的利用率。 通过部署在第3层OOB方法的思科美洲台，单个Cisco NAC设备(思科美洲台管理器或思科美洲台服 务器)能扩展适应更多用户。它也允许美洲台在中央查找的伊莱克斯而不是被分配在校园或组织间。 因此，第3层OOB部署从大写和操作费用支架是有效两个。 此指南描述思科美洲台的一个基于ACL的实施在第3层OOB部署的。 解决方案体系结构 解决方案体系结构(请参阅图1)识别关键解决方案组件和集成点。 图 1：在典型的园区环境的Cisco NAC设备放置 以下部分描述组成典型的校园体系结构的接入层、分布层、核心层和数据中心业务集成点。 接入层 思科第3层OOB美洲台解决方案是可适用的对一个已路由访问园区网设计。在已路由接入模式，第 3层交换虚拟接口(SVIs)在接入交换机配置和那里是在访问和分布式交换机之间的一第3层链路。 注意： 用语“接入交换机”和“边界交换机”在本文可互换使用。 如在图2中看到，第3层访问VLAN (例如， VLAN14)在边界交换机配置，第3层路由从交换机支持到 上行分布式交换机或路由器，并且思科美洲台管理器管理接入交换机的端口。 图 2：接入交换机用对边缘的第3层 分布层 分布层对第3层路由负责。不同于Layer2解决方案，思科美洲台服务器不需要查找在分布层。反而 ，它在中央被放置在数据中心服务块。 核心层 核心层使用基于Cisco IOS的路由器。核心层为高速的路由保留，不用任何服务。服务在服务交换机 可以安置在数据中心。 数据中心服务层 数据中心服务分层堆积用途基于Cisco IOS的路由器和交换机。思科美洲台管理器和思科美洲台服务 器在中央查找在数据中心服务块。 解决方案组成部分 此部分描述Cisco NAC设备解决方案的组件。 思科美洲台管理器 思科美洲台管理器是集中所有思科美洲台服务器、用户和策略配置和监视在Cisco NAC设备部署的 管理服务器和数据库。对于OOB美洲台部署，管理器提供OOB管理添加和控制开关在管理器的域和 配置交换机端口。 思科美洲台服务器 思科美洲台服务器是在不信任(管理