|
|
首先,感谢孙总一直把一些精华的东西无私的奉献出来.孙总一定要把现在加精的那几个帖子保留。以后还要找您要.呵呵.
下面是国内某大企业的nac的一些资料.与大家共享
NAC 实施步骤
1.
安装CCA Agent 到每台PC
(已做完)
1a. 确认该PC网线所连接的Switch端口!!!(参加端口对照表)
♥:通过看网线标签和 Show MAC 实现.
注意不许一次性全部割接用户。其中vlan47是门禁,其他还有打印机和服务器,因此只割接端口对照表里确定的端口。
2. Switch:
10.128.250.191
(telnet, add SNMP configs)
2a. SNMP(5条命令)
snmp-server community public123 RO
snmp-server community private123 RW
snmp-server enable traps snmp authentication linkdown
snmp-server enable traps mac-notification
snmp-server host 10.128.4.1 public123
|
2b. add VLAN 598
♥:
特别注意所有交换机的Trunk接口要配置 598 VLAN. 尤其不是直联 6509
♥: 中间有 3560 Switch, In 3560, config VLAN 598!!!!
2.
CAM :
配置 Switch/port file
在配置前确认该用户在所要控制的交换机上(参见端口对照表)
选择PC所在的交换机端口
选择交换机端口。并选择使用的profile为controlled_port_5F。修改current VLAN为598.所有status为红色的端口全部切换到598VLAN并修改profile到controlled_port_5F。
♥:
不要修改Trunk 接口的任何配置!!!
3.
在CAM的 Switch配置中,添加注释.
4. 让用户使用本人的 AD 域登录, 如果用户没有AD账户, 让用户联系 DMS 部门, 参看 : PSI下发的通知.如果用户反对加入域,请用户参见通告,或者拨打6036联系。
5.可能出现的情况
当用户没有安装agent的时候在IE窗口中任意输入一个地址将被重定向到如下界面。输入用户的AD域帐号,点击继续将可以下载agent并安装。
点击下载agent
如果用户登录域成功则会显示
6.常见的问题
A、切换后不能得到IP地址。
请检查上连到65交换机之间交换机是否都trunk了VLAN598。
B、用户不能重定向到下载AGENT的页面
请检查IE的设置
请将代理服务器选项勾掉。 |
|
IP卡
狗仔卡
发表于 2008-2-20 11:57:33
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡
发表于 2008-2-20 13:39:40
