下面是拓扑图:
 
 
核心交换上实施网络安全准入(route-map应用)_第1张图片
 
实施过程有点波折,花了一天多的时间。
这次实施的仍然是以粮油七楼做测试,只不过实施地点放在了核心交换上。
 
这在粮油七楼做测试,在CISCO的2621上实验,也是应用route-map 是单臂路由的行式,一切都很顺利,但在CISCO3560上做,就碰到了问题,由于出口这一块原本就不太熟悉,所以不得不先去了解网络流量如何从三层上流出去。
最后得出流量是从VLAN10作出口流出,于是准备在VLAN10上做应用,却发现,策略是无论如何都应用不到接口上来,查阅相关资料得知"写sdm prefer routing,这个命令,然后重新启动就可以了",这个可能与IOS版本有关,我的3560版本是:c3560-ipservices-mz.122-25.SEB2/c3560-ipservices-mz.122-25.SEB2.bin
因为要重启,所以只能等到下班后进行重启。
 
重启后后,在VLAN10上应用,可以正常应用,可就是匹配不到流量,于是判断是ROUTE-MAP只能在IN方向上做。
于是我们又找到了VLAN 77做测试,启用ROUTE-map,可以正常加上。
由于,我之前,的NAC的WAN口是连在3560-2 VLAN 17上,IP地址192.168.17.200,而这个地址是通过OSPF重发布到F5-C3560-1上的,由于ROUTE-map下一跳不是直连,所以匹配不到流量,所以我们就选了一个直连的VLAN 816,把WAN IP设成:192.168.1.180,LAN口IP设成:192.168.3.200,最后终于配置成功,实现控制。当然,也可以在F3560-1上新建一个VLAN17,然后在port-channel上允许其通过,也可以实现。
这样实施有一个麻烦,就是如果要在全网实施NAC的话,就必须在F3560-1与F3560-2的所以VLAN接口上应用route-map.
备注:查看激活的route-map : sh ip police