核心交换上实施网络安全准入（route-map应用）

下面是拓扑图：

 

 

 

实施过程有点波折，花了一天多的时间。

这次实施的仍然是以粮油七楼做测试，只不过实施地点放在了核心交换上。

 

这在粮油七楼做测试，在CISCO的2621上实验，也是应用route-map 是单臂路由的行式，一切都很顺利，但在CISCO3560上做，就碰到了问题，由于出口这一块原本就不太熟悉，所以不得不先去了解网络流量如何从三层上流出去。

最后得出流量是从VLAN１０作出口流出，于是准备在ＶＬＡＮ10上做应用，却发现，策略是无论如何都应用不到接口上来，查阅相关资料得知"写sdm prefer routing，这个命令，然后重新启动就可以了",这个可能与IOS版本有关，我的3560版本是：c3560-ipservices-mz.122-25.SEB2/c3560-ipservices-mz.122-25.SEB2.bin

因为要重启，所以只能等到下班后进行重启。

 

重启后后，在VLAN10上应用，可以正常应用，可就是匹配不到流量，于是判断是ROUTE-MAP只能在IN方向上做。

于是我们又找到了VLAN 77做测试，启用ROUTE-map，可以正常加上。

由于，我之前，的NAＣ的WAN口是连在3560-2 VLAN 17上，IP地址192.168.17.200，而这个地址是通过OSPF重发布到F5-C3560-1上的，由于ROUTE-map下一跳不是直连，所以匹配不到流量，所以我们就选了一个直连的VLAN 816，把WAN IP设成：192.168.1.180，LAN口IP设成：192.168.3.200，最后终于配置成功，实现控制。当然，也可以在F3560-1上新建一个VLAN１７，然后在port-channel上允许其通过，也可以实现。

这样实施有一个麻烦，就是如果要在全网实施NAC的话，就必须在F3560-1与F3560-2的所以VLAN接口上应用route-map.

备注：查看激活的route-map : sh ip police