Logo

Использование Cisco DNA Center и Cisco ISE для настройки проводного доступа в фабрике SD-Access

Настройка проводного доступа в фабрике SD-Access

Настройка проводного доступа в фабрике SD-Access

  • Дата публикации: 15.09.2021
  • Тематика:Сетевые решения
  • Решение:Корпоративные ЛВС
  • Партнёр: Cisco

Видеоурок посвящен теме Cisco DNA Center, а именно, как c помощью DNA Center просто и быстро решать проблемы сети.

В этом видео Сергей Тарасевич, системным инженер в компании Netland, покажет, как настроить проводной доступ в SD-Access фабрике, используя Cisco DNA Center и Cisco ISE.

Видео

Рассмотрим следующий сценарий: предположим, что сетевому администратору поступила задача создать изолированную подсеть с доступом в сеть Интернет для своего подрядчика. У самого подрядчика имеются разные типы рабочих станций с различным ПО – начиная от старых Windows 7 клиентов и заканчивая клиентами, которые используют разные версии Linux. Поэтому в данном случае будем использовать упрощенный метод аутентификации на основе mac-адреса клиента.


В нашем случае Cisco DNA Center преднастроен, Cisco ISE интегрирован с DNA Center, все коммутаторы добавлены, ассоциированы с нашим сайтом и настроены в SD-Access фабрике при помощи DNAC.


Итак приступим к процессу настройки сети для нашего подрядчика.


1. Заходим в Cisco DNA Center, выделяем адресный пул в глобальном IP пуле и называем его следующим образом.
2. Далее в сетевой иерархии перейдем в сайт Netland и зарезервируем подсеть на уровне сайта.
3. Перейдем к настройке имени Virtual Network, которое будет позже передано устройствам в Фабрике в качестве определения VRF.
4. Далее перейдем к настройке группы масштабирования, которая в дальнейшем может быть использована для сегментации внутри определенного VRF.
Как видно, интересующая нас группа масштабирования уже настроена по умолчанию и нам остается только назначить соответствующую виртуальную сеть.
5. Далее переходим в настройки Фабрики и выберем наш сайт. В Fabric Infrastructure мы можем увидеть нашу настроенную фабрику и топологию сети. В настройках Фабрики добавим ранее созданную виртуальную сеть. После чего добавим ранее созданный IP Pool и выберем тип передаваемого траффика. Также запомним имя VLAN, которое понадобится в дальнейшем при настройке профиля авторизации в Cisco ISE. Выполним Deploy нашей сети. Подождем небольшое количество времени, пока DNAC передаст и применит все настройки на наших коммутаторах. Как видно, все настройки применились успешно.
6. Откроем Command Runner Tool и проверим, что конфигурация была отправлена и применена на сетевых устройствах. Например, выберем для проверки следующие коммутаторы.
- Убедимся, что VRF был настроен, используя следующую команду. Как видно ниже, необходимый VRF был создан на устройствах.
- Убедимся, что VLAN был настроен используя следующую команду. Как видно ниже, был создан VLAN1037 на коммутаторе.
- Проверим настройку control plane используя следующую команду. Как видно ниже, настройка lisp присутствует на коммутаторе.
- Проверим настройку default gateway используя следующую команду. Как видно ниже, данная настройка присутствует на коммутаторе.
7. Перейдем к настройке Cisco ISE. Т.к. аутентифицированные пользователи должны быть помещены в правильный VLAN на основе профилей и политик авторизации Cisco ISE, то выполним следующие настройки.
- Произведем настройку профиля авторизации: укажем имя создаваемого профиля, его описание, выберем атрибут VLAN и укажем для него имя.
- Далее произведем настройку группы идентификации конечных точек.
- Далее настроим простое условие и добавим его в библиотеку.
- После чего перейдем к настройке политики авторизации.
8. Подключим нашего проводного клиента к сети. В Radius Live Logs мы можем наблюдать, что наш клиент пытается подключиться к сети, но все безуспешно.
- Добавим mac адрес нашего клиента в ранее настроенную группу идентификации.
- После чего вернемся обратно в Radius Live Logs и проверим еще раз подключение нашего клиента. Как видно, клиент успешно аутентифицировался, получил IP адрес и подключился к сети.
9. Далее перейдем к проверке доступности сети на проводном клиенте.
- Используя командную строку, проверим настройку проводного сетевого адаптера. Как видно ниже, клиент получил IP адрес и подключен к сети.
- Используя команду пинг, проверим доступность шлюза по умолчанию и DNS. Как видно ниже, шлюз и DNS пингуются и доступны.
- Далее проверим, что другие ресурсы нашей корпоративной сети не доступны. Как видно ниже, корпоративный сегмент сети для нашего подрядчика не доступен.
- Проверим открытие веб страниц в браузере. Как видно ниже, веб страницы открываются успешно.

Хотите попробовать управление сетью через DNA Center?

Оставьте контакты, наш менеджер свяжется с вами и пригласит на практическую демонстрацию

* - поля, обязательные для заполнения

Мы обновили наши условия

На сайте netland.by используются cookie для обеспечения удобства пользователей, предоставления персонализированных рекомендаций, сбора аналитической статистики.

Нажимая "Продолжить", вы даете согласие на обработку персональных данных