思科虚拟机上网设置

与VMware的混合模式适用于思科身份服务引擎安全访问操作指南系列作者:AaronWoland日期:2012年8月思科系统公司2015第2页安全访问操作指南目录VMware部署.
3简介3如何配置混合VMware网络.
3配置混合VMware网络3如何配置混合VMware端口组.
7配置混合VMware端口组(可选)7如何配置SPAN会话.
10配置交换机上的SPAN会话.
10配置IPHELPER语句.
11附录A:参考11CiscoTrustSec系统:12设备配置指南:12思科系统公司2015第3页安全访问操作指南VMware部署简介本操作指南解释如何使用VMware虚拟机(VM)上的ISE来启用设备分析探测.
本指南将展示配置混合VMware网络的步骤和启用交换端口分析器(SPAN)会话的步骤.
本指南假定您了解在VMwareVM上安装思科身份服务引擎(ISE)的要求,且了解如何配置VMwareESX服务器和其他VMware服务器.
有关如何为VMware部署配置ISE的详细信息,请参阅ISE1.
1硬件安装指南:http://www.
cisco.
com/en/US/docs/security/ise/1.
0.
4/install_guide/ise104_vmware.
html.
注意:有关启用设备分析探测的更多信息,请参阅HowTo-04-ISE_Bootstrapping指南.
如何配置混合VMware网络配置混合VMware网络如果思科ISE部署在虚拟环境中,妥善配置VMware网络以确保混合接口的正常工作是非常重要的.
如果思科ISE部署在物理设备上,请跳转到"在交换机上配置SPAN会话"部分.
按照此步骤将VMwareESX服务器上的一个接口配置为专用的混合接口.
如果ESX服务器上的物理接口不能专用于SPAN,请按照本文档稍后将介绍的步骤2操作.
注意:如要与VMware一起部署,请特别注意以下安装指南中列出的各项规格:http://www.
cisco.
com/en/US/docs/security/ise/1.
0.
4/install_guide/ise104_vmware.
html.
尤其是,需要特别留意磁盘大小.
如果思科ISE在VMware中运行,带有许多事件记录,而磁盘空间已耗尽,这可能对部署造成灾难性的后果.
请始终遵循推荐的VMware大小.
第1步在VMwareVSphere客户端中选择物理ESX服务器.
选择ConfigurationNetworking,然后选择AddNetworking.
第2步系统将启动添加网络向导.
在ConnectionTypes下,选择VirtualMachine,然后点击Next.
图1.
添加网络向导思科系统公司2015第4页安全访问操作指南第3步选择要连接至交换机SPAN端口的物理接口,然后点击Next.
图2.
选择物理接口第4步将网络命名为SPAN_Session或其他任意逻辑名.
图3.
为网络命名第5步选择Finish.
图4.
完成虚拟交换机的配置思科系统公司2015第5页安全访问操作指南第6步要允许在新创建的虚拟交换机上使用混合流量,请选择Properties.
注意:默认情况下,所有VMware网络均会拒绝混合流量.
图5.
设置vSwitch2属性第7步突出显示新的虚拟交换机,然后选择Edit.
第8步选择Security选项卡,然后从PromiscuousMode下拉菜单中选择Accept并点击OK.
图6.
接受混合模式第9步关闭vSwitchProperties窗口.
第10步修改CiscoISEVirtualMachine设置.
图7.
修改虚拟机设置第11步为思科ISE选择合适的网络适配器(对思科ISE中的GigabitEthernet1来说通常选择NetworkAdaptor2).
第12步确保DeviceStatus已设置为Connected,且Connectatpoweron已启用.
思科系统公司2015第6页安全访问操作指南第13步从NetworkConnection下拉菜单选择新创建的SPAN_Session网络.
图8.
虚拟机设置第14步点击OK.
第15步记录混合接口所连接的交换机端口,以便下一节使用.
注意:VMwareESX服务器有一项用户友好功能,可显示其已连接接口的思科发现协议信息.
图12展示了这种情况.
图9.
思科发现协议思科系统公司2015第7页安全访问操作指南如何配置混合VMware端口组配置混合VMware端口组(可选)配置混合VMware网络的第二种方法是在现有vSwitch上创建混合端口组.
如果物理SPAN端口不可能专用于思科ISE虚拟机,或者虚拟部署本身不允许从物理交换机复制所有流量而必须从vSwitch本身获取,那么这种部署就非常重要.
第1步在VMwareVSphere客户端中选择物理ESX服务器.
第2步选择ConfigurationNetworking,然后选择您的vSwitch并点击Properties(图13).
图10.
VMwareVSphere客户端第3步在vSwitchProperties窗口中,Ports选项卡上,点击左下角的Add[[他们是否需要确认已选中vSwitch120Ports]].
图11.
vSwitch属性系统将启动添加网络向导.
思科系统公司2015第8页安全访问操作指南第4步在ConnectionTypes下,选择VirtualMachine,然后点击Next.
图12.
连接类型第5步将端口组命名为SPAN_Session或其他任意逻辑名.
第6步将VLAN设为4095并点击Next.
注意:这是一个特殊的VMwareVLAN,会侦听vSwitch上所有其他VLAN.
图13.
端口组属性思科系统公司2015第9页安全访问操作指南第7步选择Finish.
图14.
预览第8步突出显示newportgroup.
第9步选择Edit.
第10步选择Security选项卡.
第11步从PromiscuousMode下拉菜单中选择Accept.
第12步点击OK.
图15.
混合模式第13步关闭vSwitchProperties窗口.
第14步修改思科ISE虚拟机设置.
图16.
修改虚拟机设置思科系统公司2015第10页安全访问操作指南第15步为思科ISE选择合适的网络适配器(对思科ISE中的GigabitEthernet1来说通常选择NetworkAdaptor2).
第16步确保DeviceStatus已设置为Connected,且Connectatpoweron已启用.
第17步从NetworkConnection下拉菜单选择新创建的SPAN_Session网络.
图17.
虚拟机设置第18步点击OK.
如何配置SPAN会话配置交换机上的SPAN会话第1步进入全局配置.
[[哪里明确一点.
]]第2步配置SPAN会话源.
以下是示例:C4K-ToR(config)#monitorsession1sourcevlan100both第3步配置SPAN会话目标.
以下是示例:C4K-ToR(config)#monitorsession1destinationinterfaceg1/47第4步验证端口现在是否处于监控状态.
C4K-ToR(config)#doshowintstatus|i47Gi1/47monitoring1a-fulla-100010/100/1000-TX思科系统公司2015第11页安全访问操作指南配置IPHELPER语句要与DHCP探测配合使用以进行思科ISE分析,应该向网络第3层接口上的iphelper-address语句添加思科ISE策略节点.
此节点添加除了会将所有DHCP请求发送到环境中的生产DHCP服务器外,还会发送一份副本到思科ISE.
第1步进入全局配置模式.
[[哪里明确一点.
]]第2步进入接入VLAN第3层接口的接口配置模式,并将思科ISE添加为iphelper-address的另一个目标.
以下是示例:interfaceVlan10ipaddress10.
1.
10.
1255.
255.
255.
0iphelper-address10.
1.
100.
100!
–thisistheDHCPServeriphelper-address10.
1.
100.
3!
–thisistheISEServer思科系统公司2015第12页安全访问操作指南附录A:参考CiscoTrustSec系统:http://www.
cisco.
com/go/trustsechttp://www.
cisco.
com/en/US/solutions/ns340/ns414/ns742/ns744/landing_DesignZone_TrustSec.
html设备配置指南:思科身份服务引擎用户指南:http://www.
cisco.
com/en/US/products/ps11640/products_user_guide_list.
html有关思科IOS软件、思科IOSXE软件和思科NX-OS软件版本的更多信息,请参阅以下URL:对于CiscoCatalyst2900系列交换机:http://www.
cisco.
com/en/US/products/ps6406/products_installation_and_configuration_guides_list.
html对于CiscoCatalyst3000系列交换机:http://www.
cisco.
com/en/US/products/ps7077/products_installation_and_configuration_guides_list.
html对于CiscoCatalyst3000-X系列交换机:http://www.
cisco.
com/en/US/products/ps10745/products_installation_and_configuration_guides_list.
html对于CiscoCatalyst4500系列交换机:http://www.
cisco.
com/en/US/products/hw/switches/ps4324/products_installation_and_configuration_guides_list.
html对于CiscoCatalyst6500系列交换机:http://www.
cisco.
com/en/US/products/hw/switches/ps708/products_installation_and_configuration_guides_list.
html对于CiscoASR1000系列交换机:http://www.
cisco.
com/en/US/products/ps9343/products_installation_and_configuration_guides_list.
html对于思科无线LAN控制器:http://www.
cisco.
com/en/US/docs/wireless/controller/7.
2/configuration/guide/cg.
html