Segurança : Dispositivo Cisco NAC (Clean Access)

Melhor prática executar a exportação da importação da política (TORTA) em Cisco NAC

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

A finalidade deste documento é destacar as diretrizes de práticas recomendadas para assegurar uma implementação bem sucedida da característica da exportação da importação da política (TORTA) em Cisco NAC.

Pré-requisitos

Requisitos

A familiaridade é exigida com a interface da WEB do gerente de Cisco NAC (Access Manager limpo) e as políticas que são configuradas tipicamente. Refira os Release Note para a liberação 4.5 de Cisco NAC para o que é e não é apoiado com TORTA.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Software 4.5.0 de Cisco NAC

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Recomendações da melhor prática da TORTA

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a Command Lookup Tool (somente clientes registrados) para obter mais informações sobre os comandos usados nesta seção.

Configurações

Siga as recomendações alistadas abaixo para assegurar uma implementação bem sucedida da característica da exportação da importação da política CAM (TORTA).

  1. Cisco recomenda que você configura os mesmos auto ajustes da atualização no mestre e no receptor NACMs (sob o Gerenciamento de dispositivos > o acesso limpo > atualiza > atualização) para se assegurar de que todo o NACMs tenha as mesmas atualizações de Cisco antes que você execute uma sincronização da política. Isto é porque as verificações atuais na ultrapassagem mestra algumas verificam no receptor se você executa atualizações de Cisco em um receptor NACM com os auto ajustes diferentes da atualização e executa então uma sincronização da política.

  2. Se você tem um OOB NACM e qualquer legado NACM com uma licença de IB-only, certifique-se de que você usa o OOB NACM como o mestre NACM e o legado NACM como os receptores.

  3. Uma vez que a TORTA é permitida para um componente particular entre o mestre e o receptor, as tabelas de receptor/informação estão substituídas completamente com a informação que é empurrada do mestre. Não é cumulativa no lado do receptor. Por exemplo, se o receptor tem uma regra de tráfego que permita o acesso a mcafee.com e o mestre tenha as regras de tráfego que permitem o acesso a cisco.com e a abc.com, mas nenhuma regra para mcafee.com, o receptor e o mestre terão regras idênticas uma vez que a sincronização é executada: cisco.com e abc.com. Note que a regra de tráfego para mcafee.com não existe no receptor após a sincronização desde que o mestre não teve essa regra. O melhor prática é configurar o mestre NACM como desejado mas não alterar os ajustes da política nos receptores.

  4. O número máximo de receptores apoiados é 10. Embora não haja nenhuma limitação técnica ao número de receptores, a recomendação da melhor prática é manter isto ao número apoiado (menos do que ou igual ao 10).

    Nota: Para HA-pares NACM, os ajustes da sincronização da política são desabilitados para o NACM à espera.

  5. O mestre e os receptores devem executar a mesma versão da liberação de Cisco NAC (4.5 ou mais alto).

  6. Assegure-se de que ambos os gerentes NAC mandem certificados assinados do Certificate Authority (CA) e mestre e receptor confiar os Certificados de se. Os Certificados são chaves fixar a sincronização entre o mestre e o receptor. O mestre tem que confiar o certificado apresentado pelo receptor e vice-versa. Para isto, é necessário assegurar-se de que cada um deles tenha a CA raiz de seu certificado de peer (corrente completa se o intermediário é involvido) na lista confiada de CA. Nas distribuições do produto, o melhor prática é substituir os certificados auto-assinados no gerente NAC com os certificados assinados de CA. Em curto, certifique-se de que os melhores prática do certificado do gerente SSL NAC estão encontrados antes que você execute a TORTA.

  7. Certifique-se de que você está entrado como um usuário admin do controle total ao gerente do mestre NAC a fim executar a sincronização automática ou manual da política.

  8. A auto sincronização permite que você programe uma sincronização automática da política uma vez que cada número X de dias (o mínimo é 1 dia). Se você deseja usar a auto sincronização para a TORTA, Cisco recomenda fortemente que você executar uma sincronização manual e verificar que a sincronização trabalha com sucesso antes que você permita a auto sincronização entre seus gerentes NAC.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.


Informações Relacionadas


Document ID: 108331