Segurança : Dispositivo Cisco NAC (Clean Access)

Camada 3 NAC do Guia de Design da faixa que usa VRF-Lite para o isolamento de tráfego

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Índice


Introdução

Nota: A informação neste documento pode mudar sem aviso prévio. Confirme todas as recomendações se possível.

A finalidade deste documento é descrever uma aplicação baseada VRF-Lite do NAC em uma camada 3 do desenvolvimento da faixa (OOB) onde o server NAC (CAS) é configurado no modo (roteado) real do IP gateway. A camada 3 da faixa tem rapidamente tornado das metodologias as mais populares do desenvolvimento para o NAC. Esta SHIFT na popularidade é baseada em diversa dinâmica. O primeiro é melhor utilização dos recursos do hardware. Pelo desenvolvimento do NAC em uma metodologia da camada 3 OOB, uma única ferramenta NAC pode ser feita para escalar para acomodar mais usuários. Igualmente permite que as ferramentas NAC sejam ficadas situadas centralmente um pouco do que distribuída através do terreno ou da organização. Assim, as disposições da camada 3 OOB são muito mais eficazes na redução de custos ambos de um ponto de vista do capital e das despesas operacionais. Há duas aproximações amplamente utilizadas para distribuir o NAC em uma arquitetura da camada 3 OOB.

  1. Aproximação baseada Descoberta-host — Usa a capacidade inerente dentro do agente NAC a fim alcançar o server NAC (CAS). ACL aplicados na aplicação do tráfego de controle do switch de acesso na rede suja. Refira a conexão ao server NAC (CAS) que usa o protocolo suíço para mais informação.

  2. O VRF baseou a aproximação — Usos VRF distribuir o tráfego não-autenticado a CAS. As políticas de tráfego configuradas no server NAC (CAS) são usadas para a aplicação na rede suja. Esta aproximação tem duas secundário-aproximações. Na primeira aproximação, os VRF são patentes durante todo a infraestrutura, neste caso todos mergulham 3 dispositivos participam no switching de caractere. A segunda aproximação usa VRF-Lite e túneis GRE para escavar um túnel os VRF através dos dispositivos da camada 3 que não compreendem o switching de caractere. O benefício à segunda aproximação é que as mudanças de configuração mínima estão exigidas a sua infraestrutura de centro.

Nota: Quando a camada 3 OOB for uma da maioria de metodologias da distribuição comum, não pode sempre ser a solução ótima para cada ambiente. Há umas outras opções escolher daquela pode estar mais situação ótima cabida para seus requisitos particulares. Refira planear seu desenvolvimento para obter mais informações sobre destas outras opções do projeto NAC.

Pré-requisitos

Requisitos

Certifique-se de atender a estes requisitos antes de tentar esta configuração:

  • Uma compreensão básica operação e configuração da infraestrutura da camada 2 e da camada 3

  • Uma compreensão básica da ferramenta NAC de Cisco, e as diferenças entre as várias metodologias da aplicação que são associadas com ela

  • Todas as disposições e os projetos NAC devem ser baseados em exigências do negócio claras. Estas são as suposições da exigência do negócio para esta definição de teste:

    1. Os usuários devem ser autenticados antes de ser concedida o acesso à rede at large.

    2. Seu acesso é limitado baseado em quem os usuários são. Estes privilégios são traçados à membrasia do clube no diretório ativo. Os grupos são convidados, contratantes, e empregados.

    3. Baseado na membrasia do clube AD, os usuários são colocados em um VLAN que tenha os privilégios de acesso de rede que são apropriados para cada grupo.

    4. O tráfego do usuário convidado continua a ser isolado do resto da rede mesmo depois a autenticação.

    5. Depois que o usuário é admitido à rede, a ferramenta NAC deve já não estar no caminho de tráfego. Isto impede a ferramenta NAC se transforme um gargalo e permite que a rede seja usada a seu potencial completo por usuários validados.

  • O NAC tem muitas capacidades que não são cobertas por este documento. A finalidade deste guia é explorar e documentar as diretrizes do projeto e a configuração exigidas para uma camada baseada 3 de VRF-Lite do desenvolvimento da faixa NAC. Este guia não se centra sobre a avaliação ou a remediação da postura. Mais informação sobre a ferramenta NAC e suas capacidades completas podem ser encontradas em www.cisco.com/go/nac (clientes registrados somente).

Componentes Utilizados

Este documento não se restringe a versões de software e hardware específicas.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Configuração da infraestrutura

Introdução:

Quando considerando um VRF-Lite baseado o desenvolvimento da camada 3 OOB NAC, lá for diversos princípios do design que são muito importantes de considerar. Estes princípios são alistados aqui, e uma breve discussão de sua importância é incluída.

  1. Classificação de tráfego e engenharia — Um conceito chave a realizar e recordar para este tipo de projeto NAC é que tráfego classificado como o fluxo sujo da obrigação no lado não confiável do server NAC (CAS). Mantenha sempre esta parte superior do princípio da mente durante o projeto de uma aplicação NAC. Adicionalmente, as redes limpas e sujas não devem ser permitidas comunicar-se diretamente um com o otro. Em um projeto da camada 3 OOB com VRF, o server NAC (CAS) atua como o ponto ou o controlador da aplicação que assegura a segregação e a comunicação segura entre as redes limpas e sujas.

  2. Isolamento de tráfego — É importante para ter certeza que um mecanismo de aplicação apropriado está selecionado para fornecer o tráfego e o isolamento do trajeto para tudo tráfego originado dos anfitriões NON-autenticados e NON-autorizados. VRF-Lite é usado aqui para conseguir o isolamento completo dos dados e do controle plano (VRF).

  3. Aplicação centralizada — Porque a metodologia de VRF-Lite segue a seleção de trajeto natural criada distribuindo: as alterações de topologia, as exigências do controle de acesso, e/ou as alterações de endereço não criam a necessidade de manipular ACL através da infraestrutura. Se você usa um túnel GRE conjuntamente com VRF-Lite, este dá-lhe a flexibilidade deixar cair o direito sujo do tráfego na frente do server NAC sem a necessidade de configurar saltos múltiplos. VRF-Lite conjuntamente com o GRE exige somente a configuração em dispositivos da camada 3 da borda. Isto reduz dramaticamente o número de dispositivos que devem ser tocados a fim fornecer a exigência do isolamento do trajeto.

  4. Dificuldade — Dificuldade da aplicação assim como da manutenção contínua. Quando você determina a aproximação que você é provável se usar para a camada 3 OOB NAC em sua rede, é importante considerar a facilidade da aplicação e custos operacionais e complexidade em curso de executar essa tecnologia, particularmente em um ambiente dinâmico.

Nota: A ferramenta NAC é alheado a como o tráfego lhe é apresentado. Ou seja o dispositivo próprio não tem nenhuma preferência se o tráfego chega através de um túnel GRE, nem foi reorientado com a configuração de roteamento baseada política, VRF distribuído e assim por diante.

Nota: Para a melhor experiência de usuário final possível, recorde usar os Certificados que são confiados pelo navegador do utilizador final. O uso de Certificados Auto-gerados no server NAC não é recomendado para um ambiente de produção.

Nota: Gere sempre o certificado para o server NAC com o endereço IP de Um ou Mais Servidores Cisco ICM NT de sua interface não confiável.

Uma ilustração da virtualização do dispositivo com VRF pode ser considerada aqui. Esta metodologia fornece o plano do controle e os dados aplanam para o isolamento do trajeto.

/image/gif/paws/108540/nac-layer3-design-guide-01.gif

Topologia

Este diagrama é representante da topologia usada para a criação deste papel. A rede interna está distribuindo através da tabela de roteamento global e não tem nenhum VRF associado com ela. O VRF SUJO contém somente o Dirty_VLAN e as redes associadas do trânsito que são exigidos para forçar todos os dados de origem do DIRTY_VLAN para correr através do lado sujo das ferramentas NAC. O convidado VRF contém o GUEST_VLAN e as redes associadas do trânsito exigidos para terminar todos os dados de origem do GUEST_VLAN em uma Secundário-relação separada no Firewall. Cada um das três redes virtuais é levada na mesma infraestrutura física e fornece o isolamento completo do tráfego e do trajeto respectivamente.

/image/gif/paws/108540/nac-layer3-design-guide-02.gif

Fluxos de processo

Esta seção mostra o fluxo de processo básico do o que é exigido para ganhar o acesso de rede ambos com, e sem um agente instalado. Estes fluxos de processo são macroanalíticos na natureza e contêm somente etapas funcionais da decisão. Não incluem cada opção nem pisam que ocorre e não incluem as decisões de autorização que são baseadas em critérios de avaliação do valor-limite.

/image/gif/paws/108540/nac-layer3-design-guide-03.gif

Configuração

A informação de configuração detalha as etapas exigidas configurar sua rede para o isolamento do trajeto usando VRF-Lite/GRE e a configuração exigida para a inserção da ferramenta NAC em sua rede como um IP gateway real da camada 3 OOB.

Nota: VRF-lite é uma característica que o permita de apoiar dois ou mais redes virtuais. VRF-lite igualmente permite endereços IP de Um ou Mais Servidores Cisco ICM NT de sobreposição entre as redes virtuais. Mas, a sobreposição do endereço IP de Um ou Mais Servidores Cisco ICM NT não é recomendada para uma aplicação NAC porque quando a infraestrutura própria apoiar os endereços de sobreposição, pode criar complexidades do Troubleshooting e o relatório incorreto.

VRF-lite usa interfaces de entrada para distinguir rotas para redes virtuais diferentes e as tabelas virtuais do encaminhamento de pacote dos formulários associando uns ou vários mergulham 3 relações com cada VRF. As relações em um VRF podem ser qualquer uma física, como portas Ethernet; ou lógico, como as subinterfaces, as interfaces de túnel ou o VLAN SVI. Note por favor uma relação da camada 3 não pode pertencer a mais de um VRF a qualquer hora.

Considerações importantes para VRF-Lite

  • VRF-Lite está somente localmente - significativo ao interruptor onde é definido, e à Associação de VRF é determinado pela interface de entrada. Nenhuma manipulação do cabeçalho de pacote de informação ou do payload é executada.

  • Um interruptor com VRF-lite é compartilhado por domínios de segurança múltiplos, e todos os domínios de segurança têm suas próprias tabelas de roteamento originais.

  • VRF-Lite deixa domínios de segurança múltiplos compartilhar do mesmo enlace físico entre dispositivos de rede. As portas de tronco com vlan múltiplos ou túneis GRE fornecem o isolamento de tráfego que separa pacotes de cada domínio de segurança diferente.

  • Todos os domínios de segurança devem ter seus próprios VLAN.

  • VRF-lite não apoia toda a funcionalidade MPLS-VRF: etiquete a troca, a adjacência LDP, ou os pacotes rotulados.

  • Os recursos TCAM da camada 3 são compartilhados entre todos os VRF. A fim assegurar-se de que todo o um VRF tenha o suficiente espaço CAM, use o comando maximum routes.

  • Um Catalyst Switch que usa VRF-Lite pode apoiar uma rede global e até 64 VRF. O número total de rotas apoiadas é limitado pelo tamanho do TCAM.

  • A maioria de protocolos de roteamento (BGP, OSPF, EIGRP, RASGO e roteamento estático) podem ser usados entre os dispositivos que executam VRF-Lite.

  • Não há nenhuma necessidade de executar o BGP com VRF-Lite a menos que você precisar de escapar rotas entre VRF.

  • VRF-Lite não afeta a taxa do packet switching.

  • O Multicast e VRF-Lite não podem ser configurados na mesma relação da camada 3 ao mesmo tempo.

  • O subcommand de VRF-lite da capacidade sob o OSPF do roteador deve ser usado quando você configura o OSPF como o protocolo de roteamento entre dispositivos de rede.

Definindo A VRF

No exemplo de design, as exigências fornecem o isolamento do trajeto para usuários não-autenticados ou SUJOS assim como CONVIDADOS. Todo tráfego restante é permitido para utilizar a rede interna. Isto exige a definição de dois VRF. Esta é a configuração:

!
ip vrf DIRTY

!--- Names the VRF and places you into VRF Configuration Mode

description DIRTY_VRF_FOR_NAC

!--- Gives the VRF a user friendly description field for documentation

rd 10:1

!--- Creates a VRF table by specifying a route distinguisher. 
!--- Enter either an AS number and an arbitrary number (xxx:y) or an 
!--- IP address and arbitrary number (A.B.C.D:y).

!
ip vrf GUESTS
description GUESTS_VRF_FOR_VISITORS
rd 30:1
!

Associe um VLAN ou conecte-o com um VRF

Depois que o VRF foi definido no switch de camada 3 ou no roteador, as relações que participam na configuração de VRF-Lite devem ser associadas com o VRF a que pertencem. Como mencionado mais cedo, o exame ou as interfaces virtuais podem ser associados com um VRF. Incluídos são os exemplos de uma interface física, de um Switched Virtual Interface, de uma secundário-relação e de uma interface de túnel que são associados com um VRF.

!
interface FastEthernet0/1
ip vrf forwarding GUESTS
!!Associates the interface with the appropriate VRF defined in Step 1!!
ip address 192.168.39.1 255.255.255.252
!
interface FastEthernet3/1.10
encapsulation dot1Q 10
ip vrf forwarding DIRTY
ip address 192.168.10.1 255.255.255.252
!
interface Vlan100
ip vrf forwarding DIRTY
ip address 192.168.100.1 255.255.255.0
!
interface Tunnel0
ip vrf forwarding GUESTS
ip address 192.168.38.2 255.255.255.252
tunnel source Loopback0
tunnel destination 192.168.254.1
!

Estenda um VRF entre dois dispositivos

Há diversas metodologias aceitáveis para o extenion de um VRF entre duas partes de infraestrutura. O método que você escolhe deve ser baseado no este critérios:

  1. Capacidades de plataforma — Com respeito às capacidades da plataforma, todo o Cisco atual mergulha o apoio capaz VRF-Lite da empresa 3 do interruptor e de plataformas de roteamento. Isto inclui mas não é limitado 4500, 3750, e 3560 às Plataformas do Catalyst 6500.

  2. Alguma plataforma de roteamento que executar o apropriado do Cisco IOS, que incluem mas não são limitadas aos 7600, 3800, 2800, 1800, e 800 Series ISR.

  3. Número de saltos da camada 3 entre partes relevantes de infraestrutura — determinar o número de saltos da camada 3 é crítica para manter tão simples quanto possível o desenvolvimento. Por exemplo, se havia cinco saltos da camada 3 entre a infraestrutura que hospedam os dispositivos de CAS e os clientes, pode criar a carga adicional administrativa.

Com a solução incorreta:

  1. O entroncamento da camada 2 cria uma topologia muito suboptimal da camada 2.

  2. As subinterfaces da camada 3 criam muitas interfaces adicionais para configurar. Em consequência isto pode criar edições adicionais do endereçamento de IP da carga adicional de gerenciamento e do potencial. Isto é ilustrado no diagrama. Se você supõe que não há nenhuma Redundância na infraestrutura, cada camada da rede mostrada tem um ingresso e a interface física da saída. A computação para o número de subinterfaces é então (2 * número de séries na rede * (número de VRF)). Neste exemplo há dois VRF assim que a fórmula é ((2*5)*2) ou 20 subinterfaces. Uma vez que a Redundância é adicionada este número mais do que dobra. Compare isto à extensão GRE, onde somente quatro relações são exigidas com o mesmo resultado final. Isto ilustra claramente como o GRE reduz dramaticamente o impacto da configuração.

Entroncamento da camada 2

O entroncamento da camada 2 é preferido nas encenações onde os armários da camada 3 não são distribuídos ou onde os dispositivos de rede não apoiam o GRE ou as subinterfaces. Deve-se notar que as 4500 Plataformas do catalizador 3560, 3750 e não apoiam subinterfaces. O catalizador 3560, e 3750 igualmente não apoiam o GRE. O Catalyst 4500 apoia o GRE no software, e o Catalyst 6500 apoia o GRE no hardware.

Em um armário da camada 3 modelo onde você conecta uma plataforma que não apoie subinterfaces ou o GRE a uma plataforma que faça, ele é preferido usar somente o entroncamento da camada 2 em um lado, e usar subinterfaces no outro lado. Isto permite que você mantenha todos os benefícios de uma arquitetura do armário da camada 3, e ainda supere a limitação de nenhum GRE ou apoio da Secundário-relação em algumas Plataformas. Uma das vantagens preliminares da configuração de um entroncamento da camada 2 somente em um lado do link é que medindo - a árvore não é introduzida de novo no ambiente da camada 3. Veja o exemplo onde um switch de acesso 3750 (nenhum apoio GRE ou de Secundário-relação) é conectado a um switch de distribuição 6500, que apoie o GRE e as subinterfaces.

Configuração relevante 3750:

Nesta configuração, note que a configuração padrão dos FastEthernet em 1/0/1 para o VLAN NATIVO é VLAN1. Esta configuração não foi mudada. Você igualmente observa, contudo, que o VLAN1 não está permitido ser em tronco através do link. Os VLAN permitidos são limitados somente aos VLANS que são etiquetados. Porque nesta topologia da camada 3 não há nenhuma necessidade para a negociação de tronco, ou tráfego VTP de ir do interruptor comutar, não há igualmente nenhuma necessidade para que o tráfego unencapsulated transite por este link. Esta configuração aumenta a postura de segurança da arquitetura desde que ele doesn para não abrir furos de segurança desnecessários da camada 2.

!
ip vrf DIRTY
description DIRTY_VRF_FOR_NAC
rd 10:1
!
ip vrf GUESTS
description GUESTS_VRF_FOR_VISITORS
rd 30:1
!
!
interface FastEthernet1/0/1
description CONNECTION_TO_DISTRIBUTION_6504
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 10,20,30
switchport mode trunk
speed 100
duplex full
!
!
interface Vlan10
description DIRTY_VRF_TRANSIT
ip vrf forwarding DIRTY
ip address 192.168.10.2 255.255.255.252
!
interface Vlan20
description CLEAN_TRANSIT
ip address 192.168.20.2 255.255.255.252
!
interface Vlan30
description GUESTS_VRF_TRANSIT
ip vrf forwarding GUESTS
ip address 192.168.30.2 255.255.255.252
!

Configuração relevante 6500:

Nesta configuração, note que o encapsulamento do dot1q está usado e os quadros com VLAN10, 20 e 30 são etiquetados. Quando você escolhe o VLAN etiqueta para usar-se, você não pode usar um número de VLAN que seja definido já localmente na base de dados de VLAN no interruptor.

!
ip vrf DIRTY
description DIRTY_VRF_FOR_NAC
rd 10:1
!
ip vrf GUESTS
description GUESTS_VRF_FOR_VISITORS
rd 30:1
!
interface FastEthernet3/1
description CONNECTION_TO_3750_ACCESS
no ip address
speed 100
duplex full
!
!
interface FastEthernet3/1.10
description DIRTY_VRF_TRANSIT
encapsulation dot1Q 10
ip vrf forwarding DIRTY
ip address 192.168.10.1 255.255.255.252
!
interface FastEthernet3/1.20
description CLEAN_TRANSIT
encapsulation dot1Q 20
ip address 192.168.20.1 255.255.255.252
!
interface FastEthernet3/1.30
description GUESTS_VRF_TRANSIT
encapsulation dot1Q 30
ip vrf forwarding GUESTS
ip address 192.168.30.1 255.255.255.252
!

Subinterfaces da camada 3

As subinterfaces da camada 3 são uma boa opção quando você precisa somente de estender o VRF sobre um salto da camada 3 na rede. O GRE ou as subinterfaces podem ser escolhidos basearam em seu nível de conforto com cada configuração. Esta é uma configuração de exemplo para uma Secundário-relação da camada 3:

!
interface FastEthernet3/1
description CONNECTION_TO_3750_ACCESS
no ip address
speed 100
duplex full
!
!
interface FastEthernet3/1.10
description DIRTY_VRF_TRANSIT
encapsulation dot1Q 10
ip vrf forwarding DIRTY
ip address 192.168.10.1 255.255.255.252
!

Túneis GRE

Os túneis GRE são o método preferido para estender um VRF-Lite VRF quando há uns saltos da camada múltipla 3 entre os clientes que precisam de alcançar o VRF. Este tipo de projeto é mais comum com escritório remoto NAC onde os clientes remotos querem alcançar um server centralmente encontrado NAC. Por exemplo, em um núcleo típico, a distribuição, clientes do modelo de rede de acesso não é conectada diretamente às distribuições ou ao núcleo. Consequentemente, não há nenhuma necessidade de adicionar a complexidade da definição VRF na distribuição ou nos dispositivos centrais. O GRE pode ser usado para transportar simplesmente o tráfego que precisa de ser isolado ao ponto na rede onde os server NAC são conectados. Este é um exemplo de uma interface do túnel GRE.

!
interface Tunnel0
ip vrf forwarding GUESTS
ip address 192.168.38.2 255.255.255.252
tunnel source Loopback0
tunnel destination 192.168.254.1
!

Configurando o roteamento para o VRF

Como discutido mais cedo no documento, VRF-Lite apoia o BGP, o OSPF, e o EIGRP. Neste exemplo de configuração, o EIGRP é escolhido porque é tipicamente Cisco recomendou o protocolo de roteamento executado nas redes do campus onde a convergência rápida é exigida.

Deve-se notar, trabalhos esse OSPF igualmente bem com VRF-Lite, como faz BGP.

Deve-se igualmente notar que se o projeto exige que o tráfego deve ser escapado entre VRF, a seguir o BGP é exigido.

Este é um exemplo da configuração do roteamento para um VRF com EIGRP.

!

!--- As with any configuration this is base routing protocol 
!--- configuration which handles the routing for the Global Routing Table.

router eigrp 1
network 192.168.20.0 0.0.0.3
network 192.168.21.0
network 192.168.22.0
network 192.168.28.0 0.0.0.3
network 192.168.29.0 0.0.0.3
network 192.168.254.1 0.0.0.0
no auto-summary
!

!--- An Address Family must be defined for each VRF
!--- that is to be routing through the routing protocol. 
!--- Routing Protocol options such as auto-summarization, 
!--- autonomous system number, router id, and so forth are all 
!--- configured under the address family. Note that EIGRP does not 
!--- neighbor without the autonomous system specified under 
!--- the address family. Also note, that this autonomous system 
!--- number should be unique for each VRF and should not be 
!--- the same as the Global AS number.

!
address-family ipv4 vrf GUESTS
network 192.168.30.0 0.0.0.3
network 192.168.38.0 0.0.0.3
no auto-summary
autonomous-system 30
exit-address-family
 !
address-family ipv4 vrf DIRTY
network 192.168.10.0 0.0.0.3
network 192.168.11.0
no auto-summary
autonomous-system 10
exit-address-family
!

Distribuindo o tráfego entre a tabela de roteamento global e o VRF sujo

Depende das exigências do desenvolvimento NAC se pode ser necessário passar o tráfego do lado não confiável ou sujo da rede à confiada ou limpar o lado da rede. Por exemplo, os serviços da remediação podem potencialmente viver no lado confiado da ferramenta NAC. No caso do único sinal do diretório ativo em disposições, é necessário passar um subconjunto do tráfego ao diretório ativo para permitir fazer logon interativos, troca do bilhete do Kerberos, e assim por diante. Em todos os casos, é muito importante que a tabela de roteamento global sabe alcançar o VRF sujo, e que o VRF SUJO sabe alcançar a tabela de roteamento global se algum dados precisa de passar entre os dois. Isto é segurado tipicamente por esta metodologia.

O VRF sujo opta a relação não confiável ou suja da ferramenta NAC. O global tem rotas estáticas somente às sub-redes que são consideradas VLAN SUJOS.

Considere este desenho.

nac-layer3-design-guide-04.gif

O primeiro salto da camada 3 no lado não confiável ou sujo da ferramenta NAC redistribui uma rota padrão no processo de roteamento esses pontos à ferramenta NAC. O primeiro salto da camada 3 no lado confiado ou limpo da ferramenta NAC redistribui uma rota estática para a sub-rede que pertence ao VLAN 100, que é neste caso 192.168.100.0/24.

Nota: O primeiro salto da camada 3 em lados opostos da ferramenta NAC pode estar no mesmo dispositivo físico, mas em VRF diferentes. No exemplo seguinte, o lado não confiável ou sujo do server NAC está em um VRF, quando o lado confiado ou limpo da ferramenta NAC permanecer na tabela de roteamento global.

A configuração é como se segue:

!
router eigrp 1
 redistribute static
 network 192.168.20.0 0.0.0.3
 network 192.168.21.0
 network 192.168.22.0
 network 192.168.28.0 0.0.0.3
 network 192.168.29.0 0.0.0.3
 network 192.168.254.1 0.0.0.0
 no auto-summary
 !
 address-family ipv4 vrf GUESTS
  network 192.168.30.0 0.0.0.3
  network 192.168.38.0 0.0.0.3
  no auto-summary
  autonomous-system 30
 exit-address-family
 !
 address-family ipv4 vrf DIRTY
  redistribute static
  network 192.168.10.0 0.0.0.3
  network 192.168.11.0
  no default-information out
  no auto-summary
  autonomous-system 10
 exit-address-family
!
ip classless
ip route 192.168.100.0 255.255.255.0 192.168.21.10
ip route vrf DIRTY 0.0.0.0 0.0.0.0 192.168.11.2
!
!!

Configuração NAC para a camada 3 OOB

Instalação de CAS

Recorde nosso princípio do número um da seção da introdução: O truque a um projeto bem sucedido NAC é recordar sempre que tráfego classificado como o fluxo sujo da obrigação no lado não confiável do server NAC (CAS).

nac-layer3-design-guide-05.gif

No primeiro screen shot, atenção do pagamento à instalação da rede de servidor NAC. Você observa que o server está distribuído como um gateway Real-IP fora da banda. Note que a rota padrão do server NAC está apontada ao lado CONFIADO.

/image/gif/paws/108540/nac-layer3-design-guide-06.gif

O server precisa de ser configurado com rotas estáticas para cada um dos VLANS SUJOS que existem no lado NÃO CONFIÁVEL. Veja o segundo screen shot.

/image/gif/paws/108540/nac-layer3-design-guide-07.gif

Verificar

Encontre o processo documentado do NAC-empregado do usuário que registra em nossa rede. Cisco capturou a atividade do switch de acesso, a estação de trabalho, e mostra a informação das tabelas de roteamento dos switch de distribuição.

Use esta seção para confirmar se a sua configuração funciona corretamente.

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Fase 1 — Você não conectou à rede ainda, e o switchport no switch de acesso está para baixo.

! – Catalyst 3750 Access Switch

!--- Note:  Client mahcine is off the network at this point.

!
3750-Access#show int status | i Fa1/0/13               
Fa1/0/13  CLIENT_CONNECTION  notconnect   100          auto   auto 10/100BaseTX
!
!
3750-Access#!Notice it is in the "notconnect" state.
!

Fase 2 — O cliente do Windows obstrui na rede, e o VLAN inicial no interruptor é o VLAN 100 (o VLAN sujo). Um endereço IP de Um ou Mais Servidores Cisco ICM NT é atribuído ao host, como você pode ver neste screen shot.

! – Catalyst 3750 Access Switch

!--- Note: Client just connected to the network.

2w5d: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan100, changed state to up
2w5d: %LINK-3-UPDOWN: Interface FastEthernet1/0/13, changed state to up
2w5d: %LINEPROTO-5-UPDOWN: Line protocol on Interface FastEthernet1/0/13, changed state to up
!
!
3750-Access#show int status | i Fa1/0/13
Fa1/0/13  CLIENT_CONNECTION  connected    100        a-full  a-100 10/100BaseTX
!

/image/gif/paws/108540/nac-layer3-design-guide-08.gif

Fase 3 — Dentro de alguns segundos, o agente NAC começa seu processo do fazer logon. Neste exemplo, o diretório ativo Único-Sinal-em é configurado, assim que você não é alertado para um nome de usuário e senha. Em lugar de, você vê que uma janela pop-up que descreva isso Único-Sinal-em ocorre.

Após a autenticação e a postura a avaliação foi terminada, um mensagem de sucesso é indicado, o switchport é movido do VLAN sujo para o empregado VLAN e os refreshs do agente NAC o endereço IP de Um ou Mais Servidores Cisco ICM NT do PC.

/image/gif/paws/108540/nac-layer3-design-guide-09.gif

! – Catalyst 3750 Access Switch
2w5d: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan100, changed state to down
2w5d: %LINEPROTO-5-UPDOWN: Line protocol on Interface Vlan200, changed state to up
!

!--- Note:  As you can tell from the previous messages, 
!--- the switchport was just moved from VLAN 100 to VLAN 200.

!
3750-Access#show int status | i Fa1/0/13
Fa1/0/13  CLIENT_CONNECTION  connected    200        a-full  a-100 10/100BaseTX
!
!

Este screen shot mostra o endereço IP de Um ou Mais Servidores Cisco ICM NT final, que está no empregado VLAN (VLAN 200).

nac-layer3-design-guide-10.gif

Este screen shot mostra o dispositivo do usuário do NAC-empregado como catalogado na lista de dispositivos certificada. O papel é atribuído aos EMPREGADOS e o VLAN é 200.

nac-layer3-design-guide-11.gif

Este screen shot mostra a lista de usuários on-line no gerente NAC.

/image/gif/paws/108540/nac-layer3-design-guide-12.gif

Este é o log de eventos do gerente NAC, que mostra o login bem-sucedido do usuário fora da banda.

nac-layer3-design-guide-13.gif

Nesta seção, as tabelas de roteamento da tabela de rota global e o VRF SUJO são examinados. Na primeira captura de tela, note o comando show ip route. Isto indica que você vê a tabela de roteamento para as rotas globais.

6504-DISTRIBUTION#show ip route
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.28.2 to network 0.0.0.0

     192.168.29.0/30 is subnetted, 1 subnets
D       192.168.29.0 [90/30720] via 192.168.28.2, 2w5d, FastEthernet3/48
     192.168.28.0/30 is subnetted, 1 subnets
C       192.168.28.0 is directly connected, FastEthernet3/48
D EX 192.168.31.0/24 [170/30976] via 192.168.28.2, 2w5d, FastEthernet3/48
D EX 192.168.30.0/24 [170/30976] via 192.168.28.2, 2w5d, FastEthernet3/48
D    192.168.200.0/24 [90/28416] via 192.168.20.2, 6d19h, FastEthernet3/1.20
D EX 192.168.38.0/24 [170/30976] via 192.168.28.2, 2w5d, FastEthernet3/48
C    192.168.21.0/24 is directly connected, Vlan21
D EX 192.168.39.0/24 [170/30976] via 192.168.28.2, 2w5d, FastEthernet3/48
     192.168.20.0/30 is subnetted, 1 subnets
C       192.168.20.0 is directly connected, FastEthernet3/1.20
D EX 192.168.36.0/24 [170/30976] via 192.168.28.2, 2w5d, FastEthernet3/48
C    192.168.22.0/24 is directly connected, Vlan22
D EX 192.168.37.0/24 [170/30976] via 192.168.28.2, 2w5d, FastEthernet3/48
D EX 192.168.34.0/24 [170/30976] via 192.168.28.2, 2w5d, FastEthernet3/48
     192.168.254.0/32 is subnetted, 3 subnets
D       192.168.254.2 [90/156160] via 192.168.20.2, 2w5d, FastEthernet3/1.20
D       192.168.254.3 [90/156160] via 192.168.28.2, 2w5d, FastEthernet3/48
C       192.168.254.1 is directly connected, Loopback0
D EX 192.168.35.0/24 [170/30976] via 192.168.28.2, 2w5d, FastEthernet3/48
D EX 192.168.32.0/24 [170/30976] via 192.168.28.2, 2w5d, FastEthernet3/48
S    192.168.100.0/24 [1/0] via 192.168.21.10
D EX 192.168.33.0/24 [170/30976] via 192.168.28.2, 2w5d, FastEthernet3/48
D*EX 0.0.0.0/0 [170/30976] via 192.168.28.2, 2w5d, FastEthernet3/48

Nota: A rede 192.168.100.0/24 (a rede suja) está na tabela de roteamento como uma rota estática, com o salto seguinte que é a relação confiada do server NAC.

Note o comando SUJO do vrf da rota da mostra IP. Isto indica que você vê a tabela de roteamento para a rede virtual SUJA somente.

6504-DISTRIBUTION#show ip route vrf DIRTY

Routing Table: DIRTY
Codes: C - connected, S - static, R - RIP, M - mobile, B - BGP
       D - EIGRP, EX - EIGRP external, O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       i - IS-IS, su - IS-IS summary, L1 - IS-IS level-1, L2 - IS-IS level-2
       ia - IS-IS inter area, * - candidate default, U - per-user static route
       o - ODR, P - periodic downloaded static route

Gateway of last resort is 192.168.11.2 to network 0.0.0.0

     192.168.10.0/30 is subnetted, 1 subnets
C       192.168.10.0 is directly connected, FastEthernet3/1.10
C    192.168.11.0/24 is directly connected, Vlan11
D    192.168.100.0/24 
           [90/28416] via 192.168.10.2, 01:03:19, FastEthernet3/1.10
S*   0.0.0.0/0 [1/0] via 192.168.11.2

Nota: Note o acesso sujo VLAN (192.168.100.0/24) é aprendido na distribuição com o EIGRP do switch de acesso 3750, somente na tabela de roteamento SUJA VRF. Esta rota não existe na tabela global.

Apêndice A: Configurações de switch

Configuração running do switch de acesso

service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname 3750-Access
!
!
no aaa new-model
clock timezone EST -5
clock summer-time EST recurring
switch 1 provision ws-c3750-24ts
ip subnet-zero
ip routing
!
ip vrf DIRTY
 description DIRTY_VRF_FOR_NAC
 rd 10:1
!
ip vrf GUESTS
 description GUESTS_VRF_FOR_VISITORS
 rd 30:1
!
!
!
crypto pki trustpoint TP-self-signed-819048320
 enrollment selfsigned
 subject-name cn=IOS-Self-Signed-Certificate-819048320
 revocation-check none
 rsakeypair TP-self-signed-819048320
!
!
crypto ca certificate chain TP-self-signed-819048320
 certificate self-signed 01
!
!
no file verify auto
spanning-tree mode pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
!
interface Loopback0
 ip address 192.168.254.2 255.255.255.255
!
 
!
interface FastEthernet1/0/1
 description CONNECTION_TO_DISTRIBUTION_6504
 switchport trunk encapsulation dot1q
 switchport trunk allowed vlan 10,20,30
 switchport mode trunk
 speed 100
 duplex full
!
interface range FastEthernet1/0/2 - 24
 description CLIENT_CONNECTION
 switchport access vlan 100
 switchport mode access
 spanning-tree portfast
 spanning-tree bpduguard enable
!
!- SNIP -
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan10
 description DIRTY_VRF_TRANSMIT
 ip vrf forwarding DIRTY
 ip address 192.168.10.2 255.255.255.252
!
interface Vlan20
 description CLEAN_TRANSIT
 ip address 192.168.20.2 255.255.255.252
!
interface Vlan30
 description GUESTS_TRANSIT
 ip vrf forwarding GUESTS
 ip address 192.168.30.2 255.255.255.252
!
interface Vlan100
 description DIRTY_VLAN
 ip vrf forwarding DIRTY
 ip address 192.168.100.1 255.255.255.0
 ip helper-address 192.168.22.11
!
interface Vlan200
 description EMPLOYEES_VLAN
 ip address 192.168.200.1 255.255.255.0
 ip helper-address 192.168.22.11
!
interface Vlan210
 description CONTRACTORS_VLAN
 ip address 192.168.210.1 255.255.255.0
 ip helper-address 192.168.22.11
!
 
!
interface Vlan300
 description GUESTS
 ip vrf forwarding GUESTS
 ip address 192.168.31.1 255.255.255.0
!
router eigrp 1
 network 192.168.20.0 0.0.0.3
 network 192.168.200.0
 network 192.168.254.2 0.0.0.0
 no auto-summary
 !
 address-family ipv4 vrf GUESTS
 network 192.168.30.0 0.0.0.3
 network 192.168.31.0
 no auto-summary
 autonomous-system 30
 exit-address-family
 !
 address-family ipv4 vrf DIRTY
 network 192.168.10.0 0.0.0.3
 network 192.168.100.0
 no auto-summary
 autonomous-system 10
 exit-address-family
!
router bgp 1
 no synchronization
 bgp log-neighbor-changes
 neighbor 192.168.254.3 remote-as 1
 neighbor 192.168.254.3 update-source Loopback0
 no auto-summary
!
ip classless
ip route 192.0.2.1 255.255.255.255 Null0
ip http server
ip http secure-server
!
!
snmp-server community NIC-NAC-PADDYWHACK RW
snmp-server user NIC-NAC-PADDYWHACK NIC-NAC-PADDYWHACK v1 
snmp-server user NIC-NAC-PADDYWHACK NIC-NAC-PADDYWHACK v2c 
snmp-server trap-source Loopback0
snmp-server host 192.168.22.5 version 2c NIC-NAC-PADDYWHACK 
!
!- SNIP
!
ntp clock-period 36028450
ntp source Loopback0
ntp server 192.168.254.1 version 2 prefer
end

Configuração running do switch de distribuição

!– SNIP - 
!
hostname 6504-DISTRIBUTION
!
boot-start-marker
boot system disk0:s72033-advipservicesk9_wan-mz.122-33.SXH2a.bin
boot-end-marker
!
!
no aaa new-model
clock timezone EST -5
clock summer-time EST recurring
!
!- SNIP - 
!
ip vrf DIRTY
 description DIRTY_VRF_FOR_NAC
 rd 10:1
!
ip vrf GUESTS
 description GUESTS_VRF_FOR_VISITORS
 rd 30:1
!
ipv6 mfib hardware-switching replication-mode ingress
vtp domain cmpd
vtp mode transparent
no mls acl tcam share-global
mls netflow interface
no mls flow ip
no mls flow ipv6
mls cef error action freeze
!
!
redundancy
 keepalive-enable
 mode sso
 main-cpu
  auto-sync running-config
spanning-tree mode pvst
no spanning-tree optimize bpdu transmission
spanning-tree extend system-id
diagnostic cns publish cisco.cns.device.diag_results
diagnostic cns subscribe cisco.cns.device.diag_commands
!
vlan internal allocation policy ascending
vlan access-log ratelimit 2000
!
!
!
 
!
vlan 11
 name CAS_DIRTY
!
vlan 21
 name CAS_CLEAN
!
vlan 22
 name SERVER_VLAN
!
interface Tunnel0
 ip vrf forwarding GUESTS
 ip address 192.168.38.1 255.255.255.252
 tunnel source Loopback0
 tunnel destination 192.168.254.3
!
interface Loopback0
 ip address 192.168.254.1 255.255.255.255
!
!- SNIP -
!
interface FastEthernet3/1
 description CONNECTION_TO_3750_ACCESS
 no ip address
 speed 100
 duplex full
!
interface FastEthernet3/1.10
 description DIRTY_VRF_TRANSIT
 encapsulation dot1Q 10
 ip vrf forwarding DIRTY
 ip address 192.168.10.1 255.255.255.252
 ip verify unicast source reachable-via rx allow-default
!
interface FastEthernet3/1.20
 description CLEAN_TRANSIT
 encapsulation dot1Q 20
 ip address 192.168.20.1 255.255.255.252
!
interface FastEthernet3/1.30
 description GUESTS_TRANSIT
 encapsulation dot1Q 30
 ip vrf forwarding GUESTS
 ip address 192.168.30.1 255.255.255.252
!
!
!
!
 
!
interface FastEthernet3/2
 description CAS1_DIRTY
 switchport
 switchport access vlan 11
 switchport mode access
 speed 100
 duplex full
 spanning-tree portfast
 spanning-tree bpduguard enable
!
interface FastEthernet3/3
 description CAS2_DIRTY
 switchport
 switchport access vlan 11
 switchport mode access
 speed 100
 duplex full
 spanning-tree portfast
 spanning-tree bpduguard enable
!
interface FastEthernet3/4
 description CAS1_CLEAN
 switchport
 switchport access vlan 21
 switchport mode access
 speed 100
 duplex full
 spanning-tree portfast
 spanning-tree bpduguard enable
!
interface FastEthernet3/5
 description CAS2_CLEAN
 switchport
 switchport access vlan 21
 switchport mode access
 speed 100
 duplex full
 spanning-tree portfast
 spanning-tree bpduguard enable
!
interface FastEthernet3/6
 description CAM
 switchport
 switchport access vlan 22
 switchport mode access
 speed 100
 duplex full
 spanning-tree portfast
 spanning-tree bpduguard enable
!
!
!- SNIP -
!
!
 
!
interface FastEthernet3/48
 description CONNECTION_TO_THE_WORLD
 ip address 192.168.28.1 255.255.255.252
 speed 100
 duplex full
!
interface Vlan1
 no ip address
 shutdown
!
interface Vlan11
 description NAC_DIRTY
 ip vrf forwarding DIRTY
 ip address 192.168.11.1 255.255.255.0
!
interface Vlan21
 description NAC_CLEAN
 ip address 192.168.21.1 255.255.255.0
!
interface Vlan22
 description SERVER_VLAN
 ip address 192.168.22.1 255.255.255.0
!
router eigrp 1
 redistribute static
 network 192.168.20.0 0.0.0.3
 network 192.168.21.0
 network 192.168.22.0
 network 192.168.28.0 0.0.0.3
 network 192.168.29.0 0.0.0.3
 network 192.168.254.1 0.0.0.0
 no auto-summary
 !
 address-family ipv4 vrf GUESTS
  network 192.168.30.0 0.0.0.3
  network 192.168.38.0 0.0.0.3
  no auto-summary
  autonomous-system 30
 exit-address-family
 !
 address-family ipv4 vrf DIRTY
  redistribute static
  network 192.168.10.0 0.0.0.3
  network 192.168.11.0
  no default-information out
  no auto-summary
  autonomous-system 10
 exit-address-family
!
!
!
!
!
 
!
router bgp 1
 no synchronization
 bgp log-neighbor-changes
 neighbor 192.168.254.3 remote-as 1
 neighbor 192.168.254.3 update-source Loopback0
 no auto-summary
!
ip classless
ip route 192.0.2.1 255.255.255.255 Null0
ip route 192.168.100.0 255.255.255.0 192.168.21.10
ip route vrf DIRTY 0.0.0.0 0.0.0.0 192.168.11.2
!
!
!- SNIP - 
!
ntp source Loopback0
ntp master 2
!
end

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 108540