Switches : Switches Cisco Catalyst 4500 Series

Guia de Configuração do Software Network Admission Control

2 Abril 2008 - Tradução Manual
Outras Versões: Versão em PDFpdf | Inglês (21 Agosto 2006) | Feedback

Índice

Guia de Configuração do
Network Admission Control Software

Índice

Pré-requisitos para Configuração do NAC

Informações Sobre o Network Admission Control

Funções do Dispositivo NAC

Validação da Postura

Política de Desativação de AAA

Validação e Autenticação do NAC Layer 2 IEEE 802.1X

Validação do NAC Layer 2 IP

Guia de Configuração e Restrições de Configuração do NAC

Como fazer a Configuração do NAC

Configuração Padrão do NAC

Configurando NAC Layer 2 IEEE 802.1X

Configurando a Validação do NAC Layer 2 IP

Configurando o EAPoUDP

Configurando Políticas e Perfis de Identidade

Configurando o Controle de Dispositivo IP

Configurando Espionagem de DHCP IP para NAC (Opcional)

Configurando Inspeção de ARP para IP com uma Lista de Filtro de ARP (opcional)

Configurando Inspeção de ARP IP com Espionagem de DHCP IP (opcional)

Configurando Política de Desativação de AAA de NAC (opcional)

Exibindo Informações do NAC

Limpando a Tabela da Sessão de EAPoUDP

Referências a Comandos

aaa authentication eou

aaa authorization auth-proxy default

clear ip admission

clear ip device tracking

debug eou

debug ip admission

debug ip device tracking

debug sw-ip-admission

description

device

eou initialize

eou max-retry (configuração global e de interface)

eou ratelimit

eou revalidate (configuração global e de interface)

eou revalidate (EXEC privilegiado)

eou timeout (configuração global e de interface)

identity policy

ip admission name eapoudp

ip admission name eapoudp bypass

ip device tracking

mls rate-limit layer2 ip-admission

radius-server attribute 8

redirect

show eou

show ip access-lists interface

show ip device tracking

Procedimentos de Recuperação e Mensagem

Mensagens AP

Mensagens de EOU


Guia de Configuração do
Network Admission Control Software


Este documento descreve a Configuração do NAC (Network Admission Control) em Switches da série Catalyst. O NAC é parte da Cisco Self-Defending Network Initiative, que ajuda a identificar, prevenir e adaptar às ameaças de segurança em sua rede. Devido ao crescente número de ameaças e ao impacto dos worms e vírus em negócios realizados pela rede, o NAC avalia a condição do antivírus de pontos finais ou clientes antes de conceder acesso à rede.

Índice

Este documento contém as seguintes seções:

Pré-requisitos para Configuração do NAC

Informações Sobre o Network Admission Control

Guia de Configuração e Restrições de Configuração do NAC

Como fazer a Configuração do NAC

Exibindo Informações do NAC

Limpando a Tabela da Sessão de EAPoUDP

Referências a Comandos

Procedimentos de Recuperação e Mensagem

Pré-requisitos para Configuração do NAC

O suporte NAC apresenta dois recursos: Autenticação e validação do NAC Layer 2 IEEE 802.1X, e validação do NAC Layer 2 IP. Conforme mostrado na Tabela 1, o suporte para esses recursos é específico de chassi.

Tabela 1 Matriz de Suporte do NAC

Recursos do NAC
7600
6500
4500
3750 Metro
3750
3560
3550
(12.2S)
3550
(12.1S)
2970
2960
2955
2950-LRE
2950
2940
Cisco
Aironet

NAC Layer 2 IEEE 802.1X
Autenticação e Validação

X

X

X

X

X

X

X

X

X

X

X

X

X

Validação do NAC Layer 2 IP

X

X

X

X

X

X



Observação O NAC também é implementado em routers Cisco IOS que estejam executando a versão 12.3(8)T do Cisco IOS. A implementação do NAC em todos os switches não é compatível com a implementação anterior do NAC nos routers. Os switches fornecem suporte a listas de controle de acesso (ACLs) padrão e para que as ACLs possam ser obtidas através de download do ACS (Cisco Secure Access Control Server) mas não fornecem suporte a ACLs de interceptação.



Observação O switch da série Catalyst 6500 executando a versão 12.2(18)SXF do Cisco IOS não fornece suporte à autenticação e validação de NAC Layer 2 IEEE 802.1X em switches de ponta.


Os dois métodos de validação de NAC Layer 2 (IEEE 802.1X e IP) funcionam em switches de ponta, mas possuem métodos diferentes de iniciação de validação, troca de mensagens e aplicativo de políticas. Para obter uma lista completa de dispositivos que fornecem suporte ao NAC, consulte as release notes do NAC.


Observação Para obter informações completas sobre sintaxe e uso dos comando novos ou modificados utilizados neste documento, consulte a seção "Referências a Comandos" ou a
Referências a Comandos de Segurança do Cisco IOS, versão 12.3 em:

http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/secur_r.



Observação Para obter as release notes 2.0 do NAC, consulte:

http://www.cisco.com/en/US/netsol/ns617/networking_solutions_release_notes_list.html


Informações Sobre o Network Admission Control

Infecções por vírus causam sérias brechas de segurança na rede. As origens de infecções por vírus são pontos finais inseguros, como PCs e servidores. O risco mais provável de segurança é de um dispositivo em que o software de antivírus não esteja instalado ou esteja desabilitado. Ao habilitar o software, os dispositivos podem não possuir as definições de vírus mais recentes e mecanismos de varredura. Embora os fornecedores de antivírus estejam dificultando a desabilitação do software de antivírus, o risco de definições de vírus e mecanismos de varredura desatualizados ainda existe.

O NAC autentica dispositivos ou clientes de ponto final e aplica as políticas de controle de acesso para impedir que dispositivos infectados afetem negativamente a rede. Isso verifica a condição do antivírus ou postura de sistemas ou clientes de ponto final antes de conceder aos dispositivos o acesso à rede. O NAC impede os nós inseguros de infectar a rede negando o acesso a dispositivos não compatíveis, colocando-os em um segmento de rede de quarentena ou dando a eles acesso restrito aos recursos de computação.

Estas seções descrevem o NAC:

Funções do Dispositivo NAC

Validação da Postura

Política de Desativação de AAA

Validação e Autenticação do NAC Layer 2 IEEE 802.1X

Validação do NAC Layer 2 IP

Funções do Dispositivo NAC

Com o NAC, os dispositivos da rede têm funções específicas, como mostrado na Figura 1 e descrito abaixo.

Dispositivo/Cliente/Host de Ponto Final—Esse é um host que solicita acesso à rede LAN protegida e é o host cuja postura é validada na política de segurança de TI corporativa da empresa. Esse host pode ser um PC, servidor, laptop ou qualquer outro dispositivo que não seja IOS (impressoras ou scanners). O dispositivo de ponto final é configurado com o CTA (Cisco Trust Agent), que é a interface entre o servidor de autenticação e o software de terceiros no dispositivo de ponto final. Os dispositivos de ponto final que são configurados com o CTA são chamados de hosts CTA. Outros dispositivos de ponto final como o Cisco IP Phone, dispositivos que não sejam IOS ou PC/laptops, e não configurados com o CTA, são conhecidos como Non-Responsive Hosts (NRHs). O servidor de autenticação deve fornecer políticas tanto para os hosts CTA quanto para os NRHs. O CTA tem o software de agente de postura que age como uma interface e também tem a Posture Plugin DLL, que contém as informações reais sobre o estado de postura no cliente.


Observação Por padrão, os pontos de acesso Cisco Aironet executando a versão 12.3(4)JA ou posterior do Cisco IOS fornecem suporte à autenticação e validação do NAC Layer 2 IEEE 802.1X; nenhuma configuração é necessária nos pontos de acesso. Os pontos de acesso simplesmente retardam a comunicação de NAC entre clientes e switches.


O software CTA também é mencionado como o agente de postura ou o cliente antivírus.

Dispositivo de acesso à rede (NAD)—Esse é o dispositivo no qual o NAC é implementado. Pode ser um dispositivo Layer 2 ou Layer 3 na ponta da rede em que os dispositivos de ponto final se conectam. O NAD inicia o processo de validação de postura e, em seguida, conecta o dispositivo de ponto final e o servidor de autenticação. O NAD inicia a validação de postura retardando as mensagens do EAP (Extensible Authentication Protocol) por meio do UDP (User Datagram Protocol). O NAC usa esse protocolo conhecido como EAPoUDP (EAP over User Datagram Protocol). (EAPoUDP também é denominado EoU.)

Para pontos de acesso e também para switches das séries Catalyst 2970, 2960, 2955, 2950 e 2940, as informações de encapsulamento nas mensagens do EAP são baseadas em autenticação baseada na porta IEEE 802.1X. Ao usar a porta IEEE 802.1X para autenticação, o switch usa estruturas EAPOL (EAP over LAN).

Para switches diferentes dos switches das séries Catalyst 2970, 2960, 2955, 2950 e 2940, as informações de encapsulamento nas mensagens do EAP podem ser baseadas na autenticação baseada na porta IEEE 802.1X ou UDP. Ao usar a porta IEEE 802.1X para autenticação, o switch usa estruturas EAPOL. Ao usar o UDP, o switch emprega estruturas EoU.


Observação Os dispositivos que podem agir como intermediários incluem os switches das séries Catalyst 6500, 4500, 3750, 3560, 3550, 2960, 2970, 2955, 2950 e 2940, os switches da série Catalyst 7600 e os switches Cisco CGESM (Gigabit Ethernet Switching Module). Esses dispositivos devem estar executando softwares que forneçam suporte ao cliente RADIUS e IEEE 802.1X.


Servidor de autenticação (AS)—Essa é uma instância de um PVS (Posture Validation Server) que valida primeiro as credenciais de postura de um dispositivo de ponto final e faz o download de um NAP (Network Access Profile) para o respectivo dispositivo de ponto final no NAD. O NAP contém as políticas de acesso que devem ser aplicadas para a sessão do dispositivo de ponto final. Esse NAP é formado após o AS avaliar o estado da credencial de postura do dispositivo de ponto final em relação às políticas de segurança de TI corporativas da empresa. Após o NAD ter iniciado a sessão do EoU entre o dispositivo de ponto final e o AS, torna-se transparente e age somente como uma ponte entre os dois.

O AS também pode funcionar como um servidor de auditoria ou de remediação de terceiros para validar o cliente do NRH.


Observação O Cisco Secure ACS 4.0 ou posterior é uma instância de RADIUS/TACACS (AS) para o NAC. No NAC 2.0, o switch Catalyst dá suporte ao Cisco Secure ACS 4.0 ou posterior com autenticação, autorização e conta (AAA) do protocolo RADIUS e extensões EAP.


Figura 1 Funções de Dispositivo do NAC

Validação da Postura

O NAC habilita os NADs permitindo ou negando acesso dos hosts de rede à rede baseada no estado do software no host. Esse processo é chamado de validação de postura.

A validação de postura consiste em verificar a condição do antivírus ou credenciais do cliente, avaliando as credenciais da postura de segurança do cliente de rede e fornecendo a política adequada de acesso à rede para o NAD baseado na postura do sistema.

O switch Catalyst executa a validação de postura em portas do switch como a seguir indicado (Figura 1):

1. Quando um ponto final ou cliente tenta se conectar à rede por meio de Cisco NAD, como um switch de ponta, o switch desafia a condição do antivírus do ponto final. A condição do antivírus inclui definições de vírus e a versão do software de antivírus, e o mecanismo de varredura.

2. O sistema do ponto final, executando o software CTA, coleta informações do antivírus do dispositivo de ponto final (como o tipo de software antivírus utilizado), e envia as informações para o switch.

Se um ponto final não estiver executando o software CTA, o switch classificará o sistema do ponto final como sem cliente e considerará esse sistema um host sem resposta ou um host sem agente NAC.

Para mais informações sobre hosts sem respostas, consulte a seção "Hosts Sem Resposta". Para mais informações sobre sistemas do ponto final sem clientes e hosts sem resposta, consulte a seção "Validação de Postura e Validação de Layer 2 IP".

Para o Guia do Administrador do CTA 2.0, consulte este URL:

http://www.cisco.com/en/US/products/ps5923/prod_maintenance_guides_list.html

Para as Release Notes do Cisco Trust Agent 2.0, consulte este URL:

http://www.cisco.com/en/US/products/ps5923/prod_release_notes_list.html

Para obter a listagem geral da documentação do CTA na Web, consulte este URL:

http://www.cisco.com/en/US/products/ps5923/tsd_products_support_series_home.html

3. O switch envia as informações para o Cisco Secure ACS para determinar a política do NAC.

O Cisco Secure ACS valida a condição do antivírus, determina a política do NAC e retorna a política de acesso ao switch. O switch aplica a política de acesso nos pontos finais.

Se a validação prosseguir, o Cisco Secure ACS concede ao cliente o acesso à rede baseado nas limitações do acesso.

Se a validação falhar, o dispositivo não compatível poderá ter o acesso negado, colocado em um segmento de rede de quarentena ou receber acesso restrito aos recursos de computação. A validação pode falhar porque o cliente está infectado com um worm ou vírus, o host não está executando um software compatível ou o host está utilizando uma versão obsoleta de software antivírus.

Para informações sobre o Cisco Secure ACS para Windows, consulte este URL:

http://www.cisco.com/en/US/products/sw/secursw/ps2086/index.html

Para informações sobre o mecanismo de solução Cisco Secure ACS, consulte este URL:

http://www.cisco.com/en/US/products/sw/secursw/ps5338/index.html

Política de Desativação de AAA

As implantações típicas do NAC utilizam o Cisco Secure ACS para validar a postura do cliente e devolver as políticas para o NAD. Se o servidor AAA não estiver ao alcance quando ocorrer a validação de postura, em vez de rejeitar o usuário (isto é, não fornecer o acesso à rede), um administrador pode fazer a configuração de uma política de desativação AAA padrão que pode ser aplicada ao host.

Esse sistema é vantajoso pelas seguintes razões:

Enquanto o AAA estiver indisponível, o host ainda terá conectividade com a rede, embora ela possa ser restrita.

Quando o servidor AAA mais uma vez for alcançado, os usuários poderão ser reavaliados e suas políticas poderão ser descarregadas do ACS.


Observação Quando o servidor AAA está inativo, a política de desativação somente é aplicada se não houver nenhuma política associada ao host. Normalmente, durante a revalidação quando o servidor AAA fica inativo, as políticas que estão sendo utilizadas pelo host são mantidas.


Validação e Autenticação do NAC Layer 2 IEEE 802.1X

O NAC Layer 2 IEEE 802.1X pode ser utilizado na porta de acesso de um switch de ponta em que um dispositivo (um sistema ou cliente do ponto final) está conectado. O dispositivo pode ser um PC, uma estação de trabalho, um ponto de acesso Cisco Aironet ou um servidor que esteja conectado à porta de acesso do switch por meio de uma conexão direta.

Figura 2 Rede Utilizando o NAC Layer 2 IEEE 802.1X

O cliente ou o switch pode iniciar a validação de postura. O switch retarda as mensagens do EAPOL entre os pontos finais e o Cisco Secure ACS. Após o Cisco Secure ACS retornar a decisão de controle de acesso, o switch aplica as limitações do acesso atribuindo uma porta autenticada a uma VLAN específica, que fornece a segmentação e quarentena de clientes de posturas ineficientes ou negando o acesso à rede.

Esta seção inclui os seguintes tópicos:

Hosts Sem Resposta

Revalidação Periódica de Postura

Alternar Ações

Política de Desativação do AAA para o NAC Layer 2 IEEE 802.1X (Inaccessible Authentication Bypass)

Hosts Sem Resposta

Um host sem resposta pode ser um dispositivo executando um suplicante compatível com a IEEE 802.1X herdada ou um dispositivo sem esse suplicante. Um host ou cliente que não responda às requisições de validação de postura pode ser validado de uma dessas maneiras:

802.1X Guest VLAN (para dispositivos em que falta um suplicante compatível com IEEE 802.1X)

Identidade de 802.1X + postura desconhecida

Se um host com software cliente compatível com a IEEE 802.1X herdada se conecta ao switch, o switch inicia uma sessão com o Cisco Secure ACS e encaminha as informações do host para o servidor de autenticação. O servidor de comunicação retorna uma política de acesso baseada na identidade conhecida e postura desconhecida do host. A política pode ser uma atribuição de VLAN ou uma recusa de acesso à rede. O switch aplica essa política ao host.

O servidor de autenticação também envia as informações do switch de que o par Attribute-Value (AV) da postura está definido comoUnknown porque o host não forneceu informações de postura. As informações não afetam a maneira com que o switch aplica a política de acesso ao host.

Revalidação Periódica de Postura

Podem ocorrer mudanças de postura por causa de uma alteração no cliente ou no Cisco Secure ACS.

Se o host muda, o CTA no host detecta a alteração e inicia a revalidação enviando uma mensagem de início do EAPOL ao switch. Por exemplo, isso pode acontecer devido a uma correção do sistema operacional ou a um pacote de software antivírus.

Se o servidor de autenticação muda, o switch não revalida a postura até que o temporizador de nova autenticação periódica expire. Por exemplo, isso pode acontecer quando um novo arquivo antivirus.dat está disponível.

Pode fazer uma configuração ao switch para revalidar periodicamente a postura de um host que responde habilitando a nova autenticação periódica do cliente IEEE 802.1X e especificando sua freqüência. Para dispositivos que estejam executando um suplicante herdado sem CTA, os hosts sem resposta podem ser configurados para a revalidação periódica de postura.


Observação Para dispositivos que não estejam executando um suplicante compatível com a IEEE 802.1X, os hosts sem resposta não podem ser configurados para a revalidação periódica de postura.


Com o NAC Layer 2 IEEE 802.1X, pode ser especificado o número de segundos entre as tentativas de novas autenticações ao se definir manualmente o número de segundos, ou configurando o switch para utilizar o valor do atributo do RADIUS Session-Timeout na mensagem de aceitação de acesso do Cisco Secure ACS.

O switch também utiliza o atributo Termination-Action do RADIUS para a validação de postura. Dependendo do valor desse atributo, o switch revalida automaticamente o cliente ou encerra a sessão baseada no EAPOL e, em seguida, revalida o cliente.

Alternar Ações

Dependendo do estado da nova autenticação periódica, do valor da nova autenticação e do atributo Session-Timeout RADIUS, o switch adota uma das ações relacionadas na Tabela 2.

Ao definir manualmente o número de segundos, o switch reautenticará o host quando o temporizador expirar.

Se a mensagem de aceitação de acesso não incluir o par AV Session-Timeout, o switch não reautenticará o host.

Se a mensagem de aceitação de acesso incluir o par AV Session-Timeout, o switch utilizará o tempo de nova autenticação do Cisco Secure ACS.


Observação A mensagem de aceitação de acesso também é mencionada como um quadro de aceitação.


O switch reautentica o host dependendo do valor do atributo Termination-Action no atributo RADIUS:

Se o par AV Termination-Action estiver presente e seu valor for RADIUS-Request, o switch autenticará o host.

Se o par AV Termination-Action não estiver presente ou seu valor for Default, o switch encerrará a sessão com o Cisco Secure ACS e o host não será autorizado.

Tabela 2 Resultados da Nova Autenticação Periódica 

Nova Autenticação Periódica
Tempo da Nova Autenticação
Atributo Session-Timeout
Valor de Termination-Action
Alternar Ações

Desabilitado

Não ocorreram novas autenticações.

Habilitado

Manualmente configurado conforme o número de segundos

O switch realiza uma nova autenticação e utiliza o número de segundos especificados manualmente.

Habilitado

Automaticamente configurado para utilizar o tempo de novas autenticações do Cisco Secure ACS

Não incluído na mensagem de aceitação de acesso

Não ocorreram novas autenticações.

Habilitado

Automaticamente configurado para utilizar o tempo de novas autenticações do Cisco Secure ACS

Não incluído na mensagem Access-Accept

Default ou nenhum valor

A sessão é encerrada após expirar o tempo da nova autenticação do servidor.

Habilitado

Automaticamente configurado para utilizar o tempo de novas autenticações do Cisco Secure ACS

Não incluído na mensagem Access-Accept

RADIUS-Request

O switch realiza uma nova autenticação e utiliza o tempo de nova autenticação do servidor.


Política de Desativação do AAA para o NAC Layer 2 IEEE 802.1X (Inaccessible Authentication Bypass)


Observação Essa característica está disponível somente nos switches das série Catalyst 3560 e Catalyst 3750.


Para fazer uso do Inaccessible Authentication Bypass, uma porta precisa ser designada como uma porta crítica. O processo de manipulação de portas críticas acontece da seguinte maneira:

1. Detectada uma nova sessão de autenticação de IEEE 802.1X.

2. Antes da autenticação ser acionada e supondo que o servidor AAA seja inacessível, a política de autenticação crítica é aplicada, mudando a porta para o estado Critical-Auth. A política que é aplicada está na forma de uma atribuição de VLAN.

3. Quando o servidor AAA mais uma vez fica disponível, uma nova autenticação será acionada novamente para o host.


Observação Quando o servidor AAA está inativo, a política de desativação somente é aplicada se não houver nenhuma política associada ao host. Portanto, se a porta foi atribuída anteriormente a uma VLAN devido a uma autenticação bem sucedida, ela permanecerá naquela VLAN. Porém, se a porta não foi autorizada antes de passar para o estado Critical-Auth, ela será atribuída a VLAN de acesso configurado.


Para informações sobre como configurar o recurso Inaccessible Authentication Bypass nos switches das séries Catalyst 3750 e 3560, consulte os locais a seguir:

http://www.cisco.com/en/US/products/hw/switches/ps5023/products_configuration_guide_chapter09186a00805555e8.html

http://www.cisco.com/en/US/products/hw/switches/ps5023/products_command_reference_book09186a00804fdc8c.html

Validação do NAC Layer 2 IP

O NAC Layer 2 IP pode ser utilizado na porta de acesso de um switch de ponta em que um dispositivo (um sistema ou cliente do ponto final) está conectado. O dispositivo pode ser um PC, uma estação de trabalho ou um servidor que esteja conectado à porta de acesso do switch por meio de uma conexão direta, um telefone IP, um hub ou um ponto de acesso wireless, como mostrado na Figura 3.


Observação Os pontos de acesso Cisco Aironet não fornecem suporte à validação de NAC Layer 2 IP.


Ao habilitar o NAC Layer 2 IP, o EAPoUDP funciona somente com o tráfego IPv4. O switch verifica a condição do antivírus dos dispositivos de ponto final e aplica as políticas de controle de acesso.

Figura 3 Rede utilizando o NAC Layer 2 IP

Esta seção aborda os seguintes tópicos:

Validação de Postura e Validação de Layer 2 IP

Cisco Secure ACS e Pares de Valor de Atributo

Servidores de Auditoria

ACLs Padrão

Cronômetros do NAC

Pilhas do Switch e Validação do NAC Layer 2 IP

Switches Modulares Redundantes e Validação do NAC Layer 2 IP

Política de Desativação de AAA para Validação do NAC Layer 2 IP

Validação de Postura e Validação de Layer 2 IP

O NAC Layer 2 IP dá suporte à validação de postura de vários hosts na mesma porta do switch, como mostrado na Figura 3.

Ao habilitar a validação do NAC Layer 2 IP em uma porta do switch em que os hosts estão conectados, o switch pode utilizar a espionagem de DHCP ou de ARP (Address Resolution Protocol) para identificar os hosts conectados. A validação de postura iniciada por meio da espionagem de DHCP prevalece sobre a validação de postura iniciada por meio da espionagem ARP. O switch inicia a validação de postura após receber um pacote ARP ou criar uma entrada de associação de espionagem DHCP.


Observação A espionagem ARP é o método padrão para detectar hosts conectados. Para que o switch detecte os hosts quando existir uma entrada de associação de espionagem DHCP, deverá ser habilitada a espionagem DHCP.


Se uma inspeção ARP dinâmica isolada estiver habilitada em uma VLAN de acesso atribuída a uma porta de switch, a validação de postura será iniciada quando os pacotes ARP forem aprovados nas verificações de validação de inspeção ARP dinâmica. Porém, se a espionagem DHCP e a inspeção ARP dinâmica estiverem habilitadas, a criação de uma entrada de associação de espionagem DHCP iniciará a validação de postura.

Um host mal-intencionado pode enviar pacotes ARP falsificados e tentar se desviar da validação de postura. Para impedir que hosts não validados acessem a rede, habilite o recurso IP Source Guard na porta do switch.


Observação O router da série Catalyst 7600 e o switch da série Catalyst 6500 não fornecem suporte ao recurso IP Source Guard.


Quando a validação de postura é iniciada, um switch cria uma entrada na sessão EAPoUDP para rastrear o status da validação de postura do host e observa a árvore de decisões seguinte para determinar a política do NAC:

1. Se o host estiver na lista de exceções (consulte a seção "Listas de Exceções" ), o switch aplicará a política do NAC configurada pelo usuário ao host.

2. Se o desvio do EoU estiver habilitado (consulte a seção "Desvio do EoU" ), o switch enviará uma requisição de host sem resposta ao Cisco Secure ACS e aplicará a política de acesso do servidor ao host. O switch insere um par AV RADIUS à requisição para especificar que a requisição é para um host sem resposta.

3. Se o desvio do EoU estiver desabilitado, o switch enviará um pacote de saudação EAPoUDP para o host, solicitando a condição do antivírus do host (consulte a seção "Sessões do EAPoUDP"). Se não for recebida nenhuma resposta do host após um determinado número de tentativas, o switch classificará o host como sem cliente e ele será considerado um host sem resposta. O switch envia uma requisição de host sem resposta ao Cisco Secure ACS e aplica a política de acesso do servidor ao host.

Listas de Exceções

Uma lista de exceções possui configurações de perfil e política locais. Utilize o perfil de identidade para autorizar ou validar dispositivos estaticamente baseados em endereço IP, endereço MAC ou tipo de dispositivo. Um perfil de identidade está associado a uma política local que especifica os atributos do controle de acesso.

Você pode desviar da validação de postura de hosts específicos especificando esses hosts em uma lista de exceções e aplicando uma política configurada pelo usuário aos hosts. Após a entrada ser adicionada à tabela da sessão do EAPoUDP, o switch compara as informações do host com a lista de exceções. Se o host estiver na lista de exceções, o switch aplica ao host a política configurada do NAC. O switch também atualiza a tabela da sessão do EAPoUDP com o status de validação do cliente como POSTURE ESTAB.

Desvio do EoU

O switch pode utilizar a característica de desvio do EoU para acelerar a validação de postura de hosts que não estão utilizando o CTA. Se o desvio do EoU estiver habilitado, o switch não fará contato com o host para solicitar a condição do antivírus. O switch envia uma requisição ao Cisco Secure ACS que inclui o endereço IP, endereço MAC, tipo de serviço e ID da sessão do EAPoUDP do host. O Cisco Secure ACS toma a decisão do controle de acesso e envia a política ao switch.

Se o desvio do EoU estiver habilitado e o host for sem resposta, o switch enviará uma requisição de host sem resposta ao Cisco Secure ACS e aplicará a política de acesso do servidor ao host.

Se o desvio do EoU estiver habilitado e o host utilizar o CTA, o switch também enviará uma requisição de host sem resposta ao Cisco Secure ACS e aplicará a política de acesso do servidor ao host.

Sessões do EAPoUDP

O EoU está ativado por padrão. Se o desvio do EoU estiver desabilitado, o switch enviará um pacote EAPoUDP para iniciar a validação de postura. Embora a validação de postura ocorra, o switch aplica a política de acesso padrão. Após o switch enviar uma mensagem EAPoUDP para o host e este responder à requisição da condição do antivírus, o switch encaminha a resposta EAPoUDP ao Cisco Secure ACS. Se não for recebida nenhuma resposta do host após um determinado número de tentativas, o switch classificará o host como sem resposta. Após o ACS validar as credenciais, o servidor de autenticação retorna uma mensagem de aceitação de acesso com o token de postura e os atributos de política ao switch. O switch atualiza a tabela da sessão do EAPoUDP e aplica as limitações de acesso, que fornece a segmentação e quarentena de clientes com posturas inadequadas ou simplesmente negando o acesso à rede.

Por causa da validação de postura, dois tipos de políticas são aplicáveis em portas:

Política de host: a política de host de uma ACL que aplica as limitações de acesso como determinado pelo resultado da validação de postura.

Política de redirecionamento de URL: a política de redirecionamento de URL fornece um mecanismo para redirecionar todo o tráfego HTTP/HTTPS para um servidor de reparação que permite a um host não compatível executar as ações de atualização necessárias para se tornar compatível. A política consiste em:

Um URL que aponta para o servidor de remediação.

Uma ACL no switch que faz com que todos os pacotes HTTP/HTTPS do host diferentes daqueles destinados ao endereço do servidor de remediação sejam capturados e redirecionados para o software do switch para a variação de HTTP necessária.

O nome da ACL para a política de host, o URL de redirecionamento e a ACL de redirecionamento de URL são transmitidos usando os objetos Attribute-Value do RADIUS.


Observação Se a entrada de associação de espionagem DHCP de um cliente for excluída, o switch removerá a entrada do cliente na tabela da sessão do EAPoUDP e o cliente não será mais autenticado.


Cisco Secure ACS e Pares de Valor de Atributo

Ao habilitar a validação do NAC Layer 2 IP, o Cisco Secure ACS fornece serviços de autenticação, autorização e conta (AAA) ao NAC utilizando o protocolo RADIUS. O Cisco Secure ACS obtém as informações sobre as credenciais do antivírus do sistema do ponto final e valida a condição do antivírus do ponto final.

É possível definir esses pares AV no Cisco Secure ACS utilizando os atributos específicos do fornecedor (VASs) cisco-av-pair RADIUS:

CiscoSecure-Defined-ACL—Especifica os nomes das ACLs obtidas por meio de download no Cisco Secure ACS. Os switches obtêm o nome da ACL por meio do par AV CiscoSecure-Defined-ACL definido nesse formato:

#ACL#-IP-name-number

onde name é o nome da ACL e number é o número de versão, como 3f783768.

O código de postura Auth-Proxy verifica se as entradas de controle de acesso (ACEs) da ACL especificada disponível para download foi descarregada anteriormente. Se não foram, o código de postura Auth-Proxy envia uma requisição AAA com o nome da ACL para fazer o download como o nome do usuário para que as ACEs sejam descarregadas. Assim, a ACL disponível para download é criada como uma ACL nomeada no switch. Essa ACL tem ACEs com um endereço de origem qualquer e não possuem uma instrução de recusa implícita no final. Quando a ACL disponível para download é aplicada em uma interface após a validação de postura ser concluída, o endereço de origem é alterado de qualquer para o endereço IP de origem do host. As ACEs são anexadas à ACL padrão aplicada à interface do switch em que o dispositivo do ponto final está conectado. Se o tráfego corresponde as ACEs CiscoSecure-Defined-ACL, são adotadas as ações NAC apropriadas.

Sempre que fizer uma configuração das ACLs, cada entrada (ACE) apresenta uma ação (como "permit"), um protocolo (como "ip"), um remetente e um destinatário. As políticas do host, que são as ACLs definidas pelo administrador no ACS ou como parte de uma política estática do switch, devem ter “qualquer” como endereço de origem. Caso contrário, o LPIP não aplicará a política ao switch.

Por exemplo, essa é uma expressão válida:

    10 permit ip any host 10.1.1.1

Porém, essa é uma expressão inválida:

    10 permit ip host 10.1.1.2 host 10.1.1.1

A seguir está um exemplo de uma ACL de interface:

access-list 115 permit udp any any eq bootps (for bootps requests)
access-list 115 permit ip any 20.0.0.0 0.0.0.255 (NAC Ingress source N/W)
access-list 115 permit ip any host 40.0.0.5 (Audit Server)

url-redirect and url-redirect-acl—Especifica a política do URL local no switch. Os switches utilizam os seguintes VSAs cisco-av-pair:

url-redirect = <HTTP ou HTTPS URL>

url-redirect-acl = nome ou número da ACL do switch

Esses pares AV permitem ao switch interceptar uma requisição HTTP e/ou HTTPS do dispositivo do ponto final e encaminhar o navegador Web do cliente ao endereço de redirecionamento especificado do qual os arquivos de antivírus mais recentes podem ser obtidos por meio de download. O par AV url-redirect no Cisco Secure ACS contém o URL para o qual o navegador da Web será redirecionado.


Observação O url-redirect pode ser feito por HTTP ou HTTPS, mas não os dois ao mesmo tempo.


O par AV url-redirect-acl contém o nome ou número de uma ACL que especifica o tráfego HTTP e/ou HTTPS a ser redirecionado. A ACL deve ser definida no switch. O tráfego que corresponde a uma entrada permit na ACL de redirecionamento é redirecionado. Esses pares AV podem ser enviados se a postura do host não estiver íntegra.


Observação Sempre que fizer a configuração das ACLs, cada entrada (ACE) apresenta uma ação (como "permit"), um protocolo (como "ip"), um remetente e um destinatário. As políticas do host, que são as ACLs definidas pelo administrador no ACS ou como parte de uma política estática do switch, devem ter “qualquer” como endereço de origem. Caso contrário, o LPIP não aplicará a política ao switch.


A seguir está um exemplo de uma url-re-direct-acl:

ip access-list extended url-redirect-acl
permit tcp any <protected-server-vlan-network>

Para mais informações sobre os pares AV que são suportados pelo Cisco IOS Software, consulte a documentação sobre as versões de softwares em execução nos clientes AAA.

Para mais informações sobre ACS para o Windows Server, consulte este URL:
http://www.cisco.com/en/US/products/sw/secursw/ps2086/index.html

Para mais informações sobre o ACS Solution Engine, consulte este URL:
http://www.cisco.com/en/US/products/sw/secursw/ps5338/index.html

Servidores de Auditoria

Os dispositivos finais que não executam o CTA não estarão aptos a fornecer credenciais quando questionados pelos NADs. Esses hosts são denominados Sem Agente ou Sem Resposta.

A Figura 4 mostra como os servidores de auditoria se encaixam na topologia típica.

Figura 4 Funções de Dispositivo do NAC

Para permitir que sejam executados exames mais completos de hosts sem agentes, a arquitetura NAC foi estendida para incorporar os servidores de auditoria, que podem provar e examinar esses hosts visando a conformidade com a segurança, vulnerabilidade e ameaças sem a necessidade de um CTA no host. O resultado da auditoria pode influenciar os servidores de acesso para que tomem decisões de política de acesso de rede específica do host em vez de aplicar a política restritiva comum a todos os hosts sem resposta. Isso permite que sejam criadas funcionalidades de auditoria/exame de host mais robustas integrando alguns mecanismos de auditoria de terceiros na arquitetura NAC.

A arquitetura NAC presume que o servidor de auditoria é alcançável para que o host possa se comunicar com ele. Quando um host acessa a rede por meio de um NAD configurado para a validação de postura, o NAD solicita ao servidor AAA (Cisco Secure ACS) que uma política de acesso seja aplicada ao host. O servidor AAA pode ter uma configuração para acionar um exame do host com um servidor de auditoria externo. O exame de auditoria ocorre de forma assíncrona e pode levar alguns segundos para ser concluído. Durante esse tempo, o servidor AAA transmite uma política de segurança restritiva mínima ao NAD para execução junto com um temporizador de chamada seletiva curta (Session-Timeout). O NAD faria uma chamada seletiva ao servidor AAA no intervalo especificado do temporizador até que o resultado esteja disponível no servidor de auditoria. Uma vez que o servidor AAA receba a auditoria, ele estima uma política de acesso baseada na auditoria, que é enviada ao NAD para a aplicação em sua próxima requisição.

ACLs Padrão


Observação A ACL padrão deve permitir o tráfego EAPoUDP para que a validação do NAC Layer 2 IP funcione.


Se a validação do NAC Layer 2 IP for configurada em uma porta do switch, uma ACL de porta padrão também deve ser configurada em uma porta do switch e será aplicada ao tráfego IP.

Se a ACL padrão no switch e no Cisco Secure ACS envia uma política de acesso do host ao switch, o switch aplica a política ao tráfego do host conectado a uma porta do switch. Após o Cisco Secure ACS fazer download de uma política por host, o tráfego de entrada é comparado com aquela política e se não houver nenhuma correspondência naquela política, o tráfego será comparado com a política padrão.

Se o Cisco Secure ACS envia ao switch uma ACL disponível para download que especifique um URL de redirecionamento como uma ação de mapeamento de política, essa ACL prevalece sobre a ACL padrão já configurada na porta do switch. A ACL disponível para download sempre prevalece sobre a ACL padrão. Se a ACL de porta padrão não estiver configurada no switch, as ACLs disponíveis para download não são programadas.

Cronômetros do NAC

O switch dá suporte a estes cronômetros:

Cronômetro de Espera

Cronômetro de Ociosidade

Cronômetro de Retransmissão

Cronômetro de Revalidação

Cronômetro de Status de Consulta

Cronômetro de Espera

O cronômetro de espera impede que uma nova sessão EAPoUDP comece logo após falhar a tentativa anterior de validação da seção. Esse cronômetro é utilizado somente quando o Cisco Secure ACS envia uma mensagem Accept-Reject ao switch.

O valor padrão do cronômetro de espera é de 180 segundos (3 minutos).

Uma sessão EAPoUDP pode não ser validada porque a validação de postura falha, um cronômetro de sessão expira ou o switch ou o Cisco Secure ACS recebe mensagens inválidas. Se o switch ou o servidor de autenticação recebe continuamente mensagens inválidas, um usuário mal-intencionado pode estar tentando um ataque de recusa de serviço.

Cronômetro de Ociosidade

O cronômetro ocioso controla o intervalo de tempo que o switch aguarda por um pacote ARP do host com postura ou por uma entrada atualizada na tabela de controle de dispositivo IP para verificar se o host ainda está conectado. O cronômetro de ociosidade funciona com uma lista de hosts conhecidos para rastrear aqueles que iniciaram a validação de postura e a tabela do controle de dispositivo IP.

O cronômetro de ociosidade é reiniciado quando um switch recebe um pacote ARP ou quando uma entrada na tabela de controle de dispositivo IP é atualizada. Se o cronômetro de ociosidade expirar, o switch encerra a sessão EAPoUDP no host e o host não é mais validado.


Nota A tabela de controle de dispositivo IP é utilizada para rastrear novos hosts conforme aparecem na rede. A tabela de controle de dispositivo IP detecta os hosts por meio da prova ARP IP e da espionagem DHCP IP (opcional). A inspeção de ARP IP é habilitada automaticamente quando o controle do dispositivo de IP é habilitado.


O intervalo de prova padrão é de 30 segundos. O tempo limite é na verdade o intervalo de prova vezes o número de entradas de investigação. Portanto, por padrão, o valor do cronômetro de ociosidade é de 90 segundos, porque o intervalo de prova é de 30 segundos e o número de tentativas são 3.

O switch mantém uma lista de hosts conhecidos que rastreia hosts que tenham iniciado a postura de validação. Quando o switch recebe um pacote ARP, ele reinicia os cronômetros de envelhecimento da lista e o cronômetro de ociosidade. Se o tempo de envelhecimento da lista expirar, o switch enviará uma prova ARP para verificar se o host está presente. Se o host estiver presente, enviará uma resposta ao switch. O switch atualiza a entrada na lista de hosts conhecidos. Em seguida, reinicia os cronômetros de envelhecimento da lista e do cronômetro de ociosidade. Se o switch não receber nenhuma resposta, o switch encerrará a sessão com o Cisco Secure ACS e o host não será mais validado.

O switch também utiliza a tabela de controle de dispositivo IP para detectar e gerenciar hosts conectados ao switch. O switch utiliza a espionagem de ARP ou de DHCP para detectar os hosts. Por padrão, o recurso de controle de dispositivo IP está desabilitado em um switch. Quando o controle de dispositivo IP está habilitado e um host é detectado, o switch adiciona uma entrada à tabela de controle de dispositivo IP que inclui estas informações:

O endereço IP e MAC do host

A interface em que o switch detectou o host

O estado do host que está definido como ATIVO quando ele é detectado

Se a validação de NAC Layer 2 IP estiver habilitada em uma interface, adicionar uma entrada à tabela de controle de dispositivo IP iniciará a validação de postura.

Para a tabela de controle de dispositivo IP, é possível fazer uma configuração para o número de vezes que o switch envia as provas ARP para uma entrada antes de remover uma entrada da tabela e o número de segundos que o switch aguarda antes de enviar novamente a prova ARP. Se o switch utilizar as configurações padrão da tabela de controle de dispositivo IP, ele enviará as provas ARP a cada 30 segundos para todas as entradas. Quando o host responde à prova, o estado do host é atualizado e permanece ATIVO. O switch pode enviar até três provas ARP adicionais em intervalos de 30 segundos se o switch não obtiver uma resposta. Após o número máximo de provas ARP ser enviado, o switch remove a entrada do host da tabela. O switch encerra a sessão EAPoUDP para o host se uma sessão foi configurada.

O uso do controle de dispositivo IP garante que os hosts sejam detectados em tempo hábil, apesar das limitações de uso do DHCP. Se uma ligação fica inativo, as entradas de controle de dispositivo IP associadas à interface não são removidas e o estado das entradas é alterado para INATIVO. O switch não limita o número de entradas na tabela de controle de dispositivo IP, mas aplica um limite para remover as entradas de INATIVO. Todas as entradas permanecem na tabela de controle de dispositivo IP até que o limite seja alcançado. Quando a tabela alcançar o limite, o switch removerá as entradas de INATIVO existentes e o switch adicionará novas entradas. Se a tabela não apresentar nenhuma entrada de INATIVO, o número de entradas na tabela de controle de dispositivo IP continuará a crescer. Quando o host fica INATIVO, o switch encerra a sessão do host.

Para os switches das séries Catalyst 3750, 3560, 3550, 2970, 2960, 2955, 2950 e 2940, e para os módulos de serviço do Cisco EtherSwitch, o limite para remover entradas de INATIVO é 512.

Para switches das série Catalyst 4500 e 6500, e o router da série Catalyst 7600, o limite é 2048.

Após uma ligação de interface ser restaurado, o switch envia provas ARP para cada entrada associada à interface. O switch invalida as entradas para os hosts que não respondem às provas ARP. O switch também altera o estado dos hosts que respondem para ATIVO e inicia a validação de postura.

Cronômetro de Retransmissão

O cronômetro de retransmissão controla o tempo que o switch aguarda por uma resposta do cliente antes de reenviar uma requisição durante a validação de postura. Uma configuração muito baixa do valor do cronômetro pode causar transmissões desnecessárias, enquanto uma configuração muito alta pode ocasionar tempos de respostas insatisfatórios.

O valor padrão do cronômetro de retransmissão é de 3 segundos.

Cronômetro de Revalidação

O cronômetro de revalidação controla o tempo que uma política do NAC é aplicável a um cliente que tenha utilizado mensagens EAPoUDP durante a validação de postura. O cronômetro é acionado após a validação de postura inicial ser concluída. O cronômetro é reiniciado quando o host é revalidado. O valor padrão do cronômetro de revalidação é de 36000 segundos (10 horas).

Para especificar o valor do cronômetro de revalidação no switch e em uma interface nesse switch utilize o comando de configuração global eou timeout revalidation.


Observação O cronômetro de revalidação pode ser configurado localmente no switch ou ser obtido por meio de download do Cisco Server ACS.


O comportamento do cronômetro de revalidação é baseado no atributo Session-Timeout do RADIUS e o atributo Termination-Action do RADIUS na mensagem Access-Accept do Cisco Secure ACS executando AAA. Se o switch receber o valor Session-Timeout, esse valor substituirá o valor do cronômetro de validação no switch.

Se o cronômetro de revalidação expirar, a ação do switch dependerá do valor do atributo Termination-Action:

Se o valor do atributo Termination-Action do RADIUS for o padrão, a sessão será encerrada.

Se o switch obtiver um valor para o atributo Termination-Action diferente do padrão, a sessão do EAPoUDP e a política de acesso atual permanecerão válidas durante a revalidação da postura.

Se o valor do atributo Termination-Action for RADIUS, o switch revalidará o cliente.

Se o pacote do servidor não incluir o atributo Termination-Action, a sessão EAPoUDP terminará.

Cronômetro de Status de Consulta

O cronômetro de status de consulta controla o tempo que o switch aguarda antes de verificar se o cliente validado anteriormente está presente e se a sua postura não mudou. Somente clientes que foram autenticados com mensagens EAPoUDP utilizam esse cronômetro, que é acionado após o cliente ser inicialmente validado. O valor padrão do cronômetro de status de consulta é de 300 segundos (5 minutos).

O cronômetro é reiniciado quando o host é autenticado novamente. Quando o cronômetro expirar, o switch verificará a validação de postura do host enviando uma mensagem de consulta de status ao host. Se o host enviar uma mensagem ao switch de que a postura foi alterada, o switch revalidará a postura do host.

Pilhas do Switch e Validação do NAC Layer 2 IP


Observação Essa informação se aplica ao switch da série Catalyst 3750 e aos módulos de serviço EtherSwitch.


Quando um novo mestre de pilha é eleito, todos os hosts validados anteriormente conectados à pilha do switch devem ser revalidados se o NAC Layer 2 IP ainda estiver habilitado em interfaces em que os hosts estão conectados. Se o NAC Layer 2 IP estiver desabilitado nas interfaces, os hosts anteriormente validados não poderão ser revalidados.

Switches Modulares Redundantes e Validação do NAC Layer 2 IP


Observação Essa informação se aplica aos switches do Catalyst 4500 e 6500 e ao router do Catalyst 7600.


Quando a redundância do modo RPR estiver configurada, uma comutação completa perderá todas as informações em relação aos hosts com posturas no momento. Quando a redundância do modo SSO estiver configurada, uma comutação completa acionará uma mudança de postura de todos os hosts com posturas no momento.

Política de Desativação de AAA para Validação do NAC Layer 2 IP


Observação Essa característica não está disponível no switch da série Catalyst 4500.


Para a política de desativação de AAA, o sistema funciona da forma a seguir:

1. Uma nova seção é detectada.

2. Antes da validação de postura ser acionada e fornecida, o servidor AAA é inacessível, a política de desativação de AAA é aplicada e o estado da sessão é mantido como DESATIVAÇÃO DE AAA.

3. Quando o servidor AAA mais uma vez fica disponível, uma revalidação será acionada novamente para o host.


Observação Quando o servidor AAA está inativo, a política de desativação somente é aplicada se não houver nenhuma política associada ao host. Normalmente, durante a revalidação quando o servidor AAA fica inativo, as políticas que estão sendo utilizadas pelo host são mantidas.


Guia de Configuração e Restrições de Configuração do NAC

Esta seção contém essas diretrizes e restrições de configuração:

Diretrizes, Limitações e Restrições do NAC Layer 2 IEEE 802.1x

Diretrizes, Limitações e Restrições do NAC Layer 2 IP

Diretrizes, Limitações e Restrições do NAC Layer 2 IEEE 802.1x


Observação Essas diretrizes se aplicam aos switches Catalyst 4900, 4500, 3750, 3560, 3550, 2970, 2960, 2955, 2950 e 2940; CGESM (Cisco Gigabit Ethernet Switching Module) e módulos de serviço Cisco EtherSwitch.


Os itens a seguir se aplicam a VLAN atribuída à porta pelo servidor ACS:

A VLAN deve ser uma VLAN válida no switch.

A porta do switch pode ser configurada como uma porta de acesso estático que é atribuída a uma VLAN pública.

A porta do switch pode ser configurada como uma porta VLAN particular que pertença a uma VLAN particular secundária. Todos os hosts conectados à porta do switch estão atribuídos a VLANs particulares, independente se a validação de postura foi bem sucedida ou não.

Se o tipo de VLAN na mensagem de aceitação de acesso não corresponde ao tipo de VLAN da porta do switch a qual o cliente está atribuído, não ocorre a atribuição da VLAN.

Ao atribuir uma porta a um VLAN particular, especifique a VLAN particular secundária. O switch determina a VLAN particular primária utilizando as associações da VLAN particular secundária e principal no switch.

Para uma lista de portas em que o NAC Layer 2 IEEE 802.1X não pode ser configurado, consulte a seção "Diretrizes de Configuração da IEEE 802.1X" no capítulo "Compreendendo e Configurando a Autenticação Baseada em Porta 802.1X" do guia de configuração de software.

Ao fazer a configuração de uma VLAN de convidado para a qual hosts sem respostas são atribuídos, o tipo de VLAN de convidado deve corresponder ao tipo de porta apropriado. Se o tipo de VLAN não corresponde ao tipo da porta do switch, hosts sem respostas têm o acesso à rede negado.

Se a VLAN de convidado estiver configurada em uma porta de acesso, o tipo de VLAN será uma VLAN pública. Se a VLAN de convidado estiver configurada em uma porta VLAN particular, o tipo de VLAN será VLAN particular.

Para dar suporte ao NAC, os pontos de acesso devem estar configurados para autenticação EAP e VLANs.

Para obter instruções sobre como configurar a autenticação EAP em pontos de acesso, consulte o capítulo "Configurando Tipos de Autenticação" no
Guia de Configuração do Cisco IOS Software para Pontos de Acesso do Cisco Aironet :
http://www.cisco.com/en/US/products/hw/wireless/ps430/products_configuration_guide_chapter09186a00804e7d09.html

Para obter instruções sobre como configurar VLANs em pontos de acesso, consulte o capítulo "Configurando VLANs" no Guia de Configuração do Cisco IOS Software para Pontos de Acesso do Cisco Aironet:
http://www.cisco.com/en/US/products/hw/wireless/ps430/products_configuration_guide_chapter09186a00804e7d4e.html

O NAC Layer 2 IEEE 802.1X interage com outros recursos dessas maneiras:

Se um host é atribuído a uma VLAN de voz, o switch não valida a postura do host porque não é possível fazer a configuração de uma VLAN de voz em uma porta VLAN particular.

Por padrão, os hosts sem resposta são atribuídos a uma VLAN de convidado. Todos os outros hosts, aqueles com validação de postura bem sucedida e executando o software cliente compatível com uma IEEE 802.1X herdada sem o NAC, têm o acesso à rede concedido baseado na decisão de controle de acesso.

Para obter mais interações do recurso, consulte a seção "Diretrizes de Configuração da IEEE 802.1X" no capítulo "Configurando a Autenticação Baseada em Porta 802.1X" do guia de configuração de software.

A Política de Desativação do AAA para o NAC Layer 2 IEEE 802.1X é suportada somente nos switches das séries Catalyst 3560 e Catalyst 3750.

Diretrizes, Limitações e Restrições do NAC Layer 2 IP


Observação Essas diretrizes se aplicam aos switches CGESM, aos módulos de serviço do Cisco EtherSwitch, ao router Catalyst 7600 e aos switches Catalyst 6500, 4900, 4500, 3750, 3560 e 3550.


Siga essa diretrizes, limitações e restrições ao configurar a validação do NAC Layer 2 IP:

Para habilitar o NAC Layer 2 IP, um router de Layer 3 deve ser configurado do switch para o host.

A ACL padrão deve permitir tráfego EAPoUDP para que o LPIP funcione.

Para todos os outros switches, exceto o Catalyst 6500 (e o router da série Catalyst 7600), a validação do NAC Layer 2 IP não recebe suporte em portas de tronco, portas de túnel, EtherChannels, membros do EtherChannel ou portas roteadas.

Quando a validação do NAC Layer 2 IP está habilitada, deve fazer a configuração de uma ACL de porta padrão na porta do switch em que os hosts estão conectados.

O NAC Layer 2 IP não valida a postura do tráfego IPv6 e não aplica as políticas de acesso ao tráfego IPv6.

Poderá ocorrer um ataque de recusa de serviço se o switch receber muitos pacotes ARP com endereços de IP de origens diferentes.

Para informações sobre a taxa que limita os pacotes ARP, consulte a discussão do comando ip arp inspection limit na Referência a Comandos Cisco IOS no URL:
http://www.cisco.com/en/US/products/sw/iosswrel/ps5187/products_command_reference_chapter09186a008017cf1c.html

Quando a NAC Layer 2 IP e NAC Layer 2 IEEE 802.1X estão habilitadas na mesma porta de acesso, a autenticação de IEEE 802.1X tem preferência. (Isto é, se a autenticação de IEEE 802.1X falhar, a validação de NAC Layer 2 IP não acontecerá.) A postura do host em que a porta está conectada pode já ter sido validada e o switch ter aplicado as limitações de acesso baseadas em IEEE 802.1X.

A espionagem de DHCP deve estar habilitada se o switch quiser usar as concessões DHCP para identificar os hosts conectados.

Para a funcionalidade de espionagem de DHCP, o tráfego DHCP deve ser permitido na ACL padrão de interface assim como na política do host.

Os pacotes DHCP devem ser permitidos em um ambiente DHCP na interface padrão assim como na política de host obtida por meio de download.

Para que as estações finais enviem requisições DNS antes da validação de postura ocorrer, deve fazer a configuração da ACL nomeada disponível para download na porta do switch com ACEs permitindo pacotes DNS.

Para encaminhar as requisições HTTP e HTTPS de um dispositivo do ponto final para um URL específico, deve ser permitido o recurso no servidor HTTP e determinado qual url-redirect-acl deve ser definido como o nome da ACL do URL. A ACL do URL deve ser definida localmente no switch. Normalmente, essa ACL deve conter uma instrução "deny tcp any <remediation server address> eq www" seguida por ACEs de permissão para o tráfego HTTP que precisa ser redirecionado.

Se a validação do NAC Layer 2 IP estiver configurado em uma porta do switch que pertença a uma VLAN de voz, o switch não validará a postura do telefone de IP. Certifique-se de que o telefone de IP esteja na lista de exceções.

Se a validação do NAC Layer 2 IP estiver habilitada e a ACL da VLAN e as ACLs do router estiverem configuradas, as políticas serão aplicadas em série na ordem "NAC Layer 2 LP IP Policy>VLAN ACL>Router ACL." A próxima política somente é aplicada quando o tráfego passa pela verificação de política anterior. Se alguma política negou o tráfego, o tráfego será recusado.


Observação A política de host do NAC Layer 2 IP (obtida por meio de download do ACS) sempre substitui a política da interface padrão.


Se a inspeção de ARP dinâmica estiver habilitada na VLAN de entrada, o switch iniciará a validação de postura somente após os pacotes ARP serem validados.

Se IP Source Guard e NAC Layer 2 IP estiverem habilitados na porta do switch, a validação de postura não será iniciada pelo tráfego que é bloqueado pelo IP Source Guard.

Se a autenticação de IEEE 802.1X em um modo de host único e de validação do NAC Layer 2 IP estiverem configurados em uma porta do switch e a autenticação de IEEE 802.1X do host conectado falhar, o switch não iniciará a validação de postura quando receber pacotes DHCP ou ARP do host.

Se a autenticação de IEEE 802.1X estiver configurada na porta, a porta não poderá enviar ou receber tráfego diferente dos quadros de EAPOL até que o cliente seja autenticado com êxito.

No switch da série Catalyst 4500, o modo de comando access-group pode ser utilizado para controlar se as ACLs de política de host do NAC Layer 2 IP substituem as ACLs da VLAN ou do router ou são combinadas com elas.

No switch da série Catalyst 6500 e no router da série Catalyst 7600, o tráfego que chega aos ACEs de negação de redirecionamento de URL é encaminhado no hardware sem aplicar as políticas de interface padrão e obtidas por meio de download do host. Se esse tráfego (isto é, o que corresponde aos ACEs de negação de redirecionamento de URL) precisa ser filtrado, deve ser definida uma ACL de VLAN na porta do switch que acessa a VLAN.

O switch da série Catalyst 6500 e o router da série Catalyst 7600 não fornecem suporte à validação do NAC Layer 2 IP em portas de tronco, portas de túnel, membros de EtherChannel ou portas roteadas. Porém, o switch da série Catalyst 6500 e o router da série Catalyst 7600 fornecem suporte a Layer 2 IP em Etherchannels.

O switch da série Catalyst 6500 e o router da série Catalyst 7600 não permitem o NAC Layer 2 IP na porta de switch se a VLAN pai da porta apresentar VACL Capture e/ou IOS Firewall (CBAC) configurados.

O switch da série Catalyst 6500 e o router da série Catalyst 7600, não fornecem suporte ao NAC Layer 2 IP se a porta de switch for parte de uma VLAN particular.

Para o switch da série Catalyst 6500 e para o router da série Catalyst 7600, o tráfego ARP do NAC Layer 2 LPIP redirecionado para a CPU não pode ser estendido utilizando o recurso SPAN.

Como fazer a Configuração do NAC

Esta seção aborda os seguintes tópicos:

Configuração Padrão do NAC

Configurando NAC Layer 2 IEEE 802.1X

Configurando a Validação do NAC Layer 2 IP

Configurando o EAPoUDP

Configurando Políticas e Perfis de Identidade

Configurando o Controle de Dispositivo IP

Configurando Espionagem de DHCP IP para NAC (Opcional)

Configurando Inspeção de ARP para IP com uma Lista de Filtro de ARP (opcional)

Configurando Inspeção de ARP IP com Espionagem de DHCP IP (opcional)

Configurando Política de Desativação de AAA de NAC (opcional)

Configuração Padrão do NAC

Para a configuração padrão do NAC Layer 2 IEEE 802.1X, consulte a seção "Configuração Padrão de IEEE 802.1X" no capítulo "Configurando a Autenticação Baseada em Porta 802.1X" do guia de configuração de software.

Por padrão, a validação do NAC Layer 2 IP está desabilitada.

Configurando NAC Layer 2 IEEE 802.1X

Para configurar o NAC Layer 2 IEEE 802.1X no switch da série Catalyst 4500, consulte as seções "Habilitando a Autenticação de 802.1X" e "Configurando a Comunicação Switch para Servidor Radius" no guia de configuração de software. Todas as outras tarefas são opcionais.

http://www.cisco.com/en/US/products/hw/switches/ps4324/tsd_products_support_series_home.html

Para todos os outros switches, consulte as seções "Configurando a Autenticação e Validação de IEEE 802.1X" e "Configurando a Autenticação de IEEE 802.1x utilizando um Servidor RADIUS" no guia de configuração de software.

Para obter informações sobre o switch da série Catalyst 3750, consulte o URL:
http://www.cisco.com/en/US/products/hw/switches/ps5023/tsd_products_support_series_home.html

Para obter informações sobre o switch da série Catalyst 3560, consulte o URL:
http://www.cisco.com/en/US/products/hw/switches/ps5528/tsd_products_support_series_home.html

Para obter informações sobre o switch da série Catalyst 3550, consulte o :
http://www.cisco.com/en/US/products/hw/switches/ps646/tsd_products_support_series_home.html

Para obter informações sobre o switch da série Catalyst 2970, consulte o URL:
http://www.cisco.com/en/US/products/hw/switches/ps5206/tsd_products_support_series_home.html

Para obter informações sobre o switch da série Catalyst 2960, consulte o URL:
http://www.cisco.com/en/US/products/ps6406/tsd_products_support_series_home.html

Para obter informações sobre os switches das séries Catalyst 2955 e 2950, consulte o URL:
http://www.cisco.com/en/US/products/hw/switches/ps628/tsd_products_support_series_home.html

Para obter informações sobre o switch da série Catalyst 2940, consulte o URL:
http://www.cisco.com/en/US/products/hw/switches/ps5213/tsd_products_support_series_home.html

Configurando a Validação do NAC Layer 2 IP

Para fazer a Configuração da validação do NAC Layer 2 IP, siga essas etapas:

 
Comando
Propósito

Etapa 1 

configure terminal

Insere o modo de configuração global.

Etapa 2 

ip admission name rule-name eapoudp

Cria e configura uma regra para o IP do NAC especificando o nome da regra.

Para remover a função IP do NAC no switch, utilize o comando de configuração global
no ip admission name rule-name eapoudp.

Etapa 3 

access-list access-list-number {deny | permit} source [source-wildcard] [log]

Define a porta ACL padrão utilizando um endereço de origem e um coringa.

O número de acesso à lista é um número decimal de 1 a 99 ou de 1300 a 1999.

Digite deny ou permit para especificar se nega ou permite acesso, se as condições forem atendidas.

A source é o endereço de origem da rede ou do host do qual o pacote está sendo enviado especificado como:

A quantidade de 32 bits em formato decimal.

A palavra-chave any como abreviação para source e source-wildcard de 0.0.0.0 255.255.255.255. Não é necessário digitar um source-wildcard.

A palavra-chave host como abreviação para source e source-wildcard de source 0.0.0.0.

(Opcional) A source-wildcard aplica bits de curingas à origem.

(Opcional) Digite log para criar uma mensagem de registro de informações sobre o pacote que corresponda à entrada a ser enviada ao console.

Etapa 4 

interface interface-id

Digita o modo de configuração da interface.

Etapa 5 

ip access-group {access-list-number | name} in

Controla o acesso à interface especificada.

Etapa 6 

ip admission name rule-name

Aplica a regra para IP do NAC especificada à interface.

Para remover a regra para IP do NAC que foi aplicada a uma interface específica, utilize o comando de configuração de interface no ip admission rule-name .

Etapa 7 

exit

Volta para o modo de configuração global.

Etapa 8 

aaa new-model

Habilita AAA.

Etapa 9 

aaa authentication eou default group radius

Define métodos de autenticação para o EAPoUDP.

Para remover métodos de autenticação do EAPoUDP, utilize o comando global de configuração
no aaa authentication eou default.

Etapa 10 

ip device tracking

Habilita a tabela de controle do dispositivo IP.

Para desabilitar a tabela de controle do dispositivo IP, utilize os comandos globais de configuração no ip device tracking .

Etapa 11 

ip device tracking [probe {count count | interval interval}]

(Opcional) Configura esses parâmetros para a tabela de rastreamento de IP:

count count—Define o número de vezes que o switch envia a prova ARP. O intervalo é de 1 a 5. O padrão é 3.

interval interval—Define o número de segundos que o computador aguarda por uma resposta antes de reenviar a prova ARP. O intervalo é de 30 a 300 segundos. O padrão é 30 segundos.

Etapa 12 

radius-server host {hostname | ip-address} key string

(Opcional) Configura os parâmetros do servidor RADIUS.

Para hostname | ip-address, especifique o nome do host ou o endereço IP do servidor RADIUS remoto.

Para key string, especifique a chave de autenticação e de criptografia utilizada entre o switch e o daemon do RADIUS em execução no servidor RADIUS. A chave é uma seqüência de texto que deve corresponder à chave de criptografia utilizada no servidor RADIUS.

Observação Sempre fazer a configuração da chave como o último item no comando
radius-server host, pois os espaços à esquerda são ignorados, sendo utilizados os espaços internos e no fim da chave. Ao usar espaços na chave, não feche a chave com aspas, a menos que elas façam parte da chave. Essa chave deve corresponder à criptografia utilizada no daemon do RADIUS.

Para utilizar vários servidores RADIUS, digite novamente este comando.

Etapa 13 

radius-server attribute 8 include-in-access-req

(Opcional) Se o switch estiver conectado a hosts sem respostas, faça a configuração do switch para enviar o atributo Framed-IP-Address do RADIUS (Attribute[8]) nos pacotes de requisição de acesso ou conta.

Para configurar o switch de forma que não envie o atributo Framed-IP-Address, use o comando global de configuração no radius-server attribute 8 include-in-access-req .

Etapa 14 

radius-server vsa send authentication

Configura o servidor de acesso à rede para reconhecer e usar atributos específicos do fornecedor.

Etapa 15 

eou logging

(Opcional) Habilita os eventos de login no sistema EAPoUDP.

Para desabilitar login nos eventos do sistema EAPoUDP, use o comando global de configuração
no eou logging.

Etapa 16 

fim

Retorna ao modo EXEC com privilégios.

Etapa 17 

show ip admission {[cache] [configuration] [eapoudp]}

Exibe a configuração NAC ou as entradas de cache de admissão na rede.

Etapa 18 

show ip device tracking {all | interface interface-id | ip ip-address | mac mac-address}

Exibe as informações sobre as entradas da tabela do controle de dispositivo IP.

Etapa 19 

copy running-config startup-config

(Opcional) Salva suas entradas no arquivo de configuração.

Para configurar o código de postura auth-proxy para não obter associações de segurança do servidor AAA, utilize o comando de configuração global no aaa authorization auth-proxy default.

Para limpar todas as entradas do dispositivo cliente do NAC no switch ou na interface especificada, utilize o comando clear eou privileged EXEC. Para limpar entradas na tabela de controle do dispositivo IP, utilize o comando
clear ip device tracking privileged EXEC.

Este exemplo mostra como fazer a configuração da validação do NAC Layer 2 IP na interface de um switch:

Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip admission name nac eapoudp
Switch(config)# access-list 5 permit any any
Switch(config)# interface gigabitethernet 2/0/1
Switch(config-if)# ip access-group 5 in
Switch(config-if)# ip admission name nac
Switch(config-if)# exit
Switch(config)# aaa new-model
Switch(config)# aaa authentication eou default group radius
Switch(config)# ip device tracking
Switch(config)# ip device tracking probe count 2
Switch(config)# radius-server host admin key rad123
Switch(config)# radius-server vsa send authentication
Switch(config)# eou logging
Switch(config)# end
Switch# show ip admission configuration

Authentication global cache time is 60 minutes Authentication global absolute time is 0
minutes Authentication global init state time is 2 minutes Authentication Proxy Watch-list
is disabled

Authentication Proxy Rule Configuration
 Auth-proxy name nac
    eapoudp list not specified auth-cache-time 60 minutes

Switch# show ip device tracking all
IP Device Tracking = Enabled
--------------------------------------------------------------
  IP Address     MAC Address       Interface          STATE
--------------------------------------------------------------
10.5.0.25       0060.b0f8.fbfb GigabitEthernet1/0/4   ACTIVE

Configurando o EAPoUDP

O EAPoUDP é o protocolo que o NAC Layer 2 IP utiliza para trocar informações com o sistema do ponto final. Para ajustar melhor os parâmetros da máquina de estado do EAPoUDP, siga as etapas:

 
Comando
Propósito

Etapa 1 

configure terminal

Insere o modo de configuração global.

Etapa 2 

eou allow {clientless | ip-station-id}

eou default

eou logging

eou max-retry number

eou port port-number

eou ratelimit number

eou timeout {aaa seconds | hold-period seconds | retransmit seconds | revalidation seconds | status-query seconds}

eou revalidate

Especifica os valores de EAPoUDP.

Para mais informações sobre as palavras-chave para as opções allow, default, logging, max-retry, port, rate-limit, revalidate e timeout, consulte a seção sobre referências a comandos deste documento.

Etapa 3 

interface interface-id

Digita o modo de configuração da interface.

Etapa 4 

eou default

eou max-retry number

eou timeout {aaa seconds | hold-period seconds | retransmit seconds | revalidation seconds | status-query seconds}

eou revalidate

Habilita e configura a associação de EAPoUDP para a interface especificada.

Para mais informações sobre as palavras-chave para as opções default, max-retry, revalidate, and timeout, consulte a seção sobre referências a comandos deste documento.

Etapa 5 

fim

Retorna ao modo EXEC com privilégios.

Etapa 6 

show eou {all | authentication {clientless | eap | static} | interface interface-id | ip ip-address | mac mac-address | posturetoken name}

Exibe informações sobre a configuração do EAPoUDP ou de entradas de cache de sessão.

Etapa 7 

copy running-config startup-config

(Opcional) Salva suas entradas no arquivo de configuração.

Para retornar os valores globais padrão de EAPoUDP, utilize as formas no dos comandos de configuração global eou. Para desabilitar as associações de EAPoUDP, utilize as formas no dos comandos de configuração de interface eou.

Este exemplo mostra como fazer a configuração do EAPoUDP na interface de um switch:

Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# eou logging
Switch(config)# eou allow clientless
Switch(config)# eou timeout revalidation 2400
Switch(config)# eou revalidate
Switch(config)# interface gigabitEthernet 1/0/4
Switch(config-if)# eou timeout status-query 600
Switch(config-if)# end
Switch# show eou

Global EAPoUDP Configuration
----------------------------
EAPoUDP Version     = 1
EAPoUDP Port        = 0x5566
Clientless Hosts    = Enabled
IP Station ID       = Disabled
Revalidation        = Enabled
Revalidation Period = 2400 Seconds
ReTransmit Period   = 3 Seconds
StatusQuery Period  = 300 Seconds
Hold Period         = 180 Seconds
AAA Timeout         = 60 Seconds
Max Retries         = 3
EAP Rate Limit      = 20
EAPoUDP Logging     = Enabled

Interface Specific EAPoUDP Configurations
-----------------------------------------
Interface GigabitEthernet1/0/4
  StatusQuery Period  = 600 Seconds

Configurando Políticas e Perfis de Identidade

Para fazer a configuração do perfil e política de identidade, siga essas etapas:

 
Comando
Propósito

Etapa 1 

configure terminal

Insere o modo de configuração global.

Etapa 2 

identity policy policy-name

Cria uma política de identidade e digita o modo de configuração identity-policy.

Para remover a política de identidade do switch, use o comando de configuração global no identity-policy policy-name.

Etapa 3 

access-group access-group

(Opcional) Define os atributos de acesso à rede para a política de identidade.

Etapa 4 

identity profile eapoudp

Cria um perfil de identidade e digita o modo de configuração identity-profile.

Para remover o perfil de identidade, use o comando de configuração global no identity profile eapoudp.

Etapa 5 

device {authorize | not-authorize} {ip-address ip-address | mac-address mac-address | type cisco ip phone} [policy policy-name]

Autoriza o dispositivo IP específico e aplica a política específica ao dispositivo.

Para não autorizar o dispositivo IP específico e remover a política específica do dispositivo, utilize o comando de configuração de interface no device {authorize | not-authorize} {ip-address ip-address | mac-address mac-address | type cisco ip phone} [policy policy-name].

Etapa 6 

exit

Sai do modo de configuração de perfil de identidade e retorna ao modo de configuração global.

Etapa 7 

fim

Retorna ao modo EXEC com privilégios.

Etapa 8 

show identity [policy| profile]

Exibe as políticas e/ou perfis de identidade configurados.

Etapa 9 

show running-config

Verifica suas entradas.

Etapa 10 

copy running-config startup-config

(Opcional) Salva suas entradas no arquivo de configuração.


Observação Sempre que fizer a configuração das ACLs, cada entrada (ACE) apresenta uma ação (como "permit"), um protocolo (como "ip"), um remetente e um destinatário. As políticas do host, que são as ACLs definidas pelo administrador no ACS ou como parte de uma política estática do switch, devem ter “qualquer” como endereço de origem. Caso contrário, o LPIP não aplicará a política ao switch. Isso é válido: 10 permit ip any host 10.1.1.1. Isso não é válido: 10 permit ip host 10.1.1.2 host 10.1.1.1


Esse exemplo mostra como fazer a configuração de um perfil que autorizará um host baseado em endereço IP e associará uma política local com aquele host:

Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# identity policy policy1
Switch(config-identity-policy)# access-group group1
Switch(config)# identity profile eapoudp
Switch(config-identity-prof)# device authorize ip address 10.10.142.25 policy policy1
Switch(config-identity-prof)# exit
Switch(config)# end
Switch# show identity policy
Policy Name     ACL             Redirect ACL    Redirect URL
===============================================================================
policy1         group1          NONE            NONE

Switch# show identity profile
No identity profile of type default is configured.

No identity profile of type dot1x is configured.

Service Type: eapoudp

Device / Address / Mask            Allowed         Policy
==============================================================
10.5.0.99       / 0.0.0.0          Authorized      policy1

Configurando o Controle de Dispositivo IP


Observação Essa tarefa deve ser executada para habilitar a validação de Layer 2 IP.


A validação do NAC Layer 2 IP não utiliza uma ACL de interceptação para definir um subconjunto de tráfego que acione a validação de postura. (Isso é diferente de implementações de Layer 3.) A tabela de controle de dispositivo IP é utilizada para controlar novos hosts à medida que aparecem na rede. A tabela Controle de Dispositivo IP detecta os hosts por meio dos mecanismos a seguir:

Inspeção ARP de IP

Espionagem de DHCP do IP (opcional)

A inspeção de ARP IP é habilitada automaticamente quando o controle do dispositivo de IP é habilitado. Detecta a presença de novos hosts monitorando os pacotes ARP. A Inspeção DHCP IP, se habilitada, detecta a presença ou remoção de novos hosts quando o DHCP atribui ou revoga seus endereços IP.


Observação Se a inspeção ARP dinâmica estiver habilitada, apenas os pacotes ARP que ela valida serão utilizados para detectar novos hosts para a tabela de controle de dispositivo.


Uma vez que um dispositivo seja adicionado à tabela do controle de dispositivo IP, o dispositivo será monitorado por meio de provas ARP periódicas. O hosts que falham ao responder a essas provas, são removidos da tabela do Controle de Dispositivo.


Observação Opcionalmente, pode se fazer a configuração do tempo limite da prova e a contagem máxima de provas. As provas são utilizadas para controlar os hosts depois de obtidas no NAD.


Para fazer a configuração do Controle de Dispositivo IP, siga essas etapas:

 
Comando
Propósito

Etapa 1 

configure terminal

Insere o modo de configuração global.

Etapa 2 

ip device tracking

(Obrigatório) Habilita o controle de dispositivo IP.

Isso habilita o aprendizado dos dispositivos Layer 2 IP capturando pacotes ARP nas portas onde a admissão de IP está habilitada.

Etapa 3 

ip device tracking probe count n

(Opcional) Altera o número máximo de vezes que o controle de dispositivo IP colocará o dispositivo à prova. O padrão é 3.

Etapa 4 

ip device tracking probe interval interval_number

(Opcional) Altera o intervalo de prova. O padrão é 30 segundos.

Etapa 5 

exit

Sai do modo de configuração de perfil de identidade e retorna ao modo de configuração global.

Etapa 6 

fim

Retorna ao modo EXEC com privilégios.

Etapa 7 

show ip device tracking [all]

Exibe a lista de hosts IP que foram detectados no switch. Esses hosts são candidatos para a validação de postura do NAC Layer 2 IP.

Etapa 8 

show running-config

Verifica suas entradas.

Etapa 9 

copy running-config startup-config

(Opcional) Salva suas entradas no arquivo de configuração.

O exemplo a seguir mostra como fazer a configuração do controles de dispositivo IP:

Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip device tracking
Switch(config)# ip device tracking probe count 3
Switch(config)# ip device tracking probe interval 60
Switch(config)# end
Switch# show ip device tracking all
IP Device Tracking = Enabled
--------------------------------------------------------------
IP Address     MAC Address       Interface          STATE
--------------------------------------------------------------
8.0.0.1         0060.b0f8.fbfb GigabitEthernet1/0/4   ACTIVE

Observação Junto com o controle de dispositivo IP, você deve fazer a configuração da espionagem de DHCP do IP ou a Inspeção ARP do IP para a funcionalidade NAC.


Configurando Espionagem de DHCP IP para NAC (Opcional)

Se o DHCP for necessário como um mecanismo de aprendizagem de dispositivo/disparador para a validação de Layer 2 IP, deve fazer a configuração da espionagem de DHCP do IP. A espionagem de DHCP deve ser habilitada nas VLANs de voz e de dados da porta do switch onde a admissão do IP está habilitada.

Para fazer a configuração da espionagem de DHCP do IP, siga essas etapas:

 
Comando
Propósito

Etapa 1 

configure terminal

Insere o modo de configuração global.

Etapa 2 

ip dhcp snooping

Habilita a espionagem de DHCP do IP no switch.

Etapa 3 

ip dhcp snooping vlan vlan_id

Habilita a espionagem do DHCP de IP no ingresso da VLAN no switch.

Etapa 4 

ip dhcp snooping trust

Habilita o estado de confiança de espionagem do DHCP para a interface.

O estado de confiança da espionagem de DHCP deve ser habilitado nas portas do uplink onde o servidor DHCP está conectado.

Etapa 5 

exit

Sai do modo de configuração de perfil de identidade e retorna ao modo de configuração global.

Etapa 6 

fim

Retorna ao modo EXEC com privilégios.

Etapa 7 

show ip dhcp snooping [binding]

Exibe a configuração da espionagem de DHCP atual.

A palavra-chave opcionalbinding pode ser utilizada para exibir a lista de concessões de DHCP que foram detectadas pela espionagem de DHCP.

Etapa 8 

show running-config

Verifica suas entradas.

Etapa 9 

copy running-config startup-config

(Opcional) Salva suas entradas no arquivo de configuração.

O exemplo a seguir mostra como fazer a configuração da espionagem de DHCP para o NAC:

Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 8
Switch(config)# end
Switch# show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1,10,1001
Insertion of option 82 is enabled
Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------

Switch# show ip dhcp snooping binding
MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface
------------------  ---------------  ----------  -------------  ----  --------------------
00:60:B0:F8:FB:FB   8.0.0.1          79464       dhcp-snooping  8     GigabitEthernet1/0/4
Total number of bindings: 1

Para utilizar a inspeção ARP de IP sozinha, devem ser aplicadas uma das seguintes pré-condições:

Existir uma ACL estática de filtro para ARP que autorize apenas aqueles IPs que precisam ser confiáveis (e devem estar autorizados a formar entradas de ARP no NAD).

O switch contém uma entrada de associação de espionagem de DHCP do IP que permite o recurso de inspeção de ARP do IP para validar as entradas ASP do IP.

A interface de entrada do NAC se tornou confiável por meio da inspeção ARP do IP. Geralmente isso não é viável porque os clientes na interface de entrada do NAC são aqueles que estão sendo monitorados.

Configurando Inspeção de ARP para IP com uma Lista de Filtro de ARP (opcional)

Essa tarefa habilita a aprendizagem de dispositivos Layer 2 IP com atribuições de endereço IP estático sujeitos a verificações de validação de inspeção ARP dinâmica.

Para fazer a configuração da inspeção ARP de IP com uma lista de filtros para ARP, siga essas etapas:

 
Comando
Propósito

Etapa 1 

configure terminal

Insere o modo de configuração global.

Etapa 2 

arp access-list static-arp-list

Configure a ACL de filtro para ARP de IP estático no NAD para permitir que N/W de IPs e o endereço MAC sejam confiáveis.

Etapa 3 

deny [ip [any | host sender-ip [sender-ip-mask]]] [mac any]

Descarta pacotes ARP com base em alguns critérios de correspondência.

Etapa 4 

permits [ip [any | host sender-ip [sender-ip-mask]]] [mac any]

Encaminha pacotes ARP com base em alguns critérios de correspondência.

Etapa 5 

exit

Sai do modo de configuração de perfil de identidade e retorna ao modo de configuração global.

Etapa 6 

ip arp inspection vlanvlan_id

Habilita a inspeção de ARP do IP na VLAN.

Etapa 7 

ip arp inspection filter static-arp-list vlan vlan_id

Habilita a inspeção de APR do IP no ingresso da VLAN no switch.

Observação Execute essa etapa supondo que as entradas de espionagem de DHCP do IP não sejam formadas no dispositivo que está sendo testado

Etapa 8 

fim

Retorna ao modo EXEC com privilégios.

Etapa 9 

show ip arp inspection [statistics]
[vlan vlan_id]

Exibe a configuração ou as estatísticas da inspeção de ARP atuais. A palavra-chave opcional vlan pode ser utilizada para exibir informações para uma VLAN específica.

Etapa 10 

show running-config

Verifica suas entradas.

Etapa 11 

copy running-config startup-config

(Opcional) Salva suas entradas no arquivo de configuração.

O exemplo a seguir mostra como fazer a configuração da inspeção ARP do IP com uma lista de filtros para ARP:

Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# arp access-list arp-list
Switch(config-arp-nacl)# deny ip host 101.50.1.54 mac any
Switch(config-arp-nacl)# deny ip host 101.50.1.51 mac any
Switch(config-arp-nacl)# permit ip 101.50.1.0 0.0.0.255 mac any
Switch(config-arp-nacl)# exit
Switch(config)# ip arp inspection vlan 101
Switch(config)# ip arp inspection filter arp-acl vlan 101
Switch(config)# end
Switch# show ip arp inspection vlan 101

Source Mac Validation      : Disabled
Destination Mac Validation : Disabled
IP Address Validation      : Disabled

 Vlan     Configuration    Operation   ACL Match          Static ACL
 ----     -------------    ---------   ---------          ----------
  101     Enabled          Active      arp-acl            No

 Vlan     ACL Logging      DHCP Logging
 ----     -----------      ------------
  101     Deny             Deny

Switch# show ip arp inspection statistics

 Vlan      Forwarded        Dropped     DHCP Drops      ACL Drops
 ----      ---------        -------     ----------      ---------
 101              9              2              0              4

 Vlan   DHCP Permits    ACL Permits   Source MAC Failures
 ----   ------------    -----------   -------------------
  101              9              0                     0

 Vlan   Dest MAC Failures   IP Validation Failures   Invalid Protocol Data
 ----   -----------------   ----------------------   ---------------------
  101                   0                        0                       0

Configurando Inspeção de ARP IP com Espionagem de DHCP IP (opcional)

Isso habilita o aprendizado do dispositivo IP Layer 2 a estar sujeito às verificações de validações do recurso de inspeção ARP. Por padrão, os pacotes ARP são validados usando associações de espionagem de DHCP.


Observação Para executar essa tarefa, primeiro deve estar habilitada a espionagem de DHCP nas mesmas VLANs em que a inspeção ARP está habilitada.


Para fazer a configuração da inspeção ARP de IP com a espionagem de DHCP de IP, siga essas etapas:

 
Comando
Propósito

Etapa 1 

configure terminal

Insere o modo de configuração global.

Etapa 2 

ip dhcp snooping

Habilita a espionagem de DHCP do IP no switch.

Etapa 3 

ip dhcp snooping vlan vlan_id

Habilita a espionagem do DHCP de IP no ingresso da VLAN no switch.

Etapa 4 

ip dhcp snooping trust

Habilita o estado de confiança de espionagem do DHCP para a interface.

Etapa 5 

ip arp inspection vlan vlan_id

Habilita a inspeção de ARP do IP na VLAN.

Observação A espionagem de DHCP deve estar habilitada nessa VLAN, em que a inspeção ARP do IP está habilitada.

Etapa 6 

ip arp inspection vlan trust

Habilita o estado de confiança da inspeção ARP para a interface.

O estado de confiança da inspeção ARP deve estar habilitado nas portas do uplink onde o servidor DHCP está conectado. Isso é necessário para autorizar pacotes ARP do servidor sem verificações de validação.

Etapa 7 

ip arp inspection filter static-arp-list vlan vlan_id

Habilita a inspeção de APR do IP no ingresso da VLAN no switch.

Observação Execute essa etapa supondo que as entradas de espionagem de DHCP do IP não sejam formadas no dispositivo que está sendo testado.

Etapa 8 

fim

Retorna ao modo EXEC com privilégios.

Etapa 9 

show ip arp inspection [statistics]
[vlan vlan_id]

Exibe a configuração ou as estatísticas da inspeção de ARP atuais. A palavra-chave opcional vlan pode ser utilizada para exibir informações para uma VLAN específica.

Etapa 10 

show running-config

Verifica suas entradas.

Etapa 11 

copy running-config startup-config

(Opcional) Salva suas entradas no arquivo de configuração.


Observação Para esta configuração, não é necessário configurar uma lista de filtros ARP estáticos.


O exemplo a seguir mostra como fazer a configuração da inspeção ARP do IP com uma espionagem de DHCP do IP:

Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip dhcp snooping vlan 8
Switch(config)# ip arp inspection vlan 8
Switch(config)# end
Switch# show ip arp inspection vlan 8

Source Mac Validation      : Disabled
Destination Mac Validation : Disabled
IP Address Validation      : Disabled

 Vlan     Configuration    Operation   ACL Match          Static ACL
 ----     -------------    ---------   ---------          ----------
    8     Enabled          Active

 Vlan     ACL Logging      DHCP Logging
 ----     -----------      ------------
   8     Deny             Deny

Switch# show ip arp inspection statistics vlan 8

 Vlan      Forwarded        Dropped     DHCP Drops      ACL Drops
 ----      ---------        -------     ----------      ---------
    8              4              0              0              0

 Vlan   DHCP Permits    ACL Permits   Source MAC Failures
 ----   ------------    -----------   -------------------
   8              4              0                     0

 Vlan   Dest MAC Failures   IP Validation Failures   Invalid Protocol Data
 ----   -----------------   ----------------------   ---------------------
   8                   0                        0

Configurando Política de Desativação de AAA de NAC (opcional)


Observação A validação do NAC Layer 2 IP não está disponível no switch da série Catalyst 4500.


Para fazer a configuração da política de desativação AAA do NAC, siga essas etapas:

 
Comando
Propósito

Etapa 1 

configure terminal

Insere o modo de configuração global.

Etapa 2 

ip admission name rule-name eapoudp event timeout aaa policy identity identity_policy_name

Cria uma regra para um NAC associando uma política de identidade a ser aplicada às sessões, quando um servidor AAA for inacessível.

Para remover a função no switch, utilize o comando de configuração global
no ip admission name rule-name eapoudp event timeout aaa policy.

Etapa 3 

access-list access-list-number {deny | permit} source [source-wildcard] [log]

Define a porta ACL padrão utilizando um endereço de origem e um coringa.

O número de acesso à lista é um número decimal de 1 a 99 ou de 1300 a 1999.

Digite deny ou permit para especificar se nega ou permite acesso, se as condições forem atendidas.

A source é o endereço de origem da rede ou do host do qual o pacote está sendo enviado especificado como:

A quantidade de 32 bits em formato decimal.

A palavra-chave any como abreviação para source e source-wildcard de 0.0.0.0 255.255.255.255. Não é necessário digitar um source-wildcard.

A palavra-chave host como abreviação para source e source-wildcard de source 0.0.0.0.

(Opcional) A source-wildcard aplica bits de curingas à origem.

(Opcional) Digite log para criar uma mensagem de registro de informações sobre o pacote que corresponda à entrada a ser enviada ao console.

Etapa 4 

interface interface-id

Digita o modo de configuração da interface.

Etapa 5 

ip access-group {access-list-number | name} in

Controla o acesso à interface especificada.

Etapa 6 

ip admission name rule-name

Aplica a regra para IP do NAC especificada à interface.

Para remover a regra para IP do NAC que foi aplicada a uma interface específica, utilize o comando de configuração de interface no ip admission rule-name .

Etapa 7 

exit

Volta para o modo de configuração global.

Etapa 8 

aaa new-model

Habilita AAA.

Etapa 9 

aaa authentication eou default group radius

Define métodos de autenticação para o EAPoUDP.

Para remover métodos de autenticação do EAPoUDP, utilize o comando global de configuração
no aaa authentication eou default.

Etapa 10 

aaa authorization network default local

Define o método de autorização para o local. Para remover o método de autorização, use o comando no aaa authorization network default local.

Etapa 11 

ip device tracking

Habilita a tabela de controle do dispositivo IP.

Para desabilitar a tabela de controle do dispositivo IP, utilize os comandos globais de configuração no ip device tracking .

Etapa 12 

ip device tracking [probe {count count | interval interval}]

(Opcional) Configure esses parâmetros para a tabela de rastreamento de IP:

count count—Define o número de vezes que o switch envia a prova ARP. O intervalo é de 1 a 5. O padrão é 3.

interval interval—Define o número de segundos que o computador aguarda por uma resposta antes de reenviar a prova ARP. O intervalo é de 30 a 300 segundos. O padrão é 30 segundos.

Etapa 13 

radius-server host {hostname | ip-address} test username username idle-time 1 key string

Configura os parâmetros do servidor RADIUS.

Para hostname | ip-address, especifique o nome do host ou o endereço IP do servidor RADIUS remoto.

Para key string, especifique a chave de autenticação e de criptografia utilizada entre o switch e o daemon do RADIUS em execução no servidor RADIUS. A chave é uma seqüência de texto que deve corresponder à chave de criptografia utilizada no servidor RADIUS.

Observação Sempre fazer a configuração da chave como o último item no comando
radius-server host, pois os espaços à esquerda são ignorados, sendo utilizados os espaços internos e no fim da chave. Ao usar espaços na chave, não feche a chave com aspas, a menos que elas façam parte da chave. Essa chave deve corresponder à criptografia utilizada no daemon do RADIUS.

test username é usado para configurar o nome de usuário fictício que teste se o servidor AAA está ativo ou não.

idle-time parâmetro usado para definir com que freqüência o SERVIDOR deve ser testado para verificar a atividade. Se não houver nenhum tráfego para o servidor RADIUS, o NAD enviará pacotes radius fictícios para o servidor RADIUS baseado no tempo de ociosidade.

Para utilizar vários servidores RADIUS, digite novamente este comando.

Etapa 14 

radius-server attribute 8 include-in-access-req

Se o switch estiver conectado a hosts sem respostas, faça a configuração do switch para enviar o atributo Framed-IP-Address do RADIUS (Attribute[8]) nos pacotes de requisição de acesso ou conta.

Para configurar o switch de forma que não envie o atributo Framed-IP-Address, use o comando global de configuração no radius-server attribute 8 include-in-access-req .

Etapa 15 

radius-server vsa send authentication

Configura o servidor de acesso à rede para reconhecer e usar atributos específicos do fornecedor.

Etapa 16 

radius-server dead-criteria {tries | time} value

(Opcional) Aplica um ou dois critérios—usado para identificar um servidor RADIUS como inativo—a ser a constante indicada.

Etapa 17 

eou logging

(Opcional) Habilita os eventos de login no sistema EAPoUDP.

Para desabilitar login nos eventos do sistema EAPoUDP, use o comando global de configuração
no eou logging.

Etapa 18 

fim

Retorna ao modo EXEC com privilégios.

Etapa 19 

show ip admission {[cache] [configuration] [eapoudp]}

Exibe a configuração NAC ou as entradas de cache de admissão na rede.

Etapa 20 

show ip device tracking {all | interface interface-id | ip ip-address | mac mac-address}

Exibe as informações sobre as entradas da tabela do controle de dispositivo IP.

Etapa 21 

show aaa servers

Exibe o status dos servidores AAA que foram configurados no switch.

Etapa 22 

copy running-config startup-config

(Opcional) Salve suas entradas no arquivo de configuração.

O exemplo a seguir ilustra como aplicar uma política de desativação de AAA:

Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip admission name AAA_DOWN eapoudp event timeout aaa policy identity
global_policy
Switch(config)# aaa new-model
Switch(config)# aaa authorization network default local
Switch(config)# aaa authentication eou default group radius
Switch(config)# identity policy global_policy
Switch(config-identity-policy)# ac
Switch(config-identity-policy)# access-group global_acl
Switch(config)# ip access-list extended global_acl
Switch(config-ext-nacl)# permit ip any any
Switch(config-ext-nacl)# exit
Switch(config)# radius-server host 40.0.0.4 test username administrator idle-time 1 key
cisco
Switch(config)# radius-server dead-criteria tries 3
Switch(config)# radius-server vsa send authentication
Switch(config)# radius-server attribute 8 include-in-access-req
Switch(config)# int fastEthernet 2/13
Switch(config-if)# ip admission AAA_DOWN
Switch(config-if)# exit
Switch# show ip admission configuration
Authentication global cache time is 60 minutes Authentication global absolute time is 0
minutes Authentication global init state time is 2 minutes Authentication Proxy Watch-list
is disabled

Authentication Proxy Rule Configuration
 Auth-proxy name AAA_DOWN
    eapoudp list not specified auth-cache-time 60 minutes
    Identity policy name global_policy for AAA fail policy

Switch# show aaa servers
RADIUS: id 1, priority 1, host 40.0.0.4, auth-port 1645, acct-port 1646
     State: current UP, duration 5122s, previous duration 9s
     Dead: total time 79s, count 3
     Authen: request 158, timeouts 14
             Response: unexpected 1, server error 0, incorrect 0, time 180ms
             Transaction: success 144, failure 1
     Author: request 0, timeouts 0
             Response: unexpected 0, server error 0, incorrect 0, time 0ms
             Transaction: success 0, failure 0
     Account: request 0, timeouts 0
             Response: unexpected 0, server error 0, incorrect 0, time 0ms
             Transaction: success 0, failure 0
     Elapsed time since counters last cleared: 2h13m

Switch#show aaa method-lists authentication authen queue=AAA_ML_AUTHEN_LOGIN authen
queue=AAA_ML_AUTHEN_ENABLE authen queue=AAA_ML_AUTHEN_PPP authen queue=AAA_ML_AUTHEN_SGBP
authen queue=AAA_ML_AUTHEN_ARAP authen queue=AAA_ML_AUTHEN_EAPOUDP
  name=default valid=1 id=0 state=ALIVE : SERVER_GROUP radius authen
queue=AAA_ML_AUTHEN_DOT1X
  name=default valid=1 id=0 state=ALIVE : SERVER_GROUP radius permanent lists
  name=Permanent Enable None valid=1 id=0 ALIVE : ENABLE  NONE
  name=Permanent Enable valid=1 id=0 ALIVE : ENABLE
  name=Permanent None valid=1 id=0 ALIVE : NONE
  name=Permanent Local valid=1 id=0 ALIVE : LOCAL

Exibindo Informações do NAC


Observação Os pontos de acesso não fornecem suporte aos seguintes comandos.


Para exibir as informações do NAC, utilize um dos seguintes comandos EXEC privilegiados:

Tabela 3 Comandos para Exibição das Informações do NAC

Comando
Propósito

show dot1x [all | interface interface-id | statistics interface interface-id]

Exibe as estatísticas, status administrativo e status operacional de IEEE 802.1x.

show eou {all | authentication {clientless | eap | static} | interface interface-id | ip ip-address | mac mac-address | posturetoken name}

Exibe informações sobre a configuração do EAPoUDP ou de entradas de cache de sessão.

show ip admission {[cache] [configuration] [eapoudp]}

Exibe a configuração NAC ou as entradas de cache da admissão na rede.

show ip device tracking {all | interface interface-id | ip ip-address | mac mac-address}

Exibe informações sobre as entradas na tabela de controle do dispositivo IP.


Este exemplo mostra o exemplo de saída quando um novo host é detectado:

00:45:15: %EOU-6-SESSION: IP=10.5.0.25| HOST=DETECTED| Interface=GigabitEthernet1/0/4
00:45:15: %EOU-6-CTA: IP=10.5.0.25| CiscoTrustAgent=DETECTED
00:45:16: %EOU-6-POLICY: IP=10.5.0.25| TOKEN=Healthy
00:45:16: %EOU-6-POLICY: IP=10.5.0.25| URL=http://10.5.0.43
00:45:16: %EOU-6-POLICY: IP=10.5.0.25| URL ACL=s-acl
00:45:16: %EOU-6-POLICY: IP=10.5.0.25| ACLNAME=#ACSACL#-IP-Healthy-42dbdd9d
00:45:16: %EOU-6-POLICY: IP=10.5.0.25| HOSTNAME=CMELTER-XP:dsbu
00:45:16: %EOU-6-POSTURE: IP=10.5.0.25| HOST=AUTHORIZED| Interface=GigabitEthernet1/0/4
00:45:16: %EOU-6-AUTHTYPE: IP=10.5.0.25| AuthType=EAP

Switch# show eou all
-------------------------------------------------------------------------
Address         Interface              AuthType   Posture-Token Age(min)
-------------------------------------------------------------------------
10.5.0.25       GigabitEthernet1/0/4   EAP        Healthy         0

Switch# show eou ip 10.5.0.25
Address             : 10.5.0.25
MAC Address         : 0060.b0f8.fbfb
Interface           : GigabitEthernet1/0/4
AuthType            : EAP
Audit Session ID    : 0000000000296E2E000000040A050019
PostureToken        : Healthy
Age(min)            : 0
URL Redirect        : http://10.5.0.43
URL Redirect ACL    : s-acl
ACL Name            : #ACSACL#-IP-Healthy-42dbdd9d
User Name           : HOST-XP:dsbu
Revalidation Period : 600 Seconds
Status Query Period : 600 Seconds
Current State       : AUTHENTICATED

Limpando a Tabela da Sessão de EAPoUDP

Para limpar as entradas do cliente na tabela da sessão do EAPoUDP, use o comando EXCEC privilegiado clear eou. Após as entradas serem removidas, elas são criadas somente depois que o switch recebe um pacote ARP do host ou depois que ele criar uma entrada de associação de espionagem de DHCP para o host. Para limpar entradas na tabela de controle do dispositivo IP, use o comando EXEC privilegiado clear ip device tracking .

Referências a Comandos


Observação Os pontos de acesso não fornecem suporte aos comandos desta seção do documento.


Esta seção documenta aqueles comandos do NAC Layer 2 IP que não são genéricos para o IOS. Para obter a documentação sobre os comandos genéricos do Cisco IOS, consulte os URLs a seguir:

http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_guide09186a008021650d.html

e

http://www.cisco.com/en/US/products/sw/iosswrel/ps5187/products_command_reference_chapter09186a008017cf1c.html

aaa authentication eou

Para definir os métodos de autenticação do EAPoUDP ou EoU (Extensible Authentication Protocol over UDP) no switch, utilize o comando de configuração global aaa authentication eou . Utilize o no form desse comando para retornar à configuração padrão.

aaa authentication eou default group radius

no aaa authentication eou default

Descrição da sintaxe

Esse comando não tem argumentos ou palavras-chave.

Defaults

Nenhum método de autenticação de EAPoUDP está configurado.

Modos de comando

Configuração global

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

Após fazer a configuração das ACLs e definir a regra do NAC (Network Admission Control) de IP, configure os métodos de autenticação do EAPoUDP em um switch. Também é possível definir os métodos do proxy de autenticação utilizando o comando de configuração global aaa authorization auth-proxy default group radius .

Exemplos

Este exemplo mostra como definir os métodos de autenticação do EAPoUDP:

Switch(config)# aaa authentication eou default group radius

Você pode verificar suas configurações digitando o comando EXEC privilegiado show running-config .

Comandos relacionados

Comando
Descrição

aaa authorization auth-proxy default

Habilita e configura os métodos de autorização do EAPoUDP.

identity profile eapoudp

Cria um perfil de identidade digitando o modo de configuração de perfil do EAPoUDP. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

ip admission name eapoudp

Cria e configura regras para IP do NAC.

show ip admission

Exibe informações sobre as entradas de cache do NAC ou sobre a configuração NAC. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

show running-config

Exibe a configuração operacional. Para obter informações sobre sintaxe, selecione Referências a Comandos Básicos da Configuração do Cisco IOS, Versão 12.2 > Comandos de Gerenciamento de Arquivos > Comandos de Gerenciamento do Arquivo de Configuração.


aaa authorization auth-proxy default

Para configurar o código de postura auth-proxy para não obter associações de segurança do servidor AAA, use o comando de configuração global aaa authorization auth-proxy default . Utilize o no form deste comando para desabilitar esse recurso.

aaa authorization auth-proxy default group radius

no aaa authorization auth-proxy default


Observação Embora visíveis nas seqüências de caracteres de ajuda da linha de comando, as palavras-chave cache, server-group-name e tacacs+ não são suportadas.


Descrição da sintaxe

Esse comando não tem argumentos ou palavras-chave.

Defaults

O código de postura auth-proxy não recebe associações de segurança do servidor AAA.

Modos de comando

Configuração global

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

Após configurar as listas de controle de acesso (ACLs) e definir a regra do NAC (Network Admission Control) do IP, defina os métodos de autenticação do proxy de autenticação. Também podem ser definidos os métodos de autenticação do EAPoUDP (Extensible Authentication Protocol over UDP) em um switch utilizando o comando de configuração global aaa authentication eou default group radius.

Exemplos

Este exemplo mostra como obter associações de segurança do servidor AAA:

Switch(config)# aaa authorization auth-proxy default group radius

Você pode verificar suas configurações digitando o comando EXEC privilegiado show running-config .

Comandos relacionados

Comando
Descrição

aaa authentication eou

Defina os métodos de autenticação do EAPoUDP no switch.

identity profile eapoudp

Cria um perfil de identidade digitando o modo de configuração de perfil do EAPoUDP. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

ip admission name eapoudp

Cria e configura regras para IP do NAC.

show ip admission

Exibe informações sobre as entradas de cache do NAC ou sobre a configuração NAC. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

show running-config

Exibe a configuração operacional. Para obter informações sobre sintaxe, selecione Referências a Comandos Básicos da Configuração do Cisco IOS, Versão 12.2 > Comandos de Gerenciamento de Arquivos > Comandos de Gerenciamento do Arquivo de Configuração.


clear ip admission

Para limpar as entradas de admissão de IP no switch, use o comando EXEC privilegiado clear ip admission .

clear ip admission {{cache | watch-list} {* | ip-address}}

Descrição da sintaxe

cache

Exclua as entradas de cache de admissão do IP.

watch-list

Exclua as entradas de watch-list de admissão do IP.

*

Exclua todas as entradas de cache.

ip-address

Exclua a entrada de cache do endereço IP especificado.


Defaults

Não há configuração padrão.

Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Exemplos

Este exemplo mostra como limpar todas as entradas de cache de admissão do IP:

Switch# clear ip admission *

Você pode verificar suas configurações digitando o comando EXEC privilegiado show eou ou show ip admission .

Comandos relacionados

Comando
Descrição

ip admission name eapoudp

Cria e configura as regras do NAC (Network Admission Control).

show eou

Exibe informações sobre o EAPoUDP (Extensible Authentication Protocol over UDP) ou entradas de cache da sessão.

show ip admission

Exibe informações sobre as entradas de cache do NAC ou sobre a configuração NAC. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.


clear ip device tracking

Para limpar entradas na tabela de controle do dispositivo IP, use o comando EXEC privilegiado clear ip device tracking .

clear ip device tracking {all | interface interface-id | ip ip-address | mac mac-address}

Descrição da sintaxe

all

Exclui todas as entradas do controle de dispositivo IP.

interface interface-id

Exclui todas as entradas do controle de dispositivo IP na interface especificada.

ip ip-address

Exclui todas as entradas do controle de dispositivo IP do endereço IP especificado.

mac mac-address

Exclui todas as entradas do controle de dispositivo IP do endereço MAC especificado.


Defaults

Não há configuração padrão.

Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

Após utilizar o comando EXEC privilegiado clear ip device tracking para limpar as entradas do controle de dispositivo IP, o switch envia provas ARP para os hosts que foram removidos. Se um host estiver presente, ele responderá à prova ARP e o switch adicionará uma entrada do controle de dispositivo IP para o host.

Exemplos

Este exemplo mostra como limpar todas as entradas na tabela do controle de dispositivo IP:

Switch# clear ip device tracking all

Você pode verificar as configurações digitando o comando EXEC privilegiado show ip device tracking .

Comandos relacionados

Comando
Descrição

ip device tracking

Habilita a tabela do controle de dispositivo IP e configura os parâmetros dessa tabela.

show ip device tracking

Exibe as informações sobre as entradas da tabela do controle de dispositivo IP.


debug eou

Para habilitar a depuração do EAPoUDP (Extensible Authentication Protocol over UDP), utilize o comando EXEC privilegiado debug eou. Utilize o no form deste comando para desabilitar a depuração.

debug eou {all | eap | errors | events | obj-create | obj-destroy | obj-link | obj-unlink | packets | ratelimit | sm}

no debug eou {all | eap | errors | events | obj-create | obj-destroy | obj-unlink | packets | ratelimit | sm}

Descrição de Sintaxeno debug eou {all | eap | errors | events | packets | ratelimit | sm}

all

Exibe todas as informações do EAPoUDP.

eap

Exibe os pacotes EAPoUDP.

erros

Exibir informações sobre erros de pacotes EAPoUDP.

events

Exibir informações sobre eventos do pacote EAPoUDP.

obj-create

Exibir informações sobre sessões criadas do EAPoUDP.

obj-destroy

Exibir informações sobre sessões excluídas do EAPoUDP.

obj-link

Exibe informações sobre as sessões do EAPoUDP que são adicionadas à tabela de hash.

obj-unlink

Exibe informações sobre as sessões do EAPoUDP que são removidas da tabela de hash.

packets

Exibe as informações dos pacotes EAPoUDP.

ratelimit

Exibe as informações sobre validação de postura do EAPoUDP.

sm

Exibe as transições da máquina de estado do EAPoUDP.


Defaults

A depuração está desabilitada.

Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.2(18)SXF
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

O comando undebug eou é igual ao comando no debug eou.

Nos switches do Catalyst 3750 e nos módulos de serviço do EtherSwitch, ao habilitar a depuração, ela somente é habilitada na pilha principal. Para habilitar a depuração em um membro da pilha, inicie uma sessão na pilha principal utilizando o comando EXEC privilegiado session switch-number . Em seguida, digite o comando debug no prompt da linha de comando do membro da pilha. Ou utilize o comando EXEC privilegiado remote command stack-member-number LINE do switch da pilha principal para habilitar a depuração em um switch membro sem iniciar antes uma sessão.

Comandos relacionados

Comando
Descrição

show debugging

Exibe informações sobre os tipos de depuração habilitados. Para obter informações de sintaxe, selecione Guias de Configuração e Referências a Comandos do Cisco IOS Versão 12.2 > Guia de Configuração Básica da Configuração do Cisco IOS Versão 12.2 > Gerenciamento de Sistema > Análise de falhas e Gerenciamento de Falhas.

show eou

Exibe informações sobre a configuração global do EAPoUDP ou de entradas de cache de sessão.


debug ip admission

Para habilitar a depuração de eventos de admissão de IP, use o comando EXEC privilegiado debug ip admission . Utilize o no form deste comando para desabilitar a depuração.

debug ip admission {api | dos | eapoudp | function-trace | object-creation | object-deletion | timers}

no debug ip admission {api | dos | eapoudp | function-trace | object-creation | object-deletion | timers}

Descrição da sintaxe

api

Exibe eventos API (application program interface) de admissão do IP.

dos

Exibe as informações de prevenção de recusa de serviço do proxy de autenticação.

eapoudp

Exibe informações sobre eventos de validação de postura do EAPoUDP (Extensible Authentication Protocol over UDP).

function-trace

Exibe informações sobre o controle da função authentication-proxy.

object-creation

Exibe informações sobre os objetos do proxy de autenticação que são criados.

object-deletion

Exibe informações sobre os objetos do proxy de autenticação que são excluídos.

timers

Exibe as informações sobre os eventos do cronômetro do proxy da autenticação.


Defaults

A depuração está desabilitada.

Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

O comando undebug ip admission é igual ao comando no debug ip admission .

Nos switches do Catalyst 3750 e nos módulos de serviço do EtherSwitch, ao habilitar a depuração, ela somente é habilitada na pilha principal. Para habilitar a depuração em um membro da pilha, inicie uma sessão na pilha principal utilizando o comando EXEC privilegiado session switch-number . Em seguida, digite o comando debug no prompt da linha de comando do membro da pilha. Você também pode usar o comando EXEC privilegiado remote command stack-member-number LINE do switch da pilha principal para habilitar a depuração em um switch membro sem antes iniciar uma sessão.

Comandos relacionados

Comando
Descrição

show debugging

Exibe informações sobre os tipos de depuração habilitados. Para obter informações de sintaxe, selecione Guias de Configuração e Referências a Comandos do Cisco IOS Versão 12.2 > Guia de Configuração Básica da Configuração do Cisco IOS Versão 12.2 > Gerenciamento de Sistema > Análise de falhas e Gerenciamento de Falhas.

show eou

Exibe informações sobre a configuração global do EAPoUDP ou de entradas de cache de sessão.

show ip admission

Exibe informações sobre as entradas de cache do NAC (Network Admission Control) ou sobre a configuração NAC. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.


debug ip device tracking

Para habilitar a depuração do controle do NAC (Network Admission Control) em portas do switch, utilize o comando EXEC privilegiado
debug ip device tracking . Utilize o no form deste comando para desabilitar a depuração.

debug ip device tracking {all | events | obj-create | obj-destroy | redundancy}

no debug ip device tracking {all | events | obj-create | obj-destroy | redundancy}

Descrição da sintaxe

all

Exibe todas as informações sobre EAPoUDP (Extensible Authentication Protocol over UDP).

events

Exibir informações sobre eventos do pacote EAPoUDP.

obj-create

Exibir informações sobre sessões criadas do EAPoUDP.

obj-destroy

Exibir informações sobre sessões excluídas do EAPoUDP.

redundância

Exibe informações sobre o status do SSO de mecanismos supervisores nas sessões EAPoUDP.

Observação Essa palavra-chave está limitada aos switches da série Catalyst 4500.


Defaults

A depuração está desabilitada.

Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

O comando undebug ip admission é igual ao comando no debug ip admission .

Nos switches do Catalyst 3750 e nos módulos de serviço do EtherSwitch, ao habilitar a depuração, ela somente é habilitada na pilha principal. Para habilitar a depuração em um membro da pilha, inicie uma sessão na pilha principal utilizando o comando EXEC privilegiado session switch-number . Em seguida, digite o comando debug no prompt da linha de comando do membro da pilha. Você também pode usar o comando EXEC privilegiado remote command stack-member-number LINE do switch da pilha principal para habilitar a depuração em um switch membro sem antes iniciar uma sessão.

debug sw-ip-admission

Para habilitar a depuração do processamento NAC Layer 2 IP específico do switch, como eventos de associação do ARP e do DHCP, utilize o comando EXEC privilegiado debug sw-ip-admission . Utilize o no form deste comando para desabilitar a depuração.

debug sw-ip-admission [packet]

no debug sw-ip-admission [packet]

Descrição da sintaxe

packet

(Opcional) Habilita a depuração de pacotes utilizados para rastrear hosts do NAC Layer 2 IP.


Descrição da sintaxe

Esse comando não tem argumentos ou palavras-chave.

Defaults

A depuração está desabilitada.

Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

O comando undebug sw-ip-admission é igual ao comando no debug sw-ip-admission .

Nos switches do Catalyst 3750 e nos módulos de serviço do EtherSwitch, ao habilitar a depuração, ela somente é habilitada na pilha principal. Para habilitar a depuração em um membro da pilha, inicie uma sessão na pilha principal utilizando o comando EXEC privilegiado session switch-number . Em seguida, digite o comando debug no prompt da linha de comando do membro da pilha. Você também pode usar o comando EXEC privilegiado remote command stack-member-number LINE do switch da pilha principal para habilitar a depuração em um switch membro sem antes iniciar uma sessão.

Comandos relacionados

Comando
Descrição

show debugging

Exibe informações sobre os tipos de depuração habilitados. Para obter informações de sintaxe, selecione Guias de Configuração e Referências a Comandos do Cisco IOS Versão 12.2 > Guia de Configuração Básica da Configuração do Cisco IOS Versão 12.2 > Gerenciamento de Sistema > Análise de falhas e Gerenciamento de Falhas.

show eou

Exibe informações sobre a configuração global do EAPoUDP (Extensible Authentication Protocol over UDP) ou entradas de cache da sessão.

show ip admission

Exibe informações sobre as entradas de cache do NAC (Network Admission Control) ou sobre a configuração NAC. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.


description

Para digitar uma descrição da política de identidade, utilize o comando do modo de configuração de política de identidadedescription . Para limpar a descrição, utilize o no form desse comando sem a descrição.

description line-of-description [line-of-description] [line-of-description] ...

no description line-of-description [line-of-description] [line-of-description] ...

Descrição da sintaxe

line-of-description

Descreve a política de identidade.


Defaults

Nenhuma configuração está configurada.

Modos de comando

Identity-policy configuration

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

Pode ser digitada mais de uma linha de texto descrevendo a política de identidade.

Exemplos

Este exemplo mostra como digitar uma descrição da política de identidade denominada policy100:

Switch(config)# identity policy policy100
Switch(config-identity-policy)# description Admin policy for the engineering group

Você pode verificar suas configurações digitando o comando EXEC privilegiado show running-config .

Comandos relacionados

Comando
Descrição

description (identity-profile configuration)

Insere uma descrição de uma política de identidade. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

show running-config

Exibe a configuração operacional. Para obter informações sobre sintaxe, selecione Referências a Comandos Básicos da Configuração do Cisco IOS, Versão 12.2 > Comandos de Gerenciamento de Arquivos > Comandos de Gerenciamento do Arquivo de Configuração.


device

Para autorizar ou rejeitar manualmente um dispositivo, utilize o comando do modo de configuração de perfil de identidade device . Utilize o no form desse comando para retornar à configuração padrão.

device {authorize | not-authorize} {ip-address ip-address | mac-address mac-address | type cisco ip phone} [policy policy-name]

no device {authorize | not-authorize} {ip-address ip-address | mac-address mac-address | type cisco ip phone} [policy policy-name]

Descrição da sintaxe

authorize

Configuração de um dispositivo autorizado.

not-authorize

Configuração de um dispositivo não autorizado.

ip-address ip-address

Especifique o endereço IP do dispositivo.

mac-address mac-address

Especifique o endereço MAC do dispositivo.

type cisco ip phone

Especifique se o dispositivo é um telefone de IP Cisco.

policy policy-name

Especifique uma política a ser aplicada no dispositivo.


Defaults

Os dispositivos não são autorizados ou rejeitados manualmente.

Modos de comando

Identity-profile configuration

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

Crie um perfil de identidade utilizando o comando de configuração global identity profile {default | dot1x | eapoudp} antes de utilizar o comando de configuração identity-profile device.

Exemplos

Este exemplo mostra como autorizar um dispositivo estaticamente com um endereço MAC de 1234.abcd.5678 e uma política denominada policy1:

Switch(config)# identity profile eapoudp
Switch(config-identity-prof)# device authorize mac-address 1234.abcd.4578 policy policy1

Você pode verificar suas configurações digitando o comando EXEC privilegiado show running-config .

Comandos relacionados

Comando
Descrição

access-group (identity policy)

Especifica um grupo de acessos a ser aplicado em uma política de identidade. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

identity profile eapoudp

Cria um perfil de identidade e insere o modo de configuração de perfil do EAPoUDP (Extensible Authentication Protocol over UDP). Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

show running-config

Exibe a configuração operacional. Para obter informações sobre sintaxe, selecione Referências a Comandos Básicos da Configuração do Cisco IOS, Versão 12.2 > Comandos de Gerenciamento de Arquivos > Comandos de Gerenciamento do Arquivo de Configuração.


eou initialize

Para reiniciar manualmente as máquinas de estado do EAPoUDP (Extensible Authentication Protocol over UDP), utilize o comando EXEC privilegiado eou initialize .

eou initialize {all | authentication {clientless | eap | static} | interface interface-id | ip ip-address | mac mac-address | posturetoken name}

Descrição da sintaxe

all

Revalida todos os clientes EAPoUDP.

authentication

Revalida um desses tipos de autenticação do EAPoUDP:

clientless — O sistema do ponto final não está executando o software CTA.

eap— O tipo de autenticação é o EAP.

static — O tipo de autenticação é configurado estaticamente.

interface interface-id

Revalida o cliente EAPoUDP na interface especificada.

ip ip-address

Revalidar o cliente EAPoUDP no endereço IP especificado.

mac mac-address

Revalida o cliente EAPoUDP no endereço MAC especificado.

posturetoken name

Revalida o cliente EAPoUDP com o token de postura especificado.


Defaults

Não há configuração padrão.

Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

Ao digitar o comando EXEC privilegiado eou initialize , as sessões EAPoUDP configuradas são reiniciadas.

Exemplos

Este exemplo mostra como iniciar a reinicialização de todas as associações do EAPoUDP:

Switch# eou initialize

Você pode verificar as configurações digitando o comando EXEC privilegiado show eou .

Comandos relacionados

Comando
Descrição

eou revalidate (configuração global e de interface)

Habilita a revalidação das associações do EAPoUDP no switch ou em uma interface específica.

eou revalidate (EXEC privilegiado)

Inicia manualmente a revalidação das associações do EAPoUDP.

show eou

Exibe informações sobre a configuração do EAPoUDP ou de entradas de cache de sessão.


eou max-retry (configuração global e de interface)

Para especificar o número de tentativas de revalidações do EAPoUDP (Extensible Authentication Protocol over UDP), utilize os comandos de configuração de interface e de configuração global eou max-retry . Utilize o no form desse comando para retornar à configuração padrão.

eou max-retry number

no eou max-retry

Descrição da sintaxe

número

O número de vezes que o switch tenta revalidar as associações do EAPoUDP.O intervalo é de 1 a 3.


Defaults

O número padrão de tentativas de revalidações é 3.

Modos de comando

Configuração global e configuração da interface

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

Você pode configurar o número de tentativas de revalidações utilizando comando de configuração global eou max-retry number. Ou utilize o comando de configuração de interface eou max-retry number para configurar a quantidade de tentativas de revalidações de uma interface específica.

Exemplos

Este exemplo mostra como especificar o número de tentativas de revalidações como 2 em uma base ampla do switch:

Switch(config)# eou max-retry 2

Este exemplo mostra como especificar o número de tentativas de revalidações como 1 em uma base ampla do switch:

Switch(config-if)# eou max-retry 1

Você pode verificar as configurações digitando o comando EXEC privilegiado show eou .

Comandos relacionados

Comando
Descrição

show eou

Exibe informações sobre a configuração do EAPoUDP ou de entradas de cache de sessão.


eou ratelimit

Para especificar o número de validações de postura simultâneas do EAPoUDP (Extensible Authentication Protocol over UDP), use o comando de configuração global eou ratelimit . Utilize o no form desse comando para retornar à configuração padrão.

eou ratelimit number

no eou ratelimit

Descrição da sintaxe

número

Número de clientes que podem ser validados simultaneamente. O intervalo é de 0 a 200.


Defaults

O padrão é 20 clientes.

Modos de comando

Configuração global

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

Ao digitar o comando eou rate-limit 0, o recurso de limitação de taxa será desativado.

Se o número de clientes que podem ser validados simultaneamente for de 100 e o switch estiver conectado a 101 clientes, a validação de postura do último cliente (cliente 101) não ocorrerá até que outro cliente encerre uma sessão EAPoUDP.

Utilize o comando de configuração global eou default ou o no eou ratelimit para retornar à configuração padrão.

Exemplos

Este exemplo mostra como especificar que o número possível de clientes a serem validados simultaneamente é de 40:

Switch(config)# eou ratelimit 40

Este exemplo mostra como retornar à configuração padrão de 20 clientes:

Switch(config-if)# eou default

Você pode verificar as configurações digitando o comando EXEC privilegiado show eou .

Comandos relacionados

Comando
Descrição

eou default

Redefine os parâmetros globais do EAPoUDP às configurações padrão. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

show eou

Exibe informações sobre a configuração do EAPoUDP ou de entradas de cache de sessão.


eou revalidate (configuração global e de interface)

Para habilitar a revalidação das associações do EAPoUDP (Extensible Authentication Protocol over UDP), use os comandos de configuração de interface e de configuração global eou revalidate .

eou revalidate

Descrição da sintaxe

Esse comando não tem argumentos ou palavras-chave.

Defaults

Não há configuração padrão.

Modos de comando

Configuração global e configuração da interface

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

Habilite a revalidação das associações do EAPoUDP no switch utilizando o comando de configuração global eou revalidate . Ou habilite a revalidação das associações do EAPoUDP em uma interface utilizando o comando de configuração de interface eou revalidate.

O valor do cronômetro de revalidação é baseado no atributo Session-Timeout do RADIUS (Attribute[27]) e no atributo Termination-Action do RADIUS (Attribute[29]) na mensagem Access-Accept do Cisco Secure ACS executando AAA. Se o switch receber o valor Session-Timeout, esse valor substituirá o valor do cronômetro de validação no switch.

Se o cronômetro de revalidação expirar, a ação do switch dependerá do valor do atributo Termination-Action:

Se o valor do atributo Termination-Action do RADIUS for o padrão, a sessão será encerrada até que o switch a revalide.

Se o switch obtiver um valor para o atributo Termination-Action diferente do padrão, a sessão do EAPoUDP e a política de acesso atual permanecerão válidas durante a revalidação da postura.

Se o valor do atributo Termination-Action for RADIUS, o switch revalidará o cliente.

Se o pacote do servidor não incluir o atributo Termination-Action, a sessão EAPoUDP terminará e o switch reiniciará a validação de postura.

Exemplos

Este exemplo mostra como iniciar a revalidação de forma global das associações do EAPoUDP:

Switch(config)# eou revalidate

Este exemplo mostra como iniciar a revalidação das associações do EAPoUDP em uma interface:

Switch(config)# interface gigabitethernet 1/0/1
Switch(config-if)# eou revalidate

Você pode verificar as configurações digitando o comando EXEC privilegiado show eou .

Comandos relacionados

Comando
Descrição

eou initialize

Redefine manualmente máquinas de estado EASoUDP.

eou allow (configuração global e configuração da interface)

Permite opções adicionais do EAPoUDP. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

eou logging

Permite o login nos eventos do sistema do EAPoUDP. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

eou port

Define a porta UDP para o EAPoUDP. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

eou revalidate (EXEC privilegiado)

Inicia manualmente a revalidação das associações do EAPoUDP.

show eou

Exibe informações sobre a configuração do EAPoUDP ou de entradas de cache de sessão.


eou revalidate (EXEC privilegiado)

Para iniciar manualmente a revalidação da associação do EAPoUDP, use o comando EXEC privilegiado eou revalidate .

eou revalidate {all | authentication {clientless | eap | static} | interface interface-id | ip ip-address | mac mac-address | posturetoken name}

Descrição da sintaxe

all

Revalida todos os clientes EAPoUDP.

authentication

Revalida um desses tipos de autenticação do EAPoUDP:

clientless — O sistema do ponto final não está executando o software CTA.

eap— O tipo de autenticação é o EAP.

static — O tipo de autenticação é configurado estaticamente.

interface interface-id

Revalida o cliente EAPoUDP na interface especificada.

ip ip-address

Revalidar o cliente EAPoUDP no endereço IP especificado.

mac mac-address

Revalida o cliente EAPoUDP no endereço MAC especificado.

posturetoken name

Revalida o cliente EAPoUDP com o token de postura especificado.


Defaults

Não há configuração padrão.

Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

Para iniciar manualmente a revalidação das associações do EAPoUDP no switch, use o comando EXEC privilegiado eou revalidate .

Exemplos

Este exemplo mostra como iniciar a revalidação de todos os clientes EAPoUDP:

Switch# eou revalidate all

Este exemplo mostra como iniciar a revalidação de clientes do EAPoUDP em uma interface específica

Switch# eou revalidate interface gigabitethernet 1/0/2

Você pode verificar as configurações digitando o comando EXEC privilegiado show eou .

Comandos relacionados

Comando
Descrição

eou initialize

Redefine manualmente máquinas de estado EASoUDP.

eou revalidate (configuração global e de interface)

Habilita a revalidação das associações do EAPoUDP no switch ou em uma interface específica.

show eou

Exibe informações sobre a configuração do EAPoUDP ou de entradas de cache de sessão.


eou timeout (configuração global e de interface)

Para definir os cronômetros do EAPoUDP, utilize os comandos de configuração de interface e de configuração global eou timeout . Utilize o no form desse comando para retornar aos valores padrão.

eou timeout {aaa seconds | hold-period seconds | retransmit seconds | revalidation seconds | status-query seconds}

no eou timeout {aaa | hold-period | retransmit | revalidation | status-query}

Descrição da sintaxe

aaa seconds

Define a duração (em segundos) que o switch aguarda para a retransmissão de pacotes pelo switch para o servidor de autenticação, autorização e conta (AAA). O intervalo é de 1 a 60.

hold-period seconds

Define a duração (em segundos) que o switch aguarda para re-autenticar o host após uma tentativa de autenticação falhar. O intervalo é de 60 a 86400 segundos.

retransmit seconds

Define a duração (em segundos) que o switch aguarda por uma resposta do cliente antes de reenviar uma requisição da condição do antivírus. O intervalo é de 1 a 60.

revalidation seconds

Define a duração (em segundos) em que uma política do NAC (Network Admission Control) é aplicável a um cliente que utilizou mensagens do EAPoUDP durante a validação de postura. O intervalo é de 5 a 86400.

status-query seconds

Define a duração (em segundos) que o switch aguarda antes de verificar se o cliente validado anteriormente está presente e se a sua postura não mudou. O intervalo é de 10 a 1800 segundos.


Defaults

O tempo padrão de AAA é de 60 segundos (1 minuto).

O tempo padrão de espera é de 180 segundos (3 minutos).

O tempo padrão de retransmissão é de 3 segundos.

O tempo padrão de revalidação é de 600 segundos (10 minutos).

O tempo padrão do cronômetro de status de consulta é de 300 segundos (5 minutos).

Modos de comando

Configuração global e configuração da interface

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

Você pode configurar de forma global os cronômetros do EAPoUDP em um switch digitando o comando de configuração global eou timeout. Ou configurar os cronômetros do EAPoUDP em uma interface específica digitando o comando de configuração de interface eou timeout.

Para mais informações sobre os cronômetros do EAPoUDP, consulte a seção "Cronômetros do NAC".

Exemplos

Este exemplo mostra como definir o cronômetro de retransmissão para 45 segundos em termos gerais de switch:

Switch(config)# eou timeout retransmit 45

Este exemplo mostra como definir o cronômetro de revalidação para 800 segundos em uma interface:

Switch(config-if)# eou timeout revalidation 800

Você pode verificar as configurações digitando o comando EXEC privilegiado show eou .

Comandos relacionados

Comando
Descrição

eou default

Redefine os parâmetros globais do EAPoUDP às configurações padrão. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

eou allow (configuração global e configuração da interface)

Permite opções adicionais do EAPoUDP. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

eou logging

Permite o login nos eventos do sistema do EAPoUDP. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

eou port

Define a porta UDP para o EAPoUDP. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

show eou

Exibe informações sobre a configuração do EAPoUDP ou de entradas de cache de sessão.


identity policy

Para criar uma política de identidade e inserir o modo de configuração de política do EAPoUDP, use o modo de configuração global identity policy . Utilize o no form desse comando para remover a política.

identity policy policy-name

no identity policy policy-name

Descrição da sintaxe

policy-name

Especifique o nome de uma política do EAPoUDP.


Defaults

Nenhuma política do EAPoUDP está configurada.

Modos de comando

Configuração global

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

Após um dispositivo ser autenticado manualmente baseado no endereço IP, endereço MAC ou baseado no tipo de dispositivo, a política a ser aplicada ao dispositivo pode ser definida utilizando o modo de configuração global identity policy policy-name. Para obter mais informações, consulte a seção "Configurando Políticas e Perfis de Identidade" no capítulo "Configurando o Controle de Admissão de Rede".

Exemplos

Este exemplo mostra como criar uma política de identidade e inserir o modo de configuração de política do EAPoUDP:

Switch(config)# identity policy policy11

Você pode verificar suas configurações digitando o comando EXEC privilegiado show running-config .

Comandos relacionados

Comando
Descrição

access-group (identity policy)

Especifica um grupo de acessos a ser aplicado em uma política de identidade. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

identity profile eapoudp

Cria um perfil de identidade digitando o modo de configuração de perfil do EAPoUDP. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

show running-config

Exibe a configuração operacional. Para obter informações sobre sintaxe, selecione Referências a Comandos Básicos da Configuração do Cisco IOS, Versão 12.2 > Comandos de Gerenciamento de Arquivos > Comandos de Gerenciamento do Arquivo de Configuração.


ip admission name eapoudp

Para criar uma regra do NAC do IP, use o controle de configuração global ip admission name eapoudp . Utilize o no form desse comando para remover a regra.

ip admission name rule-name eapoudp

no ip admission name rule-name eapoudp

Descrição da sintaxe

rule-name

Especifique o nome da regra do NAC do IP.


Defaults

Nenhuma regra do NAC do IP está configurada.

Modos de comando

Configuração global

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

A regra do NAC do IP define como o NAC é aplicado.

Para aplicar a regra do NAC do IP em uma porta de acesso em um switch de ponta, utilize o comando de configuração de interface ip admission admission-name .

Exemplos

Este exemplo mostra como criar uma regra do NAC do IP denominada rule11:

Switch(config)# ip admission name rule11 eapoudp

Verifique as configurações digitando o comando EXEC privilegiado show ip admission .

Comandos relacionados

Comando
Descrição

clear eou

Limpa todas as entradas de dispositivo do cliente NAC no switch ou na interface especificada. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

ip admission admission-name (interface configuration)

Cria uma regra do NAC a ser aplicada à interface específica. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

show eou

Exibe informações sobre a configuração global do EAPoUDP (Extensible Authentication Protocol over UDP) ou entradas de cache da sessão.

show ip admission

Exibe informações sobre as entradas de cache do NAC (Network Admission Control) ou sobre a configuração NAC. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.


ip admission name eapoudp bypass

Para habilitar e configurar o recurso de desvio do EAPoUDP ou EoU, use o comando de configuração global ip admission name eapoudp bypass . Utilize o no form desse comando para remover a regra.

ip admission name rule-name eapoudp bypass {auth-cache-list cache-time [list {acl-name | acl-number}] | list {access-list-name | access-list-number}}

no ip admission name rule-name eapoudp

Descrição da sintaxe

rule-name

Especifique o nome da regra do NAC (Network Admission Control) do IP.

auth-cache-list cache-time

Defina o tempo até que as entradas do cache de autorização expirem. O intervalo é de 1 a 135791 minutos. O padrão é TBD.

list {acl-name | acl-number}

Especifique o nome ou número de uma lista de controle de acesso (ACL) padrão ou estendida que seja aplicada ao proxy de autenticação.

Essas palavras-chave são opcionais se forem inseridas após as palavras-chave auth-cache-time cache-time.

Observação Essa opção não é suportada no switch da série Catalyst 6500 e no router da série Catalyst 7600.


Defaults

O desvio do EoU está desabilitado.

Modos de comando

Configuração global

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

Quando o desvio do EoU estiver habilitado, o switch não fará contato com o host para solicitar a condição do antivírus. Por sua vez, switch envia uma requisição ao Cisco Secure Access Control Server (ACS) que inclui o endereço IP, endereço MAC, tipo de serviço e ID da sessão do EAPoUDP do host. O servidor de autenticação toma a decisão do controle de acesso e envia a política ao switch.

Você pode associar a regra especificada com uma ACL para controlar quais hosts são autenticados com o NAC. Se uma ACL padrão não tiver a configuração feita, o switch utiliza a regra do NAC para interceptar o tráfego de IP de todos os hosts conectados a portas habilitadas pelo NAC.

Utilize as palavras-chave auth-cache-time cache-time para especificar a hora em que as entradas de cache expiram e o host precisa ser revalidado.

Utilize as palavras-chave list {acl-name | acl-number} para especificar uma ACL nomeada ou numerada que seja aplicada à regra do NAC. Se as conexões de IP são iniciadas pelos hosts na ACL, as requisições de conexão iniciais são interceptadas pelo recurso do NAC.

Exemplos

Este exemplo mostra como habilitar o desvio de EoU e associá-lo a uma ACL numerada. O switch usa o NAC para validar o estado do antivírus do tráfego IP que atenda a ACL em vez de autorizar pacotes que atendam a ACL.

Switch(config)# ip admission name rule11 eapoudp bypass list 101

Este exemplo mostra como habilitar o desvio do EoU e especificar o cronômetro de entrada de cache:

Switch(config)# ip admission name rule11 eapoudp bypass auth-cache-time 30

Este exemplo mostra como desabilitar o desvio do EoU:

Switch(config)# ip admission name rule11 eapoudp bypass

Verifique as configurações digitando o comando EXEC privilegiado show ip admission .

Comandos relacionados

Comando
Descrição

clear eou

Limpa todas as entradas de dispositivo do cliente NAC no switch ou na interface especificada. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

show eou

Exibe informações sobre a configuração global do EAPoUDP ou de entradas de cache de sessão.

show ip admission

Exibe informações sobre as entradas de cache do NAC ou sobre a configuração NAC. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.


ip device tracking

Para habilitar o recurso do controle de dispositivo IP e para configurar os parâmetros do controle de dispositivo IP, use o comando de configuração global ip device tracking . Utilize o no deste comando para desabilitar o recurso e retornar às configurações padrão.

ip device tracking [probe {count count | interval interval}]

no ip device tracking [probe {count | interval}]

Descrição da sintaxe

probe

(Opcional) Configuração dos parâmetros para a tabela do controle de dispositivo IP.

count count

Define o número de vezes que o switch envia a prova ARP para uma entrada antes de remover uma entrada da tabela do controle de dispositivo IP. O intervalo é de 1 a 5.

interval interval

Define o número de segundos que o switch aguarda antes de reenviar a prova ARP. O intervalo é de 30 a 300 segundos.


Defaults

O controle de dispositivo IP está desabilitado.

O número padrão de vezes que o switch envia a prova ARP para uma entrada é 3.

O número padrão de segundos que o switch aguarda antes de reenviar a prova ARP é 30 segundos.

Modos de comando

Configuração global

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

Para obter informações sobre o recurso de controle de dispositivo IP e sobre a tabela de controle de dispositivo IP, consulte a seção "Cronômetros do NAC".

Este exemplo mostra como habilitar o controle de dispositivo IP:

Switch(config)# ip device tracking

Este exemplo mostra como definir o número de vezes que o switch envia provas ARP para 4:

Switch(config)# ip device tracking probe count 4

Você pode verificar as configurações digitando o comando EXEC privilegiado show ip device tracking .

Comandos relacionados

Comando
Descrição

clear ip device tracking

Limpa as entradas na tabela de controle de dispositivo IP no switch.

show ip device tracking

Exibe as informações sobre as entradas da tabela do controle de dispositivo IP.


mls rate-limit layer2 ip-admission


Observação Este comando é específico para o switch da série Catalyst 6500 e para o router da série Catalyst 7600.


Para limitar a taxa do tráfego de admissão de IP em Layer 2 (redirecionado para a CPU) com o limitador de taxa do hardware, utilize o comando de configuração global mls rate-limit layer2 ip ip-admission . Utilize o no form deste comando para desabilitar o recurso.

mls rate-limit layer2 ip ip-admission pps [burst]

no mls rate-limit layer2 ip ip-admission

Descrição da sintaxe

pps

Define os pacotes de limitação de taxa por segundo. O intervalo é de 10 a 1000000.

burst

(Opcional) Define os pacotes máximos permitidos em uma intermitência. O intervalo é de 1 a 255.

Se essa palavra-chave não estiver definida, o valor da intermitência será definido em 10.


Defaults

A limitação de taxa não está definida.

Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

O limitador de taxa do NAC está desativado por padrão; todos os pacotes que atendem ao cenário são enviados para o RP.

Exemplos

Este exemplo mostra como definir a taxa de pacotes para 1000 pacotes por segundo e a taxa de intermitência para um máximo de 100 pacotes:

Switch(config)# mls rate-limit layer2 ip-admission 1000 100

radius-server attribute 8

Para configurar o switch para enviar o atributo Framed-IP-Address do RADIUS (Attribute[8]) nos pacotes de requisição de acesso ou de requisição de conta, use o modo de configuração global radius-server attribute 8. Utilize o no form deste comando para fazer a configuração do switch a não enviar o atributo (Attribute[8]) do RADIUS.

radius-server attribute 8 include-in-access-req

no radius-server attribute 8 include-in-access-req

Descrição da sintaxe

Esse comando não tem argumentos ou palavras-chave.

Defaults

O switch não envia o atributo Framed-IP-Address do RADIUS (Attribute[8]) nos pacotes de requisição de acesso ou requisição de conta do RADIUS.

Modos de comando

Configuração global

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

Quando o switch valida a postura de hosts sem respostas, também citados como hosts sem agentes do NAC, é necessário utilizar o comando de configuração global radius-server attribute 8 include-in-access-req.

Ao digitar o comando de configuração global radius-server attribute 8 include-in-access-req, o switch envia o atributo Framed-IP-Address nos pacotes de requisição de acesso ou requisição de conta do RADIUS.

Exemplos

Este exemplo mostra como fazer a configuração do switch para enviar o atributo (Attribute[8]) do RADIUS nos pacotes de requisição de acesso ou requisição de conta:

Switch(config)# radius-server attribute 8 include-in-access-req

Você pode verificar as configurações digitando o comando EXEC privilegiado show eou .

Comandos relacionados

Comando
Descrição

show eou

Exibe informações sobre o EAPoUDP (Extensible Authentication Protocol over UDP) ou entradas de cache da sessão.


redirect

Para especificar o URL para o qual o switch redireciona os clientes, use o modo de configuração redirect . Utilize o no form deste comando para desabilitar o URL.

redirect url url [match acl-name]

no redirect url url [match]


Observação Este comando não é suportado nos switches Catalyst 3750, 3560, 2970, 2960 e nos módulos de serviço Cisco EtherSwitch.


Descrição da sintaxe

url

Especifica o URL para o qual os clientes são redirecionados.

match acl-name

Especifica que tráfego correspondente à lista de controle de acesso (ACL) especificada é redirecionado para o URL.


Defaults

Nenhum URL ou ACL está configurado.

Modos de comando

Identity-policy configuration

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

Ao especificar um URL de redirecionamento, uma política de identidade precisa ser associada a um perfil de identidade do EAPoUDP.

Exemplos

Este exemplo mostra como criar uma política de identidade denominada policy100 e inserir o modo de configuração de política do EAPoUDP:

Switch(config)# identity policy policy100
Switch(config-identity-policy)# redirect tftp:172.20.10.30/nac_authen.tar match
authen_policy

Você pode verificar suas configurações digitando o comando EXEC privilegiado show running-config .

Comandos relacionados

Comando
Descrição

identity profile eapoudp

Cria um perfil de identidade digitando o modo de configuração de perfil do EAPoUDP. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

show running-config

Exibe a configuração operacional. Para obter informações sobre sintaxe, selecione Referências a Comandos Básicos da Configuração do Cisco IOS, Versão 12.2 > Comandos de Gerenciamento de Arquivos > Comandos de Gerenciamento do Arquivo de Configuração.


show eou

Para exibir informações sobre a configuração ou entradas de cache de sessão do EAPoUDP, use o comando EXEC privilegiado show eou .

show eou {all | authentication {clientless | eap | static} | interface interface-id | ip ip-address | mac mac-address | posturetoken name} [ | {begin | exclude | include} expression]

Descrição da sintaxe

all

Exibe informações do EAPoUDP sobre todos os clientes.

authentication

Exibe informações sobre um desses tipos de autenticação do EAPoUDP:

clientless — O sistema do ponto final não está executando o software CTA.

eap— O tipo de autenticação é o EAP.

static — O tipo de autenticação é configurado estaticamente.

interface interface-id

Exibe as informações do EAPoUDP para a interface especificada.

ip ip-address

Exibe as informações do EAPoUDP para o endereço IP especificado.

mac mac-address

Exibe as informações do EAPoUDP para o endereço MAC especificado.

posturetoken name

Exibe as informações do EAPoUDP para o token de postura especificado.

| begin

(Opcional) A exibição começa com a linha que corresponde a expression.

| exclude

(Opcional) A exibição exclui linhas que correspondam a expression.

| include

(Opcional) A exibição inclui linhas que correspondam a expression especificada.

expression

Expressão na saída para ser usada como ponto de referência.


Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

Ao não especificar uma porta, aparecerão parâmetros globais e um resumo. Ao especificar uma porta, aparecerão detalhes dessa porta.

As expressões diferenciam letras maiúsculas das minúsculas. Por exemplo, se você digitarexclude output, as linhas que contenham output não serão exibidas, mas as linhas que contêm Output aparecem.

Exemplos

Este é um exemplo de saída do comando EXEC privilegiado show eou :

Switch# show eou
Global EAPoUDP Configuration
----------------------------
EAPoUDP Version     = 1
EAPoUDP Port        = 0x5566
Clientless Hosts    = Disabled
IP Station ID       = Disabled
Revalidation        = Enabled
Revalidation Period = 36000 Seconds
ReTransmit Period   = 3 Seconds
StatusQuery Period  = 300 Seconds
Hold Period         = 180 Seconds
AAA Timeout         = 60 Seconds
Max Retries         = 3
EAP Rate Limit      = 20
EAPoUDP Logging     = Disabled

Interface Specific EAPoUDP Configurations
-----------------------------------------
Interface GigabitEthernet1/0/1
  No interface specific configuration

A Tabela 4 descreve os campos na exibição:

A Tabela 4 mostra as Descrições do Campo eou

Campo
Descrição

Versão do EAPoUDP

Exibe a versão do protocolo EAPoUDP.

Porta EAPoUDP

Exibe o número da porta EAPoUDP.

Hosts Sem Cliente

Exibe o status dos hosts sem cliente (habilitado ou desabilitado).

ID da estação IP

Exibe se o endereço IP está autorizado no campo station-id 1 de AAA. Por padrão, esse campo está desabilitado.

Revalidação

Exibe o status da revalidação.

Período da revalidação

Exibe o intervalo de revalidação do host.

Transmite novamente o período

Exibe o intervalo de retransmissão do pacote EAPoUDP.

Período da Consulta de Status

Exibe o intervalo da consulta de status do EAPoUDP de hosts validados.

Período de Espera

Exibe o tempo que o switch aguarda após a autenticação do NAC falhar.

Tempo limite de AAA

Exibe o período de tempo limite de AAA.

Máximo de Novas Tentativas

Exibe o número permitido de transmissões.

Login em EAPoUDP

Exibe o status do login.

1 AAA = autenticação, autorização e conta


Comandos relacionados

Comando
Descrição

eou default

Redefine os parâmetros globais do EAPoUDP às configurações padrão. Para obter informações sobre sintaxe, selecione Configuração do Cisco IOS Software > Versão 12.3 do Cisco IOS > Nova Documentação do Recurso > Novos Recursos e Mensagens do Sistema 12.3 T > Novos Recursos na Versão 12.3(8)T > Controle de Admissão de Rede.

eou max-retry (configuração global e de interface)

Especifica o número de tentativas de revalidação do EAPoUDP.

eou ratelimit

Especifica o número de validações de postura simultâneas do EAPoUDP.

eou timeout

Define os cronômetros do EAPoUDP.


show ip access-lists interface

Para exibir as políticas de host do IP LP, use o comando EXEC privilegiado show ip access-lists .

show ip access-lists interface interface

Descrição da sintaxe

interface

Especifica a interface a ser exibida.


Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Exemplos

Esse é um exemplo de saída do comando EXEC privilegiado show ip device tracking all :

Switch# show ip access-lists GigabitEthernet3/4
IP Admission access control entires (Inbound)
     permit ip host 102.50.1.54 any

show ip device tracking

Para exibir as informações sobre as entradas na tabela do controle de dispositivo IP, use o comando EXEC privilegiado show ip device tracking .

show ip device tracking {all | interface interface-id | ip ip-address | mac mac-address} [ | {begin | exclude | include} expression]

Descrição da sintaxe

all

Exclui todas as entradas de tabela do controle de dispositivo IP.

interface interface-id

Exibe as entradas de tabela do controle de dispositivo IP para a interface especificada.

ip ip-address

Exibe as entradas de tabela do controle de dispositivo IP do endereço IP especificado.

mac mac-address

Exibe as entradas de tabela do controle de dispositivo IP do endereço MAC especificado.

| begin

(Opcional) A exibição começa com a linha que corresponde a expression.

| exclude

(Opcional) A exibição exclui linhas que correspondam a expression.

| include

(Opcional) A exibição inclui linhas que correspondam a expression especificada.

expression

Expressão na saída para ser usada como ponto de referência.


Modos de comando

EXEC Privilegiado

Histórico de comando

Versão
Modificação

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Esse comando foi introduzido.


Diretrizes de uso

As expressões diferenciam letras maiúsculas das minúsculas. Por exemplo, se você digitarexclude output, as linhas que contenham output não serão exibidas, mas as linhas que contêm Output aparecem.

Exemplos

Esse é um exemplo de saída do comando EXEC privilegiado show ip device tracking all :

Switch# show ip device tracking all
---------------------------------------------------------------
  IP Address    MAC Address     Interface              STATE
---------------------------------------------------------------
  1.1.1.1       cf2a.220a.12f4  GigabitEthernet1/0/1   ACTIVE
  1.2.1.1       df4a.1235.ef1a  GigabitEthernet1/0/2   INACTIVE

Comandos relacionados

Comando
Descrição

ip device tracking

Habilita a tabela do controle de dispositivo IP para fazer a configuração dos parâmetros dessa tabela.


Procedimentos de Recuperação e Mensagem

Esta seção aborda os seguintes tópicos:

Mensagens AP

Mensagens de EOU

Mensagens AP

Esta seção contém as mensagens do proxy de autenticação para a validação do NAC (Network Admission Control) Layer 2 IP.

Os switches das séries Catalyst 6500 e 4500 e o router da série Catalyst 7600 fornecem suporte a todas as mensagens desta seção.

Os switches Catalyst 3750, 3560, 3550, 2970, 2960, 2955, 2950 e 2940 dão suporte apenas às mensagens AP-4-POLICY_URL_REDIRECT e AP-6-POSTURE_POLICY.

Error Message    AP-4-AUTH_PROXY_NOMEM: Sufficient memory was not available to [chars].

Explicação    Essa mensagem significa que a memória do sistema não é suficiente para executar a operação especificada. [chars] é a operação.

Ação recomendada    Reduza outra atividade do sistema para aliviar as demandas da memória. É possível alocar mais recursos de memória.

Error Message    AP-4-POLICY_URL_REDIRECT: Failed to locate match access control list
[chars] for host [inet].

Explicação    Essa mensagem significa que o switch pode não redirecionar o tráfego HTTP ou HTTPS do host para o URL de redirecionamento. O par AV url-redirect consiste no URL de redirecionamento e em uma lista de controle de acesso (ACL) denominada match-all que especifica o tráfego HTTP e HTTPS a ser redirecionado. Se a ACL não estiver configurada ou não especificar o tráfego a ser redirecionado, o switch não redirecionará as requisições do hosts. [inet] é o endereço IP do host.

Ação recomendada    Faça a configuração e aplique uma ACL na interface do switch no qual o host está conectado e assegure que o par AV url-redirect consista no URL de direcionamento e na ACL.

Error Message    AP-4-POSTURE_EXCEED_MAX_INIT: Exceeded maximum limit [dec] on entries
in authentication proxy.

Explicação    Essa mensagem significa que o número de entradas no cache de postura do proxy de autenticação que estão no estado INIT excedem o limite. Isso acontece quando o switch tem um proxy de autenticação configurado para a validação de postura e o switch recebe requisições de um grande número de hosts exclusivos com endereços IP de origem. Isso pode ser um ataque de recusa de serviço. Quando o número de entradas na contagem de cache da postura for abaixo do máximo, novas entradas de cache podem ser criadas. [dec] é o número de entradas permitidas no cache do proxy de autenticação.

Ação Recomendada    Nenhuma ação é necessária. Quando o número de entradas na contagem de cache da postura for abaixo do máximo, novas entradas de cache podem ser criadas.

Error Message    AP-6-POSTURE_DOWNLOAD_ACL: Send AAA request to download [chars] named
access control list.

Explicação    Essa mensagem significa que o switch enviou um requisição ao servidor de autenticação, autorização e conta (AAA) para obter a ACL especificada. [chars] é o nome ou número da ACL.

Ação Recomendada    Nenhuma ação é necessária.

Error Message    AP-6-POSTURE_POLICY: [chars] [chars] [chars] policy for host [inet].

Explicação    Essa mensagem significa que a política especificada é aplicada ou removida do host especificado. A política é uma lista de controle de acesso (ACL) ou um URL de redirecionamento. O primeiro e o segundo [chars] são ações que o switch adota para aplicar ou remover a política e o terceiro [chars] é a ACL ou URL de redirecionamento.

Ação Recomendada    Nenhuma ação é necessária.

Error Message    AP-6-POSTURE_START_VALIDATION: IP=[inet] | Interface=[chars].

Explicação    Essa mensagem significa que o switch criou uma entrada para o host no cache de postura do proxy de autenticação e iniciou o processo de validação de postura. [inet] é o endereço IP e [chars] é a interface do switch ao qual o host está conectado.

Ação Recomendada    Nenhuma ação é necessária.

Error Message    AP-6-POSTURE_STATE_CHANGE: IP=[inet]|STATE=[chars].

Explicação    Essa mensagem significa que o estado de validação de postura do host especificado no cache de validação de postura do proxy de autenticação mudou. [inet] é o endereço IP do host. [chars] é o estado de validação de postura.

Ação Recomendada    Nenhuma ação é necessária.

Mensagens de EOU

Essas são as mensagens do EAPoUDP ou EoU (Extensible Authentication Protocol over User Datagram Protocol) para a validação do NAC (Network Admission Control) Layer 2 IP.


Observação Os switches Catalyst 6500, 4500, 3750, 3560, 3550, 2970, 2960, 2955, 2950 e 2940, assim como o router Catalyst 7600, fornecem suporte a todas as mensagens desta seção.


Error Message    EOU-2-PROCESS_ERR: Router could not create a EAPoUDP process.

Explicação    Essa mensagem significa que o switch pode não criar uma sessão do EAPoUDP.

Ação Recomendada    Recarregar o dispositivo.

Error Message    EOU-4-BAD_PKT: IP=[inet]| Bad Packet=[chars].

Explicação    Essa mensagem significa que o router recebeu um pacote EAPoUDP inválido do host especificado. [inet] é o endereço IP e [chars] é a informação sobre o pacote corrompido.

Ação Recomendada    Verifique a configuração do NAC Layer 2 IP no host.

Error Message    EOU-4-MSG_ERR: Unknown message event received.

Explicação    Essa mensagem significa que o processo de validação do EAPoUDP recebeu um evento de mensagem desconhecido.

Ação Recomendada    Se essa mensagem ocorrer novamente, recarregue o dispositivo.

Error Message    EOU-4-PROCESS_STOP: PROCESS=[chars]| ACTION=[chars].

Explicação    Essa mensagem significa que o processo especificado foi interrompido. O primeiro [chars] é o processo e o segundo [chars] é a ação adotada no processo.

Ação Recomendada    Recarregar o dispositivo.

Error Message    EOU-4-SOCKET: EAPoUDP socket binding fails for PORT=[hex]. Check if
the interface has valid IP address.

Explicação    Essa mensagem significa que o switch pode não associar a porta a um endereço IP válido. [hex] é o endereço de porta MAC.

Ação Recomendada    Faça a configuração de um endereço IP válido na porta do switch.

Error Message    EOU-4-UNKN_EVENT_ERR: UNKNOWN Event for HOST=%i| Event=%d.

Explicação    Essa mensagem significa que o switch recebeu um evento desconhecido do EAPoUDP.

Ação Recomendada    Copie a mensagem exatamente como ela aparece no console ou no registro do sistema. Pesquise novamente ou tente resolver o erro utilizando o Output Interpreter. Utilize o Bug Toolkit para procurar problemas semelhantes reportados. Se ainda precisar de assistência, abra um caso no TAC ou entre em contato com o representante de suporte técnico da Cisco e forneça-lhe as informações obtidas.

Error Message    EOU-4-UNKN_PROCESS_ERR: An unknown operational error occurred.

Explicação    Essa mensagem significa que o processo do EAPoUDP não pode operar devido a um erro interno do sistema.

Ação Recomendada    Recarregar o dispositivo.

Error Message    EOU-4-UNKN_TIMER_ERR: An unknown Timer operational error occurred.

Explicação    Essa mensagem significa que o processo de validação do EAPoUDP não pode operar devido a um erro interno do sistema.

Ação Recomendada    Recarregar o dispositivo.

Error Message    EOU-4-VALIDATION: Unable to initiate validation for HOST=[inet]|
INTERFACE=[chars].

Explicação    Essa mensagem significa que o switch pode não iniciar a validação de postura do host especificado.

Ação Recomendada    Essa não é uma ação: provavelmente isso é devido a uma falha na associação da porta do EAPoUDP.

Error Message    EOU-4-VERSION_MISMATCH: HOST=[inet] | Version=[dec].

Explicação    Essa mensagem significa que as versões do EAPoUDP do host especificado e o switch são incompatíveis. [inet] é o endereço IP do host e [dec] é a versão do EAPoUDP do host.

Ação Recomendada    Verifique as versões do EAPoUDP nos dispositivos.

Error Message    EOU-5-RESPONSE_FAILS: Received an EAP failure response from AAA for
host=[inet].

Explicação    Essa mensagem significa que o switch recebeu uma resposta de falha de EAP do servidor de autenticação, autorização e conta (AAA) que a condição do antivírus do host pode não ter sido validada.

Ação Recomendada    Nenhuma ação é necessária.

Error Message    EOU-6-AUTHSTATUS: [chars]|[inet].

Explicação    Essa mensagem significa que o status da autenticação do host especificado é Success ou Failure. [chars] é o status e [inet] é o endereço IP do host.

Ação Recomendada    Nenhuma ação é necessária.

Error Message    EOU-6-AUTHTYPE: IP=[inet]| AuthType=[chars].

Explicação    Essa mensagem significa que o tipo de autenticação do host especificado é [chars]. [inet] é o endereço IP do host.

Ação Recomendada    Nenhuma ação é necessária.

Error Message    EOU-6-CTA: IP=[inet]| CiscoTrustAgent=[chars].

Explicação    Essa mensagem significa que o CTA foi excluído do host especificado. [inet] é o endereço IP do host e [chars] é o nome do CTA.

Ação Recomendada    Se o CTA foi detectado, instale-o no host.

Error Message    EOU-6-IDENTITY_MATCH: IP=[inet]| PROFILE=EAPoUDP| POLICYNAME=[chars].

Explicação    Essa mensagem significa que o switch encontrou o host especificado com um perfil de identidade do EAPoUDP. Se a política especificada for aplicada, a postura do switch não será validada. [inet] é o endereço IP do host e [chars] é o nome da política.

Ação Recomendada    Para que o host de postura seja validado, remova a entrada do host do perfil de identidade do EAPoUDP.

Error Message    EOU-6-POLICY: IP=[inet]| [chars]=[chars].

Explicação    Essa mensagem significa que o switch recebeu uma política de acesso do servidor AAA para aplicar no host especificado.

Ação Recomendada    Nenhuma ação é necessária.

Error Message    EOU-6-POSTURE: IP=[inet]| HOST=[chars]| Interface=[chars].

Explicação    Essa mensagem significa que o status da validação de postura do host especificado foi alterado. [inet] é o endereço IP do host, o primeiro [chars] é o nome do host e o segundo [chars] é a interface.

Ação Recomendada    Nenhuma ação é necessária.

Error Message    EOU-6-SESSION: IP=[inet]| HOST=[chars]| Interface=[chars].

Explicação    Essa mensagem significa que uma entrada foi criada ou excluída para o host na interface especificada. [inet] é o endereço IP do host, o primeiro [chars] é uma ação, como DETECTADO ou REMOVIDO, e o segundo [chars] é a interface.

Ação Recomendada    Nenhuma ação é necessária.

Error Message    EOU-6-SQ: IP=[inet]| STATUSQUERY|[chars].

Explicação    Essa mensagem significa que o resultado da consulta de status do host especificado falhou ou é inválido. [inet] é o endereço IP do host e [chars] é o resultado da consulta de status (falha, inválido ou sem resposta).

Ação Recomendada    Nenhuma ação é necessária.