Sécurité : Dispositif Cisco NAC (Clean Access)

Guide NAC Profiler et NAC SERVER Collectors dans une configuration de couche 3 hors bande

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment implémenter le NAC Profiler et NAC SERVER Collectors dans un déploiement hors bande de la couche 3. Si vous déployez le serveur NAC dans facilement disponible (ha), alors seulement un collecteur est en activité et l'autre est en état d'alerte. Si vous ne faites pas l'ha, vous pouvez ajouter chaque collecteur dans le profileur séparément et avoir les deux serveurs NAC exécutés comme collecteurs. Ce guide réfléchit sur le déploiement de serveur ha.

Conditions préalables

Conditions requises

Les conditions requises de ce guide sont que vous avez configuré votre gestionnaire NAC, serveur NAC, profileur NAC, et infrastructure réseau selon les guides d'installation et de configuration pour chaque produit.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Gestionnaire NAC

  • Serveur NAC

  • Profileur NAC

  • Commutateur de distribution 3750

  • Commutateur d'accès de 3750 sites distants

  • Routeur du site distant 2800

  • Routeur de distribution 3800

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Aperçu de profileur NAC

Administrateurs réseau d'enables de Cisco NAC Profiler efficacement pour déployer et parvenir le Contrôle d'admission au réseau (NAC) dans les réseaux d'entreprise de l'échelle variable et de la complexité avec l'identification, la localisation et la détermination des capacités de tous les points finaux de réseau reliés, indépendamment du type de périphérique, afin d'assurer et mettre à jour l'accès au réseau approprié. Le Cisco NAC Profiler est un système agentless qui le découvre, des catalogues, et profile tous les points finaux connectés à un réseau.

Aperçu NAC

L'appliance du Cisco Network Admission Control (NAC), qui est également connue comme Cisco Clean Access, est un contrôle d'admission et solution d'une mise en application puissants et faciles à utiliser de conformité. Avec les fonctionnalités de sécurité complètes, l'intrabande ou les options hors bande de déploiement, les outils d'authentification de l'utilisateur, et les contrôles de bande passante et de filtrage de trafic, l'appliance de Cisco NAC est une solution complète à contrôler et des réseaux sécurisés. Comme point central de Gestion d'accès pour votre réseau, l'appliance de Cisco NAC vous permet d'implémenter la Sécurité, l'accès, et les stratégies de conformité dans un endroit au lieu de la nécessité de propager les stratégies dans tout le réseau sur beaucoup de périphériques.

Aperçu de guide de déploiement

Dans la figure 1, il y a un déploiement simple de site distant avec les serveurs centraux ha NAC qui agit en tant que point d'application pour les périphériques hors bande de la couche 3. Le profileur NAC et le gestionnaire NAC se reposent sur le même réseau de gestion et envoient et reçoivent les informations des serveurs et des collecteurs. Il y a également un collecteur autonome qui saisit des informations essentielles DHCP sur les périphériques par l'ENVERGURE dans la couche de centre de traitement des données ou de noyau. Il y a plusieurs manières de découvrir des points finaux distants et ce guide peut vous aider dans votre déploiement. On ne le destine pas pour être un guide obligatoire mais t'affiche comment chaque module sur les collecteurs peut être utilisé et comment des données de point final sont vues par le profileur pour prendre les décisions de profilage pour vous.

Une liste des outils obligatoires et facultatifs que les collecteurs de serveur NAC utilisent est fournie.

Modules obligatoires de collecteur

NetTrap — Ce module écoute des déroutements SNMP envoyés par des Commutateurs pour la notification de nouveau-MAC ou les notifications haut/bas de lien. Ce module envoie toutes les nouvelles adresses MAC au profileur pour le profilage. Cette caractéristique est définie par commutateur sur la ligne de commande de configuration de serveur SNMP sur le½ du¿Â du Cisco IOSïÂ.

NetMap — Ce module se repose sur le collecteur et est responsable de faire l'interrogation SNMP des périphériques dans la filiale distante à intervalles synchronisés. Dans le diagramme de la figure 1, le SNMP de collecteur CAS1a vote le commutateur distant et le routeur pour les informations spécifiques MIB avec l'accès en lecture au commutateur. Cette interrogation fournit des choses comme le mac-address aux informations de port, des interfaces, état de lien, les informations de dot1x, les informations système et ainsi de suite.

NetWatch (ENVERGURE) — Le module de NetWatch peut écouter sur un port SPAN d'un commutateur et envoyer les informations routières ingérées de nouveau au profileur. Un serveur NAC exige d'une interface supplémentaire sur chaque SERVEUR NAC pour collecter des données. C'est essentiel parce que le profileur est basé principalement sur les informations DHCP passées par des périphériques et autre apparier du trafic de l'application.

Modules facultatifs de collecteur

Vous pouvez utiliser l'ENVERGURE ou le NetFlow. Il est jusqu'au déploiement et aux besoins des clients mais on est seulement recommandé sur un serveur NAC dû au niveau de trafic qui est envoyé aux modules de collecteur et aux autres fonctionnalités NAC que le serveur NAC doit exécuter. Vous perdez également des parties informationnelles plus essentielles au sujet des périphériques avec le NetFlow comme les informations de constructeur DHCP, des destinations URL, les informations de client web, les informations de serveur Web et ainsi de suite.

NetRelay — (NetFlow) est configuré sur chaque routeur sur a par base d'interface et la destination est l'adresse IP de Gestion du SERVEUR NAC. Un agent de NetFlow se repose sur le SERVEUR NAC et analyse l'information en fonction de NetFlow sur vos règles et réseaux de la circulation configurés sur le profileur.

NetInquiry — C'est un mécanisme passif et actif basé sur vos choses comme des ports ouverts de TCP. Par exemple le SERVEUR NAC fait un SYN/ACK et alors des arrêters la connexion afin de voter une plage ou des plages particulière de sous-réseau pour les ports TCP ouverts. S'il y a une réponse, elle envoie les informations au profileur avec l'adresse IP et le port TCP votés.

Remarque:  Pour NetInquiry, ajoutez seulement les sous-réseaux ou les hôtes spécifiques qui ne peuvent pas être atteints ou vus avec le NetFlow ou le NetWatch. NetInquiry peut surcharger votre serveur NAC avec de frais supplémentaires en traitement et en matériel comme la mémoire et l'utilisation du processeur des ressources sinon configurées correctement. Utilisez cette caractéristique en dernier recours.

Remarque: Si vous avez un collecteur autonome vous pouvez activer le NetFlow et l'ENVERGURE sur le même périphérique mais s'assurer pas à l'oversubscribe le collecteur.

Figure 1

profiler-layer3-oob-config-guide-01.gif

Configuration

Configurez le profileur NAC dans la topologie de la couche 3 OOB

  • Des serveurs NAC doivent être configurés par l'installation normale NAC ha.

  • Le collecteur NAC utilise l'adresse IP virtuelle du serveur NAC pour communiquer avec le profileur.

  • La paire ha de collecteur NAC est ajoutée comme seule entrée dans le profileur et communique à l'adresse IP virtuelle de CAS.

Figure 2

profiler-layer3-oob-config-guide-02.gif

Installation de configuration

Procédez comme suit :

  1. Le profileur a besoin d'une connexion client pour les nouveaux collecteurs NAC.

  2. Le profileur a besoin d'une connexion au serveur pour le périphérique autonome qui se repose près de la distribution|centre de traitement des données|couche de services dans le schéma de réseau.

  3. Choisissez les modules de configuration > de profileur NAC ? Répertoriez les modules de profileur NAC et puis cliquez sur l'onglet de serveur.

    Le défilement au bas de page et cliquent sur Add la connexion.

    Figure 3

    profiler-layer3-oob-config-guide-03.gif

  4. Écrivez l'information principale d'adresse IP et de secret de service du collecteur ha et cliquez sur Add la connexion.

    Figure 4

    profiler-layer3-oob-config-guide-04.gif

  5. Cliquez sur Add la connexion de nouveau.

    Figure 5

    profiler-layer3-oob-config-guide-05.gif

    Figure 6

    profiler-layer3-oob-config-guide-06.gif

  6. Écrivez l'adresse IP afin de configurer une connexion au serveur à laquelle le collecteur autonome se connecte.

  7. Cliquez sur Edit la connexion quand vous êtes fait afin de revenir à la page de configuration du serveur.

  8. Serveur de mise à jour de clic à la page de configuration du serveur.

    Figure 7

    profiler-layer3-oob-config-guide-07.gif

Ajoutez deux nouveaux collecteurs au profileur. Procédez comme suit :

  1. Choisissez les modules de configuration > de profileur NAC > ajoutent le collecteur.

    Figure 8

    profiler-layer3-oob-config-guide-08.gif

  2. Ajoutez un nouveau nom de collecteur pour les paires ha de serveur NAC. Ceci peut être quelque chose que vous voulez mais devez apparier sur la configuration de collecteur.

    Nom de collecteur — CAS-OOB-Pair1

    Adresse IP — 192.168.97.10 (adresse virtuelle du serveur NAC)

    Connexion — Laissez-la en tant qu'AUCUN pour l'instant. Vous pouvez changer ceci à une date ultérieure à une connexion au serveur qui est écoutent dedans mode.

  3. Cliquez sur Add le bouton de collecteur.

    Figure 9

    profiler-layer3-oob-config-guide-09.gif

  4. Configurez vos modules de service de collecteur. Congé seul NetMap et NetTrap.

    Figure 10

    profiler-layer3-oob-config-guide-10.gif

  5. Ajoutez une interface de NetWatch (eth3), qui est connectée à un port SPAN sur le commutateur de distribution.

    Figure 11

    profiler-layer3-oob-config-guide-11.gif

  6. Ajoutez un bloc de sous-réseau pour le module de NetInquiry afin d'écouter le trafic intéressant qui provient les réseaux d'accès. Soyez spécifique sur les réseaux quant pas à la taxe le serveur NAC inutilement. Dans cette installation de laboratoire, ce peut être l'espace privé entier de 192.168.0.0.

    Figure 12

    profiler-layer3-oob-config-guide-12.gif

    Remarque: Balayage ping de congé et collection de DN désactivée. Utilisez ceci en dernier recours. Balayage ping et pings et nslookups de déclencheurs de collecte de DN sur la plage des sous-réseaux IP que vous avez mis dans la section de blocs de réseau. Ceci n'est pas recommandé et est rarement utilisé.

  7. Configurez l'expéditeur pour écouter sur l'adresse IP 192.168.97.10 (VIP) et le port TCP 31416. Ceci permet au collecteur pour agir en tant que serveur et pour écouter une connexion de profileur au port TCP spécifique. Ceci réfléchit sur les étapes premières pour la configuration du serveur.

  8. NetFlow d'enable pour les paires de collecteur. (Facultatif)

    Vous pouvez faire ceci ici puisque le NetFlow est passé du routeur distant dû à aucun collecteur distant.

  9. Écrivez les blocs d'adresse IP pour le site distant comme représenté. Dans cet exemple, l'espace privé entier de 192.168.0.0 est utilisé.

    Figure 13

    profiler-layer3-oob-config-guide-13.gif

  10. Le clic sauvegardent le collecteur afin de sauvegarder votre configuration.

Ajoutez le collecteur autonome supplémentaire au profileur

Procédez comme suit :

  1. Cliquez sur Add le collecteur.

    Figure 14

    profiler-layer3-oob-config-guide-14.gif

  2. Le nom de collecteur peut être quelque chose que vous voulez. Dans cet exemple, c'est CAS2.

  3. L'adresse IP d'expéditeur est elle-même. L'adresse IP d'eth0 est pour la Gestion.

    Dans cet exemple, c'est 192.168.97.12.

    La connexion devrait être l'adresse IP du profileur. Dans ce cas, c'est 192.168.96.21.

  4. Cliquez sur Add le collecteur.

    Figure 15

    profiler-layer3-oob-config-guide-15.gif

  5. Après ceci, vous êtes amené à la page de configuration de collecteur. Étapes complètes 5 ? 9 dans la section précédente. Ceci te permet pour modifier et ajouter les adresses IP uniques et les paramètres de configuration du collecteur autonome.

  6. Une seule configuration pour le collecteur autonome est la capacité d'ajouter des plusieurs interfaces à la configuration de NetWatch. Voici que vous pouvez ajouter plusieurs interfaces ainsi vous pouvez voir le trafic pour le DHCP, les DN, et la Téléphonie sur IP des points finaux distants.

  7. Configurez les interfaces de NetWatch pour votre installation. Dans cet exemple, trois interfaces ont été ajoutées POUR RÉPARTIR le trafic sur le collecteur autonome.

    Figure 16

    profiler-layer3-oob-config-guide-16.gif

  8. Remarque: Choisissez la configuration > appliquent des modifications > des modules de mise à jour afin de sauvegarder vos configurations.

    profiler-layer3-oob-config-guide-17.gif

Configurez les modules de collecteur NAC sur le serveur NAC

Remarque: Cette configuration doit être exécutée sur tous les collecteurs.

Cette configuration permet au profileur et aux collecteurs pour communiquer et établir des connexions sécurisées pour des informations sur des périphériques pour commencer circuler. Procédez comme suit :

  1. SSH ou console au collecteur et procédure de connexion comme racine de la console ou de la balise de la session de SSH.

  2. Sélectionnez la commande de config de collecteur de service.

  3. Exécutez-vous par le script de configuration afin d'installer la partie de collecteur NAC.

    Exemple de collecteur ha

    Le collecteur est installé comme type de connexion au serveur :

    [root@cas1 ~]#service collector config
    
    Enable the NAC Collector (y/n) [y]:
    Configure NAC Collector (y/n) [y]:
    Enter the name for this remote collector.  Please note that if
    this collector exists on a HA pair that this name must match
    its pair’s name for proper operation. (24 char max) [cas1]: CAS-OOB-Pair1
    Network configuration to connect to a NAC Profiler Server
    Connection type (server/client) [server]:
    Listen on IP [192.168.97.10]:

    Vous êtes invité à écrire l'adresse IP du NPS. C'est nécessaire pour configurer la liste de contrôle d'accès utilisée par ce collecteur. Si le NPS fait partie d'une paire ha, alors vous devez inclure la vraie adresse IP de chaque indépendant NPS et l'IP virtuel pour assurer la Connectivité appropriée dans le cas du Basculement. Écrivez l'adresse IP du profileur NAC.

    (Finish by typing ‘done’) [127.0.0.1]: 192.168.96.20  (Real IP address of  NAC Server1)
    Enter the IP address(es) of the NAC Profiler.
    (Finish by typing ‘done’) [192.168.96.20]: 192.168.96.21 (Virtual IP of NAC Server)
    Enter the IP address(es) of the NAC Profiler.
    (Finish by typing ‘done’) [done]: 192.168.96.22 (Real IP of NAC Server2)
    Enter the IP address(es) of the NAC Profiler.
    (Finish by typing ‘done’) [done]: done
    Port number [31416]:
    Encryption type (AES, blowfish, none) [none]: AES
    Shared secret []: cisco123
    •	Configured CAS-OOB-Pair1-fw
    •	Configured CAS-OOB-Pair1-nm
    •	Configured CAS-OOB-Pair1-nt
    •	Configured CAS-OOB-Pair1-nw
    •	Configured CAS-OOB-Pair1-ni
    •	Configured CAS-OOB-Pair1-nr
    
    NAC Collector has been configured.
  4. Commencez les services de collecteur.

    [root@cas1 ~]#service collector start
    

    Seul exemple de collecteur de support

    [root@cas2 ~]#service collector config
    
    Enable the NAC Collector (y/n) [y]:
    Configure NAC Collector (y/n) [y]:
    Enter the name for this remote collector.  Please note that if
    this collector exists on a HA pair that this name must match
    its pair's name for proper operation. (24 char max) [cas2]:
    Network configuration to connect to a NAC Profiler Server
      Connection type (server/client) [client]:
      Connect to IP [192.168.96.21]:
      Port number [31416]:
      Encryption type (AES, blowfish, none) [none]:
      Shared secret []:
    -- Configured cas2-fw
    -- Configured cas2-nm
    -- Configured cas2-nt
    -- Configured cas2-nw
    -- Configured cas2-ni
    -- Configured cas2-nr
    
    
            NAC Collector has been configured.
    
    [root@cas2 ~]#service collector start
    

Configurez le commutateur d'Accès à distance pour envoyer des déroutements SNMP au collecteur NAC

Cette configuration permet au profileur pour recevoir dynamiquement tous les nouveaux périphériques se connectant à un switchport par les déroutements de MAC-notification. C'est particulièrement important puisque dans la topologie il y a un téléphone IP et le PC connecté à la même chose mettent en communication.

Console ou telnet dans le commutateur (nac-3750-access#).

snmp-server community cleanaccess RW 
snmp-server community profiler RO  
snmp-server enable traps mac-notification 
snmp-server host 192.168.96.10 version 2c cleanaccess  
snmp-server host 192.168.97.10 version 1 profiler

Configurez le commutateur d'Accès à distance sur le profileur pour la collecte de l'information SNMP

Procédez comme suit :

  1. Choisissez le profileur des périphériques GUI > de configuration > de réseau > ajoutent le périphérique.

    Figure 18

    profiler-layer3-oob-config-guide-18.gif

  2. Ajoutez l'adresse IP de nom d'hôte et de Gestion du commutateur.

  3. Écrivez également les chaînes en lecture seule SNMP configurées sur le commutateur. Veillez à choisir le module de mappage de collecteur NAC ainsi le collecteur est choisi au balayage SNMP le commutateur d'accès chaque heure et en avant les informations au profileur.

  4. Cliquez sur Add le périphérique et appliquez les modifications afin de mettre à jour des modules du volet gauche du GUI.

    Figure 19

    profiler-layer3-oob-config-guide-19.gif

Configurez le routeur d'Accès à distance sur le profileur pour la collecte de l'information SNMP

Ceci permet l'adresse IP de la couche 3 au MAC liant dans la base de données de profileur.

  1. Choisissez le profileur des périphériques GUI > de configuration > de réseau > ajoutent le périphérique.

    Figure 20

    profiler-layer3-oob-config-guide-20.gif

    Voyez la figure 21.

  2. Ajoutez l'adresse IP de nom d'hôte et de Gestion du routeur.

  3. Écrivez également les chaînes en lecture seule SNMP configurées sur le routeur. Veillez à choisir le module de mappage de collecteur NAC ainsi le collecteur est choisi au balayage SNMP le commutateur d'accès chaque heure et en avant les informations au profileur.

  4. Cliquez sur Add le périphérique et appliquez les modifications afin de mettre à jour des modules du volet gauche du GUI.

    Figure 21

    profiler-layer3-oob-config-guide-21.gif

Configurez les collecteurs NAC pour recevoir le trafic d'ENVERGURE sur leurs commutateurs locaux

Remarque: Ceci permet au module de NetWatch pour commencer à écouter le trafic sur le réseau et les informations en avant au profileur. Assurez-vous que vous ne faites pas oversubscribe l'interface du collecteur NAC. Il a une limite de 1 GB/sec. Vous pouvez source les interfaces ou les VLAN du commutateur, et cela dépend de votre modèle de commutateur et version de code.

Remarque: D'une façon minimum vous voulez voir les requêtes DHCP et les offres des points finaux sur vos commutateurs d'accès. Si ce n'est pas possible, essai pour ajouter un collecteur NAC sur ou près des serveurs DHCP sur votre réseau. Ceci est fait dans ce guide de configuration.

Procédez comme suit :

  1. Configurez une session de surveillance sur le commutateur de distribution #1 pour le site distant entrant et le trafic sortant :

    monitor session 1 source interface F0/0
    monitor session 1 destination interface Gi1/0/44
  2. Configurez une session de surveillance en double sur le commutateur de distribution #2 pour le site distant entrant et le trafic sortant :

    monitor session 1 source interface F0/0
    monitor session 1 destination interface Gi1/0/44
  3. Configurez une autre session de surveillance pour le collecteur autonome. Cet exemple surveille plusieurs interfaces connectées à un principal commutateur qui sont d'importance. Ce sont le DHCP, les DN, et les serveurs Cisco CallManagers pour cette installation de laboratoire.

    monitor session 1 source interface G1/0/7-9
    monitor session 1 destination interface G1/0/48

Configurez le routeur d'Accès à distance pour envoyer des données de NetFlow au collecteur dans le site principal

Procédez comme suit :

  1. Telnet au routeur distant.

  2. NetFlow d'enable globalement.

    ip flow-export version 5
    ip flow-export destination 192.168.97.12 2055

    Remarque: Les collecteurs écoutent sur le port UDP 2055 le NetFlow. L'adresse IP pour envoyer le NetFlow est toujours les collecteurs adresse IP de Gestion.

  3. NetFlow d'enable sur les interfaces.

    interface FastEthernet0/1
     ip address 192.168.121.1 255.255.255.0
     ip flow ingress
     ip route-cache flow

Vérifiez

Voyez la section de procédure de dépannage afin de confirmer que votre configuration fonctionne correctement.

L'Outil Interpréteur de sortie (clients enregistrés uniquement) (OIT) prend en charge certaines commandes show. Utilisez l'OIT pour afficher une analyse de la sortie de la commande show .

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

Remarque: Référez-vous aux informations importantes sur les commandes de débogage avant d'utiliser les commandes de débogage.

Procédure de dépannage

Complétez ces étapes afin de dépanner votre configuration.

  1. Assurez-vous que le profileur et le collecteur communiquent et s'exécutent. S'ils ne sont pas, alors vous ne voyez aucune information sur des périphériques dans votre réseau. S'il y a des questions, ne poursuivez pas jusqu'à ce que tous les modules de collecteur et le serveur s'exécutent.

    Sur le profileur, choisissez les modules de configuration > de profileur NAC > les modules de profileur de la liste NAC.

    profiler-layer3-oob-config-guide-22.gif

  2. Vérifiez le commutateur d'accès envoie des déroutements de notification de nouveau-MAC au collecteur. Faites attention quand vous activez mettez au point et vous devriez connaître ses dangers.

    nac-3750-access#debug snmp packet 
    nac-3750-access#debug snmp header
    
  3. Vérifiez le collecteur a le SNMP voté le commutateur :

    Regardez la dernière colonne de balayage.

    profiler-layer3-oob-config-guide-23.gif

  4. Debug snmp de nouveau sur le commutateur.

  5. Du profileur, choisissez les périphériques de configuration > de réseau. Choisissez de répertorier des périphériques de réseau et puis de choisir le périphérique.

  6. Requête de clic.

    profiler-layer3-oob-config-guide-24.gif

  7. Observez la sortie de débogage sur le commutateur pour le collecteur au SNMP voter le commutateur :

    *Mar 30 23:09:24: SNMP: Packet received via UDP from 192.168.97.11 on Vlan100
    *Mar 30 23:09:24: SNMP: Get-next request, reqid 1347517983, errstat 0, erridx 0
    ifType = NULL TYPE/VALUE
    *Mar 30 23:09:24: SNMP: Response, reqid 1347517983, errstat 0, erridx 0
    ifType.1 = 53
    *Mar 30 23:09:24: SNMP: Packet sent via UDP to 192.168.97.11
    
  8. Branchez votre téléphone IP sur le commutateur ou émettez fermé alors aucune commande fermée sur l'interface :

    15w4d: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/4, changed state to down
    15w4d: %ILPOWER-5-POWER_GRANTED: Interface Gi1/0/4: Power granted
    15w4d: %LINK-3-UPDOWN: Interface GigabitEthernet1/0/4, changed state to up
    15w4d: %LINEPROTO-5-UPDOWN: Line protocol on Interface GigabitEthernet1/0/4, changed state to up
    15w4d: SNMP: Queuing packet to 192.168.97.12
    15w4d: Outgoing SNMP packet
    15w4d: v2c packet
    15w4d: community string: profiler
    15w4d: SNMP: V2 Trap, reqid 14430, errstat 0, erridx 0
     sysUpTime.0 = 949829672
     snmpTrapOID.0 = cmnMacChangedNotification
     cmnHistMacChangedMsg.0 =
    01 00  79 00   07 50  C6 82    27 00  04 00
    
  9. Vérifiez le collecteur envoie une nouvelle demande de déroutement de l'adresse MAC reçue :

    15w4d: SNMP: Packet received via UDP from 192.168.97.11 on Vlan120
    15w4d: SNMP: Get request, reqid 1576567642, errstat 0, erridx 0 
     system.1.0 = NULL TYPE/VALUE 
     ifIndex.10104 = NULL TYPE/VALUE 
     ifDescr.10104 = NULL TYPE/VALUE 
     ifType.10104 = NULL TYPE/VALUE 
     ifSpeed.10104 = NULL TYPE/VALUE 
     ifPhysAddress.10104 = NULL TYPE/VALUE 
     ifAdminStatus.10104 = NULL TYPE/VALUE 
     ifOperStatus.10104 = NULL TYPE/VALUE 
     ifName.10104 = NULL TYPE/VALUE 
     dot1xAuthAuthControlledPortStatus.10104 = NULL TYPE/VALUE 
     dot1xAuthAuthControlledPortControl.10104 = NULL TYPE/VALUE 
    paeMIBObjects.2.4.1.9.10104 = NULL TYPE/VALUE
    
    -------snip ----------
    ifIndex.10104 = 10104 
     ifDescr.10104 = GigabitEthernet1/0/4 
     ifType.10104 = 6 
     ifSpeed.10104 = 100000000 
     ifPhysAddress.10104 = 00 14 A8 2E A5 04  
     ifAdminStatus.10104 = 1 
     ifOperStatus.10104 = 1 
     ifName.10104 = Gi1/0/4 
     dot1xAuthAuthControlledPortStatus.10104 = 1 
     dot1xAuthAuthControlledPortControl.10104 = 3
    15w4d: SNMP: Packet sent via UDP to 192.168.97.11
  10. Vérifiez le profileur a reçu la nouvelle adresse MAC du téléphone IP du collecteur :

    Choisissez la console > la vue de point final/gérez les points finaux > les points finaux d'affichage par des ports de périphérique > ungrouped > Tableau des périphériques et puis choisissez votre commutateur.

    profiler-layer3-oob-config-guide-25.gif

  11. Vérifiez les travaux d'ENVERGURE sur le commutateur et le collecteur reçoit le trafic.

    SSH to the NAC Profiler :
    Type : tcpdump –i eth3 
    
    16:54:36.432218 IP cas2.nacelab2.cisco.com.9308 > elab2-dns-
    dhcp.nacelab2.cisco.com.domain:  48871+ PTR? 68.39.168.192.in-addr.arpa. (44)

    Observez la sortie sur l'écran. Si vous êtes préoccupé par la quantité de sortie, vous pouvez siffler la sortie à un fichier sur le collecteur NAC. Voyez les man page dans le Linux sur la façon dont exécuter ceci.

  12. Vérifiez pour voir si le trafic DHCP au sujet du point final de téléphone IP a été vu par le port SPAN et avez envoyé jusqu'au profileur.

    1. Choisissez la console > la vue de point final/gérez les points finaux > les points finaux d'affichage par des ports de périphérique > ungrouped > Tableau des périphériques et puis choisissez votre commutateur.

    2. Choisissez alors l'adresse MAC de vos périphériques.

    3. Données de profil de vue de clic.

      profiler-layer3-oob-config-guide-26.gif

      Vous devriez voir les informations de classe du constructeur DHCP des périphériques capturés du trafic NetWatch/SPAN sur le collecteur. Ces informations peuvent provenir le serveur DHCP ou l'offre DHCP sur le port SPAN de nouveau au client, qui dépend de votre routage et environnement.

      profiler-layer3-oob-config-guide-27.gif

  13. Vérifiez le NetFlow est passé du routeur distant à l'interface de gestion du collecteur.

    NAC-2800-Remote#show ip flow export
    
    Flow export v5 is enabled for main cache
      Exporting flows to 192.168.97.12 (2055)
      Exporting using source IP address 10.0.0.2
      Version 5 flow records
      2602429 flows exported in 554968 udp datagrams
      0 flows failed due to lack of export packet
    
    NAC-2800-Remote#show ip flow top 10 aggregate source-address
    

    Il y a quatre locuteurs supérieurs :

    IPV4 SRC-ADDR         bytes        pkts       flows
    ===============  ==========  ==========  ==========
    192.168.122.60           44           1           1
    192.168.122.59           88           2           2
    192.168.121.90          367           3           3
    10.0.0.1              19320         322           1
  14. Vérifiez que le profileur des collecteurs reçoit le NetFlow. Choisissez votre MAC ou IP distant de point final et regardez les données profilées :

    1. Choisissez la console > la vue de point final/gérez les points finaux > les points finaux d'affichage par des ports de périphérique > ungrouped > Tableau des périphériques et puis choisissez votre commutateur.

    2. Choisissez alors l'adresse MAC de vos périphériques.

    3. Données de profil de vue de clic.

      Dans la sortie, vous voyez la destination trafiquer à IP 192.168.70.50 et la destination port 2000. C'est l'adresse IP du Cisco CallManager et la destination port 2000 est utilisée pour le trafic de contrôle de SCCP.

      profiler-layer3-oob-config-guide-28.gif


Informations connexes


Document ID: 108318