Sécurité : Dispositif Cisco NAC (Clean Access)

Couche de Cisco NAC 3 OOB avec ACLs

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Le Cisco Network Admission Control (NAC) impose les stratégies de sécurité réseau d'une organisation sur tous les périphériques recherchant l'accès au réseau. Le Cisco NAC permet seulement les périphériques d'extrémité conformes et de confiance, tels que des PC, des serveurs, et des PDA, sur le réseau. Access est limité pour les périphériques non-conformes, qui limite le possible détérioration des menaces et des risques de Sécurité d'émergeant. Le Cisco NAC donne à des organismes une méthode puissante et basée sur rôles à empêcher l'accès non autorisé et améliore la résilience de réseau.

La solution de Cisco NAC fournit les avantages pour l'entreprise suivants :

  • Conformité de stratégie de sécurité : S'assure que les points finaux se conforment à la stratégie de sécurité ; protège la productivité d'infrastructure et d'employés ; sécurise les ressources géré et en non pris en charge ; environnements internes et accès invité de supports ; conçoit en fonction des stratégies votre niveau de risque.

  • Protège des investissements existants : Est compatible avec de tiers applications d'administration ; les options de déploiement flexible réduisent le besoin de mises à jour d'infrastructure.

  • Atténue des risques des virus, des vers, et de l'accès non autorisé : Les contrôles et réduit des interruptions de grande puissance d'infrastructure ; réduit des dépenses d'exploitation en entreprenant des démarches, ajoute, et change dynamique et automatisé, qui active une efficacité informatique plus élevée ; intègre avec d'autres composants de Cisco Self-Defending Network pour fournir la protection de Sécurité complète.

Présentation de la solution

Cette section introduit brièvement la couche 3 hors bande (OOB) suivre des méthodes de liste de contrôle d'accès (ACL) pour implémenter une architecture du Cisco Network Admission Control (NAC).

Description de la solution

Le Cisco NAC est utilisé dans l'infrastructure réseau pour imposer la conformité de stratégie de sécurité sur tous les périphériques qui recherchent l'accès aux ressources de réseau. Le Cisco NAC permet à des administrateurs réseau pour authentifier et autoriser les utilisateurs et pour les évaluer et le remediate leurs ordinateurs associés avant qu'on leur accorde l'accès au réseau. Il y a plusieurs méthodes de configuration que vous pouvez employer pour accomplir cette tâche, mais pose 3 hors bande (OOB) a rapidement devenu des méthodologies de déploiement les plus populaires pour le NAC. Cette variation dans la popularité est basée sur des plusieurs dynamics, y compris une meilleure utilisation des ressources en matériel.

En déployant le Cisco NAC dans une méthodologie de la couche 3 OOB, une appliance simple de Cisco NAC (gestionnaire de Cisco NAC ou serveur de Cisco NAC) peut mesurer pour rendre service à plus d'utilisateurs. Il permet également des appliances NAC à situer centralement plutôt que distribuées à travers le campus ou l'organisation. Ainsi, les déploiements de la couche 3 OOB sont beaucoup plus rentables chacun des deux d'un point de vue de capital et de frais d'exploitation.

Ce guide décrit une implémentation basée sur acl de Cisco NAC dans un déploiement de la couche 3 OOB.

Architecture de solution

L'architecture de solution (voyez que le schéma 1) identifie les composants de la solution et les points principaux d'intégration.

Figure 1 : Placement d'appareils de Cisco NAC dans un campus universitaire typique

nac-oob-acls-01.gif

Les sections suivantes décrivent la couche d'accès, la couche de distribution, la couche de noyau, et les points d'intégration de services de centre de traitement des données qui composent une architecture typique de campus.

Couche d'accès

Cisco posent la solution 3 OOB NAC s'applique à une conception campus conduite d'accès. Dans le mode d'accès conduit, les interfaces virtuelles commutées de la couche 3 (SVI) sont configurées sur le commutateur d'accès, et il y ont un lien de la couche 3 entre l'accès et les commutateurs de distribution.

Remarque: Le terme « commutateur d'accès » et « commutateur de périphérie » sont utilisés l'un pour l'autre dans ce document.

Comme vu dans la figure 2, l'accès VLAN de la couche 3 (par exemple, VLAN 14) est configuré sur le commutateur de périphérie, posent 3 que le routage est pris en charge du commutateur au commutateur de distribution ou au routeur ascendant, et le gestionnaire de Cisco NAC gère les ports sur le commutateur d'accès.

Figure 2 : Commutateurs d'accès Avec la couche 3 à la périphérie

/image/gif/paws/112168/nac-oob-acls-02.gif

Couche de distribution

La couche de distribution est responsable du routage de la couche 3. À la différence d'une solution de la couche 2, le serveur de Cisco NAC n'a pas besoin se trouvent à la couche de distribution. Au lieu de cela, il est placé centralement au bloc de service de centre de traitement des données.

Principale couche

La principale couche utilise les Routeurs basés sur IOS de Cisco. La principale couche est réservée pour le routage ultra-rapide, sans aucun services. Des services peuvent être placés sur un commutateur de service au centre de traitement des données.

Couche de services de Data Center

La couche de services de centre de traitement des données utilise les Routeurs et les Commutateurs basés sur IOS de Cisco. Le gestionnaire de Cisco NAC et le serveur de Cisco NAC sont centralement situés au bloc de service de centre de traitement des données.

Composants de la solution

Cette section décrit les composants de la solution d'appareils de Cisco NAC.

Gestionnaire de Cisco NAC

Le gestionnaire de Cisco NAC est le serveur de gestion et la base de données qui centralise la configuration et la surveillance de tous les serveurs, utilisateurs, et stratégies de Cisco NAC dans un déploiement d'appareils de Cisco NAC. Pour un déploiement OOB NAC, le gestionnaire fournit la Gestion OOB pour ajouter et des commutateurs de commande dans le domaine du gestionnaire et pour configurer des ports de commutateur.

Serveur de Cisco NAC

Le serveur de Cisco NAC est le point d'application entre le réseau (géré) non approuvé et le réseau (interne) de confiance. Le serveur impose maintient l'ordre défini dans le gestionnaire de Cisco NAC, et les points finaux communiquent avec le serveur pendant l'authentification. Dans cette conception, le serveur n'est pas placé logiquement ou physiquement « en ligne » pour séparer le réseau non approuvé et de confiance. Ce concept est adressé plus en détail plus tard dans la section « du mode (OOB) hors bande ».

Agent de Cisco NAC

L'agent de Cisco NAC est un composant facultatif de la solution de Cisco NAC. Quand l'agent est activé pour votre déploiement de Cisco NAC, l'agent s'assure que les ordinateurs qui accèdent à votre rassemblement de réseau les conditions requises de posture de système vous spécifient. L'agent de Cisco NAC est un en lecture seule, facile à utiliser, le programme d'encombrement réduit qui réside sur des ordinateurs d'utilisateur. Quand les tentatives d'un utilisateur d'accéder au réseau, l'agent vérifie le système client pour le logiciel vous exigez, et les utilisateurs d'aides saisissent n'importe quelles mises à jour ou logiciel manquantes.

Mode (OOB) hors bande

Dans le déploiement des appareils OOB de Cisco NAC, le serveur de Cisco NAC communique avec l'hôte d'extrémité seulement pendant la procédure d'authentification, pose l'estimation, et la correction. Après qu'on le certifie, l'hôte d'extrémité ne communique pas avec le serveur. En mode OOB, le gestionnaire de Cisco NAC utilise le Protocole SNMP (Simple Network Management Protocol) aux commutateurs de commande et aux affectations de set vlan pour des ports. Quand le Cisco NAC Manager and Server sont installés pour OOB, le gestionnaire peut contrôler les ports de commutateur des Commutateurs pris en charge. Pour une liste de Commutateurs pris en charge, allez à :

http://www.cisco.com/en/US/docs/security/nac/appliance/support_guide/switch_spt.html#wp40017.

Les diagrammes à venir affichent comment le gestionnaire de Cisco NAC emploie OOB pour contrôler comment un utilisateur obtient l'accès au réseau. L'ordre est comme suit :

  1. Un PC est physiquement connecté à un commutateur sur le réseau (voir le schéma 3).

  2. Le commutateur envoie l'adresse MAC utilisant le SNMP au gestionnaire de Cisco NAC (voir le schéma 3).

  3. Le gestionnaire de Cisco NAC vérifie si le PC « est certifié. »

    1. Si le PC n'est pas certifié, le gestionnaire de Cisco NAC demande au commutateur pour assigner le port de commutateur du PC à une authentification VLAN (voir le schéma 4). Continuez l'étape 4 à l'étape 6.

    2. Si le PC est certifié, passez à l'étape 5.

  4. Le PC communique avec le serveur de Cisco NAC et passe par l'authentification, l'estimation de posture, et la correction (voir le schéma 4).

  5. Le serveur de Cisco NAC informe le gestionnaire de Cisco NAC que le PC « est certifié » (voir le schéma 5).

  6. Le PC est connecté au réseau comme périphérique de confiance.

Figure 3 : Transmission SNMP OOB (1 de 3)

nac-oob-acls-03.gif

Figure 4 : Transmission SNMP OOB (2 de 3)

nac-oob-acls-04.gif

Figure 5 : Transmission SNMP OOB (3 de 3)

nac-oob-acls-05.gif

Considérations de conception

Quand vous considérez un déploiement de la couche 3 OOB NAC, vous devriez passer en revue plusieurs considérations de conception. Ces considérations sont répertoriées ont discuté dans les paragraphes suivants, et une brève discussion de leur importance est incluse.

Classification de point final

Plusieurs facteurs contribuent à la classification de point final, y compris des types de périphérique et des rôles de l'utilisateur. Le type de périphérique et le rôle de l'utilisateur affectent le rôle de point final.

Types de périphérique possibles

  • Périphériques entreprise

  • périphériques Non-entreprise

  • Périphériques Non-PC

Rôles de l'utilisateur possibles

  • Employé

  • Sous-traitant

  • Invités

Au commencement, tous les points finaux sont assignés au VLAN unauthenticated. Access aux autres rôles est permis après l'identité et le processus de posture est complet.

Rôles de point final

Le rôle de chaque type de point final doit être au commencement déterminé. Un déploiement typique de campus inclut plusieurs rôles, tels que des employés, des invités, et des sous-traitants, et d'autres points finaux, tels que des imprimantes, des points d'accès sans fil, et des caméras IP. Des rôles sont tracés au commutateur VLAN de périphérie.

Remarque: Le rôle Unauthenticated trace au commencement tous les utilisateurs à un VLAN unauthenticated pour l'authentification pour la première fois.

Isolation de rôle

Il est essentiel d'isoler les rôles de point final quand vous implémentez la solution de Cisco NAC. Sélectionnez un mécanisme d'application approprié pour fournir l'isolation du trafic et de chemin pour tout le trafic provenant des ordinateurs hôte unauthenticated et non autorisés. Dans un environnement de la couche 3 OOB, le commutateur de périphérie de la couche 3 (utilisant ACLs) agit en tant que point d'application qui assure la ségrégation entre « nettoient » et les réseaux « unauthenticated ».

La circulation

Le processus NAC commence quand un point final se connecte à un commutateur NAC-géré. Le trafic classifié en tant que « unauthenticated » est limité par l'ACLs appliqué sur le VLAN unauthenticated. On permet au le point final pour communiquer à l'interface « non approuvée » du serveur de Cisco NAC pour continuer par le processus d'estimation et de correction de posture (il y a plusieurs méthodes pour exécuter l'estimation et la correction de posture qui sont discutées plus tard dans les « stratégies de mise à jour de Cisco.com sur le gestionnaire de Cisco NAC. » section). Après authentification, le point final est déplacé au VLAN de confiance.

Mode de serveur de Cisco NAC

Un serveur de Cisco NAC peut être déployé en mode virtuel de passerelle (passerelle) ou mode de la passerelle vrai-IP (conduite).

Mode virtuel de passerelle (passerelle)

Le mode virtuel de passerelle (passerelle) est typiquement utilisé quand le serveur de Cisco NAC est la couche 2 à côté des points finaux. En ce mode, le serveur agit en tant que passerelle et n'est pas impliqué dans la décision de routage du trafic réseau.

Remarque: Le mode virtuel de passerelle (passerelle) s'applique pas applicable pour la conception d'ACL de la couche 3 OOB.

Mode de la passerelle Vrai-IP (conduite)

Le mode de la passerelle vrai-IP (conduite) s'applique quand le serveur de Cisco NAC est de plusieurs sauts à partir du point final. Quand vous utilisez le serveur comme passerelle vrai-IP, spécifiez les adresses IP de ses deux interfaces : une adresse IP pour le côté de confiance (pour prévoir la Gestion du gestionnaire de Cisco NAC) et une adresse IP pour le côté non approuvé. Les deux adresses devraient être sur des différents sous-réseaux. L'adresse IP non approuvée d'interface est utilisée pour communiquer avec le point final sur le sous-réseau non approuvé. Un déploiement de la couche 3 OOB utilisant ACLs exige du point final de communiquer avec l'interface non approuvée pour des buts d'authentification et d'autorisation. Puisque le mode vrai-IP utilise une adresse IP valide pour l'interface non approuvée, le serveur de Cisco NAC doit être configuré pour fonctionner en mode de la passerelle vrai-IP.

Évolutivité

Un serveur standard de Cisco NAC peut gérer jusqu'à 5000 utilisateurs finaux simultanés. La conception d'ACL de la couche 3 OOB approprié à un site ne servant pas plus de 5000 utilisateurs. Si vous avez des plusieurs sites, vous pouvez avoir les serveurs supplémentaires par site. Si vous avez un site unique qui doit servir plus de 5000 utilisateurs, vous pouvez employer des techniques externes d'Équilibrage de charge (par exemple, équilibreur de charge d'engine de contrôle d'application (ACE)) pour mesurer plus de 5000 utilisateurs pour le site unique.

Remarque: La discussion d'équilibreur de charge d'ACE est hors de portée de ce document.

Hôte de détection

L'hôte de détection est le nom de domaine complet (FQDN) ou adresse IP non approuvée d'interface utilisée par l'agent de Cisco NAC pour découvrir sauts localisés par serveur de Cisco NAC les plusieurs loin sur le réseau. L'agent initie le processus de découverte en envoyant des paquets UDP au host address connu de détection. Les paquets de détection doivent atteindre l'interface non approuvée de serveur NAC pour recevoir une réponse. Dans le cas d'un déploiement de la couche 3 OOB, le serveur n'est pas dans le chemin du trafic de données sur l'authentification VLAN. Par conséquent, la configuration d'hôte de détection doit être configurée pour être l'adresse IP de l'interface non approuvée du serveur de Cisco NAC de sorte que l'agent puisse envoyer les paquets de détection directement au serveur.

Expérience utilisateur (avec l'agent de Cisco NAC)

Typiquement, les administrateurs de réseau d'entreprise installent l'agent de Cisco NAC sur des machines cliente avant d'émettre ces ordinateurs sur des utilisateurs. L'adresse IP d'hôte de détection ou le nom résoluble dans l'agent de Cisco NAC déclenche des paquets de détection à envoyer à l'interface non approuvée du serveur NAC, qui guide automatiquement la machine cliente par le processus NAC.

Expérience utilisateur (sans agent de Cisco NAC)

Les points finaux sans agent de Cisco NAC (invités le plus susceptibles, sous-traitants, et ressources non-entreprises) peuvent automatiquement ne pas continuer par le processus NAC. Les méthodes manuelles et guidées existent pour aider les points finaux qui n'ont pas l'agent. Pour plus de détail, voir « point final la section de Cisco NAC de serveur à transmission ».

Remarque: Pour la meilleure expérience utilisateur possible, Certificats d'utilisation qui sont de confiance par le navigateur de l'utilisateur. Utilisant les Certificats auto-générés sur le Cisco NAC le serveur n'est pas recommandé pour un environnement de production.

Écoulements de processus de Cisco NAC

Cette section explique l'écoulement d'opération de base pour une solution NAC OOB. Les scénarios sont des deux décrits avec et sans un agent de Cisco NAC installé sur la machine cliente. Cette section affiche comment le gestionnaire de Cisco NAC contrôle les ports de commutateur utilisant le SNMP comme support de contrôle. Ces écoulements de processus sont macroanalytiques en nature et contiennent seulement les étapes fonctionnelles de décision. Les écoulements de processus n'incluent pas chaque option ou font un pas qui se produit et n'incluent pas les décisions d'autorisation qui sont basées sur des critères d'estimation de point final.

Référez-vous à l'organigramme de processus affiché dans la figure 7 pour les étapes cerclées affichées dans la figure 6.

Figure 6 : Écoulement de processus NAC pour la solution hors bande de la couche 3 NAC

nac-oob-acls-06.gif

Figure 7 : Organigramme de processus

nac-oob-acls-07.gif

Implémentation de solution de Cisco NAC

Dans une couche 3 OOB NAC concevez que les utilisations ACLs, le serveur de Cisco NAC guide des fonctions d'authentification, mais le serveur n'est pas le point d'application de stratégie dans le réseau. Le commutateur de périphérie agit en tant que point d'application pendant l'authentification, la quarantaine, et les étapes d'accès. Basé sur ce shift, quelques modifications supplémentaires sont exigées sur le commutateur de périphérie.

Isolation de rôle

Pour un déploiement réussi NAC, l'isolation des points finaux est essentielle. Après que la conception de classification de point final soit déterminée, les autorisations entre les classes devraient être déterminées. Une approche recommandée suit, basé sur la figure 8.

Figure 8 : Approche d'isolation de rôle dans la solution du Cisco NAC OOB

nac-oob-acls-08.gif

Remarque: L'interface de gestionnaire de Cisco NAC et l'interface de confiance du serveur de Cisco NAC sont illustrées ci-dessus sur différents VLAN. Cependant, ces deux interfaces peuvent être sur le même VLAN si le serveur est déployé en mode de la passerelle vrai-IP.

Le VLAN unauthenticated exige l'accès à ces ressources :

  • Services d'infrastructure tels que le DHCP et les DN

  • Serveurs d'authentification, typiquement le contrôleur de domaine pour la procédure de connexion de domaine windows avant la validation NAC

  • L'interface non approuvée du serveur NAC

  • Serveurs de correction (facultatifs)

L'employé VLAN a typiquement accès sans restriction à toutes les ressources, le sous-traitant VLAN typiquement a limité l'accès à un sous-ensemble de ressources, et le VLAN invité a en général seulement l'accès à Internet.

Technique de liste d'accès

Une liste d'accès (ACL) est utilisée pour spécifier le trafic réseau. Après que vous spécifiiez le trafic avec un ACL, vous pouvez faire un grand choix de choses avec le trafic. Par exemple, vous pouvez le permettre, le refuser, le limiter, ou l'employer pour limiter des mises à jour de routage.

Dans la technique d'ACL, un ensemble d'ACLs est appliqué à chaque nouvelle interface VLAN que vous créez basé sur vos conditions requises. Les instructions CLI données dans les paragraphes suivants affiche les commandes exigées pour configurer l'isolation de confiance et non approuvée de chemin réseau utilisant VLAN ACLs. Suivez la procédure ci-dessous pour implémenter ACLs.

Remarque: L'ajout des VLAN pour l'isolation de rôle et de l'ACLs de configurer sur ces VLAN doit être exécuté sur chaque commutateur de périphérie. Ce travail devrait faire partie de préparation de déploiement NAC.

  1. Avant de mettre en application le NAC, examinez la configuration existante VLAN.

    Les commandes CLI affichées dans le texte suivant affichent comment les employés VLAN est typiquement configurés avant que le NAC soit mis en application.

    !
    int vlan
    200description EMPLOYEES_Vlan
    ip address 10.100.1.1 255.255.255.0
    !
  2. Configurez les VLAN supplémentaires.

    La planification du pré-déploiement NAC exige configurer les VLAN supplémentaires et l'ACLs approprié appliqués aux interfaces VLAN. Comme exemple, le texte suivant CLI affiche comment ajouter une nouvelle couche 3 VLAN pour chacun de l'unauthenticated, des employés, des sous-traitants, et des rôles d'invité.

    ! 
    int vlan
    100description UNAUTHENTICATED_Vlan
    ip address 172.16.1.1 255.255.255.0
    !
    int vlan
    200description EMPLOYEES_Vlan
    ip address 10.100.1.1 255.255.255.0
    !
    int VLAN
    210description CONTRACTORS_Vlan
    ip address 10.120.1.1 255.255.255.0
    !
    int vlan
    300description GUESTS_Vlan
    ip address 192.168.1.1 255.255.255.0
    !
  3. Restrictions de mise en place sur le rôle unauthenticated.

    Les périphériques Unauthenticated dans le rôle unauthenticated exigent typiquement l'accès aux ressources sur le réseau propre, tel que des DN, DHCP, Répertoire actif, et serveurs de correction. Ils exigent également l'accès à l'interface non approuvée du serveur de Cisco NAC, dans la configuration d'échantillon ci-dessous, le rôle unauthenticated a accès aux ressources sur 10.10.10.0/24 réseaux et l'interface non approuvée du serveur de Cisco NAC.

    ! 
    ! this access-list permits traffic destined to devices on 10.10.10.x
    ! this should be a consistent ACL that can be applied across all L3 
    switches
    !
    ip host NAC_SERVER_UNTRUSTED_INTERFACE <IP_Address>
    access-list 100 permit ip any host NAC_SERVER_UNTRUSTED_INTERFACE
    access-list 100 permit ip any 10.10.10.0 255.255.255.0
    !
    !
    ! then apply this access-list to the UNAUTHENTICATED_Vlan
    !
    int vlan100
    description UNAUTHENTICATED_Vlan
    ip address 172.16.1.1 255.255.255.0
    ip access-group 100 in
    !
    int vlan200
    description EMPLOYEES_Vlan
    ip address 10.100.1.1 255.255.255.0
    !
    int vlan300
    description GUESTS_Vlan
    ip address 192.168.1.1 255.255.255.0
    !
  4. Restrictions de mise en place sur les invités VLAN.

    Typiquement, le rôle d'invité a l'accès à Internet seulement. Tout l'accès aux ressources inutiles, telles que tous les réseaux internes, devrait être explicitement refusé. La seule exception peut être un serveur DNS interne.

    ! 
    ! ACL 100 permits traffic destined to devices on 10.10.10.0 / 24
    ! this should be a consistent ACL that can be applied across all L3 
    switches
    !
    access-list 100 permit ip any 10.10.10.0 255.255.255.0
    !
    !
    ! ACL 101 for Guests should deny access to all internal networks
    ! while DNS is permitted 
    !
    access-list 101 permit udp any host GUEST_DNS_SERVER eq 53
    access-list 101 deny ip any 10.0.0.0 255.0.0.0
    access-list 101 deny ip any 192.168.0.0 255.255.0.0
    access-list 101 deny ip any 172.16.0.0 255.240.0.0
    access-list 101 permit ip any any
    !
    int VLAN100
    description UNAUTHENTICATED_VLAN
    ip address 172.16.1.1 255.255.255.0
    ip access-group 100 in
    !
    int VLAN200
    description EMPLOYEES_VLAN
    ip address 10.100.1.1 255.255.255.0
    !
    !
    int VLAN300
    description GUESTS_VLAN
    ip address 192.168.1.1 255.255.255.0
    ip access-group 101 in
    !

Point final à la transmission de serveur de Cisco NAC

Le serveur de Cisco NAC obtient les informations de MAC de l'agent de Cisco NAC ou d'une page de connexion de Web activée pour ActiveX ou l'applet Java déterminer l'adresse MAC de périphérique et la signaler de nouveau au gestionnaire de Cisco NAC.

Agent de Cisco NAC

L'agent de Cisco NAC doit communiquer avec l'interface non approuvée de serveur NAC pour initier le processus de procédure de connexion. Les essais d'agent pour découvrir le serveur basé sur la valeur connue d'hôte de détection. Suivant les indications de la figure 9, la valeur de serveur de détection dans le Cisco Agent (nacs.nac.local) indique l'interface non approuvée (172.23.117.57) sur le serveur NAC. La figure 9 affiche une combinaison de trois écrans.

Voyez la « procédure de connexion d'agent. » section pour plus de détails sur ouvrir une session par l'agent de Cisco NAC.

Figure 9 : Hôte de détection indiquant l'interface non approuvée du serveur NAC

nac-oob-acls-09.gif

Remarque: L'agent de Cisco NAC n'apparaît pas si l'agent ne peut pas ne recevoir aucun dos de réponse du serveur de Cisco NAC.

Procédure de connexion de Web

La procédure de connexion de Web est typiquement exigée pour des sessions d'ouverture de connexion d'invité. Quand la technique d'isolation d'ACL est utilisée, l'interface non approuvée de serveur NAC n'est pas directement dans le chemin du trafic de données. Par conséquent, l'utilisateur n'est pas automatiquement réorienté à la page de connexion quand le navigateur est d'abord ouvert. Deux options peuvent permettre à l'hôte d'extrémité d'obtenir la page de connexion.

Option 1

  • Créez un URL de procédure de connexion d'invité connu des utilisateurs (par exemple, guest.cisco.com).

  • L'invité doit alors ouvrir un navigateur et écrire cet URL, qui entraîne une réorientation à la page de connexion.

Option 2

  • Créez un serveur DNS factice pour le sous-réseau de l'utilisateur unauthenticated.

  • Ce serveur DNS factice résout chaque URL à l'interface non approuvée du serveur de Cisco NAC.

  • Quand l'invité ouvre un navigateur, indépendamment lequel de l'URL il essaye d'atteindre, il est réorienté à la page de connexion.

  • Quand l'utilisateur est alors déplacé au VLAN approprié pour son rôle, il obtient une nouvelle affectation d'adresse DNS en exécutant la release IP ou la renouvelle sur une procédure de connexion réussie.

Dans une conception de la couche 3 OOB, utilisateurs qui ouvrent une session utilisant un téléchargement de page Web et exécutent un contrôle ActiveX (pour des navigateurs Internet Explorer) ou un applet Java (pour navigateurs non-IE). Le contrôle ActiveX (ou Javas) doit s'exécuter pour exécuter ce qui suit :

  • Collectez l'adresse MAC de l'hôte, qui est signalé au serveur de Cisco NAC et au gestionnaire de Cisco NAC pour fournir le mappage d'adresse IP et d'adresse MAC.

  • Effectuez la release IP et la renouvelez du client de point final.

Remarque: La décision de permettre à des invités pour utiliser les DN internes ou externes est une décision politique que chaque organisation doit prendre. Utilisant un service DNS basé sur public pose le moins risque potentiel dans cette approche.

Voir la procédure de connexion de Web, pour plus de détails sur ouvrir une session par une page Web.

Exemple de configuration d'ACL de la couche 3 OOB NAC

Pour déployer avec succès une solution NAC OOB, les composants NAC doivent être configurés pour apparier l'architecture désirée. La figure 10 affiche un diagramme de réseau logique de la couche 3 NAC OOB qui est utilisé dans cette section pour montrer la configuration appropriée du gestionnaire de Cisco NAC, du serveur de Cisco NAC, et d'un commutateur de périphérie pour le déploiement de la couche 3 OOB NAC utilisant ACLs.

Figure 10 : Diagramme de topologie logique de la couche 3 OOB NAC

nac-oob-acls-10.gif

Pour configurer un déploiement vrai-IP OOB NAC de la couche 3, suivez ces étapes :

  1. Configurez le commutateur de périphérie pour l'application.

    1. D'abord, créez trois VLAN supplémentaires (UNAUTHENTICATED, des SOUS-TRAITANTS, et des INVITÉS) sur le commutateur de périphérie. La production existante VLAN sera utilisée pour les employés.

    2. Configurez et appliquez ACLs sur chaque VLAN pour limiter l'accès au réseau basé sur le rôle attribué.

      • Rôle Unauthenticated : Nom VLAN 17 et d'ACL : UNAUTH_ACL

        ! Create SVI for Un-auth VLAN
        
        Edge Switch(config)#interface vlan 17
        Edge Switch (config)#ip address 192.168.7.1 255.255.255.0
        Edge Switch (config)#ip helper-address 192.168.3.10
        ! 192.168.3.10 is the dhcp server (see Figure 10) 
        
        ! Configure ACL for Un-auth Role
        Edge Switch(conf)#ip access-list extended UNAUTH_ACL
           remark Allow Discovery packets from Agent to NAC Server
           permit udp any host 192.168.8.10 eq 8906
           remark Allow Discovery packets from Agent to NAC Server for ADSSO
           permit udp any host 192.168.8.10 eq 8910
           remark Allow Web traffic from PC to NAC Server
           permit tcp any host 192.168.8.10 eq www
           remark Allow SSL traffic from PC to NAC Server
           permit tcp any host 192.168.8.10 eq 443
           remark Allow DHCP permit udp any any eq bootpc
           permit udp any any eq bootps
           remark Allow DNS
           permit udp any any eq domain
           remark Allow Web traffic to the Remediation Server
           permit tcp any host 192.168.3.10 eq www
        
        ! Apply ACL for Un-auth VLAN Interface
        
        Edge Switch(config)#interface vlan 17
        Edge Switch(config)# ip access-group UNAUTH_ACL in
      • Rôle de sous-traitant : Nom VLAN 77 et d'ACL : CONTRACTOR_ACL

        ! Create SVI for Contractor VLAN
        
        Edge Switch(config)#interface vlan 77
        Edge Switch (config)#ip address 192.168.77.1 255.255.255.0
        Edge Switch (config)#ip helper-address 192.168.3.10
        
        ! Configure ACL for Contractor Role
        
        Edge Switch(conf)#ip access-list extended CONTRACTOR_ACL
           remark Allow DHCP permit udp any any eq bootpc
           permit udp any any eq bootps
           remark Allow DNS
           permit udp any any eq domain
           remark Allow traffic to DMZ Subnet 
           permit ip any 192.168.3.0 0.0.0.255
           remark deny rest of the internal resources
           deny ip any 10.0.0.0 255.0.0.0
           deny ip any 192.168.0.0 255.255.0.0
           deny ip any 172.16.0.0 255.240.0.0
           remark permit internet
           permit ip any any
        
        ! Apply ACL for Contractor VLAN Interface
        
        Edge Switch(config)#interface vlan 77
        Edge Switch(config)# ip access-group CONTRACTOR_ACL in
      • Rôle d'invité : Nom VLAN 78 et d'ACL : GUEST_ACL

        ! Create SVI for GUEST VLAN
        
        Edge Switch(config)#interface vlan 78
        Edge Switch (config)#ip address 192.168.78.1 255.255.255.0
        Edge Switch (config)#ip helper-address 192.168.3.10
        
        ! Configure ACL for Guest Role
        
        Edge Switch(conf)#ip access-list extended GUEST_ACL
           remark Allow DHCP 
           permit udp any any eq bootpc
           permit udp any any eq bootps
           remark Allow DNS
           permit udp any any eq domain
           remark deny access to the internal resources
           deny ip any 10.0.0.0 255.0.0.0
           deny ip any 192.168.0.0 255.255.0.0
           deny ip any 172.16.0.0 255.240.0.0
           remark permit internet
           permit ip any any
        
        ! Apply ACL for GUEST VLAN Interface
        
        Edge Switch(config)#interface vlan 78
        Edge Switch(config)# ip access-group GUEST_ACL in
      • Rôle des employés : VLAN 14 et ACL : Production_ACL

        La production existante VLAN peut être utilisée pour déplacer l'employé du VLAN unauthenticated à l'employé VLAN. Après que le client d'extrémité soit déplacé à ce VLAN, de Cisco NAC d'agent toujours les tentatives de découvrir le serveur de Cisco NAC. L'agent est conçu pour se comporter de cette façon. Si l'agent peut atteindre le serveur, l'agent s'affiche et des tentatives d'exécuter le processus de procédure de connexion de nouveau, quoique l'ordinateur ait déjà accordé l'accès. Évidemment, c'est un comportement non désiré et les administrateurs doivent s'assurer que l'UDP 8906 paquets de détection provenant de l'agent sont relâchés. Employee_ACL est configuré pour relâcher ces paquets de détection.

        ! Use Existing Production Layer 3 VLAN for Employees 
        
        Edge Switch(config)#interface vlan 14
        Edge Switch (config)#ip helper-address 192.168.3.10
        
        ! Configure ACL to prevent discovery packets from reaching the 
        untrusted interface on the NAC Server
        
        Edge Switch(conf)#ip access-list extended Employee_ACL
           remark Deny Discovery packets from Agent to NAC Server
           deny udp any host 192.168.8.10 eq 8906
           permit ip any any
        
        ! Apply ACL for Employee VLAN Interface
        
        Edge Switch(config)#interface vlan 14
        Edge Switch(config)# ip access-group Employee_ACL in
  2. Exécutez la première installation du Cisco NAC Manager and Server.

    L'installation de Cisco NAC Manager and Server est exécutée par l'accès de console. L'installer de service vous guide par la configuration initiale pour le gestionnaire et le serveur. Pour exécuter la première installation, allez à :

    http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_instal.html

  3. Appliquez le permis au gestionnaire de Cisco NAC.

    Après que vous exécutiez la première installation par la console, accédez au GUI de gestionnaire de Cisco NAC pour continuer de configurer le Cisco NAC Manager and Server. Téléchargez d'abord les permis de gestionnaire et de serveur qui ont été livré avec les appliances. Pour plus de détail sur télécharger les permis, allez à :

    http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_instal.html#wp1113597

    Remarque: Tous les permis de Cisco NAC Manager and Server sont basés sur l'adresse MAC eth0 du gestionnaire. Dans une installation de Basculement, les permis sont basés sur l'adresse MAC eth0 des gestionnaires primaires et secondaires de Cisco NAC.

  4. Mettez à jour les stratégies de Cisco.com sur le gestionnaire de Cisco NAC.

    Le gestionnaire de Cisco NAC doit être configuré pour récupérer des mises à jour régulières du serveur central de mise à jour situé à Cisco. La liste des produits prise en charge par appliance du Cisco NAC AV/AS est un fichier XML versioned distribué d'un serveur centralisé de mise à jour qui fournit la matrice la plus en cours des constructeurs pris en charge d'antivirus et d'antispyware et des versions du produit utilisées pour configurer des règles d'antivirus ou d'antispyware et des conditions requises de mise à jour de définition d'antivirus ou d'antispyware pour l'estimation et la correction de posture. Cette liste est mise à jour régulièrement pour l'antivirus et les Produits et les versions d'antispyware pris en charge dans chaque agent de Cisco NAC sortent et incluent des produits nouveaux pour de nouvelles versions d'agent. Notez que la liste fournit les informations de version seulement. Quand le gestionnaire de Cisco NAC télécharge la liste des produits prise en charge d'antivirus et d'antispyware, elle télécharge les informations sur ce que sont les dernières versions pour des Produits d'antivirus et d'antispyware ; il ne télécharge pas les fichiers de correctif réels ou les fichiers de définition de virus. Basé sur ces informations, l'agent peut alors déclencher l'application indigène d'antivirus ou d'antispyware pour exécuter des mises à jour. Pour plus d'informations sur la façon dont des mises à jour sont récupérées, allez à :

    http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cam/m_agntd.html#wp1351880

  5. Installez les Certificats d'un tiers Autorité de certification (CA).

    Pendant l'installation, le script d'utilitaire de configuration pour le gestionnaire de Cisco NAC et le serveur de Cisco NAC exige de vous de générer un certificat ssl provisoire. Pour l'environnement de travaux pratiques, vous pouvez continuer à utiliser les Certificats auto-signés ; cependant, ils ne sont pas recommandés pour un réseau de production.

    Pour plus d'informations sur installer des Certificats sur le gestionnaire de Cisco NAC d'une tierce partie CA, allez à :

    http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cam/m_admin.html#wp1078189

    Pour plus d'informations sur installer des Certificats sur le serveur de Cisco NAC d'une tierce partie CA, allez à :

    http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cas/s_admin.html#wp1040111

    Remarque: Si vous utilisez les Certificats d'auto-signe dans l'environnement de travaux pratiques, le gestionnaire de Cisco NAC et le serveur de Cisco NAC chaque besoin de faire confiance au certificat de l'autre, sous lequel exige de vous de télécharger les Certificats pour chacun des deux en tant qu'autorité de certification de confiance SSL > les autorités de certification de confiance.

  6. Ajoutez le serveur de Cisco NAC au gestionnaire de Cisco NAC.

    Pour ajouter le serveur NAC au gestionnaire NAC, suivez ces étapes :

    1. Cliquez sur les serveurs de CCA sous le volet de Gestion de périphériques (voir la figure 11).

    2. Cliquez sur le nouvel onglet de serveur.

    3. Utilisez la case d'adresse IP du serveur pour ajouter l'adresse IP de l'interface de confiance du serveur NAC.

    4. Dans la case d'emplacement de serveur, présentez le serveur OOB NAC comme emplacement de serveur.

    5. Choisissez la Vrai-IP-passerelle hors bande de la liste déroulante de type de serveur.

    6. Cliquez sur Add Clean Access Server.

      Figure 11 : Ajouter le serveur de Cisco NAC au gestionnaire de Cisco NAC

      nac-oob-acls-11.gif

      Après que vous ajoutiez le serveur de Cisco NAC, il apparaît dans la liste sous la liste d'onglet de serveurs (voir la figure 12).

      Remarque: Le gestionnaire de Cisco NAC et le serveur de Cisco NAC doivent faire confiance à l'Autorité de certification (CA) de chacun pour que le gestionnaire ajoute avec succès le serveur.

  7. Configurez le serveur de Cisco NAC.

    1. Suivant les indications de la figure 12, cliquez sur la liste d'onglet de serveurs.

    2. Cliquez sur l'icône de gérer (cerclée) pour que le serveur de Cisco NAC continue la configuration.

      Figure 12 : Serveur de Cisco NAC géré par le gestionnaire de Cisco NAC

      nac-oob-acls-12.gif

      Après que vous cliquiez sur le graphisme de gérer, l'écran affiché dans la figure 13 apparaît.

  8. Support de la couche 3 d'enable.

    1. Cliquez sur l'onglet de réseau (figure 13).

    2. Vérifiez la case à cocher de support de l'enable L3.

    3. Vérifiez le mode strict de l'enable L3 pour bloquer les périphériques NAT avec la case à cocher de Clean Access Agent.

    4. Cliquez sur Update.

    5. Redémarrez le serveur de Cisco NAC comme instruit.

      Figure 13 : Détails de réseau serveur de Cisco NAC

      nac-oob-acls-13.gif

      Remarque: Générez toujours le certificat pour le serveur de Cisco NAC avec l'adresse IP de son interface NON APPROUVÉE. Pour le certificat basé sur nom, le nom devrait le résoudre à l'adresse IP non approuvée d'interface. Quand le point final communique avec l'interface non approuvée du serveur pour commencer le processus NAC, le serveur réorientera l'utilisateur à l'adresse Internet de certificat ou à l'IP. Si le certificat indique l'interface de confiance, le processus de procédure de connexion ne fonctionnera pas correctement.

      Dans la figure 13 ci-dessus, vous voyez que les deux passerelles par défaut sont présentes. Seulement la passerelle par défaut configurée sur l'interface de confiance s'applique. La valeur sur l'interface non approuvée n'est pas utilisée pour expédier le trafic. Le trafic qui est expédié de l'interface non approuvée dépend de l'artère statique couverte dans l'étape suivante.

  9. Configurez les artères statiques.

    1. Après que les réinitialisations de serveur de Cisco NAC, reviennent au serveur et continuent la configuration.

      Le serveur doit employer l'interface non approuvée pour communiquer avec des points finaux sur le VLAN unauthenticated.

    2. Allez aux artères avancées > statiques (voir la figure 14) pour ajouter des artères au VLAN unauthenticated.

    3. Complétez les sous-réseaux appropriés pour les VLAN unauthenticated.

    4. Cliquez sur Add l'artère.

    5. Interface non approuvée choisie [eth1] pour ces derniers artères.

      Figure 14 : Ajouter l'artère statique pour atteindre le sous-réseau de l'utilisateur Unauthenticated

      nac-oob-acls-14.gif

  10. Installez les profils pour des Commutateurs dans le gestionnaire de Cisco NAC.

    1. La Gestion choisie OOB > profile > périphérique > éditent (voir la figure 15).

    2. Complétez les informations de profil de périphérique, utilisant l'exemple comme guide.

      Chaque commutateur sera associé avec un profil. Ajoutez un profil pour chaque type de commutateur de périphérie que le gestionnaire de Cisco NAC gèrera. Le gestionnaire prend en charge SNMPv1, SNMPv2C, et SNMPv3. Cet exemple couvre SNMPv1 seulement. Vous pouvez vouloir configurer SNMPv2 ou SNMPv3c pour plus sécurisez la transmission SNMP entre le gestionnaire et le commutateur.

      Figure 15 : Profil SNMP utilisé pour gérer le commutateur

      /image/gif/paws/112168/nac-oob-acls-15.gif

    3. Installez la configuration de commutateur pour le SNMP.

      Le commutateur de périphérie devrait être configuré pour les mêmes chaînes lecture/écriture de la communauté SNMP que ceux configurés sur le gestionnaire de Cisco NAC. Voyez les commandes CLI ci-dessous.

      3560-remote(config)#snmp-server community cisco123 RO
      3560-remote(config)#snmp-server community cisco321 RW
    4. Gestion choisie > profils > port OOB > nouveau (voir la figure 16).

      Pour le contrôle de port individuel, configurez un profil de port sous la Gestion > les profils > le port OOB qui inclut l'accès unauthenticated par défaut VLAN VLAN et de par défaut. Dans la partie VLAN d'accès, spécifiez le rôle de l'utilisateur VLAN utilisant Access VLAN déroulant. Le gestionnaire de Cisco NAC change le VLAN unauthenticated à l'accès VLAN basé sur le VLAN défini dans le rôle où l'utilisateur appartient.

      Définissez le profil de port pour contrôler le VLAN du port basé sur les rôles de l'utilisateur et les VLAN mis en application.

      Le VLAN authentique est le VLAN UNAUTHENTICATED (VLAN 17) auquel des périphériques unauthenticated sont au commencement assignés.

      Access par défaut VLAN est les EMPLOYÉS VLAN (VLAN 14). Ce VLAN est utilisé si l'utilisateur authentifié ne fait pas définir un VLAN basé sur rôle.

      Access VLAN peut ignorer le par défaut VLAN à un rôle de l'utilisateur VLAN, qui est défini sous le rôle de l'utilisateur (pour plus d'informations sur des rôles de l'utilisateur d'établissement, voyez « pour configurer des rôles de l'utilisateur. » section). Des mappages de LDAP peuvent être utilisés pour tracer des rôles de l'utilisateur dans le NAC aux groupes de LDAP. Le pour en savoir plus, vont à :

      http://www.cisco.com/en/US/products/ps6128/products_tech_note09186a0080846d7a.shtml

      Figure 16 : Profil de port pour gérer le port de commutateur

      /image/gif/paws/112168/nac-oob-acls-17.gif

      Remarque: Vous pouvez également définir des noms VLAN au lieu des id. Si vous définissez des noms VLAN, vous pouvez avoir différents IDs de VLAN sur différents Commutateurs à travers le campus, mais le même nom VLAN relié à un rôle particulier.

      Les options supplémentaires sont disponibles sous le profil de port pour la release IP et renouvellent des options. Faites descendre l'écran la page affichée dans la figure 16 pour voir ces options.

      Si l'utilisateur est derrière un téléphone IP, décochez le rebond le port après que le VLAN soit la case à cocher changée (voir la figure 17), qui, si vérifié, pourrait redémarrer le téléphone IP quand le port est rebondi.

      Figure 17 : Profil de dessous disponible de port de diverses options

      nac-oob-acls-18.gif

  11. Configurez les configurations de récepteur SNMP.

    En plus d'installer la chaîne de caractères de la communauté SNMP pour lu ou écrivez, vous doit également configurer le gestionnaire de Cisco NAC pour recevoir des déroutements SNMP du commutateur. Ces déroutements sont envoyés quand l'utilisateur se connecte et des démonter du port. Quand le serveur de Cisco NAC envoie les informations d'adresse IP MAC/d'un point final particulier au gestionnaire, le gestionnaire construit une table de mappage intérieurement pour MAC/IP et port de commutateur.

    Remarque: Vous devez configurer tous les Commutateurs pour envoyer des déroutements ou informez au gestionnaire de Cisco NAC utilisant les chaînes de la communauté définies dans la figure 18.

    1. La Gestion choisie OOB > profile > récepteur SNMP (voir la figure 18).

    2. Configurez les configurations de déroutement SNMP utilisant l'écran dans la figure 18 comme guide.

      Figure 18 : La configuration de récepteur SNMP de gestionnaire NAC pour collecter des déroutements SNMP et informe

      nac-oob-acls-19.gif

    3. Pour configurer les positions de commutateur pour des déroutements SNMP, augmentez le compteur d'annulation de Clean Access Manager de commutateur par défaut (CAM) à 1 heure (3600 dans la case CLI ci-dessous) par recommandations de pratique recommandée Cisco pour NAC OOB. L'échantillon CLI affiche l'ensemble de paramètres de mac-address-table aging-time à 3600.

      L'établissement du temporisateur à 1 heure ramène la fréquence des notifications de MAC envoyées hors déjà des périphériques connectés au gestionnaire de Cisco NAC. Utilisez la commande de déroutement de source de spécifier l'adresse source qui est utilisée pour envoyer les déroutements.

      snmp-server enable traps mac-notification
      snmp-server host 192.168.2.33 informs NacTraps
      snmp-server trap-source Vlan 2
      mac-address-table aging-time 3600

      Sur option, configurez les déroutements de lien et de linkdown pour envoyer au gestionnaire de Cisco NAC (non affiché dans l'échantillon CLI). Ces déroutements sont utilisés seulement dans un scénario de déploiement où les hôtes d'extrémité ne sont pas connectés derrière un téléphone IP.

      Remarque: Des snmps inform sont recommandés parce qu'ils sont plus fiables que les déroutements SNMP. En outre, considérez QoS pour le SNMP dans un environnement de réseau du trafic élevé.

  12. Ajoutez les Commutateurs comme périphériques dans le gestionnaire de Cisco NAC.

    1. Gestion choisie > périphériques > périphériques OOB > nouveau (voir la figure 19).

      Le profil de commutateur créé dans l'étape 10 sera utilisé pour ajouter le commutateur.

    2. Sous le profil de périphérique, utilisez le profil que vous avez créé, mais ne changez pas la valeur par défaut de profil de port quand vous ajoutez le commutateur.

      Remarque: Pour le profil par défaut de port, sélectionnez toujours « incontrôlé, » parce que vous ne gérez jamais tous les ports du commutateur d'accès. Un minimum d'un port uplink doit être incontrôlé. Par conséquent, vous devez ajouter le commutateur avec un profil incontrôlé de port et puis sélectionner les ports qui doit être géré.

      Figure 19 : Ajouter un commutateur de périphérie dans le gestionnaire de Cisco NAC pour contrôler utilisant le SNMP

      nac-oob-acls-20.gif

    3. Après que le commutateur soit ajouté au gestionnaire de Cisco NAC, sélectionnez les ports que vous voulez gérer.

  13. Configurez les ports de commutateur pour que les périphériques soient gérés par NAC.

    1. Gestion OOB > commutateur de périphériques choisis [IP address] > ports > liste pour voir les ports de commutateur disponibles que vous pouvez gérer (voir la figure 20).

      Figure 20 : Sélection de contrôle de port disponible pour un commutateur géré

      nac-oob-acls-21.gif

    2. La Gestion OOB > le commutateur de périphériques choisis [IP address] > des ports > parviennent à gérer plusieurs ports immédiatement (voir la figure 21).

      Figure 21 : En gérant des plusieurs ports avec joignez l'option

      nac-oob-acls-22.gif

  14. Configurez les rôles de l'utilisateur.

    Dans cet exemple, trois rôles supplémentaires sont créés. Les VLAN déjà créés dans la périphérie que chacune correspond à un rôle.

    1. La Gestion > les rôles de l'utilisateur choisis d'utilisateur > éditent le rôle et créent un rôle des employés utilisant la figure 22 comme guide.

      Figure 22 : Création du rôle des employés et cartographie à la production VLAN 14

      nac-oob-acls-23.gif

    2. La Gestion > les rôles de l'utilisateur choisis d'utilisateur > éditent le rôle et créent un rôle de sous-traitant utilisant la figure 23 comme guide.

      Figure 23 : Créant le rôle et la cartographie de sous-traitant de lui à Access limité VLAN 77

      nac-oob-acls-24.gif

    3. La Gestion > les rôles de l'utilisateur choisis d'utilisateur > éditent le rôle et créent un rôle d'invité utilisant la figure 24 comme guide.

      Figure 24 : Créant le rôle d'invité et le traçant à l'Internet seulement VLAN

      nac-oob-acls-25.gif

      Au total, vous devriez voir six rôles créés dans cette section (trois rôles par défaut et trois nouveaux rôles), suivant les indications de la figure 25.

      Figure 25 : Ajouter des rôles dans le gestionnaire NAC

      nac-oob-acls-26.gif

  15. Ajoutez les utilisateurs et les assignez pour s'approprier le rôle de l'utilisateur.

    Dans un campus universitaire, vous intègrerez avec un serveur d'authentification externe et tracerez l'utilisateur à un rôle particulier au moyen de l'attribut de LDAP. Cet exemple utilise un utilisateur local et des associés cet utilisateur local avec un rôle.

  16. Personnalisez la page d'ouverture de session utilisateur pour la procédure de connexion de Web.

    Une page de connexion par défaut est déjà créée dans le gestionnaire de Cisco NAC. Vous pouvez sur option personnaliser la page de connexion pour changer l'apparence du portail web. Pour une solution de la couche 3 OOB NAC, le composant d'ActiveX ou de Javas doit être téléchargé au client d'extrémité pour effectuer les tâches suivantes :

    1. Cherchez l'adresse MAC de la machine cliente.

    2. Effectuez la release d'adresse IP et la renouvelez.

    3. Gestion > pages utilisateur choisies (voir la figure 26).

    4. Éditez la page pour faire à enable les options affichées dans la figure 26.

      Figure 26 : Mises en page d'utilisateur pour la procédure de connexion de Web

      /image/gif/paws/112168/nac-oob-acls-27.gif

  17. Personnalisez l'agent de Cisco NAC pour les rôles de l'utilisateur.

    1. Gestion de périphériques choisie > Clean Access > configuration générale > connexion de l'agent (voir la figure 27).

      Le gestionnaire de Cisco NAC peut être configuré pour rendre l'agent obligatoire pour n'importe quel rôle de l'utilisateur. Dans cet exemple, l'agent est obligatoire pour le rôle des employés. Les rôles de sous-traitant et d'invité doivent utiliser la procédure de connexion de Web.

    2. Vérifiez l'utilisation d'exigence de la case à cocher d'agent.

      Figure 27 : Connexion de l'agent requise pour le rôle des employés

      nac-oob-acls-28.gif

  18. Distribuez l'hôte de détection pour l'agent de Cisco NAC.

    La distribution de logiciel agent de Cisco NAC, l'installation, et la configuration sont couvertes dans l'annexe dans « configurant l'appliance de Cisco NAC pour la section d'estimation de posture de connexion de l'agent et de client ». Cet exemple configure l'hôte de détection sur le gestionnaire de Cisco NAC.

    Gestion de périphériques choisie > Clean Access > Clean Access Agent > installation (voir la figure 28).

    Figure 28 : Hôte de détection pour l'agent de Cisco NAC

    nac-oob-acls-29.gif

    Le champ Host de détection pré-est rempli suivant les indications de la figure 28 si l'agent de Cisco NAC est téléchargé du serveur de Cisco NAC.

  19. Procédure de connexion de Web.

    1. Connectez la machine cliente utilisant un des ports de périphérie contrôlés par le gestionnaire de Cisco NAC.

      La machine cliente est placée dans le VLAN unauthenticated. L'ordinateur devrait obtenir une adresse IP du sous-réseau unauthenticated VLAN.

    2. Ouvrez le navigateur pour exécuter la procédure de connexion.

      La supposition est que cette machine cliente n'a pas un agent de Cisco NAC déjà installé. Si toutes les entrées DNS sont réorientées à l'interface non approuvée du serveur de Cisco NAC, le navigateur devrait être réorienté à une page de connexion automatiquement. Autrement, allez à un URL de particularité (par exemple, guest.nac.local) exécuter la procédure de connexion (figure 29).

      Figure 29 : Page Web Login

      nac-oob-acls-30.gif

  20. Procédure de connexion d'agent.

    L'agent de Cisco NAC peut être distribué juste comme n'importe quelle autre application logicielle aux utilisateurs finaux ou il peut être forcé utilisant le serveur de Cisco NAC.

    Remarque: Plus d'informations détaillées sur la distribution et l'installation d'agent sont disponibles dans l'appliance de Cisco NAC - guide de configuration de Clean Access Manager.

    Quand l'agent est lancé, l'écran affiché dans la figure 30 apparaît.

    Figure 30 : Connexion de l'agent

    nac-oob-acls-31.gif

    1. Sélectionnez le serveur de la liste déroulante de serveur.

    2. Écrivez le nom d'utilisateur.

    3. Entrez le mot de passe.

    4. Procédure de connexion de clic.

      L'écran dans la figure 31 apparaît, suivi sous peu par la figure 32.

      Figure 31 : L'agent de Cisco NAC exécutant la release IP et renouvellent

      nac-oob-acls-32.gif

      Figure 32 : L'agent de Cisco NAC indiquant le plein accès au réseau après IP régénèrent

      nac-oob-acls-33.gif

    5. Cliquez sur OK.

Vérifiez l'affectation VLAN

Le port géré pour cet exemple est 0/7. Après que vous complétiez avec succès le processus de procédure de connexion, le VLAN est changé du VLAN unauthenticated 14 à l'employé VLAN 17. Vous pouvez confirmer que le port exécute la configuration en émettant la commande suivante :

3560-remote#show run interface fast 0/7
Building configuration…

Current configuration : 153 bytes
!
interface FastEthernet0/7 
 switchport access VLAN 14 
 switchport mode access 
 snmp trap mac-notification change added 
 spanning-tree portfast
end

Solution ACL de la couche 3 OOB NAC pour la radio

La solution Sans fil existante NAC OOB actuellement est limitée à une solution de la couche 2 OOB avec le serveur de Cisco NAC en mode virtuel de passerelle. La limite de cette solution est que le contrôleur LAN Sans fil (WLC) doit être la couche 2 adjacente avec le serveur de Cisco NAC. Pour plus d'informations sur le déploiement Sans fil de la couche 2 OOB, allez à :

http://www.cisco.com/en/US/products/ps6128/products_configuration_example09186a0080a138cc.shtml

Remarque: Actuellement, Cisco fonctionne sur une solution ACL de la couche 3 OOB NAC pour des déploiements Sans fil.

Annexe

Haute disponibilité

Chacun des différents gestionnaires de Cisco NAC et serveurs de Cisco NAC dans la solution peut être configuré en mode facilement disponible, signifiant qu'il y a deux appliances qui agissent dans une configuration d'actif-standby.

Gestionnaire NAC

Le gestionnaire de Cisco NAC peut être configuré en mode facilement disponible où il y a deux gestionnaires NAC qui agissent dans une configuration d'actif-standby. La configuration entière sur un gestionnaire est enregistrée dans une base de données. Le gestionnaire de réserve synchronise sa base de données avec la base de données sur le gestionnaire actif. Toutes les modifications de configuration apportées au gestionnaire actif sont immédiatement poussées au gestionnaire de réserve. Les points clé suivants fournissent un résumé de haut niveau d'exécution facilement disponible de gestionnaire :

  • Le mode facilement disponible de gestionnaire de Cisco NAC est une configuration active ou passive de deux-serveur dans laquelle un gestionnaire de réserve agit en tant que sauvegarde à un gestionnaire actif.

  • Le gestionnaire actif de Cisco NAC effectue toutes les tâches pour le système. Le gestionnaire de standby surveille le gestionnaire actif et maintient sa base de données synchronisée avec la base de données du gestionnaire actif.

  • Les deux gestionnaires de Cisco NAC partagent un IP virtuel de service pour l'interface de confiance par Eth0. L'IP de service devrait être utilisé pour le certificat ssl.

  • Les gestionnaires primaires et secondaires de Cisco NAC permutent des paquets de pulsation d'UDP toutes les 2 secondes. Si le temporisateur de pulsation expire, le basculement dynamique se produit.

  • Pour assurer un gestionnaire actif de Cisco NAC est toujours disponible, son interface de confiance (Eth0) doit être. La situation doit être évitée où un gestionnaire est en activité mais n'est pas par accessible son interface de confiance. Cette condition se produit si le gestionnaire de réserve reçoit des paquets de pulsation du gestionnaire actif, mais l'interface Eth0 du gestionnaire actif échoue). Le mécanisme de lien-détecter permet au gestionnaire de réserve pour connaître quand l'interface Eth0 du gestionnaire actif devient indisponible.

  • Vous pouvez choisir « configurez automatiquement » l'interface Eth1 dans la page de gestion > de gestionnaire > de Basculement de CCA. Cependant, vous devez manuellement configurer d'autres (Eth2 ou Eth3) interfaces facilement disponibles avec une adresse IP et un netmask avant que vous configuriez la Haute disponibilité sur le gestionnaire de Cisco NAC.

  • Les interfaces Eth0, Eth1, et Eth2/Eth3 peuvent être utilisées pour la synchronisation de paquets et de base de données de pulsation. En outre, n'importe quelle interface (COM) séquentielle disponible peut également être utilisée pour des paquets de pulsation. Si vous utilisez plus d'un de ces interfaces, le Basculement se produit seulement si toutes les interfaces de pulsation échouent.

Remarque: Les paires facilement disponibles de gestionnaire de Cisco NAC ne peuvent pas être séparées par un lien de la couche 3.

Pour plus de détails, référez-vous à la documentation de gestionnaire de Cisco NAC à :

http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_ha.html

Serveur de Cisco NAC

Pour assurer la protection contre un point de défaillance unique, le serveur de Cisco NAC peut être configuré en mode facilement disponible. Le mode facilement disponible pour le serveur de Cisco NAC est semblable à celui du gestionnaire de Cisco NAC et utilise également une configuration d'actif-standby. Les serveurs de Cisco NAC partagent toujours une adresse IP virtuelle (appelée un IP de service), mais ils ne partagent pas les adresses MAC virtuelles.

Les points clé suivants fournissent une vue d'ensemble à niveau élevé du fonctionnement du serveur facilement disponible de Cisco NAC :

  • Le mode facilement disponible de serveur de Cisco NAC est une configuration actif-passive de deux-serveur dans laquelle un ordinateur hôte de réserve de Cisco NAC agit en tant que sauvegarde à un serveur actif de Cisco NAC.

  • Le serveur actif de Cisco NAC effectue toutes les tâches pour le système. Puisque la majeure partie de la configuration du serveur est enregistrée sur le gestionnaire de Cisco NAC, quand le Basculement de serveur se produit, le gestionnaire pousse la configuration au serveur nouveau-actif.

  • Le serveur de réserve de Cisco NAC n'expédie aucun paquet entre ses interfaces.

  • Le serveur de Cisco NAC de standby surveille les santés du serveur actif par une interface de pulsation (interface série et un ou plusieurs interfaces d'UDP). Des paquets de pulsation peuvent être envoyés sur l'interface série, l'interface Eth2 dédiée, l'interface Eth3 dédiée, ou l'interface Eth0/Eth1 (si aucune interface Eth2 ou Eth3 n'est disponible).

  • Les serveurs primaires et secondaires de Cisco NAC permutent des paquets de pulsation d'UDP toutes les deux secondes. Si le temporisateur de pulsation expire, le basculement dynamique se produit.

  • En plus du Basculement basé sur pulsation, le serveur de Cisco NAC fournit également le Basculement basé sur lien basé sur la panne du lien Eth0 ou Eth1. Le serveur envoie des paquets de ping d'ICMP à une adresse IP externe par l'interface Eth0 et/ou Eth1. Le Basculement se produit seulement si un serveur de Cisco NAC peut cingler les adresses externes.

Pour plus de détails, référez-vous à la documentation de serveur de Cisco NAC à :

http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_ha.html

Répertoire actif SingleSignOn (Répertoire actif SSO)

Le répertoire actif SSO de Windows est la capacité pour une appliance de Cisco NAC automatiquement aux utilisateurs de connexion déjà authentifiés à un contrôleur de domaine principal de Kerberos (serveur de Répertoire actif). Cette capacité élimine la nécessité de se connecter dans le serveur de Cisco NAC après que vous soyez déjà connecté dans le domaine. Pour plus de détails au sujet de configurer le répertoire actif SSO sur une appliance de Cisco NAC, allez à :

http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cas/s_adsso.html

Considérations d'environnement de domaine windows

En vue d'un déploiement NAC, des modifications à la stratégie de script de connexion peuvent être exigées. Des scripts de connexion de Windows peuvent être classifiés comme scripts de startup ou d'arrêt et de connexion ou de déconnexion. Passages startup de Windows et scripts d'arrêt dans un « contexte d'ordinateur. » Exécuter les scripts fonctionne seulement si l'appliance de Cisco NAC ouvre les ressources de réseau appropriées exigées par le script pour le rôle particulier quand ces scripts sont exécutés à l'amorce ou à l'arrêt PC, qui sont typiquement le rôle unauthenticated. Des scripts de connexion et de déconnexion sont exécutés dans un « contexte d'utilisateur, » qui signifie que le script de connexion exécute après que l'utilisateur ait ouvert une session par Windows GINA. Le script de connexion peut pour exécuter si l'authentification ou l'estimation de posture de machine cliente ne se termine pas et l'accès au réseau n'est pas accordé à temps. Ces scripts peuvent également être interrompus par l'adresse IP régénèrent initié par l'agent de Cisco NAC après qu'un événement de connexion OOB. Pour plus d'informations sur des modifications nécessaires aux scripts de connexion, allez à :

http://www.cisco.com/en/US/products/ps6128/products_configuration_example09186a0080a70c18.shtml

Configurer l'appliance de Cisco NAC pour l'estimation de posture de connexion de l'agent et de client

L'agent de Cisco NAC et l'agent de Web de Cisco NAC fournissent l'estimation locale et la correction de posture pour des machines cliente. Les utilisateurs téléchargent et installent l'agent de Cisco NAC ou l'agent de Web de Cisco NAC (logiciel client en lecture seule), qui peuvent vérifier le registre, les processus, les applications, et les services d'hôte. Pour plus de détails au sujet de l'agent et l'estimation et la correction de posture, allez à :

http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cam/m_agntd.html

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 112168