安全 : Cisco NAC Appliance (Clean Access)

思科美洲台与ACL的第3层OOB

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 8 月 22 日) | 反馈


目录


简介

思科网络准入控制(美洲台)强制执行在寻找网络访问的所有设备的组织的网络安全策略。思科美洲台只允许兼容并且委托端点设备,例如PCs、服务器和PDA,在网络上。访问为固执的设备限制,限制从新兴安全威胁和风险的可能损害。思科美洲台给组织一个强大,基于任务的方法对防止未经授权的访问并且改进网络弹性。

思科美洲台解决方案提供以下商业效益:

  • 安全策略标准:保证终端依照安全策略;保护基础设施和员工生产力;巩固被管理的和不受管理资产;支持内部环境和访客访问;为策略专门制作您的风险级别。

  • 保护现有投资:是与第三方管理应用程序兼容;灵活部署选项最小化对基础设施升级的需要。

  • 缓和从病毒、蠕虫病毒和未经授权的访问的风险:控制和减少大规模基础设施中断;由动态和自动化的进行的移动,添加和更改减少运营费用,启用更高的IT效率;集成其他思科自防御网络组件提供全面的安全保护。

解决方案概述

此部分简要地引入第3层带外(OOB)使用访问控制表(ACL)方法实现思科网络准入控制(美洲台)体系结构。

解决方案描述

思科美洲台用于网络基础设施强制执行在寻找对网络资源的访问的所有设备的安全策略标准。在他们授权网络访问前,思科美洲台允许网络管理员验证和授权用户和评估和修正他们相关的机器。有您能使用完成此任务的几个配置方法,但是第3层带外(OOB)迅速地变为其中一美洲台的最普遍的部署方法学。此转移在大众化中根据几Dynamics,包括硬件资源的更加好的利用率。

通过部署在第3层OOB方法的思科美洲台,单个Cisco NAC设备(思科美洲台管理器或思科美洲台服务器)能扩展适应更多用户。它也允许美洲台在中央查找的伊莱克斯而不是被分配在校园或组织间。因此,第3层OOB部署从大写和操作费用支架是有效两个。

此指南描述思科美洲台的一个基于ACL的实施在第3层OOB部署的。

解决方案体系结构

解决方案体系结构(请参阅图1)识别关键解决方案组件和集成点。

图 1:在典型的园区环境的Cisco NAC设备放置

nac-oob-acls-01.gif

以下部分描述组成典型的校园体系结构的接入层、分布层、核心层和数据中心业务集成点。

接入层

思科第3层OOB美洲台解决方案是可适用的对一个已路由访问园区网设计。在已路由接入模式,第3层交换虚拟接口(SVIs)在接入交换机配置和那里是在访问和分布式交换机之间的一第3层链路。

注意: 用语“接入交换机”和“边界交换机”在本文可互换使用。

如在图2中看到,第3层访问VLAN (例如, VLAN14)在边界交换机配置,第3层路由从交换机支持到上行分布式交换机或路由器,并且思科美洲台管理器管理接入交换机的端口。

图 2:接入交换机用对边缘的第3层

/image/gif/paws/112168/nac-oob-acls-02.gif

分布层

分布层对第3层路由负责。不同于Layer2解决方案,思科美洲台服务器不需要查找在分布层。反而,它在中央被放置在数据中心服务块。

核心层

核心层使用基于Cisco IOS的路由器。核心层为高速的路由保留,不用任何服务。服务在服务交换机可以安置在数据中心。

数据中心服务层

数据中心服务分层堆积用途基于Cisco IOS的路由器和交换机。思科美洲台管理器和思科美洲台服务器在中央查找在数据中心服务块。

解决方案组成部分

此部分描述Cisco NAC设备解决方案的组件。

思科美洲台管理器

思科美洲台管理器是集中所有思科美洲台服务器、用户和策略配置和监视在Cisco NAC设备部署的管理服务器和数据库。对于OOB美洲台部署,管理器提供OOB管理添加和控制开关在管理器的域和配置交换机端口。

思科美洲台服务器

思科美洲台服务器是在不信任(管理的)网络和委托(内部)网络之间的实施点。服务器强制执行修正定义在思科美洲台管理器,并且终端与服务器联络在验证时。在此设计,没有放置服务器逻辑上或物理的“线型”分离不信任和可靠网络。此概念是较详细地寻址的以后在“带外(OOB)模式”部分。

思科美洲台代理程序

思科美洲台代理程序是思科美洲台解决方案的一个可选组件。当代理程序为您的思科美洲台部署时启用,代理程序保证访问您的网络满足系统状态需求您的计算机指定。思科美洲台代理程序只读,易用,在用户机器驻留的斯莫尔覆盖区程序。当用户尝试访问网络时,代理程序检查客户端系统您需要的软件,并且帮助用户获取所有缺少更新或软件。

带外(OOB)模式

在Cisco NAC设备OOB部署,思科美洲台服务器与终端主机仅联络在认证过程中,摆评估和修正姿势。在被确认后,终端主机不用服务器通信。在OOB模式,思科美洲台管理器使用简单网络管理协议(SNMP)对控制开关和set vlan分配端口。当Cisco NAC管理器和服务器为OOB时设置,管理器能控制支持的交换机交换机端口。对于支持的交换机列表,请去对:

http://www.cisco.com/en/US/docs/security/nac/appliance/support_guide/switch_spt.html#wp40017

下几个图表显示思科美洲台管理器如何使用OOB控制用户如何获得对网络的访问。顺序如下:

  1. PC物理的连接到在网络的一交换机(请参见图3)。

  2. 交换机发送MAC地址使用SNMP对思科美洲台管理器(请参见图3)。

  3. 思科美洲台管理器验证PC “是否被确认”。

    1. 如果PC没有被确认,思科美洲台管理器提示交换机分配PC的交换机端口对验证VLAN (请参见图4)。继续步骤4至步骤6。

    2. 如果PC被确认,请进入步骤5。

  4. PC与思科美洲台服务器联络并且通过验证、状态评估和修正(请参见图4)。

  5. 思科美洲台服务器通知思科美洲台管理器PC “被确认” (请参见图5)。

  6. PC连接对网络作为可信的设备。

图 3:OOB SNMP通信(1 3)

nac-oob-acls-03.gif

图 4:OOB SNMP通信(2 3)

nac-oob-acls-04.gif

图 5:OOB SNMP通信(3 3)

nac-oob-acls-05.gif

设计注意事项

当您考虑一第3层OOB美洲台部署时,您应该查看几设计注意事项。在以下小节是列出的讨论的这些考虑事项,并且简要论述他们的重要包括。

终端分类

几个要素造成终端分类,包括设备类型和用户角色。设备类型和用户角色影响终端角色。

可能的设备类型

  • 公司设备

  • 非公司设备

  • 非个人计算机设备

可能的用户角色

  • 员工

  • 承包商

  • 访客

最初,所有终端分配到未经鉴定的VLAN。对其他角色的访问在标识以后允许,并且状态进程完成。

终端角色

必须最初确定终端的每种类型角色。一典型的校园部署包括几个角色,例如员工,访客和承包商和其他终端,例如打印机、无线接入点和IP摄像头。角色被映射到边界交换机VLAN。

注意: 未经鉴定的角色最初映射所有用户对首次验证的未经鉴定的VLAN。

角色隔离

当您实现思科美洲台解决方案时,隔离终端角色是重要的。选择一种适当的执行机制为起源所有的流量提供流量和路径隔离从未经鉴定和未授权的主机主机。在第3层OOB环境,第3层边界交换机(使用ACL)作为保证在之间的隔离“的实施点清洗”和“未经鉴定的”网络。

通信流

当终端连接到一美洲台托管型交换机,美洲台进程开始。作为“未经鉴定”分类的流量由在未经鉴定的VLAN应用的ACL限制。终端允许通信到思科美洲台服务器的“不信任”接口通过状态评估和修正进程继续(有是讨论以后在从Cisco.com的“更新策略在思科美洲台管理器执行状态评估和修正的几个方法”。部分)。在验证以后,终端移动向委托VLAN。

思科美洲台服务器模式

思科美洲台服务器在虚拟网关(网桥)模式或雷亚尔德蒙特罗伊IP网关(路由)模式可以部署。

虚拟网关(网桥)模式

典型地使用虚拟网关(网桥)模式,当思科美洲台服务器是Layer2在终端附近时。在此模式,服务器在网络流量的路由决策作为网桥和没有涉及。

注意: 虚拟网关(网桥)模式为第3层OOB ACL设计不是可适用的。

雷亚尔德蒙特罗伊IP网关(路由)模式

当思科美洲台服务器是远离终端时的多跳雷亚尔德蒙特罗伊IP网关(路由)模式是可适用的。当您使用服务器作为雷亚尔德蒙特罗伊IP网关时,请指定其两个接口的IP地址:委托侧的一个IP地址(提供从思科美洲台管理器的管理)和不信任侧的一个IP地址。双地址应该在不同的子网。不信任的接口IP地址使用通信与在不信任子网的终端。一第3层OOB部署使用ACL要求终端与认证和授权目的不信任的接口联络。由于雷亚尔德蒙特罗伊IP模式使用一个有效IP地址不信任的接口,在雷亚尔德蒙特罗伊IP网关模式必须配置思科美洲台服务器作用。

可扩展性

一个标准的思科美洲台服务器能管理5000并发最终用户。第3层OOB ACL设计适用与服务不大于5000个用户的站点。如果有多个站点,您能有另外的服务器每个站点。如果需要服务超过5000个用户的有一单站点,您能使用外部负载均衡技术(例如,应用程序控制引擎(ACE)负载平衡器)扩展超过单站点的5000个用户。

注意: ACE负载平衡器讨论是超出本文的范围之外。

发现号主机

发现号主机是思科美洲台代理程序用于的完全合格的域名(FQDN)或不信任的接口IP地址发现思科美洲台服务器查找的多跳离开在网络。代理程序通过发送UDP数据包开始发现过程对已知发现号主机地址。发现信息包必须到达美洲台服务器不信任的接口收到答复。一旦第3层OOB部署,服务器不在数据流路径在验证VLAN的。所以,必须配置发现号主机设置是思科美洲台服务器的不信任的接口的IP地址,以便代理程序能发送发现信息包直接地到服务器。

用户体验(用思科美洲台代理程序)

一般,公司网络管理员在发出那些机器前安装在客户端机器的思科美洲台代理程序给用户。发现号主机IP地址或可解决名称在思科美洲台代理程序触发将发送的发现信息包对美洲台服务器的不信任的接口,通过美洲台进程自动地指导客户端机器。

用户体验(没有思科美洲台代理程序)

没有思科美洲台代理程序(很可能访客、承包商和非公司资产)的终端可能不通过美洲台进程自动地继续。手工和被指导的方法存在协助没有代理程序的终端。欲知详情,请参阅“对思科美洲台服务器通信的终端”部分。

注意: 可能最好的终端用户经验,由最终用户的浏览器委托的使用证书。使用在思科美洲台服务器的自生的证书没有为生产环境推荐。

思科美洲台进程流

此部分说明美洲台OOB解决方案的基本流程流程。方案是描述的都有和没有在客户端机器安装的思科美洲台代理程序。此部分显示思科美洲台管理器如何控制交换机端口使用SNMP作为控制介质。这些流程实质上是宏分析,并且仅包含功能决策步骤。进程流不包括发生的每个选项也不跨步和不包括根据终端评估标准的审定决定。

参考在Figure7显示的进程流流程图关于在图显示的盘旋的步骤6.上。

图 6:第3层带外美洲台解决方案的美洲台进程流

nac-oob-acls-06.gif

图 7:进程流流程图

nac-oob-acls-07.gif

思科美洲台解决方案实施

在使用ACL的第3层OOB美洲台设计,思科美洲台服务器指南验证作用,但是服务器不是在网络的政策加强点。边界交换机作为实施点在验证、检疫和访问阶段。凭此班次,一些另外的更改在边界交换机要求。

角色隔离

对于一成功的美洲台部署,终端的隔离是关键。在确定后终端分类设计,应该确定在类之间的权限。推荐的方法根据图8.跟随。

图 8:作用隔离方法在思科美洲台OOB解决方案

nac-oob-acls-08.gif

注意: 思科美洲台管理器接口和思科美洲台服务器的受信接口在不同的VLAN说明以上。然而,如果服务器在雷亚尔德蒙特罗伊IP网关模式,部署这两个接口可以是在同样VLAN。

未经鉴定的VLAN要求对这些资源的访问:

  • 基础设施服务例如DHCP和DNS

  • 认证服务器,典型地Windows域登录的域控制器在美洲台验证之前

  • 美洲台服务器的不信任的接口

  • 修正服务器(可选)

员工VLAN典型地访问无限制访问所有资源,承包商VLAN典型地有对资源的一子集的有限访问,并且访客VLAN典型地只访问互联网。

访问列表技术

访问控制列表(ACL)用于指定网络流量。在您指定与ACL后的流量,您能做与流量的各种各样的事。例如,您能允许它,否认它,限制它或者使用它限制路由更新。

在ACL技术,一套ACL应用对其中每一您创建基于您的需求的新建的VLAN接口。使用VLAN ACL,在以下小节给的CLI命令显示required命令配置委托和不受信任网络路径隔离。遵从下面步骤实现ACL。

注意: 在每边界交换机必须进行VLAN的新增内容角色的隔离和配置ACL在那些VLAN。此工作应该是美洲台部署准备的一部分。

  1. 在实现美洲台前,请检查现有的VLAN配置。

    在以下文本显示的CLI命令显示员工VLAN如何典型地配置,在美洲台实现前。

    !
    int vlan
    200description EMPLOYEES_Vlan
    ip address 10.100.1.1 255.255.255.0
    !
  2. 配置其他VLAN。

    预部署美洲台计划要求配置其他VLAN和相关ACL应用对VLAN接口。为例,以下CLI文本如何显示添加其中每一个的一新的第3层VLAN未经鉴定,员工、承包商和访客角色。

    ! 
    int vlan
    100description UNAUTHENTICATED_Vlan
    ip address 172.16.1.1 255.255.255.0
    !
    int vlan
    200description EMPLOYEES_Vlan
    ip address 10.100.1.1 255.255.255.0
    !
    int VLAN
    210description CONTRACTORS_Vlan
    ip address 10.120.1.1 255.255.255.0
    !
    int vlan
    300description GUESTS_Vlan
    ip address 192.168.1.1 255.255.255.0
    !
  3. 实现在未经鉴定的角色的限制。

    在未经鉴定的角色的未经鉴定的设备典型地要求对资源的访问在干净的网络,例如DNS、DHCP、活动目录和修正服务器。他们也需要对思科美洲台服务器的不信任的接口的访问,在下面的配置示例里,未经鉴定的角色访问在10.10.10.0/24网络和思科美洲台服务器的不信任的接口的资源。

    ! 
    ! this access-list permits traffic destined to devices on 10.10.10.x
    ! this should be a consistent ACL that can be applied across all L3 
    switches
    !
    ip host NAC_SERVER_UNTRUSTED_INTERFACE <IP_Address>
    access-list 100 permit ip any host NAC_SERVER_UNTRUSTED_INTERFACE
    access-list 100 permit ip any 10.10.10.0 255.255.255.0
    !
    !
    ! then apply this access-list to the UNAUTHENTICATED_Vlan
    !
    int vlan100
    description UNAUTHENTICATED_Vlan
    ip address 172.16.1.1 255.255.255.0
    ip access-group 100 in
    !
    int vlan200
    description EMPLOYEES_Vlan
    ip address 10.100.1.1 255.255.255.0
    !
    int vlan300
    description GUESTS_Vlan
    ip address 192.168.1.1 255.255.255.0
    !
  4. 实现在访客VLAN的限制。

    一般,访客角色访问仅互联网。应该明确地拒绝对不需要的资源的所有访问,例如所有内部网络。唯一的例外可能是内部DNS服务器。

    ! 
    ! ACL 100 permits traffic destined to devices on 10.10.10.0 / 24
    ! this should be a consistent ACL that can be applied across all L3 
    switches
    !
    access-list 100 permit ip any 10.10.10.0 255.255.255.0
    !
    !
    ! ACL 101 for Guests should deny access to all internal networks
    ! while DNS is permitted 
    !
    access-list 101 permit udp any host GUEST_DNS_SERVER eq 53
    access-list 101 deny ip any 10.0.0.0 255.0.0.0
    access-list 101 deny ip any 192.168.0.0 255.255.0.0
    access-list 101 deny ip any 172.16.0.0 255.240.0.0
    access-list 101 permit ip any any
    !
    int VLAN100
    description UNAUTHENTICATED_VLAN
    ip address 172.16.1.1 255.255.255.0
    ip access-group 100 in
    !
    int VLAN200
    description EMPLOYEES_VLAN
    ip address 10.100.1.1 255.255.255.0
    !
    !
    int VLAN300
    description GUESTS_VLAN
    ip address 192.168.1.1 255.255.255.0
    ip access-group 101 in
    !

对思科美洲台服务器通信的终端

从为了ActiveX或Java程序或Web登录页的思科美洲台服务器获得MAC信息启用的思科美洲台代理程序能确定设备MAC地址和报告它回到思科美洲台管理器。

思科美洲台代理程序

思科美洲台代理程序需要连通以美洲台服务器不信任的接口开始登录过程。代理程序设法发现根据已知发现号主机值的服务器。如图9所显示,在Cisco Agent (nacs.nac.local)的发现号主机值指向不信任的接口(172.23.117.57)在美洲台服务器。图9显示三个屏幕的组合。

请参阅“座席登录”。欲了解更详细的信息区分在登陆通过思科美洲台代理程序。

图 9:指向美洲台服务器的不信任的接口的发现号主机

nac-oob-acls-09.gif

注意: 如果代理程序不能接收从思科美洲台服务器的任何答复上一步思科美洲台代理程序没出现。

Web洛金

Web登录为访客登录会话典型地要求。当使用时ACL隔离技术,美洲台服务器不信任的接口不直接地在数据流的路径。所以,当首先打开时,用户没有自动地重定向对登录页浏览器。两个选项能使终端主机获得登录页。

第 1 项

  • 创建访客登录URL为用户所知(例如, guest.cisco.com)。

  • 访客必须然后打开浏览器和输入该URL,导致一重定向登录页。

第 2 项

  • 创建未认证的用户子网的一个假的DNS服务器。

  • 此假的DNS服务器解决每个URL对思科美洲台服务器的不信任的接口。

  • 当访客打开浏览器时,不管哪些URL他尝试到达,他重定向对登录页。

  • 当用户然后移动向他的角色的时适当的VLAN,他在成功登录获得一个新的DNS地址分配,当执行的IP版本或更新。

在第3层OOB设计,登陆使用网页下载并且执行Activex控件的用户(为Internet Explorer浏览器)或Java程序(为非IE浏览器)。Activex控件(或Java)一定运行执行以下:

  • 收集主机的MAC地址,报告给思科美洲台服务器和思科美洲台管理器提供IP地址和MAC地址映射。

  • 执行IP版本并且更新终端客户端。

注意: 决策允许访客使用内部或外部DNS是每个组织必须做出的政策决策。使用一基于公共的DNS服务形成在此方法的最少潜伏风险。

通过网页请参阅Web登录,欲了解更详细的信息在登陆。

美洲台第3层OOB ACL配置示例

成功部署美洲台OOB解决方案,美洲台组件需要配置匹配希望的体系结构。图10显示使用ACL,在此部分使用说明思科美洲台管理器、思科美洲台服务器和一边界交换机相关配置美洲台第3层OOB部署的第3层美洲台OOB逻辑网络图表。

图 10:美洲台第3层OOB逻辑拓扑图表

nac-oob-acls-10.gif

要配置第3层雷亚尔德蒙特罗伊IP OOB美洲台部署,请遵从这些步骤:

  1. 配置实施的边界交换机。

    1. 首先,请创建三另外的VLAN (未经鉴定,承包商和访客)在边界交换机。现有制作VLAN将使用员工。

    2. 设定及适用在每个VLAN的ACL限制对根据指定角色的网络的访问。

      • 未经鉴定的角色:VLAN 17和ACL名称:UNAUTH_ACL

        ! Create SVI for Un-auth VLAN
        
        Edge Switch(config)#interface vlan 17
        Edge Switch (config)#ip address 192.168.7.1 255.255.255.0
        Edge Switch (config)#ip helper-address 192.168.3.10
        ! 192.168.3.10 is the dhcp server (see Figure 10) 
        
        ! Configure ACL for Un-auth Role
        Edge Switch(conf)#ip access-list extended UNAUTH_ACL
           remark Allow Discovery packets from Agent to NAC Server
           permit udp any host 192.168.8.10 eq 8906
           remark Allow Discovery packets from Agent to NAC Server for ADSSO
           permit udp any host 192.168.8.10 eq 8910
           remark Allow Web traffic from PC to NAC Server
           permit tcp any host 192.168.8.10 eq www
           remark Allow SSL traffic from PC to NAC Server
           permit tcp any host 192.168.8.10 eq 443
           remark Allow DHCP permit udp any any eq bootpc
           permit udp any any eq bootps
           remark Allow DNS
           permit udp any any eq domain
           remark Allow Web traffic to the Remediation Server
           permit tcp any host 192.168.3.10 eq www
        
        ! Apply ACL for Un-auth VLAN Interface
        
        Edge Switch(config)#interface vlan 17
        Edge Switch(config)# ip access-group UNAUTH_ACL in
      • 承包商角色:VLAN 77和ACL名称:CONTRACTOR_ACL

        ! Create SVI for Contractor VLAN
        
        Edge Switch(config)#interface vlan 77
        Edge Switch (config)#ip address 192.168.77.1 255.255.255.0
        Edge Switch (config)#ip helper-address 192.168.3.10
        
        ! Configure ACL for Contractor Role
        
        Edge Switch(conf)#ip access-list extended CONTRACTOR_ACL
           remark Allow DHCP permit udp any any eq bootpc
           permit udp any any eq bootps
           remark Allow DNS
           permit udp any any eq domain
           remark Allow traffic to DMZ Subnet 
           permit ip any 192.168.3.0 0.0.0.255
           remark deny rest of the internal resources
           deny ip any 10.0.0.0 255.0.0.0
           deny ip any 192.168.0.0 255.255.0.0
           deny ip any 172.16.0.0 255.240.0.0
           remark permit internet
           permit ip any any
        
        ! Apply ACL for Contractor VLAN Interface
        
        Edge Switch(config)#interface vlan 77
        Edge Switch(config)# ip access-group CONTRACTOR_ACL in
      • 访客角色:VLAN 78和ACL名称:GUEST_ACL

        ! Create SVI for GUEST VLAN
        
        Edge Switch(config)#interface vlan 78
        Edge Switch (config)#ip address 192.168.78.1 255.255.255.0
        Edge Switch (config)#ip helper-address 192.168.3.10
        
        ! Configure ACL for Guest Role
        
        Edge Switch(conf)#ip access-list extended GUEST_ACL
           remark Allow DHCP 
           permit udp any any eq bootpc
           permit udp any any eq bootps
           remark Allow DNS
           permit udp any any eq domain
           remark deny access to the internal resources
           deny ip any 10.0.0.0 255.0.0.0
           deny ip any 192.168.0.0 255.255.0.0
           deny ip any 172.16.0.0 255.240.0.0
           remark permit internet
           permit ip any any
        
        ! Apply ACL for GUEST VLAN Interface
        
        Edge Switch(config)#interface vlan 78
        Edge Switch(config)# ip access-group GUEST_ACL in
      • 雇员角色:VLAN14和ACL :Production_ACL

        现有制作VLAN可以用于移动从未经鉴定的VLAN的员工向员工VLAN。在末端客户端被切换向此VLAN后,思科美洲台代理程序仍然尝试发现思科美洲台服务器。代理程序设计正常运行这样。如果代理程序能到达服务器,代理程序冒出并且尝试再次表演登录过程,即使计算机已经有授权访问。明显地,这是一种不需要的行为,并且管理员必须保证起源于代理程序的UDP 8906发现信息包丢弃。Employee_ACL配置丢弃这些发现信息包。

        ! Use Existing Production Layer 3 VLAN for Employees 
        
        Edge Switch(config)#interface vlan 14
        Edge Switch (config)#ip helper-address 192.168.3.10
        
        ! Configure ACL to prevent discovery packets from reaching the 
        untrusted interface on the NAC Server
        
        Edge Switch(conf)#ip access-list extended Employee_ACL
           remark Deny Discovery packets from Agent to NAC Server
           deny udp any host 192.168.8.10 eq 8906
           permit ip any any
        
        ! Apply ACL for Employee VLAN Interface
        
        Edge Switch(config)#interface vlan 14
        Edge Switch(config)# ip access-group Employee_ACL in
  2. 执行Cisco NAC管理器和服务器初始设置。

    Cisco NAC管理器和服务器安装通过控制台访问被执行。安装工具指南您通过管理器和服务器的初始配置。要执行初始设置,请去对:

    http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_instal.html

  3. 应用许可证给思科美洲台管理器。

    在您通过控制台后执行初始设置,请访问思科美洲台管理器GUI持续配置Cisco NAC管理器和服务器。首先请上传用设备来的管理器和服务器许可证。对于在上传许可证的更多详细信息,请去对:

    http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_instal.html#wp1113597

    注意: 所有Cisco NAC管理器和服务器许可证根据管理器的eth0 MAC地址。在故障切换设置,许可证根据主要的和附属思科美洲台管理器eth0 MAC地址。

  4. 更新从Cisco.com的策略在思科美洲台管理器。

    思科美洲台管理器必须配置从中央更新服务器获取定期更新查找在思科。Cisco NAC设备支持的AV/AS产品列表是从提供支持的防病毒和antispyware供应商和被使用产品的版本最当前的矩阵配置防病毒或antispyware规则和防病毒或者antispyware定义更新需求状态评估和修正的一个集中化更新服务器分配的versioned XML文件。此列表为防病毒有规律地更新,并且支持和版本每个思科美洲台代理程序antispyware产品发布并且包括新代理人版本的新产品。注意列表提供仅版本信息。当思科美洲台管理器下载支持的防病毒和antispyware产品列表时,下载关于什么的信息最新的版本是为防病毒和antispyware产品;它不是下载的实际补丁文件或病毒定义文件。凭此信息,代理程序能然后触发本地防病毒或antispyware应用程序执行更新。关于更新如何的更多信息获取,请去对:

    http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cam/m_agntd.html#wp1351880

  5. 从一第三方Certificate Authority (CA)的安装证书。

    在安装时,思科美洲台管理器和思科美洲台服务器的配置工具脚本要求您生成一临时SSL证书。对于实验室环境,您可以继续使用自签名证书;然而,他们没有为生产网络推荐。

    关于安装在思科美洲台管理器的证书的更多信息从第三方CA,请去对:

    http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cam/m_admin.html#wp1078189

    关于安装在思科美洲台服务器的证书的更多信息从第三方CA,请去对:

    http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cas/s_admin.html#wp1040111

    注意: 如果在实验室环境、思科美洲台管理器和思科美洲台服务器使用赛弗符号证书每需要委托其他的证书,在下要求您上传两个的证书作为委托认证机关SSL >信任证书权限。

  6. 添加思科美洲台服务器到思科美洲台管理器。

    添加对美洲台管理器的美洲台服务器,遵从这些步骤:

    1. 单击CCA服务器在设备管理窗格下(请参见图11)。

    2. 点击新的Server选项

    3. 请使用服务器IP地址方框添加美洲台服务器的受信接口的IP地址。

    4. 服务器位置方框中,请进入OOB美洲台服务器作为服务器位置。

    5. 服务器类型下拉列表选择带外雷亚尔德蒙特罗伊IP网关

    6. 单击添加Clean Access服务器

      图 11:添加思科美洲台服务器到思科美洲台管理器

      nac-oob-acls-11.gif

      在您添加思科美洲台服务器后,在列表看起来在服务器选项卡下列表(请参见图12)。

      注意: 思科美洲台管理器和思科美洲台服务器必须委托管理器的彼此的Certificate Authority (CA)能成功地添加服务器。

  7. 配置思科美洲台服务器。

    1. 如图12所显示,请点击服务器选项卡列表

    2. 点击Manage图标(盘旋) Cisco NAC服务器的继续配置。

      图 12:思科美洲台管理器管理的思科美洲台服务器

      nac-oob-acls-12.gif

      在您点击Manage图标后,在图显示的屏幕13上出现。

  8. Enable (event)第3层支持。

    1. 点击Network选项(图13)。

    2. 检查Enable (event) L3支持复选框。

    3. 检查Enable (event) L3严格模式阻塞有Clean Access代理程序复选框。的NAT设备

    4. 单击更新

    5. 重新启动思科美洲台服务器如提示。

      图 13:思科美洲台服务器网络详细信息

      nac-oob-acls-13.gif

      注意: 总是请生成思科美洲台服务器的证书用其不信任的接口的IP地址。对于基于域名的证书,名称应该解决到不信任的接口IP地址。当终端与服务器的不信任的接口联络开始美洲台进程,服务器将重定向用户对证书主机名或IP。如果证书指向受信接口,登录过程不会正确地作用。

      在以上的表13,您看到两默认网关存在。在受信接口配置的仅默认网关是可适用的。在不信任的接口的值没有使用转发流量。从不信任的接口转发的流量依靠报道的静态路由于下一步。

  9. 配置静态路由。

    1. 在思科美洲台服务器重新启动,回到服务器并且继续配置后。

      服务器必须使用不信任的接口与在未经鉴定的VLAN的终端联络。

    2. 先进>静态路由(请参见图14)添加路由未经鉴定的VLAN。

    3. 填写未经鉴定的VLAN的适当的子网。

    4. 单击添加路由

    5. 选择这些路由的不信任的接口[eth1]

      图 14:添加静态路由到达未认证的用户请分支子网

      nac-oob-acls-14.gif

  10. 设置交换机的配置文件在思科美洲台管理器。

    1. 挑选OOB Management> Profiles>设备> Edit (请参见图15)。

    2. 填写设备配置文件信息,使用示例作为指南。

      每交换机将关联与配置文件。添加思科美洲台管理器将管理边界交换机的每种类型的一配置文件。管理器支持SNMPv1、SNMPv2C和SNMPv3。此示例包括仅SNMPv1。您可以要配置SNMPv2或SNMPv3c更多的巩固SNMP通信管理器和交换机之间。

      图 15:用于的SNMP配置文件管理交换机

      /image/gif/paws/112168/nac-oob-acls-15.gif

    3. 设置SNMP的交换机配置。

      应该为SNMP读/写社区字符串配置边界交换机和在思科美洲台管理器配置的那些一样。请参阅下面CLI命令。

      3560-remote(config)#snmp-server community cisco123 RO
      3560-remote(config)#snmp-server community cisco321 RW
    4. 选择OOB Management>新建的Profiles> Port> (请参见图16)。

      对于单个端口控制,请配置包括默认未经鉴定的VLAN和默认访问VLAN的端口配置文件在OOB Management> Profiles>波尔特下。在访问VLAN部分,请指定用户角色VLAN使用下拉式的访问VLAN。思科美洲台管理器更改未经鉴定的VLAN对根据VLAN VLAN的访问定义在用户属于的角色。

      定义端口配置文件控制端口VLAN根据实现的用户角色和VLAN。

      验证VLAN是未经鉴定的VLAN (VLAN 17)未经鉴定的设备最初分配。

      默认访问VLAN是员工VLAN (VLAN14)。此VLAN,如果已认证的用户不安排基于任务的VLAN定义,使用。

      访问VLAN能改写默认VLAN到用户角色VLAN,定义在用户角色下(关于安装用户角色的更多信息,请参阅“配置用户角色”。部分)。LDAP映射可以用于映射在美洲台的用户角色对LDAP组。欲知更多信息,请去对:

      http://www.cisco.com/en/US/products/ps6128/products_tech_note09186a0080846d7a.shtml

      图 16:管理交换机端口的波尔特配置文件

      /image/gif/paws/112168/nac-oob-acls-17.gif

      注意: 您能也定义VLAN名称而不是ID。如果定义了VLAN名称,您能有在另外交换机的不同的VLAN ID在校园间,但是同样VLAN名称附加对一个特定的角色。

      其它选项是可用的在端口配置文件下为IP版本并且更新选项。把在图显示的页移下来16上发现这些选项。

      如果用户是在IP电话后,请不选定跳动端口,在VLAN是更改的复选框(请参见图17)后,如果检查,也许重新启动IP电话,当端口重新启动时。

      图 17:多种选项可用的下面波尔特配置文件

      nac-oob-acls-18.gif

  11. 配置SNMP接收方设置。

    除设置读或写的SNMP团体字符串之外,您必须也配置思科美洲台管理器收到从交换机的SNMP陷阱。当用户从端口时,连接并且断开这些陷阱被发送。当思科美洲台服务器发送一个特定的终端的MAC IP地址信息给管理器时,管理器为MAC/IP和交换机端口构件映射表内部地。

    注意: 您必须配置所有交换机发送陷阱或通知对思科美洲台使用社区字符串的管理器定义在表18。

    1. 挑选OOB Management> Profiles> SNMP接收方(请参见图18)。

    2. 配置SNMP陷阱设置使用屏幕在表18作为指南。

      图 18:美洲台管理器SNMP收集SNMP陷阱的接收方设置和通知

      nac-oob-acls-19.gif

    3. 要配置SNMP陷阱的交换机设置,请增加默认交换机Clean Access管理器(CAM)冲洗计时器对1个小时(3600在下面CLI的方框)每美洲台OOB的思科最佳实践推荐。CLI示例显示mac-address-table过期时间参数集到3600。

      设置对1个小时的计时器使频率MAC通知降低已经发送在连接的设备外面到思科美洲台管理器。请使用trap命令的来源指定使用派出陷阱的源地址。

      snmp-server enable traps mac-notification
      snmp-server host 192.168.2.33 informs NacTraps
      snmp-server trap-source Vlan 2
      mac-address-table aging-time 3600

      随意地,请配置联结和链路中断陷阱发送对思科美洲台管理器(没显示在CLI示例)。这些陷阱在终端主机没有在IP电话后连接的部署方案仅使用。

      注意: Snmp inform,因为他们比SNMP陷阱,可靠推荐。并且,请考虑SNMP的QoS在高数据流网络环境。

  12. 添加交换机作为在思科美洲台管理器的设备。

    1. 挑选OOB Management>设备>设备>New (请参见图19)。

      在步骤创建的交换机配置文件10将是使用的添加交换机。

    2. 在设备配置文件下,请使用您创建的配置文件,但是请勿更改默认端口配置文件值,当您添加交换机时。

      注意: 对于默认端口配置文件,因为您从未管理接入交换机的所有端口,总是请选择"uncontrolled,"。至少一上行链路端口一定是未管制的。所以,您必须添加有需要管理的一未管制的端口配置文件的交换机然后选择端口。

      图 19:使用SNMP,添加在思科美洲台管理器的一边界交换机控制

      nac-oob-acls-20.gif

    3. 在交换机被添加到思科美洲台管理器后,请选择您要管理的端口。

  13. 配置美洲台能将管理的设备的交换机端口。

    1. 选择OOB Management>看到您能管理的可用的交换机端口的设备开关[IP address] > Ports>列表(请参见图20)。

      图 20:波尔特控制一托管型交换机的选择联机

      nac-oob-acls-21.gif

    2. 挑选OOB Management>设备开关[IP address] > Ports>设法立即管理几个端口(请参见图21)。

      图 21:管理有加入选项的多个端口

      nac-oob-acls-22.gif

  14. 配置用户角色。

    在本例中,三个另外的角色创建。VLAN在其中每一对应于角色的边缘已经创建。

    1. 选择用户管理>用户角色> Edit角色并且创建雇员角色使用图22作为指南。

      图 22:创建雇员角色和映射对制作VLAN14

      nac-oob-acls-23.gif

    2. 选择用户管理>用户角色> Edit角色并且创建承包商角色使用图23作为指南。

      图 23:创建承包商角色和映射它对有限访问VLAN 77

      nac-oob-acls-24.gif

    3. 选择用户管理>用户角色> Edit角色并且创建访客角色使用图24作为指南。

      图 24:创建访客角色和映射它对互联网仅VLAN

      nac-oob-acls-25.gif

      总共,您应该看到六作用创建在此部分(三个默认角色和三个新的角色),如图25所显示。

      图 25:添加在美洲台管理器的角色

      nac-oob-acls-26.gif

  15. 添加用户并且分配合适用户角色。

    在园区环境,您将集成外部验证服务器并且映射用户对一个特定的角色通过LDAP属性。此示例以角色使用一个本地用户和关联该本地用户。

  16. 自定义Web登录的用户登录页。

    默认登录页在思科美洲台管理器已经创建。您能或者定制登录页更改Web门户的外观。对于美洲台第3层OOB解决方案,必须下载ActiveX或Java组件对末端客户端执行以下任务:

    1. 拿来客户端机器的MAC地址。

    2. 执行IP地址版本并且更新。

    3. 选择Administration >用户页(请参见图26)。

    4. 编辑页做enable (event)在图显示的选项26上。

      图 26:Web的洛金用户页定位

      /image/gif/paws/112168/nac-oob-acls-27.gif

  17. 定制用户角色的思科美洲台代理程序。

    1. 选择设置的设备管理> Clean Access >General >座席登录(请参见图27)。

      思科美洲台管理器可以配置使代理程序必需对于所有用户角色。在本例中,代理程序对于雇员角色是必需的。承包商和访客角色必须使用Web登录。

    2. 检查要求使用代理程序复选框。

      图 27:为雇员角色要求的座席登录

      nac-oob-acls-28.gif

  18. 分配思科美洲台代理程序的发现号主机。

    思科美洲台代理软件分配、安装和配置在“配置Cisco NAC设备座席登录和客户端状态评估”部分的附录报道。此示例配置在思科美洲台管理器的发现主机。

    选择设备管理> Clean Access > Clean Access代理程序>安装(请参见图28)。

    图 28:思科美洲台代理程序的发现号主机

    nac-oob-acls-29.gif

    如果思科美洲台代理程序从思科美洲台服务器,下载发现号Host Field被事前填充如图28所显示。

  19. Web登录。

    1. 连接客户端机器使用思科美洲台管理器控制的其中一个边缘端口。

      客户端机器在未经鉴定的VLAN安置。计算机应该从未经鉴定的VLAN子网获得IP地址。

    2. 打开浏览器执行登录。

      假定是此客户端机器没有已经安装的一个思科美洲台代理程序。如果所有DNS条目重定向对思科美洲台服务器的不信任的接口,应该自动地重定向浏览器到登录页。否则,请去特定URL (例如, guest.nac.local)执行登录(图29)。

      图 29:Web登录页

      nac-oob-acls-30.gif

  20. 座席登录。

    思科美洲台代理程序可以被分配正如对最终用户的所有其它软件应用程序或可以是牵强的使用思科美洲台服务器。

    注意: 关于代理程序分配和安装的详细信息是可用的在Cisco NAC设备- Clean Access管理器配置指南

    当代理程序激活时,在图显示的屏幕30上出现。

    图 30:座席登录

    nac-oob-acls-31.gif

    1. 选择从服务器下拉列表的服务器。

    2. 输入用户名。

    3. 输入密码。

    4. 单击 Login

      屏幕在表31出现,被图32短期跟随。

      图 31:思科美洲台代理程序执行的IP版本和更新

      nac-oob-acls-32.gif

      图 32:指示全双工网络访问的思科美洲台代理程序在IP刷新以后

      nac-oob-acls-33.gif

    5. 单击 Ok

验证VLAN分配

此示例的被管理的端口是0/7。在您成功地完成登录过程后, VLAN从未经鉴定的VLAN14更改到员工VLAN 17。您能确认哪个端口配置由发出以下命令负责:

3560-remote#show run interface fast 0/7
Building configuration…

Current configuration : 153 bytes
!
interface FastEthernet0/7 
 switchport access VLAN 14 
 switchport mode access 
 snmp trap mac-notification change added 
 spanning-tree portfast
end

美洲台第3层无线的OOB ACL解决方案

现有美洲台OOB无线解决方案对一Layer2 OOB解决方案当前被限制用在虚拟网关模式的思科美洲台服务器。该解决方案的限制是无线局域网控制器(WLC)必须是Layer2相邻与思科美洲台服务器。关于Layer2 OOB无线部署的更多信息,请去对:

http://www.cisco.com/en/US/products/ps6128/products_configuration_example09186a0080a138cc.shtml

注意: 目前,思科在无线部署的美洲台第3层OOB ACL解决方案工作。

附录

高可用性

其中每一个各自的思科美洲台管理器和思科美洲台服务器在解决方案在高性能的模式可以配置,含义有在激活待机配置里操作的两个设备。

美洲台管理器

思科美洲台管理器在有两个美洲台管理器在激活待机配置里操作的高性能的模式可以配置。在管理器的整个配置在数据库存储。暂挂管理器与在活动管理器的数据库同步其数据库。做的所有配置更改对活动管理器立即推送对暂挂管理器。以下关键点提供高性能的管理器操作一高层次摘要:

  • 思科美洲台管理器高性能的模式是方面一个暂挂管理器作为备份给一个活动管理器的激活或被动服务器配置在。

  • 活动思科美洲台管理器执行系统的所有任务。暂挂管理器监控活动管理器并且保持其数据库同步与活动管理器数据库。

  • 两个思科美洲台管理器共享Eth0受信接口的虚拟服务IP。应该用于服务IP SSL证书。

  • 主要的和附属思科美洲台管理器交换UDP心跳信息包每2秒。如果检测信号计时器超时,有状态故障切换发生。

  • 要保证一个活动思科美洲台管理器总是可用的,其受信接口(Eth0)必须是UP。必须避免情况管理器是活跃的地方,但是不可取得通过其受信接口。此情况发生,如果暂挂管理器收到从活动管理器的心跳信息包,但是活动管理器的Eth0接口发生故障)。当活动管理器的Eth0接口变得不可用时,林克检测机制允许暂挂管理器知道。

  • 您能选择“自动地配置”在Administration > CCA Manager>故障切换页的Eth1接口。然而,您必须手工配置其他(Eth2或Eth3)高性能的接口用IP地址和网络屏蔽,在您配置在思科美洲台管理器前的高可用性。

  • Eth0、Eth1和Eth2/Eth3接口可以用于心跳信息包和数据库同步。另外,所有可用的序列(COM)接口可能也用于心跳信息包。如果使用超过一这些接口,故障切换发生,只有当所有检测信号接口发生故障。

注意: 思科美洲台管理器高性能的对不可能由第3层链路分离。

欲了解更详细的信息,参考思科美洲台管理器文档在:

http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_ha.html

思科美洲台服务器

要提供防护单点故障,思科美洲台服务器在高性能的模式可以配置。思科美洲台服务器的高性能的模式类似于那思科美洲台管理器并且使用激活待机配置。思科美洲台服务器仍然共享一个虚拟IP地址(呼叫服务IP),但是他们不共享虚拟MAC地址。

以下关键点提供高性能的思科美洲台服务器操作高水平概述:

  • 思科美洲台服务器高性能的模式是方面一个暂挂思科美洲台服务器设备作为备份到一个活动思科美洲台服务器的一个主动或被动服务器配置在。

  • 活动思科美洲台服务器执行系统的所有任务。由于大多数服务器配置在思科美洲台管理器存储,当服务器故障切换发生时,管理器推送配置到重新激活的服务器。

  • 暂挂思科美洲台服务器不转发在其接口之间的任何数据包。

  • 暂挂思科美洲台服务器通过检测信号接口(序列和一个或更多UDP接口)监控活动服务器的健康。(如果Eth2或Eth3接口不是可用的),心跳信息包在serial interfaces、专用的Eth2接口、专用的Eth3接口或者Eth0/Eth1接口可以被发送。

  • 主要的和附属思科美洲台服务器交换UDP心跳信息包每两秒。如果检测信号计时器超时,有状态故障切换发生。

  • 除基于检测信号的故障切换之外,思科美洲台服务器也提供根据Eth0或Eth1链路故障的基于林克的故障切换。服务器发送ICMP Ping数据包对外部IP地址通过Eth0和Eth1接口。只有当一个思科美洲台服务器能ping外部地址,故障切换发生。

欲了解更详细的信息,参考思科美洲台服务器文档在:

http://www.cisco.com/en/US/docs/security/nac/appliance/installation_guide/hardware/47/hi_ha.html

活动目录SingleSignOn (活动目录SSO)

Windows活动目录SSO自动地是Cisco NAC设备的能力给登录用户已经验证对一个后端Kerberos域控制器(激活目录服务器)。在您已经登录域后,此能力排除需要登录思科美洲台服务器。欲了解更详细的信息关于配置在Cisco NAC设备的活动目录SSO,请去对:

http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cas/s_adsso.html

Windows域环境考虑事项

为准备美洲台部署,对登录脚本策略的更改可能要求。Windows登录脚本可以分类作为启动或关闭和登录或者注销脚本。Windows在“计算机上下文运行启动和关闭脚本”。运行脚本只作用,如果Cisco NAC设备打开特定的角色的脚本要求的适当的网络资源,当这些脚本被执行在PC启动或关闭时,典型地是未经鉴定的角色。登录和注销脚本在“用户上下文被执行”,含义登录脚本执行,在用户通过Windows姬娜后登陆。登录脚本可以不能执行,如果验证或客户端机器状态评估不完成,并且网络访问没有授权及时。这些脚本可能被思科美洲台代理程序启动的IP地址刷新也中断在OOB登录事件以后。关于对登录脚本的必要的更改的更多信息,请去对:

http://www.cisco.com/en/US/products/ps6128/products_configuration_example09186a0080a70c18.shtml

配置座席登录和客户端状态评估的Cisco NAC设备

思科美洲台代理程序和思科美洲台Web代理程序为客户端机器提供本地状态评估和修正。用户下载并且安装思科美洲台代理程序或思科美洲台Web代理程序(只读客户端软件),能检查主机注册、进程、应用程序和服务。欲了解更详细的信息关于代理程序和状态评估和修正,请去对:

http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/47/cam/m_agntd.html


相关信息


Document ID: 112168