Seguridad : Cisco NAC Appliance (Clean Access)

Mejor práctica de implementar las importaciones/exportaciones de la directiva (EMPANADA) en el NAC de Cisco

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios


Contenido


Introducción

El propósito de este documento es resaltar las mejores pautas prácticas para asegurar una instrumentación satisfactoria de la característica de las importaciones/exportaciones de la directiva (EMPANADA) en el NAC de Cisco.

prerrequisitos

Requisitos

La familiaridad se requiere con la interfaz Web del administrador del NAC de Cisco (Access Manager limpio) y las directivas que se configuran típicamente. Refiera a los Release Note para la versión 4.5 del NAC de Cisco para cuál está y no se soporta con la EMPANADA.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Software 4.5.0 del NAC de Cisco

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

Recomendaciones de la mejor práctica de la EMPANADA

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup Tool (clientes registrados solamente) para obtener más información sobre los comandos utilizados en esta sección.

Configuraciones

Siga las recomendaciones enumeradas abajo para asegurar una instrumentación satisfactoria de la característica de las importaciones/exportaciones de la directiva CAM (EMPANADA).

  1. Cisco recomienda que usted configura las mismas configuraciones autos de la actualización en ambos master y el receptor NACMs (bajo Administración de dispositivos > limpie el acceso > las actualizaciones > la actualización) para asegurarse de que todo el NACMs tenga las mismas actualizaciones de Cisco antes de que usted realice una directiva sincroniza. Esto es porque los controles actuales en la invalidación principal ningunos comprueban el receptor si usted realiza las actualizaciones de Cisco en un receptor NACM con diversas configuraciones autos de la actualización y después realiza una directiva sincroniza.

  2. Si usted tiene OOB un NACM y cualquier herencia NACM con un IB-only autorice, aseegurese que usted utiliza OOB el NACM como el master NACM y la herencia NACM como los receptores.

  3. Una vez que la EMPANADA se habilita para un componente determinado entre el master y el receptor, las tablas del receptor/información se substituyen totalmente por la información que se avanza del master. No es acumulativa en el lado de la recepción. Por ejemplo, si el receptor tiene una regla de tráfico que permita el acceso a mcafee.com y el master tiene reglas de tráfico que permitan el acceso a cisco.com y a abc.com, pero ninguna regla para mcafee.com, el receptor y el master tendrán reglas idénticas una vez que se ejecuta el sincronizar: cisco.com y abc.com. Observe que la regla de tráfico para mcafee.com no existe en el receptor después de que el sincronizar puesto que el master no tenía esa regla. La mejor práctica es configurar al master NACM según lo deseado pero no modificar las configuraciones de la directiva en los receptores.

  4. El número máximo de receptores soportados es 10. Aunque no haya limitación técnica al número de receptores, la recomendación de la mejor práctica es guardar esto al número soportado (menos que o igual a 10).

    Nota: Para los HA-pares NACM, la directiva sincroniza las configuraciones se inhabilita para el NACM espera.

  5. El master y los receptores deben funcionar con la misma versión de la versión del NAC de Cisco (4.5 o más alto).

  6. Asegúrese de que ambos administradores del NAC hagan que los certificados firmados y ambos del Certificate Authority (CA) master y receptor confíen en los Certificados de uno a. Los Certificados son dominantes asegurar la sincronización entre el master y el receptor. El master tiene que confiar en el certificado presentado por el receptor y viceversa. Para esto, es necesario asegurarse de que cada uno de ellos tiene raíz CA de su certificado de peer (encadenamiento lleno si el intermediario está implicado) en la lista de confianza de CA. En las implementaciones de producto, la mejor práctica es substituir los certificados autofirmados en el administrador del NAC por los certificados firmados de CA. En fin, aseegurese que las mejores prácticas del certificado del administrador SSL del NAC están resueltas antes de que usted implemente la EMPANADA.

  7. Aseegurese que le abren una sesión mientras que un Usuario administrador del control total al administrador principal del NAC para realizar la directiva automática o manual sincroniza.

  8. El auto sincroniza permite que usted programe una directiva automática sincroniza una vez que cada número X de días (el mínimo es 1 día). Si usted desea de utilizar el auto sincronice para la EMPANADA, Cisco recomienda fuertemente que usted para realizar un manual sincroniza y verifica que el sincronizar trabaja con éxito antes de que usted habilite el auto sincronice entre sus administradores del NAC.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.


Información Relacionada


Document ID: 108331