Switches : Switches Cisco Catalyst de la serie 4500

Guía de configuración de software de Network Admission Control

13 Abril 2008 - Traducción manual
Otras Versiones: PDFpdf | Inglés (21 Agosto 2006) | Comentarios

Contenido

Guía de configuración de software
de control de admisión a la red

Contenido

Requisitos previos para configurar NAC

Información sobre el control de admisión a la red (NAC)

Roles de dispositivos de NAC

Validación de postura

Política de desconexión de AAA

Autenticación y validación de la capa 2 IEEE 802.1X de NAC

Validación de IP de capa 2 de NAC

Pautas y restricciones de la configuración de NAC

Cómo configurar NAC

Configuración predeterminada de NAC

Configuración de la capa 2 IEEE 802.1X de NAC

Validación de IP de capa 2 de NAC

Configuración de EAPoUDP

Configuración de perfiles y políticas de identidad

Configuración de IP Device Tracking (Seguimiento de dispositivos IP)

Configuración de IP DHCP Snooping (Indagación de IP DHCP) para NAC (Opcional)

Configuración de IP ARP Inspection (Inspección de IP ARP) con una lista de filtros de ARP (Opcional)

Configuración de IP ARP Inspection (Inspección de IP ARP) con IP DHCP Snooping (Indagación de IP DHCP) (Opcional)

Configuración de una política de desconexión de AAA de NAC (Opcional)

Visualización de información de NAC

Borrado de tabla de sesión EAPoUDP

Referencia de comandos

aaa authentication eou

aaa authorization auth-proxy default

clear ip admission

clear ip device tracking

debug eou

debug ip admission

debug ip device tracking

debug sw-ip-admission

description

device

eou initialize

eou max-retry (configuración global y de la interfaz)

eou ratelimit

eou revalidate (configuración global y de la interfaz)

eou revalidate (EXEC privilegiado)

eou timeout (configuración global y de la interfaz)

identity policy

ip admission name eapoudp

ip admission name eapoudp bypass

ip device tracking

mls rate-limit layer2 ip-admission

radius-server attribute 8

redirect

show eou

show ip access-lists interface

show ip device tracking

Mensajes y procedimientos de recuperación

Mensajes AP

Mensajes EOU


Guía de configuración de software
de control de admisión a la red


En este documento se describe cómo configurar el control de admisión a la red (NAC) en los switches de la serie Catalyst. NAC forma parte de la iniciativa de Red Autodefensiva de Cisco, que lo ayuda a identificar, a prevenir y a adaptarse a riesgos relacionados con la seguridad en su red. Debido al mayor riesgo e impacto de gusanos y virus en las empresas que trabajan en red, NAC evalúa el estado del antivirus de los puntos finales (endpoints) o clientes antes de autorizar el acceso a la red.

Contenido

Este documento contiene las siguientes secciones:

Requisitos previos para configurar NAC

Información sobre el control de admisión a la red (NAC)

Pautas y restricciones de la configuración de NAC

Cómo configurar NAC

Visualización de información de NAC

Borrado de tabla de sesión EAPoUDP

Referencia de comandos

Mensajes y procedimientos de recuperación

Requisitos previos para configurar NAC

El soporte de NAC cuenta con dos funciones: autenticación y validación de la capa 2 IEEE 802.1X de NAC, y la validación de IP de capa 2 de NAC. Tal como se muestra en la tabla 1, el soporte de estas funciones es específico del chasis.

Tabla 1 Matriz de soporte de NAC

Funciones de NAC
7600
6500
4500
3750 Metro
3750
3560
3550
(12.2S)
3550
(12.1S)
2970
2960
2955
2950-LRE
2950
2940
Cisco
Aironet

Autenticación y validación
de la capa 2 IEEE 802.1X de NAC

X

X

X

X

X

X

X

X

X

X

X

X

X

Validación de IP de capa 2 de NAC

X

X

X

X

X

X



Nota NAC también se ha implementado en los routers Cisco IOS en los que se ejecuta la versión 12.3(8)T de Cisco IOS. La implementación de NAC en todos los switches no tiene compatibilidad descendente con la implementación de NAC en los routers. Los switches admiten las listas de control de acceso (ACL) predeterminadas y las listas de control de acceso (ACL) descargables del Servidor de control de acceso seguro (ACS) de Cisco, pero no las listas de control de acceso (ACL) de intercepción.



Nota Los switches de la serie Catalyst 6500 en los que se ejecuta la versión 12.2(18)SXF de Cisco IOS no soportan la autenticación y validación de la capa 2  IEEE 802.1X de NAC en switches de borde.


Los dos métodos de validación de la capa 2 de NAC (IEEE 802.1X e IP) funcionan en switches de borde, pero tienen métodos diferentes de inicio de validación, intercambio de mensajes y aplicación de políticas. Para obtener una lista completa de dispositivos que admiten NAC, consulte las release notes de NAC.


Nota Para obtener información completa sobre la sintaxis y el uso de los comandos nuevos o modificados utilizados en este documento, consulte la sección "Referencia de comandos", o
Cisco IOS Security Command Reference Release 12.3 (Referencia de los comandos de seguridad de la versión 12.3 de Cisco IOS), en la siguiente dirección:

http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/secur_r.



Nota Para ver las release notes 2.0 de NAC, consulte la siguiente dirección:

http://www.cisco.com/en/US/netsol/ns617/networking_solutions_release_notes_list.html


Información sobre el control de admisión a la red (NAC)

Las infecciones por virus producen graves brechas en la seguridad de la red. Los puntos finales (endpoints) no seguros son el origen de las infecciones por virus, como las PC y los servidores. El riesgo más probable para la seguridad proviene de los dispositivos en los que no se haya instalado software antivirus o en los que éste se encuentre desactivado. Si activa el software, puede que los dispositivos no cuenten con las últimas definiciones de virus y motores de búsqueda. A pesar de que los fabricantes de antivirus dificultan cada vez más la desactivación de los programas antivirus, aún existe el riesgo de definiciones de virus y motores de búsqueda desfasados.

NAC autentica los dispositivos de punto final (endpoint) o clientes y aplica las políticas de control de acceso para prevenir que los dispositivos infectados afecten negativamente a la red. Comprueba el estado del antivirus o postura de los sistemas de punto final (endpoint) o clientes antes de autorizar el acceso de los dispositivos a la red. NAC impide que los nodos no seguros infecten la red denegando el acceso de los dispositivos que no reúnan los requisitos, colocándolos en un segmento de red de cuarentena o concediéndoles acceso restringido a los recursos informáticos.

En las siguientes secciones se describe NAC:

Roles de dispositivos de NAC

Validación de postura

Política de desconexión de AAA

Autenticación y validación de la capa 2 IEEE 802.1X de NAC

Validación de IP de capa 2 de NAC

Roles de dispositivos de NAC

Con NAC, los dispositivos de la red tienen roles específicos, tal como se muestra en la figura 1 y se describe a continuación.

Dispositivo de punto final (endpoint)/Cliente/Host: se trata de un host que solicita acceso a la red LAN protegida y cuya postura se valida según la política de seguridad IT de la empresa. El host puede ser una PC, un servidor, un equipo portátil o cualquier otro dispositivo sin IOS (impresoras o escáneres). El dispositivo de punto final (endpoint) se configura mediante Cisco Trust Agent (CTA), que es la interfaz entre el servidor de autenticación y el software de terceros en el dispositivo de punto final (endpoint). Los dispositivos de punto final (endpoint) que se configuran mediante CTA se denominan hosts CTA. Otros dispositivos de punto final (endpoint), como el teléfono IP de Cisco, dispositivos sin IOS o PC/equipos portátiles, que no se han configurado con CTA, se denominan hosts inactivos (NRH). El servidor de autenticación debe proporcionar políticas tanto para los hosts CTA como para los NRH. CTA cuenta con un software agente de postura que actúa como interfaz y además cuenta con la DLL del módulo de postura, que contiene la información real sobre el estado de postura del cliente.


Nota Los puntos de acceso Cisco Aironet en los que se ejecuta la versión 12.3(4)JA o posterior de Cisco IOS admiten de forma predeterminada la autenticación y validación de la capa 2 IEEE 802.1X de NAC. No es necesario configurar los puntos de acceso. Los puntos de acceso simplemente transmiten la comunicación de NAC entre los clientes y los switches.


El software CTA también se denomina agente de postura o cliente antivirus.

Dispositivo de acceso a red (NAD): se trata del dispositivo en el que se implementa el NAC. Puede tratarse de un dispositivo de capa 2 o capa 3 en el borde de red al que se conectan los dispositivos de punto final (endpoint). El NAD inicia el proceso de validación de postura y, a continuación, conecta el dispositivo de punto final (endpoint) y el servidor de autenticación. El NAD inicia la validación de postura transmitiendo los mensajes del Protocolo de autenticación extensible (EAP) al Protocolo de datagrama de usuario (UDP). NAC utiliza el protocolo EAP sobre el Protocolo de datagrama de usuario (EAPoUDP). EAPoUDP también se denomina EoU.

En los puntos de acceso, así como en los switches de las series Catalyst 2970, 2960, 2955, 2950 y 2940, la información de encapsulación en los mensajes EAP se basa en la autenticación basada en el puerto IEEE 802.1X. Al utilizar IEEE 802.1X para la autenticación, el switch utiliza EAP sobre tramas LAN (EAPOL).

Para los switches que no sean de las series Catalyst 2970, 2960, 2955, 2950 y 2940, la información de encapsulación de los mensajes EAP puede estar basada en autenticación basada en el puerto IEEE 802.1X o UDP. Al utilizar IEEE 802.1X para la autenticación, el switch utiliza tramas EAPOL. Al utilizar UDP, el switch utilizar tramas EoU.


Nota Entre los dispositivos que pueden actuar como intermediarios están los switches de las series Catalyst 6500, 4500, 3750, 3560, 3550, 2960, 2970, 2955, 2950 y 2940, el router de la serie Catalyst 7600 y los switches de módulos de conmutación Gigabit Ethernet (CGESM) de Cisco. Estos dispositivos deben tener instalado software que sea compatible con cliente RADIUS y IEEE 802.1X.


Servidor de autenticación (AS): es un caso en el que un Servidor de validación de postura (PVS) valida primero las credenciales de la postura de un dispositivo de punto final (endpoint) y, a continuación, descarga un perfil de acceso a red (NAP) para el correspondiente dispositivo de punto final (endpoint) en el NAD. El NAP contiene las políticas de acceso que se deben aplicar en la sesión del dispositivo de punto final (endpoint). Se crea después de que el AS compara el estado de credenciales de postura del dispositivo de punto final (endpoint) con las políticas de seguridad IT de la empresa. Una vez que el NAD ha iniciado la sesión EoU entre el dispositivo de punto final (endpoint) y el AS, se vuelve transparente y sólo actúa como Bridge entre ambos.

El AS también puede funcionar como servidor de actualización de terceros o servidor de auditoría para validar al cliente del NRH.


Nota Cisco Secure ACS 4.0 o posterior es un ejemplo de RADIUS/TACACS (AS) para NAC. En NAC 2.0, el switch Catalyst admite Cisco Secure ACS 4.0 o posterior con RADIUS, autenticación, autorización y contabilidad (AAA), y extensiones EAP.


Figura 1 Roles de dispositivos NAC

Validación de postura

NAC permite que los NAD autoricen o denieguen acceso a los hosts de la red en función del estado del software del host. Este proceso se denomina validación de postura.

La validación de postura consiste en comprobar el estado del antivirus o las credenciales del cliente, evaluando las credenciales de postura de seguridad del cliente de red y proporcionando al NAD la política de acceso a red adecuada en función de la postura del sistema.

El switch Catalyst realiza la validación de postura en los puertos del switch del siguiente modo (Figura 1):

1. Cuando un punto final (endpoint) o cliente intenta conectarse a la red a través de un NAD de Cisco, como un switch de borde, el switch desafía el estado del antivirus del punto final (endpoint). El estado del antivirus incluye las definiciones de virus, y la versión del software del antivirus y el motor de búsqueda.

2. El sistema de punto final (endpoint), en el que se ejecuta el software CTA, recopila información del antivirus desde el dispositivo de punto final (endpoint) (como el tipo de software de antivirus utilizado) y la envía al switch.

Si en un punto final (endpoint) no se está ejecutando el software CTA, el switch clasifica el sistema de punto final (endpoint) como sistema sin cliente y lo considera host inactivo o host sin agente NAC.

Para obtener más información sobre hosts inactivos, consulte la sección "Hosts inactivos". Para obtener más información sobre sistemas de punto final (endpoint) sin cliente y hosts inactivos, consulte la sección "Validación de postura y validación de IP de capa 2".

Para consultar CTA Administrator Guide 2.0 (Guía de administrador de CTA 2.0), consulte esta URL:

http://www.cisco.com/en/US/products/ps5923/prod_maintenance_guides_list.html

Para consultar Cisco Trust Agent 2.0 Release Notes (release notes Cisco Trust Agent 2.0), consulte esta URL:

http://www.cisco.com/en/US/products/ps5923/prod_release_notes_list.html

Para obtener un listado completo de documentación de CTA en la Web, consulte esta URL:

http://www.cisco.com/en/US/products/ps5923/tsd_products_support_series_home.html

3. El switch envía la información a Cisco Secure ACS para determinar la política de NAC.

Cisco Secure ACS valida el estado del antivirus en el punto final (endpoint), determina la política de NAC y devuelve la política de acceso al switch. El switch aplica la política de acceso para todos los puntos finales (endpoints).

Si la validación se realiza correctamente, Cisco Secure ACS proporciona al cliente acceso a la red teniendo en cuenta las limitaciones de acceso.

Si se produce un error en la validación, puede que se deniegue el acceso al dispositivo no compatible, se lo coloque en cuarentena en un segmento de red, o se le conceda acceso restringido a los recursos informáticos. Es posible que se produzca un error en la validación si el cliente está infectado con un gusano o un virus, si en el host no se está ejecutando software compatible, o si el host utiliza una versión obsoleta del software antivirus.

Para obtener información acerca de Cisco Secure ACS para Windows, consulte esta URL:

http://www.cisco.com/en/US/products/sw/secursw/ps2086/index.html

Para obtener información acerca del motor de la solución Cisco Secure ACS, consulte esta URL:

http://www.cisco.com/en/US/products/sw/secursw/ps5338/index.html

Política de desconexión de AAA

Las implementaciones típicas de NAC utilizan Cisco Secure ACS para validar la postura del cliente y devolver políticas al NAD. Si el servidor AAA no está disponible cuando tiene lugar la validación de postura, en lugar de rechazar al usuario (es decir, denegar el acceso a la red), un administrador puede configurar una política de desconexión de AAA predeterminada aplicable al host.

Este sistema resulta ventajoso por los siguientes motivos:

Cuando el servidor AAA no esté disponible, el host aún dispondrá de conectividad a la red, aunque puede que esté restringida.

Cuando el servidor AAA vuelva a estar disponible, se puede volver a validar a los usuarios y las políticas correspondientes pueden descargarse del ACS.


Nota Cuando el servidor AAA esté desconectado, la política de desconexión de AAA se aplicará sólo si no hay ninguna política asociada al host. Generalmente, durante la revalidación que se produce cuando el servidor AAA no está disponible, se mantienen las políticas utilizadas para el host.


Autenticación y validación de la capa 2 IEEE 802.1X de NAC

Puede utilizar la capa 2 IEEE 802.1X de NAC en el puerto de acceso de un switch de borde al que está conectado un dispositivo (un sistema de punto final (endpoint) o cliente). El dispositivo puede tratarse de una PC, una estación de trabajo, un punto de acceso de Cisco Aironet, o un servidor conectado directamente al puerto de acceso del switch.

Figura 2 Red con capa 2 IEEE 802.1X de NAC

Tanto el cliente como el switch pueden iniciar la validación de postura. El switch transmite mensajes EAPOL entre los puntos finales (endpoints) y el servidor Cisco Secure ACS. Cuando Cisco Secure ACS devuelve la decisión del control de acceso, el switch aplica las limitaciones del mismo asignando un puerto autenticado a una VLAN específica, lo cual origina segmentación y cuarentena de los clientes con posturas incorrectas, o bien denegando el acceso a la red.

Esta sección incluye los temas siguientes:

Hosts inactivos

Revalidación periódica de postura

Acciones del conmutador

Política de desconexión de AAA para capa 2 IEEE 802.1X de NAC (Desvío de autenticación no accesible)

Hosts inactivos

Un host inactivo puede ser un dispositivo en el que se ejecuta un solicitante compatible con IEEE 802.1X heredado sin soporte de NAC o un dispositivo sin solicitante compatible con IEEE 802.1X. Un host o un cliente que no responda a las solicitudes de validación de postura, se puede validar de una de estas formas:

VLAN Guest 802.1X (para dispositivos sin solicitante compatible con IEEE 802.1X)

Identidad + postura desconocida 802.1X

Si un host con software cliente compatible con IEEE 802.1X heredado se conecta al conmutador, el switch inicia una sesión en el servidor Cisco Secure ACS y reenvía la información del host al servidor de autenticación. El servidor de autenticación devuelve una política de acceso basada en la identidad conocida y la postura desconocida del host. La política puede ser una asignación de VLAN o la denegación del acceso a la red. El switch aplica la política al host.

Además, el servidor de autenticación envía al switch la información de que el par atributo-valor (AV) de la postura está configurado en Unknown (Desconocido) debido a que el host no proporcionó la información de la postura. Esta información no afecta el modo en que el switch aplica la política al host.

Revalidación periódica de postura

Los cambios de postura pueden producirse debido a un cambio en el cliente o en el servidor Cisco Secure ACS.

Si el host cambia, el CTA del host detecta el cambio e inicia la revalidación enviando un mensaje de inicio de EAPOL al switch. Por ejemplo, esto puede producirse debido a un parche del sistema operativo o a un paquete de actualización del software antivirus.

Si se produce algún cambio en el servidor de autenticación, el switch no vuelve a validar la postura hasta que caduque el temporizador de autenticación periódica. Por ejemplo, esto puede suceder cuando hay un nuevo archivo antivirus.dat disponible.

Puede configurar el switch para que valide periódicamente la postura de un host activo activando la autenticación periódica de clientes IEEE 802.1X y especificando la frecuencia. En los dispositivos en los que se ejecuta un solicitante heredado sin CTA, los hosts inactivos pueden configurarse para la validación periódica de postura.


Nota En los dispositivos en los que no se ejecuta un solicitante compatible con IEEE 802.1X, los hosts inactivos no pueden configurarse para la validación periódica de postura.


Con la capa 2 IEEE 802.1X de NAC, puede especificar manualmente los segundos transcurridos entre los intentos de nueva autenticación, o bien configurando el switch para que utilice el valor del atributo Session-Timeout de RADIUS en el mensaje Access-Accept (Aceptación de acceso) del servidor Cisco Secure ACS.

El switch también utiliza el atributo Termination-Action de RADIUS para la validación de postura. Dependiendo del valor de este atributo, el switch vuelve a validar automáticamente al cliente, o bien finaliza la sesión basada en EAPOL y, a continuación, vuelve a validar al cliente.

Acciones del conmutador

Dependiendo del estado de autenticación periódica, del valor de la nueva autenticación, y del atributo Session-Timeout de RADIUS, el switch realiza una de las acciones indicadas en la tabla 2.

Si configura manualmente el número de segundos, el switch vuelve a autenticar el host una vez transcurrido el tiempo especificado.

Si el mensaje Access-Accept (Aceptación de acceso) no incluye el par AV Session-Timeout, el switch no vuelve a autenticar el host.

Si el mensaje Access-Accept (Aceptación de acceso) incluye el par AV Session-Timeout, el switch utiliza el tiempo de nueva autenticación del servidor Cisco Secure ACS.


Nota El mensaje Access-Accept (Aceptación de acceso) también se denomina trama de aceptación.


El switch vuelve a autenticar el host dependiendo del valor del atributo Termination-Action en el atributo de RADIUS:

Si el par AV Termination-Action está presente y su valor es RADIUS-Request (Solicitud de RADIUS), el switch autentica el host.

Si el par AV Termination-Action no está presente o si su valor es Default (Predeterminado), el switch finaliza la sesión con el servidor Cisco Secure ACS y no concede autorización al host.

Tabla 2 Resultados de autenticación periódica 

Autenticación periódica
Tiempo de nueva autenticación
Atributo Session-Timeout
Valor Termination-Action
Acción del conmutador

Desactivado

No se repite la autenticación.

Activado

Número de segundos configurado manualmente

El switch vuelve a realizar la autenticación y utiliza el número de segundos especificado manualmente.

Activado

Configurado automáticamente para utilizar el tiempo de nueva autenticación del servidor Cisco Secure ACS

No incluido en el mensaje Access-Accept (Aceptación de acceso)

No se repite la autenticación.

Activado

Configurado automáticamente para utilizar el tiempo de nueva autenticación del servidor Cisco Secure ACS

Incluido en el mensaje Access-Accept (Aceptación de acceso)

Default (Predeterminado) o sin valor

La sesión finaliza una vez que caducó el tiempo de nueva autenticación.

Activado

Configurado automáticamente para utilizar el tiempo de nueva autenticación del servidor Cisco Secure ACS

Incluido en el mensaje Access-Accept (Aceptación de acceso)

RADIUS-Request (Solicitud de RADIUS)

El switch vuelve a realizar la autenticación y utiliza el tiempo de nueva autenticación del servidor.


Política de desconexión de AAA para capa 2 IEEE 802.1X de NAC (Desvío de autenticación no accesible)


Nota Esta característica sólo está disponible en los switches de las series Catalyst 3560 y Catalyst 3750.


Para utilizar el desvío de autenticación no accesible, debe designarse un puerto como puerto crítico. El proceso de gestión de los puertos críticos es el siguiente:

1. Se detecta una nueva sesión de autenticación IEEE 802.1X.

2. Antes de que se inicie la autenticación, y siempre que el servidor AAA no esté disponible, se aplica la política de autenticación crítica y el estado del puerto pasa a Critical-Auth (Autenticación crítica). La política se aplica en forma de asignación de VLAN.

3. Cuando el servidor AAA vuelve a estar disponible, se volverá a iniciar una nueva autenticación para el host.


Nota Cuando el servidor AAA esté desconectado, la política de desconexión de AAA se aplicará sólo si no hay ninguna política asociada al host. Por tanto, si el puerto se ha asignado anteriormente a una VLAN debido a una autenticación correcta, permanecerá en dicha VLAN. Sin embargo, si el puerto no obtuvo autorización antes de pasar al estado Critical-Auth (Autorización crítica), se lo asignará a la VLAN de acceso configurado.


Para obtener información acerca de la configuración de la función Inaccessible Authentication Bypass (Desvío de autenticación no accesible) en los switches de las series Catalyst 3750 y 3560, visite las siguientes direcciones Web:

http://www.cisco.com/en/US/products/hw/switches/ps5023/products_configuration_guide_chapter09186a00805555e8.html

http://www.cisco.com/en/US/products/hw/switches/ps5023/products_command_reference_book09186a00804fdc8c.html

Validación de IP de capa 2 de NAC

Puede utilizar la IP de capa 2 de NAC en un puerto de acceso de un switch de borde al que está conectado un dispositivo (un sistema de punto final (endpoint) o cliente). Dicho dispositivo puede tratarse de una PC, una estación de trabajo, o un servidor conectado al puerto de acceso del switch mediante una conexión directa, un teléfono IP, un hub, o un punto de acceso inalámbrico, como se muestra en la figura 3.


Nota Los puntos de acceso de Cisco Aironet no admiten la validación de IP de capa 2 de NAC.


Al activar la IP de capa 2 de NAC, EAPoUDP funciona solamente con tráfico IPv4. El switch comprueba el estado del antivirus de los dispositivos de punto final (endpoint) o clientes y aplica las políticas de control de acceso.

Figura 3 Red con IP de capa 2 de NAC

Esta sección trata los temas siguientes:

Validación de postura y validación de IP de capa 2

Cisco Secure ACS y pares de atributo-valor

Servidores de auditoría

ACL predeterminadas

Temporizadores de NAC

Validación de IP de capa 2 de NAC y pilas de switches

Validación de IP de capa 2 de NAC y switches modulares redundantes

Política de desconexión de AAA para validación de IP de capa 2 de NAC

Validación de postura y validación de IP de capa 2

La IP de capa 2 de NAC admite la validación de postura de varios hosts en el mismo puerto del conmutador, como se muestra en la figura 3.

Al activar la validación de IP de capa 2 de NAC en un puerto de switch al que están conectados varios hosts, el switch puede realizar indagación de DHCP o de Protocolo de resolución de direcciones (ARP) para identificar los hosts conectados. La validación de postura iniciada mediante la indagación de DHCP tiene prioridad sobre la validación de postura iniciada mediante indagación de ARP. El switch inicia la validación de postura después de recibir un paquete ARP, o bien después de crear una entrada de vinculación de indagación de DHCP.


Nota La indagación de ARP es el método predeterminado para detectar hosts conectados. Si desea que el switch detecte hosts cuando existe una entrada de vinculación de indagación de DHCP, debe activar la indagación de DHCP.


Si sólo está activada la inspección de ARP dinámica en una VLAN de acceso asignada a un puerto de un conmutador, la validación de postura se inicia cuando los paquetes ARP superan correctamente las comprobaciones de validación de inspección de ARP dinámica. Sin embargo, si la indagación de DHCP y la inspección de ARP dinámica están activadas, al crearse una entrada de vinculación de indagación de DHCP se inicia la validación de postura.

Un host malicioso podría enviar paquetes de ARP simulados e intentar eludir la validación de postura. Para evitar que hosts no validados accedan a la red, puede activar la función IP Source Guard (Protección de IP de origen) en el puerto del switch.


Nota Los routers del switch de las series Catalyst 7600 y Catalyst 6500 no admiten IP Source Guard (Protección de la IP de origen).


Cuando se inicia la validación de postura, un switch crea una entrada en la tabla de la sesión de EAPoUDP para realizar un seguimiento del estado de la validación de postura del host, y observa el siguiente árbol de decisión para determinar la política de NAC:

1. Si el host se encuentra en la lista de excepciones (consulte la sección "Listas de excepciones"), el switch aplica a éste la política de NAC configurada por el usuario.

2. Si la función de desvío de EoU está activada (consulte la sección "Desvío de EoU"), el switch envía una solicitud de host inactivo a Cisco Secure ACS y aplica al host la política de acceso del servidor. El switch inserta un par AV de RADIUS a la solicitud para especificar que ésta es para un host inactivo.

3. Si el desvío de EoU no está activado, el switch envía un paquete de presentación de EAPoUDP al host solicitando el estado del antivirus del host (consulte la sección "Sesiones EAPoUDP"). Si no se recibe ninguna respuesta del host después del número de intentos especificado, el switch clasifica al host como sin cliente y se lo considera un host inactivo. El switch envía una solicitud de host inactivo al servidor Cisco Secure ACS y aplica al host la política de acceso del servidor.

Listas de excepción

Una lista de excepción consta de configuraciones de política y perfil local. Utilice el perfil de identidad para autorizar o validar estáticamente dispositivos que estén basados en la dirección IP, dirección MAC, o tipo de dispositivo. Los perfiles de identidad se asocian a una política local que especifica los atributos del control de acceso.

Se puede evitar la validación de postura de determinados host incluyéndolos en una lista de excepciones y aplicándoles una política configurada por el usuario. Tras añadir la entrada a la tabla de la sesión EAPoUDP, el switch compara la información del host con la lista de excepciones. Si el host se encuentra en dicha lista, el switch le aplica la política de NAC configurada. El switch también actualiza la tabla de la sesión EAPoUDP con el estado de validación del cliente como POSTURE ESTAB. (POSTURA ESTABLECIDA).

Desvío de EoU

El switch puede utilizar la función de desvío de EoU para acelerar la validación de postura de los hosts que no utilizan CTA. Si se activa el desvío de EoU, el switch no se pone en contacto con el host para solicitar el estado del antivirus. En su lugar, envía una solicitud a Cisco Secure ACS en la que se incluye la dirección IP, la dirección MAC, el tipo de servicio y la ID de sesión EAPoUDP del host. Cisco Secure ACS realiza la toma de decisión sobre el control de acceso y envía la política al switch.

Si se activa el desvío de EoU y el host se encuentra inactivo, el switch envía una solicitud de host inactivo a Cisco Secure ACS y aplica al host la política de acceso del servidor.

Si se activa el desvío de EoU y el host utiliza CTA, el switch envía una solicitud de host inactivo a Cisco Secure ACS y aplica al host la política de acceso del servidor.

Sesiones de EAPoUDP

EoU se activa como opción predeterminada. Si se desactiva el desvío de EoU, el switch envía un paquete EAPoUDP para iniciar la validación de postura. Mientras se produce la validación, el switch aplica la política de acceso predeterminada. Después de que el switch envía el mensaje EAPoUDP al host y éste responde a la solicitud de estado del antivirus, el switch envía la respuesta EAPoUDP a Cisco Secure ACS. Si no se recibe respuesta del host tras el número de intentos especificado, el switch clasifica al host como inactivo. Una vez que el ACS valida las credenciales, el servidor de autenticación devuelve al switch un mensaje Access-Accept (Aceptación de acceso) con el token de la postura y los atributos de la política. El switch actualiza la tabla de sesión de EAPoUDP y aplica las limitaciones de acceso que originan la segmentación y la cuarentena de los clientes con posturas incorrectas, o bien deniega el acceso a la red.

Debido a la validación de postura, hay dos tipos de políticas aplicables a los puertos:

Política de host: consiste en una ACL que aplica las limitaciones de acceso en función del resultado de la validación de postura.

Política de redireccionamiento de URL: proporciona un mecanismo para redirigir todo el tráfico HTTP/HTTPS a un servidor de actualización que permite a un host incompatible realizar las acciones de actualización necesarias para solucionar el problema de compatibilidad. Esta política consta de:

Una URL que apunta al servidor de actualización.

Una ACL en el switch que captura todos los paquetes HTTP/HTTPS del host distintos a los destinados a la dirección del servidor de actualización y los redirecciona al software del switch para el redireccionamiento HTTP necesario.

El nombre de la ACL para la política del host, la URL redireccionada y la ACL de redirección de la URL se transmiten mediante objetos de atributo-valor de RADIUS.


Nota Si se elimina la entrada de vinculación de indagación de DHCP de un cliente, el switch elimina la entrada del cliente de la tabla de sesión EAPoUDP y el cliente ya no estará autenticado.


Cisco Secure ACS y pares de atributo-valor

Al activar la validación de IP de capa 2 de NAC, Cisco Secure ACS proporciona los servicios de autenticación, autorización y contabilidad (AAA) de NAC utilizando RADIUS. Cisco Secure ACS obtiene información acerca de las credenciales de antivirus del sistema de punto final (endpoint) y valida el estado del antivirus del punto final (endpoint).

Puede establecer los pares AV en el servidor Cisco Secure ACS utilizando los atributos específicos del proveedor cisco-av-pair (VSA) de RADIUS:

ACL definida de CiscoSecure: especifica los nombres de las ACL descargables en el servidor Cisco Secure ACS. El switch obtiene el nombre de la ACL a través del par AV de la ACL definida de CiscoSecure en este formato:

#ACL#-IP-nombre-número

donde nombre es el nombre de la ACL y número es el número de versión, como 3f783768.

El código de postura Auth-Proxy comprueba si las entradas de control de acceso (ACE) de la ACL descargable especificada se han descargado anteriormente. De no ser así, el código de postura Auth-Proxy envía una solicitud AAA con el nombre de la ACL descargable como nombre de usuario para que se descarguen los ACE. A continuación, la ACL descargable se crea como ACL con nombre en el switch. Dicha ACL tiene varios ACE con una dirección de origen any (cualquiera) y no tiene declaración deny (de denegación) implícita al final. Cuando la ACL descargable se aplica a una interfaz una vez que finaliza una validación de postura, la dirección de origen se cambia de any (cualquiera) a la dirección IP de origen del host. Los ACE se fijan a la ACL predeterminada aplicada a la interfaz del switch a la que está conectado el dispositivo de punto final (endpoint). Si el tráfico coincide con los ACE de la ACL definida de CiscoSecure, se realizan las acciones NAC adecuadas.

Cuando configure las ACL, cada entrada (ACE) consta de una acción (como "permit" (permitir)), un protocolo (como "ip"), un origen y un destino. Las políticas del host, que son las ACL que el administrador define en el ACS o como parte de una política estática en el conmutador, deben tener "any" (cualquiera) como dirección de origen. De lo contrario, LPIP no aplicará la política en el switch.

Por ejemplo, esta expresión es válida:

    10 permit ip any host 10.1.1.1

Sin embargo, esta otra no es válida:

    10 permit ip host 10.1.1.2 host 10.1.1.1

El siguiente es un ejemplo de una interfaz ACL:

access-list 115 permit udp any any eq bootps (for bootps requests)
access-list 115 permit ip any 20.0.0.0 0.0.0.255 (NAC Ingress source N/W)
access-list 115 permit ip any host 40.0.0.5 (Audit Server)

url-redirect y url-redirect-acl: especifica la política de URL local en el switch. Los switches utilizan los siguientes VSA cisco-av-pair:

url-redirect = <URL HTTP o HTTPS>

url-redirect-acl = nombre o número de ACL de conmutador

Estos pares AV permiten al switch interceptar una solicitud HTTP y/o HTTPS del dispositivo de punto final (endpoint) y dirigir el explorador Web cliente a la dirección de redireccionamiento especificada desde la que se pueden descargar los últimos archivos de antivirus. El par AV de redireccionamiento de URL de Cisco Secure ACS contiene la URL a la que se redireccionará el explorador Web.


Nota El redireccionamiento de URL se puede realizar mediante HTTP o HTTPS, pero no ambos a la vez.


El par AV de ACL de redireccionamiento de URL contiene el nombre o número de una ACL que especifica el tráfico de HTTP y/o HTTPS que se va a redirigir. La ACL debe estar definida en el switch. El tráfico que coincida con una entrada de permiso en la ACL de redirección se redireccionará. Puede que estos pares AV se envíen si la postura del cliente no es correcta.


Nota Cuando configure las ACL, cada entrada (ACE) consta de una acción (como "permit" (permitir)), un protocolo (como "ip"), un origen y un destino. Las políticas del host, que son las ACL que el administrador define en el ACS o como parte de una política estática en el conmutador, deben tener "any" (cualquiera) como dirección de origen. De lo contrario, LPIP no aplicará la política en el switch.


El siguiente es un ejemplo de url-re-direct-acl:

ip access-list extended url-redirect-acl
permit tcp any <protected-server-vlan-network>

Para obtener más información sobre pares AV compatibles con el software Cisco IOS, consulte la documentación sobre las versiones de software que se ejecutan en los clientes AAA.

Para obtener información acerca de ACS para Windows Server, consulte esta URL:
http://www.cisco.com/en/US/products/sw/secursw/ps2086/index.html

Para obtener información acerca del motor de la solución ACS, consulte esta URL:
http://www.cisco.com/en/US/products/sw/secursw/ps5338/index.html

Servidores de auditoría

Los dispositivos extremos en los que no se ejecuta CTA no podrán proporcionar credenciales cuando lo soliciten los NAD. Estos hosts se denominan sin agente o inactivos.

En la figura 4 se muestra cómo los servidores de auditoría encajan en la topología típica.

Figura 4 Roles de dispositivos NAC

Con el fin de permitirle examinar más exhaustivamente los hosts sin agente, la arquitectura NAC se ha ampliado para incorporar servidores de auditoría, que pueden analizar y explorar dichos hosts en busca de datos sobre cumplimiento de la seguridad, vulnerabilidad y riesgos sin la necesidad de disponer de un CTA en el host. El resultado de la auditoría puede influir en los servidores de acceso para que tomen decisiones de política de acceso a red específicas en función del host, en lugar de aplicar una política restrictiva común para todos los hosts inactivos. Esto le permite implementar una funcionalidad de auditoría/evaluación de host más sólida integrando mecanismos de auditoría de terceros en la arquitectura NAC.

La arquitectura NAC asume que el servidor de auditoría está disponible y que el host se puede comunicar con él. Cuando un host obtiene acceso a la red mediante un NAD configurado para la validación de postura, el NAD solicita al servidor AAA (Cisco Secure ACS) una política de acceso para aplicarla al host. Se puede configurar el servidor AAA para que active una exploración del host utilizando un servidor de auditoría externo. La exploración de la auditoría se produce de manera asíncrona y puede tardar varios segundos. Durante este tiempo, el servidor AAA envía una política de seguridad de restricción mínima al NAD para su aplicación junto con un pequeño temporizador de sondeo (Session-Timeout). El NAD consultará al servidor AAA en el intervalo específico del temporizador hasta que haya algún resultado disponible en el servidor de auditoría. Cuando el servidor AAA recibe la auditoría, calcula una política de acceso basada en la auditoría la cual se envía al NAD para aplicarse en la siguiente solicitud.

ACL predeterminadas


Nota La ACL predeterminada debe permitir el tráfico EAPoUDP para que funcione la validación de IP de capa 2 de NAC.


Si la validación de IP de capa 2 de NAC se configura en un puerto de conmutador, también debe configurarse una ACL de puerto predeterminada en un puerto de conmutador, y se aplicará al tráfico IP.

Si la ACL predeterminada se configura en el switch y Cisco Secure ACS envía una política de acceso de host al conmutador, el switch aplica la política al tráfico del host que está conectado al puerto del switch. Una vez que Cisco Secure ACS descarga una política basada en host, el tráfico entrante se compara con dicha política, y si no hay ninguna coincidencia en la misma, el tráfico se compara con la política predeterminada.

Si Cisco Secure ACS envía al switch una ACL descargable en la que se especifica una URL de redireccionamiento como acción policy-map, la ACL tiene prioridad con respecto a la ACL predeterminada que ya está configurada en el puerto del switch. La ACL descargable siempre tiene prioridad sobre la ACL predeterminada. Si la ACL del puerto predeterminada no está configurada en el conmutador, las ACL descargables no se programarán.

Temporizadores de NAC

El switch admite los siguientes temporizadores:

Temporizador de espera

Temporizador de inactividad

Temporizador de retransmisión

Temporizador de revalidación

Temporizador Status-Query

Temporizador de espera

El temporizador de espera evita que se inicie una sesión EAPoUDP inmediatamente después del último intento fallido de validación. Sólo se utiliza cuando Cisco Secure ACS envía un mensaje de Accept-Reject (Aceptar-Rechazar) al switch.

El valor predeterminado del temporizador de espera es de 180 segundos (3 minutos).

Si una sesión EAPoUDP no se valida puede deberse a un error en la validación de postura del host, a la caducidad del temporizador de la sesión, o a que el switch o Cisco Secure ACS recibe mensajes incorrectos. Si el switch o el servidor de autenticación recibe constantemente mensajes incorrectos, puede que un usuario malicioso esté realizando un ataque de rechazo del servicio.

Temporizador de inactividad

El temporizador de inactividad controla el tiempo que el switch espera un paquete ARP del host de postura o una entrada actualizada en la tabla IP Device Tracking (Seguimiento de dispositivos IP) para verificar que el host sigue conectado. El temporizador de inactividad utiliza una lista de hosts conocidos para realizar un seguimiento de los que han iniciado una validación de postura, así como la tabla IP Device Tracking (Seguimiento de dispositivos IP).

El temporizador de inactividad se restablece cuando un switch recibe un paquete ARP o cuando se actualiza una entrada en la tabla de IP Device Tracking (Seguimiento de dispositivos IP). Si el temporizador de inactividad caduca, el switch finaliza la sesión EAPoUDP en el host y éste ya no se validará.


Nota La tabla IP Device Tracking (Seguimiento de dispositivos IP) se utiliza para realizar un seguimiento de nuevos hosts cuando aparecen en la red. La tabla IP Device Tracking (Seguimiento de dispositivos IP) detecta a los hosts mediante la IP ARP Inspection (Inspección de IP ARP) y la IP DHCP Snooping (Indagación de IP DHCP) (opcional). La IP ARP Inspection (Inspección de IP ARP) se activa automáticamente cuando se activa IP Device Tracking (Seguimiento de dispositivos IP).


El intervalo de sondeo predeterminado es de 30 segundos. El tiempo de espera es, en realidad, el intervalo de sondeo por el número de entradas de sondeo. Por lo tanto, el valor predeterminado del temporizador de inactividad es de 90 segundos, ya que el intervalo de sondeo es de 30 segundos y los intentos de sondeo son 3.

El switch conserva una lista de hosts conocidos con el fin de realizar un seguimiento de los hosts que inician el proceso de validación de postura. Cuando el switch recibe un paquete ARP, restablece los temporizadores de vencimiento para la lista y el temporizador de inactividad. Si transcurre el tiempo de vencimiento de la lista, el switch envía un sondeo ARP para verificar que el host está presente. En caso afirmativo, envía una respuesta al switch. El switch actualiza la entrada en la lista de los hosts conocidos. A continuación, restablece los temporizadores de vencimiento para la lista y el temporizador de inactividad. Si el switch no recibe respuesta, finaliza la sesión con Cisco Secure ACS y el host ya no se valida.

El switch también utiliza la tabla IP Device Tracking (Seguimiento de dispositivos IP) para detectar y gestionar los hosts que están conectados al switch. El switch utiliza indagación de ARP o DHCP para detectarlos. En los switches, la función de IP Device Tracking (Seguimiento de dispositivos IP) está desactivada de manera predeterminada. Cuando se activa el IP Device Tracking (Seguimiento de dispositivos IP) y se detecta un host, el switch agrega una entrada a la tabla IP Device Tracking (Seguimiento de dispositivos IP) en la que se incluye esta información:

Dirección IP y MAC del host

Interfaz en la que el switch detecta el host

Estado del host que se establece en ACTIVE (ACTIVO) al ser detectado

Si la validación de IP de capa 2 de NAC está activada en una interfaz, al agregar una entrada a la tabla IP Device Tracking (Seguimiento de dispositivos IP) se inicia la validación de postura.

Para la tabla IP Device Tracking (Seguimiento de dispositivos IP), puede configurar el número de veces que el switch envía sondeos ARP para una entrada antes de eliminar una entrada de la tabla y el número de segundos que espera el switch antes de volver a enviar el sondeo ARP. Si el switch utiliza los parámetros predeterminados de la tabla IP Device Tracking (Seguimiento de dispositivos IP), el switch envía sondeos ARP cada 30 segundos para todas las entradas. Cuando el host responde al sondeo, el estado del host se actualiza y permanece ACTIVE (ACTIVO). El switch puede enviar hasta tres sondeos ARP adicionales en intervalos de 30 segundos si no obtiene una respuesta. Tras enviar el número máximo de sondeos ARP, el switch elimina la entrada del host de la tabla. El switch finaliza la sesión EAPoUDP para el host si se configuró una sesión.

Mediante el uso de IP Device Tracking (Seguimiento de dispositivos IP), se asegura que los hosts se detecten de forma oportuna, a pesar de las limitaciones del uso de DHCP. Si se desactiva un enlace, las entradas de IP Device Tracking (Seguimiento de dispositivos IP) asociadas a la interfaz no se eliminan, y el estado de dichas entradas cambia a INACTIVE (INACTIVO). El switch no limita el número de entradas en la tabla IP Device Tracking (Seguimiento de dispositivos IP) pero aplica un límite para eliminar las entradas INACTIVE (INACTIVAS). Todas las entradas permanecen en la tabla IP Device Tracking (Seguimiento de dispositivos IP) hasta que alcanza el límite. Cuando la tabla alcanza el límite, el switch elimina las entradas INACTIVE (INACTIVAS), si las hay, y agrega entradas nuevas. Si la tabla no tiene entradas INACTIVE (INACTIVAS), el número de entradas en la tabla IP Device Tracking (Seguimiento de dispositivos IP) continúa aumentando. Cuando un host se vuelve INACTIVE (INACTIVO), el switch finaliza la sesión del host.

En los switches Catalyst 3750, 3560, 3550, 2970, 2960, 2955, 2950 y 2940 y para módulos de servicio EtherSwitch de Cisco, el límite para eliminar entradas INACTIVE (INACTIVAS) es 512.

En los switches de las series Catalyst 4500 y 6500 y en el router de la serie Catalyst 7600, el límite es 2048.

Después de haberse restaurado un enlace de interfaz, el switch envía sondeos ARP para cada entrada asociada con la interfaz. El switch muestra entradas para hosts que no responden a sondeos ARP. El switch también cambia el estado de los hosts que responden a ACTIVE (ACTIVO) e inicia la validación de postura.

Temporizador de retransmisión

El temporizador de retransmisión controla la cantidad de tiempo durante el que el switch espera una respuesta desde el cliente antes de volver a enviar una solicitud durante la validación de postura. La configuración del temporizador con un valor demasiado bajo puede causar transmisiones innecesarias, y la configuración del temporizador con un valor demasiado alto puede causar tiempos de respuesta deficientes.

El valor predeterminado del temporizador de retransmisión es de 3 segundos.

Temporizador de revalidación

El temporizador de revalidación controla la cantidad de tiempo durante el que una política de NAC es aplicable a un cliente que utilizó mensajes EAPoUDP durante la validación de postura. El temporizador comienza una vez que la validación de postura inicial termina. El temporizador se restablece cuando el host se vuelve a validar. El valor predeterminado del temporizador de revalidación es de 36000 segundos (10 horas).

Puede especificar el valor del temporizador de revalidación en el switch y en una interfaz del switch con el comando de configuración global eou timeout revalidation.


Nota El temporizador de revalidación se puede configurar de forma local en el switch o se puede descargar desde el servidor Cisco Server ACS.


El comportamiento del temporizador de revalidación se basa en el atributo Session-Timeout de RADIUS y el atributo Termination-Action de RADIUS en el mensaje Access-Accept (Aceptación de acceso) desde el servidor Cisco Secure ACS que está ejecutando AAA. Si el switch recibe el valor Session-Timeout, este valor anula el valor del temporizador de revalidación en el switch.

Si vence el temporizador de revalidación, la acción del switch depende del valor del atributo Termination-Action:

Si el valor del atributo Termination-Action de RADIUS es el predeterminado, la sesión finaliza.

Si el switch obtiene un valor para el atributo Termination-Action distinto del predeterminado, la sesión EAPoUDP y la política de acceso actual permanecen vigentes durante la revalidación de postura.

Si el valor del atributo Termination-Action es RADIUS, el switch vuelve a validar al cliente.

Si el paquete del servidor no incluye el atributo Termination-Action, la sesión EAPoUDP finaliza.

Temporizador Status-Query

El temporizador status-query controla la cantidad de tiempo durante el que el switch espera antes de verificar que el cliente validado anteriormente esté presente y que su postura no haya cambiado. Sólo los clientes autenticados con mensajes EAPoUDP utilizan este temporizador, el cual se inicia después de que se haya validado al cliente. El valor predeterminado del temporizador status-query es de 300 segundos (5 minutos).

El temporizador se restablece cuando el host se vuelve a autenticar. Cuando el temporizador vence, el switch comprueba la validación de postura del host mediante el envío de un mensaje Status-Query (Consulta de estado) al host. Si el host envía un mensaje al switch indicando que la postura ha cambiado, el switch vuelve a validar la postura del host.

Validación de IP de capa 2 de NAC y pilas de switches


Nota Esta información se aplica al switch de la serie Catalyst 3750 y a los módulos de servicio EtherSwitch.


Cuando se elige la nueva pila principal, todos los hosts validados anteriormente conectados a la pila del switch se deben volver a validar si el IP de capa 2 de NAC está aún activado en las interfaces a las que los hosts están conectados. Si el IP de capa 2 de NAC está desactivado en las interfaces, los hosts validados anteriormente no se pueden volver a validar.

Validación de IP de capa 2 de NAC y switches modulares redundantes


Nota Esta información se aplica a switches Catalyst 4500 y 6500 y al router Catalyst 7600.


Cuando el modo de redundancia RPR está configurado, una conmutación perderá toda la información que hace referencia a los hosts actualmente posicionados. Cuando el modo de redundancia SSO está configurado, una conmutación accionará la nueva postura de todos los hosts que actualmente están posicionados.

Política de desconexión de AAA para validación de IP de capa 2 de NAC


Nota Esta característica no está disponible en el switch de la serie Catalyst 4500.


Para la política de desconexión de AAA, el sistema funciona de la siguiente forma:

1. Se ha detectado una sesión nueva.

2. Antes de que se accione la validación de postura, y siempre que el servidor AAA no esté disponible, se aplica la política de desconexión de AAA y el estado de la sesión se mantiene en AAA DOWN (AAA DESCONECTADO).

3. Cuando el servidor AAA esté disponible de nuevo, se volverá a iniciar una revalidación para el host.


Nota Cuando el servidor AAA está desconectado, la política de desconexión de AAA se aplica sólo si no hay ninguna política asociada al host. Generalmente, durante la revalidación que se produce cuando el servidor AAA no está disponible, se mantienen las políticas utilizadas para el host.


Pautas y restricciones de la configuración de NAC

Esta sección contiene las siguientes pautas y restricciones de configuración:

Restricciones, limitaciones y pautas de la capa 2 IEEE 802.1x de NAC

Restricciones, limitaciones y pautas del IP de capa 2 de NAC

Restricciones, limitaciones y pautas de la capa 2 IEEE 802.1x de NAC


Nota Estas pautas se aplican a los switches Catalyst 4900, 4500, 3750, 3560, 3550, 2970, 2960, 2955, 2950 y 2940; módulos de switch Gigabit Ethernet (CGESM) de Cisco, y módulos de servicio EtherSwitch de Cisco.


Los siguientes elementos se aplican a la VLAN asignada al puerto por el servidor ACS:

La VLAN debe ser una VLAN válida en el switch.

El puerto del switch se puede configurar como un puerto de acceso estático que se asigna a una VLAN no privada.

El puerto del switch se puede configurar como un puerto de VLAN privada que pertenece a una VLAN privada secundaria. Todos los hosts conectados al puerto del switch se asignan a VLAN privadas, independientemente de si la validación de postura fue satisfactoria o no.

Si el tipo de VLAN en el mensaje Access-Accept (Aceptación de acceso) no coincide con el tipo de VLAN del puerto del switch al que está asignado el cliente, la asignación de VLAN falla.

Cuando asigne un puerto a una VLAN privada, especifique la VLAN privada secundaria. El switch determina la VLAN privada primaria utilizando las asociaciones de VLAN privada primaria y secundaria en el switch.

Para obtener una lista de los puertos en los que no se puede configurar la capa 2 IEEE 802.1X de NAC, consulte la sección "IEEE 802.1X Configuration Guidelines" (Pautas de configuración de IEEE 802.1X) en el capítulo "Understanding and Configuring 802.1X Port-Based Authentication" (Comprensión y configuración de la autenticación 802.1X basada en el puerto) de la guía de configuración del software.

Si configura una VLAN de invitado a la que se asignan hosts inactivos, el tipo de VLAN de invitado debe corresponder al tipo de puerto apropiado. Si el tipo de VLAN no corresponde al tipo de puerto del conmutador, se deniega el acceso a red a los hosts inactivos.

Si la VLAN de invitado está configurada en un puerto de acceso, el tipo de VLAN es una VLAN no privada. Si la VLAN de invitado está configurada en un puerto de VLAN privada, el tipo de VLAN es una VLAN privada.

Para Soportar NAC, los puntos de acceso se deben configurar para las VLAN y la autenticación EAP.

Para obtener instrucciones acerca de la configuración de la autenticación EAP en puntos de acceso, consulte el capítulo "Configuring Authentication Types" (Configuración de los tipos de autenticación) en
Cisco IOS Software Configuration Guide for Cisco Aironet Access Points (Guía de configuración del software Cisco IOS para puntos de acceso de Cisco Aironet):
http://www.cisco.com/en/US/products/hw/wireless/ps430/products_configuration_guide_chapter09186a00804e7d09.html

Para obtener instrucciones acerca de la configuración de VLAN en puntos de acceso, consulte el capítulo "Configuring VLANs" (Configuración de VLAN) en Cisco IOS Software Configuration Guide for Cisco Aironet Access Points (Guía de configuración del software Cisco IOS para puntos de acceso de Cisco Aironet):
http://www.cisco.com/en/US/products/hw/wireless/ps430/products_configuration_guide_chapter09186a00804e7d4e.html

La capa 2 IEEE 802.1x de NAC interactúa con otras características de las siguientes formas:

Si se asigna un host a la VLAN de voz, el switch no valida la postura del host porque el usuario no puede configurar una VLAN de voz en un puerto de VLAN privada.

De forma predeterminada, los hosts inactivos se asignan a una VLAN de invitado. Los demás hosts, los que tienen una validación de postura satisfactoria y los que ejecutan software cliente compatible con IEEE 802.1X heredado sin NAC, tienen garantizado el acceso a redes basado en la decisión sobre el control de acceso.

Para obtener información acerca de interacciones de características, consulte la sección "IEEE 802.1X Configuration Guidelines" (Pautas de configuración de IEEE 802.1X) en el capítulo "Configuring 802.1X Port-Based Authentication" (Configuración de la autenticación 802.1X basada en el puerto) de la guía de configuración del software.

La política de desconexión de AAA para capa 2 IEEE 802.1X de NAC sólo es compatible en los switches de las series Catalyst 3560 y Catalyst 3750.

Restricciones, limitaciones y pautas del IP de capa 2 de NAC


Nota Estas pautas se aplican a switches CGESM, módulos de servicio EtherSwitch de Cisco, el router Catalyst 7600, y los switches Catalyst 6500, 4900, 4500, 3750, 3560 y 3550.


Siga las siguientes pautas, limitaciones y restricciones cuando configure la validación de IP de capa 2 de NAC:

Para activar el IP de capa 2 de NAC, se debe configurar una ruta de capa 3 desde el switch al host.

La ACL predeterminada debe permitir tráfico EAPoUDP para que LPIP funcione.

Para todos los switches que no sean Catalyst 6500 (y el router de la serie Catalyst 7600), la validación de IP de capa 2 de NAC no es compatible en los puertos troncales, los puertos de túnel, los miembros EtherChannel, EtherChannels, y puertos enrutados.

Cuando se activa la validación de IP de capa 2 de NAC, debe configurar una ACL de puerto predeterminada en el puerto del switch al que están conectados los hosts.

El IP de capa 2 de NAC no valida la postura del tráfico IPv6 y no aplica las políticas de acceso al tráfico IPv6.

Es posible que tenga lugar un ataque de rechazo del servicio si el switch recibe muchos paquetes de ARP con diferentes direcciones IP de origen.

Para obtener información acerca de los paquetes de ARP de limitación de velocidad, consulte el análisis sobre el límite de IP ARP Inspection (Inspección de IP ARP) en la referencia de comandos de Cisco IOS en la URL:
http://www.cisco.com/en/US/products/sw/iosswrel/ps5187/products_command_reference_chapter09186a008017cf1c.html

Cuando el IP de capa 2 de NAC y la capa 2 IEEE 802.1X de NAC están activados en el mismo puerto de acceso, la autenticación IEEE 802.1X tiene prioridad. (Es decir, si la autenticación IEEE 802.1X falla, no tendrá lugar la validación de IP de capa 2 de NAC.) Es posible que ya se haya validado la postura del host al que se ha conectado el puerto y que el switch haya aplicado las limitaciones de acceso basadas en IEEE 802.1X.

Se debe activar la indagación de DCHP si el switch desea utilizar permisos de validez de DHCP para identificar hosts conectados.

Para la funcionalidad de indagación de DHCP, el tráfico de DHCP y la política del host se deberían permitir en la interfaz ACL predeterminada.

Los paquetes DHCP y la política del host descargada se deberían permitir en un entorno de DHCP en la interfaz predeterminada.

Si desea que las estaciones finales envíen solicitudes de DNS antes de que tenga lugar la validación de postura, debe configurar la citada ACL descargable en el puerto del switch con ACE que permitan paquetes del DNS.

Si desea reenviar solicitudes de HTTP y HTTPS desde un dispositivo de punto final (endpoint) para una URL específica, debe activar la función del servidor HTTP y definir url-redirect-acl (url-redireccionar-acl) como nombre de ACL de la URL. La ACL de la URL se debe definir de forma local en el switch. Normalmente, esta ACL debe contener una "deny tcp any <dirección del servidor de actualización> eq www" y debería estar seguido de ACE de permiso para el tráfico HTTP que se debe redireccionar.

Si la validación de IP de capa 2 de NAC está configurada en un puerto de un switch que pertenece a una VLAN de voz, el switch no valida la postura del teléfono IP. Asegúrese de que el teléfono IP esté en la lista de excepción.

Si la validación de IP de capa 2 de NAC está activada, y la ACL de la VLAN y las ACL del router están configuradas, las políticas se aplican en serie en el siguiente orden: "Política de IP de LP de capa 2 de NAC>ACL de VLAN ACL>ACL de router". La siguiente política se aplica sólo cuando el tráfico pasa a través de la comprobación de la política previa. Si alguna de las políticas rechazó el tráfico, éste será rechazado.


Nota La política del host de IP de capa 2 de NAC (descargada desde ACS) siempre anula la política de interfaz predeterminada.


Si la inspección de ARP dinámica está activada en la VLAN de ingreso, el switch inicia la validación de postura sólo después de que los paquetes ARP estén validados.

Si la IP Source Guard (Protección de IP de origen) y el IP de capa 2 de NAC están activados en el puerto del conmutador, la validación de postura no se inicia por el tráfico que está bloqueado por IP Source Guard (Protección de la IP de origen).

Si la autenticación IEEE 802.1X en modo de host único y la validación de IP de capa 2 de NAC están configurados en un puerto del switch y falla la autenticación IEEE 802.1X de los hosts conectados, el switch no inicia la validación de postura cuando recibe los paquetes ARP o DHCP desde el host.

Si la autenticación IEEE 802.1X está configurada en el puerto, éste no puede enviar o recibir tráfico distinto de tramas EAPOL hasta que el cliente se autentique satisfactoriamente.

En el switch de la serie Catalyst 4500, se puede utilizar el comando de modo access-group para controlar si las ACL de la política del host de IP de capa 2 de NAC anulan a las ACL del router y de la VLAN o se combinan con ellas.

En el switch de la serie Catalyst 6500 y el router de la serie Catalyst 7600, el tráfico que lleva las ACE de redireccionamiento de URL de denegación se reenvía en el hardware sin aplicar la interfaz predeterminada y las políticas descargadas del host. Si este tráfico, es decir, lo que coincide con las ACE de redireccionamiento de URL de denegación, se debe filtrar, es necesario que defina una ACL de VLAN en la VLAN de acceso del puerto del switch.

El switch de la serie Catalyst 6500 y el router de la serie Catalyst 7600 no admiten la validación de IP de capa 2 de NAC en los puertos troncales, puertos de túnel, miembros EtherChannel, o puertos enrutados. Sin embargo, el switch de la serie Catalyst 6500 y el router de la serie Catalyst 7600 admiten IP de capa 2 en Etherchannels.

El switch de la serie Catalyst 6500 y el router de la serie Catalyst 7600 no permiten el IP de capa 2 de NAC en el puerto del switch si la VLAN de origen del puerto tiene configurado VACL Capture y/o IOS Firewall (CBAC).

El switch de la serie Catalyst 6500 y el router de la serie Catalyst 7600 no admiten IP de capa 2 de NAC si el puerto del switch es parte de una VLAN privada.

Para el switch de la serie Catalyst 6500 y el router de la serie Catalyst 7600, el tráfico de ARP de LPIP de capa 2 de NAC redireccionado a la CPU no se puede extender mediante el uso de la función SPAN (EXTENDER).

Cómo configurar NAC

Esta sección contiene los siguientes temas:

Configuración predeterminada de NAC

Configuración de la capa 2 IEEE 802.1X de NAC

Validación de IP de capa 2 de NAC

Configuración de EAPoUDP

Configuración de perfiles y políticas de identidad

Configuración de IP Device Tracking (Seguimiento de dispositivos IP)

Configuración de IP DHCP Snooping (Indagación de IP DHCP) para NAC (Opcional)

Configuración de IP ARP Inspection (Inspección de IP ARP) con una lista de filtros de ARP (Opcional)

Configuración de IP ARP Inspection (Inspección de IP ARP) con IP DHCP Snooping (Indagación de IP DHCP) (Opcional)

Configuración de una política de desconexión de AAA de NAC (Opcional)

Configuración predeterminada de NAC

Para la configuración predeterminada de la capa 2 IEEE 802.1X de NAC, consulte la sección "Default IEEE 802.1X Configuration" (Configuración predeterminada de IEEE 802.1X) en el capítulo "Configuring 802.1X Port-Based Authentication" (Configuración de la autenticación 802.1X basada en el puerto) de la guía de configuración del software.

De forma predeterminada, la validación de IP de capa 2 de NAC está desactivada.

Configuración de la capa 2 IEEE 802.1X de NAC

Para configurar la capa 2 IEEE 802.1X de NAC en el switch de la serie Catalyst 4500, consulte las secciones "Enabling 802.1X Authentication" (Activación de la autenticación IEEE 802.1x) y "Configuring Switch-to-Radius-Server Communication" (Configuración de la comunicación de switch a servidor Radius) de la guía de configuración del software. Las demás tareas enumeradas son opcionales.

http://www.cisco.com/en/US/products/hw/switches/ps4324/tsd_products_support_series_home.html

Para los demás switches, consulte las secciones "Configuring IEEE 802.1X Authentication and Validation" (Configuración de la validación y autenticación IEEE 802.1X) y "Configuring IEEE 802.1x Authentication Using a RADIUS Server" (Configuración de la autenticación IEEE 802.1x mediante un servidor RADIUS) de la guía de configuración del software.

Para el switch de la serie Catalyst 3750, consulte la URL:
http://www.cisco.com/en/US/products/hw/switches/ps5023/tsd_products_support_series_home.html

Para el switch de la serie Catalyst 3560, consulte la URL:
http://www.cisco.com/en/US/products/hw/switches/ps5528/tsd_products_support_series_home.html

Para el switch de la serie Catalyst 3550, consulte la URL:
http://www.cisco.com/en/US/products/hw/switches/ps646/tsd_products_support_series_home.html

Para el switch de la serie Catalyst 2970, consulte la URL:
http://www.cisco.com/en/US/products/hw/switches/ps5206/tsd_products_support_series_home.html

Para el switch de la serie Catalyst 2960, consulte la URL:
http://www.cisco.com/en/US/products/ps6406/tsd_products_support_series_home.html

Para switches de las series 2955 y 2950, consulte la URL:
http://www.cisco.com/en/US/products/hw/switches/ps628/tsd_products_support_series_home.html

Para el switch de la serie Catalyst 2940, consulte la URL:
http://www.cisco.com/en/US/products/hw/switches/ps5213/tsd_products_support_series_home.html

Validación de IP de capa 2 de NAC

Para configurar la validación de IP de capa 2 de NAC, realice estos pasos:

 
Comando
Propósito

Paso 1 

configure terminal

Accede al modo de configuración global.

Paso 2 

ip admission name nombre-regla eapoudp

Crea y configura una regla de NAC de IP mediante la especificación del nombre de la regla.

Para eliminar la regla de NAC de IP del conmutador, utilice el comando de configuración global
no ip admission name nombre-regla eapoudp.

Paso 3 

access-list número-lista-acceso {deny | permit} origen [comodín-origen] [log]

Define la ACL del puerto predeterminada mediante el uso de un comodín o una dirección de origen.

El número-lista-acceso es un número decimal del 1 al 99 o del 1300 al 1999.

Introduzca deny (denegar) o permit (permitir) para especificar si denegar o permitir el acceso en caso de que coincidan las condiciones.

El valor origen es la dirección origen de la red o el host desde el que se está enviando el paquete especificado como:

La cantidad de 32 bits en formato de punto decimal.

La palabra clave any como abreviatura para origen y comodín de origen de 0.0.0.0 255.255.255.255. No es necesario que introduzca comodín de origen.

La palabra clave host como abreviatura para origen y comodín de origen de origen 0.0.0.0.

(Opcional) El valor comodín-origen aplica bits de comodín al origen.

(Opcional) Introduzca log para causar un mensaje de registro informativo acerca del paquete que coincide con la entrada que se va a enviar a la consola.

Paso 4 

interface id-interfaz

Accede al modo de configuración de interfaz.

Paso 5 

ip access-group {número-lista-acceso | nombre} in

Controla el acceso a la interfaz especificada.

Paso 6 

ip admission name nombre-regla

Aplica la regla de NAC de IP especificada a la interfaz.

Para eliminar la regla de NAC de IP que se aplicó a una interfaz específica, utilice el comando de configuración de interfaz no ip admission nombre-regla .

Paso 7 

exit

Vuelve al modo de configuración global.

Paso 8 

aaa new-model

Activa AAA.

Paso 9 

aaa authentication eou default group radius

Establece métodos de autenticación para EAPoUDP.

Para eliminar los métodos de autenticación de EAPoUDP, utilice el comando de configuración global
no aaa authentication eou default .

Paso 10 

ip device tracking

Activa la tabla IP Device Tracking (Seguimiento de dispositivos IP).

Para desactivar la tabla IP Device Tracking (Seguimiento de dispositivos IP), utilice los comandos de configuración global no ip device tracking .

Paso 11 

ip device tracking [probe {count recuento | interval intervalo}]

(Opcional) Configura estos parámetros correspondientes a la tabla IP Device Tracking (Seguimiento de dispositivos IP):

count recuento: Establezca el número de veces que el switch envía el sondeo ARP. El intervalo oscila entre 1 y 5. El valor predeterminado es 3.

interval intervalo: Establezca el número de segundos durante los que el switch espera una respuesta antes de volver a enviar el sondeo ARP. El intervalo oscila entre 30 y 300 segundos. El valor predeterminado es de 30 segundos.

Paso 12 

radius-server host {nombrehost | dirección-ip} key cadena

(Opcional) Configura los parámetros del servidor RADIUS.

Para nombrehost | dirección-ip, especifique el nombre de host o la dirección IP del servidor RADIUS remoto.

Para key cadena, especifique la clave de cifrado y autenticación utilizada entre el switch y el daemon RADIUS que se está ejecutando en el servidor RADIUS. La clave es una cadena de texto que debe coincidir con la clave de cifrado utilizada en el servidor RADIUS.

Nota Configure siempre la clave como el último elemento en la sintaxis del comando
radius-server host porque se ignoran los espacios al principio, pero se utilizan los espacios al final o dentro de la clave. Si utiliza espacios en la clave, no encierre la clave entre comillas a menos que las comillas sean parte de la clave. Esta clave debe coincidir con el cifrado utilizado en el daemon RADIUS.

Si desea utilizar varios servidores RADIUS, vuelva a introducir este comando.

Paso 13 

radius-server attribute 8 include-in-access-req

(Opcional) Si el switch está conectado a hosts inactivos, configúrelo para que envíe el atributo Framed-IP-Address RADIUS (atributo[8]) en paquetes de solicitud de acceso o de cuentas.

Para configurar el switch para que no envíe el atributo Framed-IP-Address, utilice el comando de configuración global no radius-server attribute 8 include-in-access-req .

Paso 14 

radius-server vsa send authentication

Configura el servidor de acceso a la red para que reconozca y utilice atributos específicos del proveedor.

Paso 15 

eou logging

(Opcional) Activa los eventos de registro del sistema de EAPoUDP.

Para desactivar el registro de eventos del sistema de EAPoUDP, utilice el comando de configuración global
no eou logging.

Paso 16 

end

Regresa al modo EXEC privilegiado.

Paso 17 

show ip admission {[cache] [configuration] [eapoudp]}

Muestra la configuración de NAC o las entradas de la memoria caché de admisión de red.

Paso 18 

show ip device tracking {all | interface id-interfaz | ip dirección-ip | mac dirección-mac}

Muestra información acerca de las entradas de la tabla IP Device Tracking (Seguimiento de dispositivos IP).

Paso 19 

copy running-config startup-config

(Opcional) Guarda las entradas en el archivo de configuración.

Para configurar el código de postura Auth-Proxy para no obtener asociaciones de seguridad del servidor AAA, utilice el comando de configuración global no aaa authorization auth-proxy default.

Para borrar todas las entradas del dispositivo cliente de NAC en el switch o en la interfaz especificada, utilice el comando EXEC privilegiado clear eou . Para borrar entradas en la tabla IP Device Tracking (Seguimiento de dispositivos IP), utilice el comando EXEC privilegiado
clear ip device tracking.

Este ejemplo muestra cómo configurar la validación de IP de capa 2 de NAC en una interfaz del conmutador:

Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip admission name nac eapoudp
Switch(config)# access-list 5 permit any any
Switch(config)# interface gigabitethernet 2/0/1
Switch(config-if)# ip access-group 5 in
Switch(config-if)# ip admission name nac
Switch(config-if)# exit
Switch(config)# aaa new-model
Switch(config)# aaa authentication eou default group radius
Switch(config)# ip device tracking
Switch(config)# ip device tracking probe count 2
Switch(config)# radius-server host admin key rad123
Switch(config)# radius-server vsa send authentication
Switch(config)# eou logging
Switch(config)# end
Switch# show ip admission configuration

Authentication global cache time is 60 minutes Authentication global absolute time is 0
minutes Authentication global init state time is 2 minutes Authentication Proxy Watch-list
is disabled

Authentication Proxy Rule Configuration
 Auth-proxy name nac
    eapoudp list not specified auth-cache-time 60 minutes

Switch# show ip device tracking all
IP Device Tracking = Enabled
--------------------------------------------------------------
  IP Address     MAC Address       Interface          STATE
--------------------------------------------------------------
10.5.0.25       0060.b0f8.fbfb GigabitEthernet1/0/4   ACTIVE

Configuración de EAPoUDP

EAPoUDP es el protocolo que el IP de capa 2 de NAC utiliza para intercambiar información de postura con el sistema de punto final (endpoint). Si quiere realizar un ajuste preciso de los parámetros de la máquina de estado de EAPoUDP, realice los siguientes pasos:

 
Comando
Propósito

Paso 1 

configure terminal

Accede al modo de configuración global.

Paso 2 

eou allow {clientless | ip-station-id}

eou default

eou logging

eou max-retry número

eou port número-puerto

eou ratelimit número

eou timeout {aaa segundos| hold-period segundos | retransmit segundos | revalidation segundos | status-query segundos}

eou revalidate

Especifica los valores de EAPoUDP.

Para obtener más información acerca de las palabras clave de las opciones allow, default, logging, max-retry, port, rate-limit, revalidate y timeout, consulte la parte de referencia de comandos de este documento.

Paso 3 

interface id-interfaz

Accede al modo de configuración de interfaz.

Paso 4 

eou default

eou max-retry número

eou timeout {aaa segundos| hold-period segundos | retransmit segundos | revalidation segundos | status-query segundos}

eou revalidate

Activa y configura la asociación de EAPoUDP para la interfaz especificada.

Para obtener más información acerca de las palabras clave de las opciones default, max-retry, revalidate y timeout, consulte la parte de referencia de comandos de este documento.

Paso 5 

end

Regresa al modo EXEC privilegiado.

Paso 6 

show eou {all | authentication {clientless | eap | static} | interface id-interfaz | ip dirección-ip | mac dirección-mac | posturetoken nombre}

Muestra información acerca de la configuración de EAPoUDP o las entradas de la memoria caché de la sesión.

Paso 7 

copy running-config startup-config

(Opcional) Guarda las entradas en el archivo de configuración.

Para volver a los valores de EAPoUDP predeterminados, utilice las opciones no de los comandos de configuración global eou. Para desactivar las asociaciones de EAPoUDP, utilice las opciones no de los comandos de configuración de la interfaz eou.

Este ejemplo muestra cómo configurar el EAPoUDP en una interfaz del conmutador:

Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# eou logging
Switch(config)# eou allow clientless
Switch(config)# eou timeout revalidation 2400
Switch(config)# eou revalidate
Switch(config)# interface gigabitEthernet 1/0/4
Switch(config-if)# eou timeout status-query 600
Switch(config-if)# end
Switch# show eou

Global EAPoUDP Configuration
----------------------------
EAPoUDP Version     = 1
EAPoUDP Port        = 0x5566
Clientless Hosts    = Enabled
IP Station ID       = Disabled
Revalidation        = Enabled
Revalidation Period = 2400 Seconds
ReTransmit Period   = 3 Seconds
StatusQuery Period  = 300 Seconds
Hold Period         = 180 Seconds
AAA Timeout         = 60 Seconds
Max Retries         = 3
EAP Rate Limit      = 20
EAPoUDP Logging     = Enabled

Interface Specific EAPoUDP Configurations
-----------------------------------------
Interface GigabitEthernet1/0/4
  StatusQuery Period  = 600 Seconds

Configuración de perfiles y políticas de identidad

Para configurar la política y el perfil de identidad, realice estos pasos:

 
Comando
Propósito

Paso 1 

configure terminal

Accede al modo de configuración global.

Paso 2 

identity policy nombre-política

Crea una política de identidad y accede al modo de configuración de la política de identidad.

Para eliminar la política de identidad del conmutador, utilice el comando de configuración global no identity-policy nombre-política.

Paso 3 

access-group grupo-acceso

(Opcional) Define los atributos del acceso a la red para la política de identidad.

Paso 4 

identity profile eapoudp

Crea un perfil de identidad y accede al modo de configuración del perfil de identidad.

Para eliminar el perfil de identidad, utilice el comando de configuración global no identity profile eapoudp.

Paso 5 

device {authorize | not-authorize} {ip-address dirección-ip | mac-address dirección-mac | type cisco ip phone} [policy nombre-política]

Autoriza el dispositivo IP especificado y aplica la política especificada al dispositivo.

Para no autorizar el dispositivo IP especificado y eliminar la política especificada del dispositivo, utilice el comando de configuración de la interfaz no device {authorize | not-authorize} {ip-address dirección-ip | mac-address dirección-mac | type cisco ip phone} [policy nombre-política].

Paso 6 

exit

Sale del modo de configuración del perfil de identidad y vuelve al modo de configuración global.

Paso 7 

end

Regresa al modo EXEC privilegiado.

Paso 8 

show identity [policy| profile]

Muestra las políticas y/o perfiles de identidad configurados.

Paso 9 

show running-config

Verifica las entradas.

Paso 10 

copy running-config startup-config

(Opcional) Guarda las entradas en el archivo de configuración.


Nota Cuando configure las ACL, cada entrada (ACE) consta de una acción (como "permit" (permitir)), un protocolo (como "ip"), una origen y un destino. Las políticas del host, que son las ACL que el administrador define en el ACS o como parte de una política estática en el conmutador, deben tener "any" (cualquiera) como dirección origen. De lo contrario, LPIP no aplicará la política en el switch. Esto es válido: 10 permit ip any host 10.1.1.1. Esto no es válido: 10 permit ip host 10.1.1.2 host 10.1.1.1


Este ejemplo muestra cómo configurar un perfil que autorizará a un host basado en la dirección IP, y asociar una política local a ese host:

Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# identity policy policy1
Switch(config-identity-policy)# access-group group1
Switch(config)# identity profile eapoudp
Switch(config-identity-prof)# device authorize ip address 10.10.142.25 policy policy1
Switch(config-identity-prof)# exit
Switch(config)# end
Switch# show identity policy
Policy Name     ACL             Redirect ACL    Redirect URL
===============================================================================
policy1         group1          NONE            NONE

Switch# show identity profile
No identity profile of type default is configured.

No identity profile of type dot1x is configured.

Service Type: eapoudp

Device / Address / Mask            Allowed         Policy
==============================================================
10.5.0.99       / 0.0.0.0          Authorized      policy1

Configuración de IP Device Tracking (Seguimiento de dispositivos IP)


Nota Debe realizar esta tarea para activar Layer 2 IP Validation (Validación de IP de capa 2 de NAC).


La validación de IP de capa 2 de NAC no utiliza una ACL de intercepción para definir un subgrupo de tráfico que accione la validación de postura. (Esto es distinto de las implementaciones de la capa 3.) En su lugar, la tabla IP Device Tracking (Seguimiento de dispositivos IP) se utiliza para realizar un seguimiento de los hosts nuevos a medida que aparecen en la red. La tabla IP Device Tracking (Seguimiento de dispositivos IP) detecta los hosts mediante los siguientes mecanismos:

IP ARP Inspection (Inspección de IP ARP)

IP DHCP Snooping (Indagación de IP DHCP) (opcional)

La IP ARP Inspection (Inspección de IP ARP) se activa automáticamente cuando se activa IP Device Tracking (Seguimiento de dispositivos IP). Detecta la presencia de hosts nuevos mediante la supervisión de paquetes de ARP. Si se activa IP DHCP Snooping (IP DHCP Snooping (Indagación de IP DHCP)), ésta detecta la presencia o eliminación de hosts nuevos cuando DHCP asigna o anula sus direcciones IP.


Nota Si se activa la inspección de ARP, sólo los paquetes ARP que valida se utilizan para detectar hosts nuevos para la tabla IP Device Tracking (Seguimiento de dispositivos IP).


Una vez que se agrega un dispositivo a la tabla IP Device Tracking (Seguimiento de dispositivos IP), se supervisa el dispositivo mediante sondeos ARP periódicos. Los hosts que no responden a estos sondeos son eliminados de la tabla de seguimiento de dispositivos.


Nota De forma opcional, puede configurar el tiempo de espera del sondeo y el recuento máximo de sondeos. Los sondeos se utilizan para realizar un seguimiento de los hosts después de que se hayan conocido en el NAD.


Para configurar IP Device Tracking (Seguimiento de dispositivos IP), realice los siguientes pasos:

 
Comando
Propósito

Paso 1 

configure terminal

Accede al modo de configuración global.

Paso 2 

ip device tracking

(Obligatorio) Activa IP Device Tracking (Seguimiento de dispositivos IP).

Esto permite el conocimiento de los dispositivos IP de capa 2 mediante la indagación de paquetes ARP en los puertos donde se activó la admisión de IP.

Paso 3 

ip device tracking probe count

(Opcional) Cambia el número máximo de veces que el seguidor de dispositivos IP realizará un sondeo del dispositivo. El valor predeterminado es 3.

Paso 4 

ip device tracking probe interval número_intervalo

(Opcional) Cambia el intervalo de sondeo. El valor predeterminado es de 30 segundos.

Paso 5 

exit

Sale del modo de configuración del perfil de identidad y vuelve al modo de configuración global.

Paso 6 

end

Regresa al modo EXEC privilegiado.

Paso 7 

show ip device tracking [all]

Muestra la lista de hosts IP que se han detectado en el switch. Estos hosts son candidatos a la validación de postura de IP de capa 2 de NAC.

Paso 8 

show running-config

Verifica las entradas.

Paso 9 

copy running-config startup-config

(Opcional) Guarda las entradas en el archivo de configuración.

El siguiente ejemplo muestra cómo configurar IP Device Tracking (Seguimiento de dispositivos IP):

Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip device tracking
Switch(config)# ip device tracking probe count 3
Switch(config)# ip device tracking probe interval 60
Switch(config)# end
Switch# show ip device tracking all
IP Device Tracking = Enabled
--------------------------------------------------------------
IP Address     MAC Address       Interface          STATE
--------------------------------------------------------------
8.0.0.1         0060.b0f8.fbfb GigabitEthernet1/0/4   ACTIVE

Nota Junto con IP Device Tracking (Seguimiento de dispositivos IP), debe configurar la IP DHCP Snooping (Indagación de IP DHCP) o la IP ARP Inspection (Inspección de IP ARP) para la funcionalidad NAC.


Configuración de IP DHCP Snooping (Indagación de IP DHCP) para NAC (Opcional)

Si DHCP es necesario como mecanismo de conocimiento del disparador/dispositivo para la validación de IP de capa 2, debe configurar IP DHCP Snooping (Indagación de IP DHCP). La indagación de DHCP se debe activar en la VLAN de datos y en la VLAN de voz del puerto del switch donde se activa la admisión IP.

Para configurar IP DHCP Snooping (Indagación de IP DHCP), realice los siguientes pasos:

 
Comando
Propósito

Paso 1 

configure terminal

Accede al modo de configuración global.

Paso 2 

ip dhcp snooping

Activa IP DHCP Snooping (Indagación de IP DHCP) en el switch.

Paso 3 

ip dhcp snooping vlan ip_vlan

Activa IP DHCP Snooping (Indagación de IP DHCP) en la VLAN de ingreso del switch.

Paso 4 

ip dhcp snooping trust

Activa el estado de confianza de la indagación de DHCP correspondiente a la interfaz.

Debe activar el estado de confianza de la indagación de DHCP en los puertos de enlace ascendente en los que está conectado el servidor DHCP.

Paso 5 

exit

Sale del modo de configuración del perfil de identidad y vuelve al modo de configuración global.

Paso 6 

end

Regresa al modo EXEC privilegiado.

Paso 7 

show ip dhcp snooping [binding]

Muestra la configuración de la indagación de DHCP actual.

Puede utilizar la palabra clave opcional binding para mostrar la lista de arrendamientos DHCP que la indagación de DHCP ha detectado.

Paso 8 

show running-config

Verifica las entradas.

Paso 9 

copy running-config startup-config

(Opcional) Guarda las entradas en el archivo de configuración.

El siguiente ejemplo muestra cómo configurar IP DHCP Snooping (Indagación de IP DHCP) para NAC:

Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 8
Switch(config)# end
Switch# show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1,10,1001
Insertion of option 82 is enabled
Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------

Switch# show ip dhcp snooping binding
MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface
------------------  ---------------  ----------  -------------  ----  --------------------
00:60:B0:F8:FB:FB   8.0.0.1          79464       dhcp-snooping  8     GigabitEthernet1/0/4
Total number of bindings: 1

Si tiene la intención de utilizar sólo la IP ARP Inspection (Inspección de IP ARP), se debe cumplir una de las siguientes condiciones previas:

Existe una ACL de filtro de ARP estática que permitirá sólo las IP que son confiables (y que deberían permitirse para formar entradas ARP en el NAD).

El switch contiene una entrada de vinculación de IP DHCP Snooping (Indagación de IP DHCP) que permite a la función IP ARP Inspection (Inspección de IP ARP) validar las entradas de IP ARP.

La interfaz de ingreso de NAC se ha hecho confiable para IP ARP Inspection (Inspección de IP ARP). Generalmente, esto no es factible porque los clientes en la interfaz de ingreso de NAC son los que están siendo supervisados.

Configuración de IP ARP Inspection (Inspección de IP ARP) con una lista de filtros de ARP (Opcional)

Esta tarea permite el conocimiento de dispositivos de IP de capa 2 con asignaciones de direcciones IP que están sujetas a comprobaciones de la validación de inspección de ARP dinámica.

Para configurar IP ARP Inspection (Inspección de IP ARP) con una lista de filtros de ARP, realice los siguientes pasos:

 
Comando
Propósito

Paso 1 

configure terminal

Accede al modo de configuración global.

Paso 2 

arp access-list lista-arp-estática

Configura la ACL de filtros de IP ARP estática en el NAD para permitir que las IP N/W y la dirección MAC sean confiables.

Paso 3 

deny [ip [any | host ip-emisor [sender-ip-mask]]] [mac any]

Descarta paquetes de ARP basándose en los criterios de concordancia.

Paso 4 

permits [ip [any | host ip-emisor [sender-ip-mask]]] [mac any]

Reenvía paquetes de ARP basándose en los criterios de concordancia.

Paso 5 

exit

Sale del modo de configuración del perfil de identidad y vuelve al modo de configuración global.

Paso 6 

ip arp inspection vlanvlan_id

Activa IP ARP Inspection (Inspección de IP ARP) en la VLAN.

Paso 7 

ip arp inspection filter static-arp-list vlan vlan_id

Activa IP ARP Inspection (Inspección de IP ARP) en la VLAN de ingreso del switch.

Nota Realice este paso siempre y cuando las entradas de IP DHCP Snooping (Indagación de IP DHCP) no se formen en el dispositivo que se comprueba.

Paso 8 

end

Regresa al modo EXEC privilegiado.

Paso 9 

show ip arp inspection [statistics]
[vlan id_vlan]

Muestra la configuración de la inspección de ARP actual o las estadísticas. Puede utilizar la palabra clave opcional vlan para visualizar información acerca de una VLAN específica.

Paso 10 

show running-config

Verifica las entradas.

Paso 11 

copy running-config startup-config

(Opcional) Guarda las entradas en el archivo de configuración.

El siguiente ejemplo muestra cómo configurar IP ARP Inspection (Inspección de IP ARP) con una lista de filtros de ARP:

Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# arp access-list arp-list
Switch(config-arp-nacl)# deny ip host 101.50.1.54 mac any
Switch(config-arp-nacl)# deny ip host 101.50.1.51 mac any
Switch(config-arp-nacl)# permit ip 101.50.1.0 0.0.0.255 mac any
Switch(config-arp-nacl)# exit
Switch(config)# ip arp inspection vlan 101
Switch(config)# ip arp inspection filter arp-acl vlan 101
Switch(config)# end
Switch# show ip arp inspection vlan 101

Source Mac Validation      : Disabled
Destination Mac Validation : Disabled
IP Address Validation      : Disabled

 Vlan     Configuration    Operation   ACL Match          Static ACL
 ----     -------------    ---------   ---------          ----------
  101     Enabled          Active      arp-acl            No

 Vlan     ACL Logging      DHCP Logging
 ----     -----------      ------------
  101     Deny             Deny

Switch# show ip arp inspection statistics

 Vlan      Forwarded        Dropped     DHCP Drops      ACL Drops
 ----      ---------        -------     ----------      ---------
 101              9              2              0              4

 Vlan   DHCP Permits    ACL Permits   Source MAC Failures
 ----   ------------    -----------   -------------------
  101              9              0                     0

 Vlan   Dest MAC Failures   IP Validation Failures   Invalid Protocol Data
 ----   -----------------   ----------------------   ---------------------
  101                   0                        0                       0

Configuración de IP ARP Inspection (Inspección de IP ARP) con IP DHCP Snooping (Indagación de IP DHCP) (Opcional)

Esto permite al dispositivo de IP de capa 2 estar sujeto a las comprobaciones de validación de la función de inspección de ARP. De forma predeterminada, los paquetes de ARP se validan utilizando vinculaciones de indagación de DHCP.


Nota Para realizar esta tarea, en primer lugar debe activar la indagación de DHCP en las mismas VLAN en las que se ha activado la inspección de ARP.


Para configurar IP ARP Inspection (Inspección de IP ARP) con IP DHCP Snooping (Indagación de IP DHCP), realice los siguientes pasos:

 
Comando
Propósito

Paso 1 

configure terminal

Accede al modo de configuración global.

Paso 2 

ip dhcp snooping

Activa IP DHCP Snooping (Indagación de IP DHCP) en el switch.

Paso 3 

ip dhcp snooping vlan ip_vlan

Activa IP DHCP Snooping (Indagación de IP DHCP) en la VLAN de ingreso del switch.

Paso 4 

ip dhcp snooping trust

Activa el estado de confianza de la indagación de DHCP correspondiente a la interfaz.

Paso 5 

ip arp inspection vlan vlan_id

Activa IP ARP Inspection (Inspección de IP ARP) en la VLAN.

Nota La indagación de DHCP debería activarse en esta VLAN, donde se ha activado IP ARP Inspection (Inspección de IP ARP).

Paso 6 

ip arp inspection vlan trust

Activa el estado de confianza de la inspección de ARP correspondiente a la interfaz.

Debe activar la confianza de la inspección de ARP en los puertos de enlace ascendente donde está conectado el servidor DHCP. Esto es necesario para permitir paquetes de ARP desde el servidor sin comprobaciones de validación.

Paso 7 

ip arp inspection filter static-arp-list vlan vlan_id

Activa IP ARP Inspection (Inspección de IP ARP) en la VLAN de ingreso del switch.

Nota Realice este paso siempre y cuando las entradas de IP DHCP Snooping (Indagación de IP DHCP) no se formen en el dispositivo que se comprueba.

Paso 8 

end

Regresa al modo EXEC privilegiado.

Paso 9 

show ip arp inspection [statistics]
[vlan vlan_id]

Muestra la configuración de la inspección de ARP actual o las estadísticas. Puede utilizar la palabra clave opcional vlan para visualizar información acerca de una VLAN específica.

Paso 10 

show running-config

Verifica las entradas.

Paso 11 

copy running-config startup-config

(Opcional) Guarda las entradas en el archivo de configuración.


Nota Para realizar esta configuración, no es necesario configurar una lista de filtros de ARP estática.


El siguiente ejemplo muestra cómo configurar IP ARP Inspection (Inspección de IP ARP) con IP DHCP Snooping (Indagación de IP DHCP):

Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip dhcp snooping vlan 8
Switch(config)# ip arp inspection vlan 8
Switch(config)# end
Switch# show ip arp inspection vlan 8

Source Mac Validation      : Disabled
Destination Mac Validation : Disabled
IP Address Validation      : Disabled

 Vlan     Configuration    Operation   ACL Match          Static ACL
 ----     -------------    ---------   ---------          ----------
    8     Enabled          Active

 Vlan     ACL Logging      DHCP Logging
 ----     -----------      ------------
   8     Deny             Deny

Switch# show ip arp inspection statistics vlan 8

 Vlan      Forwarded        Dropped     DHCP Drops      ACL Drops
 ----      ---------        -------     ----------      ---------
    8              4              0              0              0

 Vlan   DHCP Permits    ACL Permits   Source MAC Failures
 ----   ------------    -----------   -------------------
   8              4              0                     0

 Vlan   Dest MAC Failures   IP Validation Failures   Invalid Protocol Data
 ----   -----------------   ----------------------   ---------------------
   8                   0                        0

Configuración de una política de desconexión de AAA de NAC (Opcional)


Nota La validación de IP de capa 2 de NAC no está disponible en el switch de la serie Catalyst 4500.


Para configurar la política de desconexión de AAA de NAC, realice los siguientes pasos:

 
Comando
Propósito

Paso 1 

configure terminal

Accede al modo de configuración global.

Paso 2 

ip admission name nombre-regla eapoudp event timeout aaa policy identity identity_policy_name

Crea una regla de NAC y asocia una política de identidad para que se aplique a las sesiones, cuando el servidor AAA no está disponible.

Para eliminar la regla del conmutador, utilice el comando de configuración global
no ip admission name nombre-regla eapoudp event timeout aaa policy.

Paso 3 

access-list número-lista-acceso {deny | permit} origen [comodín de origen] [log]

Define la ACL del puerto predeterminada mediante el uso de un comodín o una dirección de origen.

El número-lista-acceso es un número decimal del 1 al 99 o del 1300 al 1999.

Introduzca deny (denegar) o permit (permitir) para especificar si denegar o permitir el acceso en caso de que coincidan las condiciones.

El valor origen es la dirección de origen de la red o el host desde el que se está enviando el paquete especificado como:

La cantidad de 32 bits en formato de punto decimal.

La palabra clave any como abreviatura para origen y comodín de origen de 0.0.0.0 255.255.255.255. No es necesario que introduzca comodín de origen.

La palabra clave host como abreviatura para origen y comodín de origen de source 0.0.0.0.

(Opcional) El valor comodín de origen aplica bits de comodín al origen.

(Opcional) Introduzca log para causar un mensaje de registro informativo acerca del paquete que coincide con la entrada que se va a enviar a la consola.

Paso 4 

interface id-interfaz

Accede al modo de configuración de interfaz.

Paso 5 

ip access-group {número-lista-acceso | nombre} in

Controla el acceso a la interfaz especificada.

Paso 6 

ip admission name nombre-regla

Aplica la regla de NAC de IP especificada a la interfaz.

Para eliminar la regla de NAC de IP que se aplicó a una interfaz específica, utilice el comando de configuración de interfaz no ip admission nombre-regla .

Paso 7 

exit

Vuelve al modo de configuración global.

Paso 8 

aaa new-model

Activa AAA.

Paso 9 

aaa authentication eou default group radius

Establece métodos de autenticación para EAPoUDP.

Para eliminar los métodos de autenticación de EAPoUDP, utilice el comando de configuración global
no aaa authentication eou default .

Paso 10 

aaa authorization network default local

Establece el método de autorización en local. Para eliminar el método de autorización, utilice el comando no aaa authorization network default local.

Paso 11 

ip device tracking

Activa la tabla IP Device Tracking (Seguimiento de dispositivos IP).

Para desactivar la tabla IP Device Tracking (Seguimiento de dispositivos IP), utilice los comandos de configuración global no ip device tracking .

Paso 12 

ip device tracking [probe {count recuento | interval intervalo}]

Configura estos parámetros correspondientes a la tabla IP Device Tracking (Seguimiento de dispositivos IP):

count recuento: Establezca el número de veces que el switch envía el sondeo ARP. El intervalo oscila entre 1 y 5. El valor predeterminado es 3.

interval intervalo: Establezca el número de segundos durante los que el switch espera una respuesta antes de volver a enviar el sondeo ARP. El intervalo oscila entre 30 y 300 segundos. El valor predeterminado es de 30 segundos.

Paso 13 

radius-server host {nombrehost | dirección-ip} test username nombreusuario idle-time 1 key string

Configura los parámetros del servidor RADIUS.

Para nombrehost | dirección-ip, especifique el nombre de host o la dirección IP del servidor RADIUS remoto.

Para key cadena, especifique la clave de cifrado y autenticación utilizada entre el switch y el daemon RADIUS que se está ejecutando en el servidor RADIUS. La clave es una cadena de texto que debe coincidir con la clave de cifrado utilizada en el servidor RADIUS.

Nota Configure siempre la clave como el último elemento en la sintaxis del comando
radius-server host porque se ignoran los espacios al principio, pero se utilizan los espacios al final o dentro de la clave. Si utiliza espacios en la clave, no encierre la clave entre comillas a menos que las comillas sean parte de la clave. Esta clave debe coincidir con el cifrado utilizado en el daemon RADIUS.

test username se utiliza para configurar el nombre de usuario falso que prueba si el servidor AAA está activo o no.

El parámetro idle-time se utiliza para establecer con qué frecuencia se debe comprobar la actividad del SERVIDOR. Si no hay tráfico hacia el servidor RADIUS, el NAD enviará paquetes radius falsos al servidor RADIUS basados en el tiempo de inactividad.

Si desea utilizar varios servidores RADIUS, vuelva a introducir este comando.

Paso 14 

radius-server attribute 8 include-in-access-req

Si el switch está conectado a hosts inactivos, configúrelo para que envíe el atributo Framed-IP-Address RADIUS (atributo [8]) en paquetes de solicitud de acceso o de cuentas.

Para configurar el switch para que no envíe el atributo Framed-IP-Address, utilice el comando de configuración global no radius-server attribute 8 include-in-access-req .

Paso 15 

radius-server vsa send authentication

Configura el servidor de acceso a la red para que reconozca y utilice atributos específicos del proveedor.

Paso 16 

radius-server dead-criteria {tries | time} value

(Opcional) Fuerza a uno o a ambos criterios, utilizados para marcar un servidor RADIUS como inactivo, para que sean la constante indicada.

Paso 17 

eou logging

(Opcional) Activa los eventos de registro del sistema de EAPoUDP.

Para desactivar el registro de eventos del sistema de EAPoUDP, utilice el comando de configuración global
no eou logging.

Paso 18 

end

Regresa al modo EXEC privilegiado.

Paso 19 

show ip admission {[cache] [configuration] [eapoudp]}

Muestra la configuración de NAC o las entradas de la memoria caché de admisión de red.

Paso 20 

show ip device tracking {all | interface id-interfaz | ip dirección-ip | mac dirección-mac}

Muestra información acerca de las entradas de la tabla IP Device Tracking (Seguimiento de dispositivos IP).

Paso 21 

show aaa servers

Muestra el estado de los servidores AAA que se han configurado en el switch.

Paso 22 

copy running-config startup-config

(Opcional) Guarda las entradas en el archivo de configuración.

El siguiente ejemplo ilustra el modo de aplicación de una política de desconexión de AAA:

Switch# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip admission name AAA_DOWN eapoudp event timeout aaa policy identity
global_policy
Switch(config)# aaa new-model
Switch(config)# aaa authorization network default local
Switch(config)# aaa authentication eou default group radius
Switch(config)# identity policy global_policy
Switch(config-identity-policy)# ac
Switch(config-identity-policy)# access-group global_acl
Switch(config)# ip access-list extended global_acl
Switch(config-ext-nacl)# permit ip any any
Switch(config-ext-nacl)# exit
Switch(config)# radius-server host 40.0.0.4 test username administrator idle-time 1 key
cisco
Switch(config)# radius-server dead-criteria tries 3
Switch(config)# radius-server vsa send authentication
Switch(config)# radius-server attribute 8 include-in-access-req
Switch(config)# int fastEthernet 2/13
Switch(config-if)# ip admission AAA_DOWN
Switch(config-if)# exit
Switch# show ip admission configuration
Authentication global cache time is 60 minutes Authentication global absolute time is 0
minutes Authentication global init state time is 2 minutes Authentication Proxy Watch-list
is disabled

Authentication Proxy Rule Configuration
 Auth-proxy name AAA_DOWN
    eapoudp list not specified auth-cache-time 60 minutes
    Identity policy name global_policy for AAA fail policy

Switch# show aaa servers
RADIUS: id 1, priority 1, host 40.0.0.4, auth-port 1645, acct-port 1646
     State: current UP, duration 5122s, previous duration 9s
     Dead: total time 79s, count 3
     Authen: request 158, timeouts 14
             Response: unexpected 1, server error 0, incorrect 0, time 180ms
             Transaction: success 144, failure 1
     Author: request 0, timeouts 0
             Response: unexpected 0, server error 0, incorrect 0, time 0ms
             Transaction: success 0, failure 0
     Account: request 0, timeouts 0
             Response: unexpected 0, server error 0, incorrect 0, time 0ms
             Transaction: success 0, failure 0
     Elapsed time since counters last cleared: 2h13m

Switch#show aaa method-lists authentication authen queue=AAA_ML_AUTHEN_LOGIN authen
queue=AAA_ML_AUTHEN_ENABLE authen queue=AAA_ML_AUTHEN_PPP authen queue=AAA_ML_AUTHEN_SGBP
authen queue=AAA_ML_AUTHEN_ARAP authen queue=AAA_ML_AUTHEN_EAPOUDP
  name=default valid=1 id=0 state=ALIVE : SERVER_GROUP radius authen
queue=AAA_ML_AUTHEN_DOT1X
  name=default valid=1 id=0 state=ALIVE : SERVER_GROUP radius permanent lists
  name=Permanent Enable None valid=1 id=0 ALIVE : ENABLE  NONE
  name=Permanent Enable valid=1 id=0 ALIVE : ENABLE
  name=Permanent None valid=1 id=0 ALIVE : NONE
  name=Permanent Local valid=1 id=0 ALIVE : LOCAL

Visualización de información de NAC


Nota Los puntos de acceso no admiten los siguientes comandos.


Para mostrar información de NAC, utilice uno de los siguientes comandos EXEC privilegiados:

Tabla 3 Comandos para visualizar información de NAC

Comando
Propósito

show dot1x [all | interface id-interfaz | statistics interface id-interfaz]

Muestra las estadísticas y los estados administrativo y operacional de IEEE 802.1x.

show eou {all | authentication {clientless | eap | static} | interface id-interfaz | ip dirección-ip | mac dirección-mac | posturetoken nombre}

Muestra información acerca de la configuración de EAPoUDP o las entradas de la memoria caché de la sesión.

show ip admission {[cache] [configuration] [eapoudp]}

Muestra la configuración de NAC o las entradas de la memoria caché de admisión de red.

show ip device tracking {all | interface id-interfaz | ip dirección-ip | mac dirección-mac}

Muestra información acerca de las entradas de la tabla IP Device Tracking (Seguimiento de dispositivos IP).


En este ejemplo aparece una muestra del resultado obtenido al detectar un host nuevo:

00:45:15: %EOU-6-SESSION: IP=10.5.0.25| HOST=DETECTED| Interface=GigabitEthernet1/0/4
00:45:15: %EOU-6-CTA: IP=10.5.0.25| CiscoTrustAgent=DETECTED
00:45:16: %EOU-6-POLICY: IP=10.5.0.25| TOKEN=Healthy
00:45:16: %EOU-6-POLICY: IP=10.5.0.25| URL=http://10.5.0.43
00:45:16: %EOU-6-POLICY: IP=10.5.0.25| URL ACL=s-acl
00:45:16: %EOU-6-POLICY: IP=10.5.0.25| ACLNAME=#ACSACL#-IP-Healthy-42dbdd9d
00:45:16: %EOU-6-POLICY: IP=10.5.0.25| HOSTNAME=CMELTER-XP:dsbu
00:45:16: %EOU-6-POSTURE: IP=10.5.0.25| HOST=AUTHORIZED| Interface=GigabitEthernet1/0/4
00:45:16: %EOU-6-AUTHTYPE: IP=10.5.0.25| AuthType=EAP

Switch# show eou all
-------------------------------------------------------------------------
Address         Interface              AuthType   Posture-Token Age(min)
-------------------------------------------------------------------------
10.5.0.25       GigabitEthernet1/0/4   EAP        Healthy         0

Switch# show eou ip 10.5.0.25
Address             : 10.5.0.25
MAC Address         : 0060.b0f8.fbfb
Interface           : GigabitEthernet1/0/4
AuthType            : EAP
Audit Session ID    : 0000000000296E2E000000040A050019
PostureToken        : Healthy
Age(min)            : 0
URL Redirect        : http://10.5.0.43
URL Redirect ACL    : s-acl
ACL Name            : #ACSACL#-IP-Healthy-42dbdd9d
User Name           : HOST-XP:dsbu
Revalidation Period : 600 Seconds
Status Query Period : 600 Seconds
Current State       : AUTHENTICATED

Borrado de tabla de sesión EAPoUDP

Para borrar entradas de clientes en la tabla de sesión EAPoUDP, utilice el comando EXEC privilegiado clear eou. Una vez eliminadas las entradas, sólo se crean después de que el switch reciba un paquete ARP del host o de que haya creado una entrada de vinculación de indagación de DHCP. Para borrar entradas en la tabla IP Device Tracking (Seguimiento de dispositivos IP) en el conmutador, utilice el comando EXEC privilegiado clear ip device tracking .

Referencia de comandos


Nota Los puntos de acceso no admiten los comandos que se explican en esta sección del documento.


Esta sección documenta los comandos de IP de capa 2 de NAC no que no sean genéricos de Cisco IOS. Para obtener documentación acerca de los comandos genéricos de Cisco IOS, consulte las siguientes URL:

http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_guide09186a008021650d.html

y

http://www.cisco.com/en/US/products/sw/iosswrel/ps5187/products_command_reference_chapter09186a008017cf1c.html

aaa authentication eou

Para establecer los métodos de autenticación del Protocolo de autenticación extensible sobre UDP (EAPoUDP o EoU) en el conmutador, utilice el comando de configuración global aaa authentication eou . Utilice la opción no de este comando para eliminar los métodos de autenticación.

aaa authentication eou default group radius

no aaa authentication eou default

Descripción de la sintaxis

Este comando no tiene argumentos ni palabras clave.

Valores predeterminados

No se ha configurado ningún método de autenticación de EAPoUDP.

Modos de comando

Configuración global

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

Tras la configuración de los ACL y la definición de la regla del control de admisión a la red (NAC) de IP, puede configurar los métodos de autenticación de EAPoUDP en un switch. También puede establecer los métodos del proxy mediante el comando de configuración global aaa authorization auth-proxy default group radius .

Ejemplos

Este ejemplo muestra cómo establecer los métodos de autenticación de EAPoUDP:

Switch(config)# aaa authentication eou default group radius

Puede verificar la configuración introduciendo el comando EXEC privilegiado show running-config .

Comandos relacionados

Comando
Descripción

aaa authorization auth-proxy default

Activa y configura los métodos de autorización de EAPoUDP.

identity profile eapoudp

Crea un perfil de identidad y accede al modo de configuración de perfil de EAPoUDP. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

ip admission name eapoudp

Crea y configura reglas de NAC de IP.

show ip admission

Muestra información acerca de las entradas almacenadas en la memoria caché de NAC o de la configuración de NAC. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

show running-config

Muestra la configuración de funcionamiento. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands (Referencia de comandos de conceptos básicos de la configuración de Cisco IOS, versión 12.2 > Comandos de administración de archivos > Comandos de administración de archivos de configuración).


aaa authorization auth-proxy default

Para activar el código de postura Auth-Proxy para obtener asociaciones de seguridad del servidor de autenticación, autorización y contabilidad (AAA), utilice el comando de configuración global aaa authorization auth-proxy default . Utilice la opción no del comando para desactivar esta característica.

aaa authorization auth-proxy default group radius

no aaa authorization auth-proxy default


Nota Aunque las palabras clave cache, nombre del grupo de servidores y tacacs+ aparezcan en las cadenas de ayuda de la línea de comandos, éstas no son compatibles.


Descripción de la sintaxis

Este comando no tiene argumentos ni palabras clave.

Valores predeterminados

El código de postura Auth-Proxy no obtiene asociaciones de seguridad del servidor AAA.

Modos de comando

Configuración global

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

Una vez configuradas las listas de control de acceso (ACL) y definida la regla del control de admisión a la red (NAC) de IP, establezca los métodos de autenticación del proxy de autenticación. También puede establecer los métodos de autenticación del Protocolo de autenticación extensible sobre UDP (EAPoUDP) en un switch mediante el comando de configuración global aaa authentication eou default group radius.

Ejemplos

Este ejemplo muestra cómo obtener asociaciones de seguridad del servidor AAA:

Switch(config)# aaa authorization auth-proxy default group radius

Puede verificar la configuración introduciendo el comando EXEC privilegiado show running-config .

Comandos relacionados

Comando
Descripción

aaa authentication eou

Establece los métodos de autenticación de EAPoUDP en el switch.

identity profile eapoudp

Crea un perfil de identidad y accede al modo de configuración de perfil de EAPoUDP. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

ip admission name eapoudp

Crea y configura reglas de NAC de IP.

show ip admission

Muestra información acerca de las entradas almacenadas en la memoria caché de NAC o de la configuración de NAC. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

show running-config

Muestra la configuración de funcionamiento. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands (Referencia de comandos de conceptos básicos de la configuración de Cisco IOS, versión 12.2 > Comandos de administración de archivos > Comandos de administración de archivos de configuración).


clear ip admission

Para borrar las entradas de admisión de IP en el conmutador, utilice el comando EXEC privilegiado clear ip admission .

clear ip admission {{cache | watch-list} {* | dirección-ip}}

Descripción de la sintaxis

cache

Elimina las entradas de la memoria caché de admisión de IP.

watch-list

Elimina las entradas de la lista de vigilancia de admisión de IP.

*

Elimina todas las entradas de la memoria caché.

ip-address

Elimina la entrada de la memoria caché de la dirección IP especificada.


Valores predeterminados

No existe configuración predeterminada.

Modos de comando

EXEC privilegiado

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Ejemplos

Este ejemplo muestra cómo borrar todas las entradas de la memoria caché de admisión de IP:

Switch# clear ip admission *

Puede verificar la configuración introduciendo el comando EXEC privilegiado show eou o show ip admission .

Comandos relacionados

Comando
Descripción

ip admission name eapoudp

Crea y configura las reglas del control de admisión a la red (NAC).

show eou

Muestra información acerca de la configuración del Protocolo de autenticación extensible sobre UDP (EAPoUDP) o las entradas de la memoria caché de la sesión.

show ip admission

Muestra información acerca de las entradas almacenadas en la memoria caché de NAC o de la configuración de NAC. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).


clear ip device tracking

Para borrar entradas en la tabla IP Device Tracking (Seguimiento de dispositivos IP) en el conmutador, utilice el comando EXEC privilegiado clear ip device tracking .

clear ip device tracking {all | interface id-interfaz | ip dirección-ip | mac dirección-mac}

Descripción de la sintaxis

all

Elimina todas las entradas de IP Device Tracking (Seguimiento de dispositivos IP).

interface id-interfaz

Elimina todas las entradas de seguimiento del dispositivo IP en la interfaz especificada.

ip dirección-ip

Elimina todas las entradas de IP Device Tracking (Seguimiento de dispositivos IP) de la dirección IP especificada.

mac dirección-mac

Elimina todas las entradas de MAC Device Tracking (Seguimiento de dispositivos IP) de la dirección MAC especificada.


Valores predeterminados

No existe configuración predeterminada.

Modos de comando

EXEC privilegiado

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

Tras utilizar el comando EXEC privilegiado clear ip device tracking para borrar entradas de IP Device Tracking (Seguimiento de dispositivos IP), el switch envía sondeos ARP a los hosts eliminados. Si hay algún host presente, éste responderá al sondeo ARP y el switch agregará una entrada de IP Device Tracking (Seguimiento de dispositivos IP) para dicho host.

Ejemplos

Este ejemplo muestra cómo borrar todas las entradas de la tabla IP Device Tracking (Seguimiento de dispositivos IP).

Switch# clear ip device tracking all

Puede verificar la configuración introduciendo el comando EXEC privilegiado show ip device tracking .

Comandos relacionados

Comando
Descripción

ip device tracking

Activa la tabla IP Device Tracking (Seguimiento de dispositivos IP) y configura los parámetros de la misma.

show ip device tracking

Muestra información acerca de las entradas de la tabla IP Device Tracking (Seguimiento de dispositivos IP).


debug eou

Para activar la depuración del Protocolo de autenticación extensible sobre UDP (EAPoUDP), utilice el comando EXEC privilegiado debug eou. Utilice la opción no de este comando para desactivar la depuración.

debug eou {all | eap | errors | events | obj-create | obj-destroy | obj-link | obj-unlink | packets | ratelimit | sm}

no debug eou {all | eap | errors | events | obj-create | obj-destroy | obj-unlink | packets | ratelimit | sm}

Descripción de la sintaxis no debug eou {all | eap | errors | events | packets | ratelimit | sm}

all

Muestra toda la información acerca de EAPoUDP.

eap

Muestra paquetes de EAPoUDP.

errores

Muestra información acerca de errores de paquetes de EAPoUDP.

events

Muestra información acerca de eventos de paquetes de EAPoUDP.

obj-create

Muestra información acerca de sesiones de EAPoUDP creadas.

obj-destroy

Muestra información acerca de sesiones de EAPoUDP eliminadas.

obj-link

Muestra información acerca de sesiones de EAPoUDP agregadas a la tabla hash.

obj-unlink

Muestra información acerca de sesiones de EAPoUDP eliminadas de la tabla hash.

packets

Muestra información acerca del paquete de EAPoUDP.

ratelimit

Muestra información acerca de la validación de postura de EAPoUDP.

sm

Muestra transiciones de la máquina de estado de EAPoUDP.


Valores predeterminados

La depuración está desactivada.

Modos de comando

EXEC privilegiado

Historial de comando

Versión
Modificación

12.2(18)SXF
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

El comando undebug eou realiza las mismas funciones que el comando no debug eou.

En los switches Catalyst 3750 y en los módulos de servicio EtherSwitch, al activar la depuración, ésta sólo se activa en la pila principal. Para activar la depuración en un miembro de pila, puede iniciar una sesión en la pila principal mediante el comando EXEC privilegiado session número de switch . Introduzca a continuación el comando debug en la solicitud de la línea de comandos del miembro de pila. También puede utilizar el comando EXEC privilegiado remote command LÍNEA del número de miembro de pila en el switch de la pila principal para activar la depuración en un switch miembro sin iniciar previamente una sesión.

Comandos relacionados

Comando
Descripción

show debugging

Muestra información acerca de los tipos de depuración activados. Para obtener información sobre la sintaxis, seleccione Cisco IOS Release 12.2 Configuration Guides and Command References > Cisco IOS Configuration Fundamentals Configuration Guide, Release 12.2 > System Management > Troubleshooting and Fault Management. (Guías de configuración y referencias de comandos de la versión 12.2 de Cisco IOS > Guía de configuración de conceptos básicos sobre la configuración de Cisco IOS, versión 12.2 > Administración del sistema > Resolución de problemas y administración de fallos).

show eou

Muestra información acerca de la configuración global de EAPoUDP o las entradas de la memoria caché de la sesión.


debug ip admission

Para activar la depuración de eventos de admisión de IP, utilice el comando EXEC privilegiado debug ip admission . Utilice la opción no de este comando para desactivar la depuración.

debug ip admission {api | dos | eapoudp | function-trace | object-creation | object-deletion | timers}

no debug ip admission {api | dos | eapoudp | function-trace | object-creation | object-deletion | timers}

Descripción de la sintaxis

api

Muestra los eventos de la interfaz de programación de aplicaciones (API) de admisión de IP.

dos

Muestra información acerca de la prevención de rechazo del servicio del proxy de autenticación.

eapoudp

Muestra información acerca de los eventos de validación de postura del Protocolo de autenticación extensible sobre UDP (EAPoUDP).

function-trace

Muestra información acerca del rastro de la función del proxy de autenticación.

object-creation

Muestra información acerca de los objetos del proxy de autenticación creados.

object-deletion

Muestra información acerca de los objetos del proxy de autenticación eliminados.

timers

Muestra información acerca de los eventos de temporizador del proxy de autenticación.


Valores predeterminados

La depuración está desactivada.

Modos de comando

EXEC privilegiado

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

El comando undebug ip admission realiza las mismas funciones que el comando no debug ip admission .

En los switches Catalyst 3750 y en los módulos de servicio EtherSwitch, al activar la depuración, ésta sólo se activa en la pila principal. Para activar la depuración en un miembro de pila, puede iniciar una sesión en la pila principal mediante el comando EXEC privilegiado session número de switch . Introduzca a continuación el comando debug en la solicitud de la línea de comandos del miembro de pila. También puede utilizar el comando EXEC privilegiado remote command LÍNEA del número del miembro de pila en el switch de la pila principal para activar la depuración en un switch miembro sin iniciar previamente una sesión.

Comandos relacionados

Comando
Descripción

show debugging

Muestra información acerca de los tipos de depuración activados. Para obtener información sobre la sintaxis, seleccione Cisco IOS Release 12.2 Configuration Guides and Command References > Cisco IOS Configuration Fundamentals Configuration Guide, Release 12.2 > System Management > Troubleshooting and Fault Management. (Guías de configuración y referencias de comandos de la versión 12.2 de Cisco IOS > Guía de configuración de conceptos básicos sobre la configuración de Cisco IOS, versión 12.2 > Administración del sistema > Resolución de problemas y administración de fallos).

show eou

Muestra información acerca de la configuración global de EAPoUDP o las entradas de la memoria caché de la sesión.

show ip admission

Muestra información acerca de las entradas de la memoria caché del control de admisión a la red (NAC) o la configuración de NAC. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).


debug ip device tracking

Para activar el seguimiento de la depuración del control de admisión a la red (NAC) en los puertos del conmutador, utilice el comando EXEC privilegiado
debug ip device tracking . Utilice la opción no de este comando para desactivar la depuración.

debug ip device tracking {all | events | obj-create | obj-destroy | redundancy}

no debug ip device tracking {all | events | obj-create | obj-destroy | redundancy}

Descripción de la sintaxis

all

Muestra toda la información acerca del Protocolo de autenticación extensible sobre UDP (EAPoUDP).

events

Muestra información acerca de eventos de paquetes de EAPoUDP.

obj-create

Muestra información acerca de sesiones de EAPoUDP creadas.

obj-destroy

Muestra información acerca de sesiones de EAPoUDP eliminadas.

redundancy

Muestra información acerca del estado SSO de los motores supervisores en espera en sesiones de EAPoUDP.

Nota Esta palabra clave sólo se aplica a los switches de la serie Catalyst 4500.


Valores predeterminados

La depuración está desactivada.

Modos de comando

EXEC privilegiado

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

El comando undebug ip device tracking realiza las mismas funciones que el comando no debug ip device tracking .

En los switches Catalyst 3750 y en los módulos de servicio EtherSwitch, al activar la depuración, ésta sólo se activa en la pila principal. Para activar la depuración en un miembro de pila, puede iniciar una sesión en la pila principal mediante el comando EXEC privilegiado session número de switch . Introduzca a continuación el comando debug en la solicitud de la línea de comandos del miembro de pila. También puede utilizar el comando EXEC privilegiado remote command LÍNEA del número del miembro de pila en el switch de la pila principal para activar la depuración en un switch miembro sin iniciar previamente una sesión.

debug sw-ip-admission

Para activar la depuración del procesamiento de IP de capa 2 de NAC, como los eventos de vinculación ARP y DHCP, utilice el comando EXEC privilegiado debug sw-ip-admission . Utilice la opción no de este comando para desactivar la depuración.

debug sw-ip-admission [packet]

no debug sw-ip-admission [packet]

Descripción de la sintaxis

packet

(Opcional) Activa la depuración de paquetes utilizados para realizar el seguimiento de los hosts de capa 2 de NAC.


Descripción de la sintaxis

Este comando no tiene palabras clave ni argumentos.

Valores predeterminados

La depuración está desactivada.

Modos de comando

EXEC privilegiado

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

El comando undebug sw-ip-admission realiza las mismas funciones que el comando no debug sw-ip-admission .

En los switches Catalyst 3750 y en los módulos de servicio EtherSwitch, al activar la depuración, ésta sólo se activa en la pila principal. Para activar la depuración en un miembro de pila, puede iniciar una sesión en la pila principal mediante el comando EXEC privilegiado session número de switch . Introduzca a continuación el comando debug en la solicitud de la línea de comandos del miembro de pila. También puede utilizar el comando EXEC privilegiado remote command LÍNEA del número del miembro de pila en el switch de la pila principal para activar la depuración en un switch miembro sin iniciar previamente una sesión.

Comandos relacionados

Comando
Descripción

show debugging

Muestra información acerca de los tipos de depuración activados. Para obtener información sobre la sintaxis, seleccione Cisco IOS Release 12.2 Configuration Guides and Command References > Cisco IOS Configuration Fundamentals Configuration Guide, Release 12.2 > System Management > Troubleshooting and Fault Management. (Guías de configuración y referencias de comandos de la versión 12.2 de Cisco IOS > Guía de configuración de conceptos básicos sobre la configuración de Cisco IOS, versión 12.2 > Administración del sistema > Resolución de problemas y administración de fallos).

show eou

Muestra información acerca de la configuración global del Protocolo de autenticación extensible sobre UDP (EAPoUDP) o las entradas de la memoria caché de la sesión.

show ip admission

Muestra información acerca de las entradas de la memoria caché del control de admisión a la red (NAC) o la configuración de NAC. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).


description

Para introducir una descripción de la política de identidad, utilice el comando de modo de configuración de la política de identidad description . Para borrar la descripción, utilice la opción no de este comando sin la descripción.

description línea-de-descripción [line-of-description] [line-of-description] ...

no description línea-de-descripción [line-of-description] [line-of-description] ...

Descripción de la sintaxis

line-of-description

Describe la política de identidad.


Valores predeterminados

No aparece ninguna descripción configurada.

Modos de comando

Configuración de la política de identidad.

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

Es posible utilizar varias líneas de texto que describan la política de identidad.

Ejemplos

Este ejemplo muestra cómo introducir una descripción de la política de identidad denominada policy100:

Switch(config)# identity policy policy100
Switch(config-identity-policy)# description Admin policy for the engineering group

Puede verificar la configuración introduciendo el comando EXEC privilegiado show running-config .

Comandos relacionados

Comando
Descripción

description (identity-profile configuration)

Permite introducir una descripción de una política de identidad. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

show running-config

Muestra la configuración de funcionamiento. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands (Referencia de comandos de conceptos básicos de la configuración de Cisco IOS, versión 12.2 > Comandos de administración de archivos > Comandos de administración de archivos de configuración).


device

Para autorizar o rechazar manualmente un dispositivo, utilice el comando de modo de configuración del perfil de identidad device . Utilice la opción no de este comando para volver a la configuración predeterminada.

device {authorize | not-authorize} {ip-address dirección-ip | mac-address dirección-mac | type cisco ip phone} [policy nombre de la política]

no device {authorize | not-authorize} {ip-address dirección-ip | mac-address dirección-mac | type cisco ip phone} [policy nombre de la política]

Descripción de la sintaxis

authorize

Configura un dispositivo autorizado.

not-authorize

Configura un dispositivo no autorizado.

ip-address dirección-ip

Especifica la dirección IP del dispositivo.

mac-address dirección-mac

Especifica la dirección MAC del dispositivo.

type cisco ip phone

Especifica que el dispositivo es un teléfono IP de Cisco.

policy nombre de la política

Especifica la política que se va a aplicar en el dispositivo.


Valores predeterminados

Los dispositivos no se autorizan ni rechazan manualmente.

Modos de comando

Configuración del perfil de identidad

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

Debe crear un perfil de identidad mediante el comando de configuración global identity profile {default | dot1x | eapoudp} antes de utilizar el comando de configuración del perfil de identidad device.

Ejemplos

Este ejemplo muestra cómo autorizar de forma estática un dispositivo cuya dirección MAC sea 1234.abcd.5678 y su política se denomine policy1:

Switch(config)# identity profile eapoudp
Switch(config-identity-prof)# device authorize mac-address 1234.abcd.4578 policy policy1

Puede verificar la configuración introduciendo el comando EXEC privilegiado show running-config .

Comandos relacionados

Comando
Descripción

access-group (política de identidad)

Especifica el grupo de acceso que se va a aplicar a una política de identidad. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

identity profile eapoudp

Crea un perfil de identidad y accede al modo de configuración del perfil del Protocolo de autenticación extensible sobre UDP (EAPoUDP). Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

show running-config

Muestra la configuración de funcionamiento. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands (Referencia de comandos de conceptos básicos de la configuración de Cisco IOS, versión 12.2 > Comandos de administración de archivos > Comandos de administración de archivos de configuración).


eou initialize

Para restablecer manualmente las máquinas de estado del Protocolo de autenticación extensible sobre UDP (EAPoUDP), utilice el comando EXEC privilegiado eou initialize .

eou initialize {all | authentication {clientless | eap | static} | interface id-interfaz | ip dirección-ip | mac dirección-mac | posturetoken nombre}

Descripción de la sintaxis

all

Vuelve a validar todos los clientes de EAPoUDP.

authentication

Vuelve a validar mediante uno de los siguientes tipos de autenticación de EAPoUDP:

clientless: el sistema de punto final (endpoint) no ejecuta el software CTA.

eap: el tipo de autenticación es EAP.

static: el tipo de autenticación se configura de forma estática.

interface id-interfaz

Vuelve a validar al cliente de EAPoUDP en la interfaz especificada.

ip dirección-ip

Vuelve a validar al cliente de EAPoUDP en la dirección IP especificada.

mac dirección-mac

Vuelve a validar al cliente de EAPoUDP en la dirección MAC especificada.

posturetoken nombre

Vuelve a validar al cliente de EAPoUDP con el token de postura especificado.


Valores predeterminados

No existe configuración predeterminada.

Modos de comando

EXEC privilegiado

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

Al introducir el comando EXEC privilegiado eou initialize , se restablecen las sesiones de EAPoUDP configuradas.

Ejemplos

Este ejemplo muestra cómo iniciar el restablecimiento de todas las asociaciones de EAPoUDP:

Switch# eou initialize

Puede verificar la configuración introduciendo el comando EXEC privilegiado show eou .

Comandos relacionados

Comando
Descripción

eou revalidate (configuración global y de la interfaz)

Activa la revalidación de las asociaciones de EAPoUDP en el switch o en una interfaz específica.

eou revalidate (EXEC privilegiado)

Inicia la revalidación de las asociaciones de EAPoUDP de forma manual.

show eou

Muestra información acerca de la configuración de EAPoUDP o las entradas de la memoria caché de la sesión.


eou max-retry (configuración global y de la interfaz)

Para especificar el número de intentos de revalidación del Protocolo de autenticación extensible sobre UDP (EAPoUDP), utilice los comandos de configuración de interfaz y de configuración global eou max-retry . Utilice la opción no de este comando para volver a la configuración predeterminada.

eou max-retry número

no eou max-retry

Descripción de la sintaxis

número

Número de intentos del switch de volver a validar las asociaciones de EAPoUDP. El intervalo oscila entre 1 y 3.


Valores predeterminados

El número predeterminado de intentos de revalidación es 3.

Modos de comando

Configuración global y configuración de la interfaz

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

Puede configurar el número de intentos de revalidación mediante el comando de configuración global eou max-retry número. También puede utilizar el comando de configuración de la interfaz eou max-retry número para configurar el número de intentos de revalidación para una interfaz específica.

Ejemplos

Este ejemplo muestra cómo especificar el número de intentos de revalidación en 2 para switches en general:

Switch(config)# eou max-retry 2

Este ejemplo muestra cómo especificar el número de intentos de revalidación en 1 en una interfaz:

Switch(config-if)# eou max-retry 1

Puede verificar la configuración introduciendo el comando EXEC privilegiado show eou .

Comandos relacionados

Comando
Descripción

show eou

Muestra información acerca de la configuración de EAPoUDP o las entradas de la memoria caché de la sesión.


eou ratelimit

Para especificar el número de validaciones simultáneas de postura del Protocolo de autenticación extensible sobre UDP (EAPoUDP), utilice el comando de configuración global eou ratelimit . Utilice la opción no de este comando para volver a la configuración predeterminada.

eou ratelimit número

no eou ratelimit

Descripción de la sintaxis

número

Número de clientes que se pueden validar al mismo tiempo. El intervalo oscila entre 0 y 200.


Valores predeterminados

El valor predeterminado es de 20 clientes.

Modos de comando

Configuración global

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

Si introduce el comando eou rate-limit 0, se desactiva la característica que limita la velocidad.

Si el número de clientes que se pueden validar a la vez es 100 y el switch está conectado a 101 clientes, no se llevará a cabo la validación de postura del último cliente (cliente 101) hasta que otro cliente finalice su sesión de EAPoUDP.

Utilice el comando de configuración global eou default o no eou ratelimit para volver a la configuración predeterminada.

Ejemplos

Este ejemplo muestra cómo especificar que el número de clientes que se pueden validar a la vez sea 40:

Switch(config)# eou ratelimit 40

Este ejemplo muestra cómo volver a la configuración predeterminada de 20 clientes:

Switch(config-if)# eou default

Puede verificar la configuración introduciendo el comando EXEC privilegiado show eou .

Comandos relacionados

Comando
Descripción

eou default

Restablece los parámetros globales de EAPoUDP a la configuración predeterminada. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

show eou

Muestra información acerca de la configuración de EAPoUDP o las entradas de la memoria caché de la sesión.


eou revalidate (configuración global y de la interfaz)

Para activar la revalidación de las asociaciones del Protocolo de autenticación extensible sobre UDP (EAPoUDP), utilice los comandos de configuración global y de configuración de la interfaz eou revalidate .

eou revalidate

Descripción de la sintaxis

Este comando no tiene palabras clave ni argumentos.

Valores predeterminados

No existe configuración predeterminada.

Modos de comando

Configuración global y configuración de la interfaz

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

Es posible activar la revalidación de las asociaciones de EAPoUDP en el switch mediante el comando de configuración global eou revalidate . También es posible activar la revalidación de las asociaciones de EAPoUDP en una interfaz mediante el comando de configuración de la interfaz eou revalidate.

El valor del temporizador de revalidación se basa en el atributo Session-Timeout de RADIUS (atributo [27]) y el atributo Termination-Action de RADIUS (atributo [29]) en el mensaje Access-Accept (Aceptación de acceso) desde el servidor Cisco Secure ACS que está ejecutando AAA. Si el switch recibe el valor Session-Timeout, este valor anula el valor del temporizador de revalidación en el switch.

Si vence el temporizador de revalidación, la acción del switch depende del valor del atributo Termination-Action:

Si el valor del atributo Termination-Action de RADIUS es el valor predeterminado, la sesión finalizará hasta que el switch vuelva a validarla.

Si el switch obtiene un valor para el atributo Termination-Action distinto del predeterminado, la sesión EAPoUDP y la política de acceso actual permanecen vigentes durante la revalidación de postura.

Si el valor del atributo Termination-Action es RADIUS, el switch vuelve a validar al cliente.

Si el paquete del servidor no incluye el atributo Termination-Action, la sesión de EAPoUDP finalizará y el switch volverá a iniciar la validación de postura.

Ejemplos

Este ejemplo muestra cómo iniciar la revalidación de las asociaciones de EAPoUDP:

Switch(config)# eou revalidate

Este ejemplo muestra cómo iniciar la revalidación de las asociaciones de EAPoUDP en una interfaz:

Switch(config)# interface gigabitethernet 1/0/1
Switch(config-if)# eou revalidate

Puede verificar la configuración introduciendo el comando EXEC privilegiado show eou .

Comandos relacionados

Comando
Descripción

eou initialize

Restablece las máquinas de estado de EAPoUDP de forma manual.

eou allow (configuración global y configuración de la interfaz)

Permite opciones de EAPoUDP adicionales. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

eou logging

Activa el registro de eventos del sistema de EAPoUDP. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

eou port

Establece el puerto UDP para EAPoUDP. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

eou revalidate (EXEC privilegiado)

Inicia la revalidación de las asociaciones de EAPoUDP de forma manual.

show eou

Muestra información acerca de la configuración de EAPoUDP o las entradas de la memoria caché de la sesión.


eou revalidate (EXEC privilegiado)

Para iniciar manualmente la revalidación de la asociación del Protocolo de autenticación extensible sobre UDP (EAPoUDP), utilice el comando EXEC privilegiado eou revalidate .

eou revalidate {all | authentication {clientless | eap | static} | interface id-interfaz | ip dirección-ip | mac dirección-mac | posturetoken nombre}

Descripción de la sintaxis

all

Vuelve a validar todos los clientes de EAPoUDP.

authentication

Vuelve a validar mediante uno de los siguientes tipos de autenticación de EAPoUDP:

clientless: el sistema de punto final (endpoint) no ejecuta el software CTA.

eap: el tipo de autenticación es EAP.

static: el tipo de autenticación se configura de forma estática.

interface id-interfaz

Vuelve a validar al cliente de EAPoUDP en la interfaz especificada.

ip dirección-ip

Vuelve a validar al cliente de EAPoUDP en la dirección IP especificada.

mac dirección-mac

Vuelve a validar al cliente de EAPoUDP en la dirección MAC especificada.

posturetoken nombre

Vuelve a validar al cliente de EAPoUDP con el token de postura especificado.


Valores predeterminados

No existe configuración predeterminada.

Modos de comando

EXEC privilegiado

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

Para iniciar la revalidación de las asociaciones de EAPoUDP de forma manual en el conmutador, utilice el comando EXEC privilegiado eou revalidate .

Ejemplos

Este ejemplo muestra cómo iniciar la revalidación de todos los clientes de EAPoUDP:

Switch# eou revalidate all

Este ejemplo muestra cómo iniciar la revalidación de clientes de EAPoUDP en una interfaz específica

Switch# eou revalidate interface gigabitethernet 1/0/2

Puede verificar la configuración introduciendo el comando EXEC privilegiado show eou .

Comandos relacionados

Comando
Descripción

eou initialize

Restablece las máquinas de estado de EAPoUDP de forma manual.

eou revalidate (configuración global y de la interfaz)

Activa la revalidación de las asociaciones de EAPoUDP en el switch o en una interfaz específica.

show eou

Muestra información acerca de la configuración de EAPoUDP o las entradas de la memoria caché de la sesión.


eou timeout (configuración global y de la interfaz)

Para establecer los temporizadores del Protocolo de autenticación extensible sobre UDP (EAPoUDP), utilice los comandos de configuración global y de configuración de la interfaz eou timeout . Utilice la opción no de este comando para establecer los valores predeterminados.

eou timeout {aaa segundos | hold-period segundos | retransmit segundos | revalidation segundos | status-query segundos}

no eou timeout {aaa | hold-period | retransmit | revalidation | status-query}

Descripción de la sintaxis

aaa segundos

Establece el tiempo (en segundos) que el switch se mantiene a la espera para la retransmisión de paquetes desde el switch al servidor de autenticación, autorización y contabilidad (AAA). El intervalo oscila entre 1 y 60.

hold-period segundos

Establece el tiempo (en segundos) que el switch se mantiene a la espera para volver a autenticar el host después de un intento de autenticación fallido. El intervalo oscila entre 60 y 86400 segundos.

retransmit segundos

Establece el tiempo (en segundos) que el switch se mantiene a la espera de una respuesta del cliente antes de volver a enviar una solicitud del estado del antivirus. El intervalo oscila entre 1 y 60.

revalidation segundos

Establece el tiempo (en segundos) durante el que la política del control de admisión a la red (NAC) se aplica a un cliente que ha utilizado mensajes de EAPoUDP durante la validación de postura. El intervalo oscila entre 5 y 86400.

status-query segundos

Establece el tiempo (en segundos) que el switch se mantiene a la espera antes de verificar que el cliente validado anteriormente está presente y que su postura no ha cambiado. El intervalo oscila entre 10 y 1800 segundos.


Valores predeterminados

El tiempo predeterminado de AAA es de 60 segundos (1 minuto).

El tiempo de espera predeterminado es de 180 segundos (3 minutos).

El tiempo de retransmisión predeterminado es de 3 segundos.

El tiempo de revalidación predeterminado es de 600 segundos (10 minutos).

El tiempo predeterminado de consulta de estado es de 300 segundos (5 minutos).

Modos de comando

Configuración global y configuración de la interfaz

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

Puede configurar los temporizadores de EAPoUDP de forma global en un switch introduciendo el comando de configuración global eou timeout. Puede configurar también los temporizadores de EAPoUDP en una interfaz específica introduciendo el comando de configuración de la interfaz eou timeout.

Para obtener más información acerca de los temporizadores de EAPoUDP, consulte la sección "Temporizadores de NAC".

Ejemplos

Este ejemplo muestra cómo establecer el temporizador de retransmisión en 45 segundos para switches en general:

Switch(config)# eou timeout retransmit 45

Este ejemplo muestra cómo establecer el temporizador de revalidación en 800 segundos en una interfaz:

Switch(config-if)# eou timeout revalidation 800

Puede verificar la configuración introduciendo el comando EXEC privilegiado show eou .

Comandos relacionados

Comando
Descripción

eou default

Restablece los parámetros globales de EAPoUDP a la configuración predeterminada. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

eou allow (configuración global y configuración de la interfaz)

Permite opciones de EAPoUDP adicionales. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

eou logging

Activa el registro de eventos del sistema de EAPoUDP. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

eou port

Establece el puerto UDP para EAPoUDP. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

show eou

Muestra información acerca de la configuración de EAPoUDP o las entradas de la memoria caché de la sesión.


identity policy

Para crear una política de identidad e introducir el modo de configuración de políticas del Protocolo de autenticación extensible sobre UDP (EAPoUDP), utilice el modo de configuración global identity policy . Utilice la opción no de este comando para eliminar la política.

identity policy nombre-política

no identity policy nombre-política

Descripción de la sintaxis

policy-name

Especifica el nombre de una política de EAPoUDP.


Valores predeterminados

No aparece ninguna política de EAPoUDP configurada.

Modos de comando

Configuración global

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

Una vez que el dispositivo se ha autenticado de forma manual sobre la base de la dirección IP, la dirección MAC o el tipo de dispositivo, es posible definir la política que desee aplicar en el dispositivo mediante el modo de configuración global identity policy nombre-política. Para obtener más información, consulte la sección "Configuración de perfiles y políticas de identidad" del capítulo "Configuración del control de admisión a la red".

Ejemplos

Este ejemplo muestra cómo crear una política de identidad y acceder al modo de configuración de políticas de EAPoUDP:

Switch(config)# identity policy policy11

Puede verificar la configuración introduciendo el comando EXEC privilegiado show running-config .

Comandos relacionados

Comando
Descripción

access-group (política de identidad)

Especifica el grupo de acceso que se va a aplicar a una política de identidad. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

identity profile eapoudp

Crea un perfil de identidad y accede al modo de configuración de perfil de EAPoUDP. Para obtener información sobre la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

show running-config

Muestra la configuración de funcionamiento. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands (Referencia de comandos de conceptos básicos de la configuración de Cisco IOS, versión 12.2 > Comandos de administración de archivos > Comandos de administración de archivos de configuración).


ip admission name eapoudp

Para crear una regla del control de admisión a la red (NAC) de IP, utilice el comando de configuración global ip admission name eapoudp . Utilice la opción no de este comando para eliminar la regla.

ip admission name nombre-regla eapoudp

no ip admission name nombre-regla eapoudp

Descripción de la sintaxis

rule-name

Especifica el nombre de la regla de NAC de IP.


Valores predeterminados

No aparece ninguna regla de NAC de IP configurada.

Modos de comando

Configuración global

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

La regla de NAC de IP permite definir cómo aplicar el NAC.

Para aplicar la regla de NAC de IP en un puerto de acceso de un switch de borde, utilice el comando de configuración de la interfaz ip admission nombre-admisión .

Ejemplos

Este ejemplo muestra cómo crear una regla de NAC de IP denominada rule11:

Switch(config)# ip admission name rule11 eapoudp

Puede verificar la configuración introduciendo el comando EXEC privilegiado show ip admission .

Comandos relacionados

Comando
Descripción

clear eou

Borra todas las entradas del dispositivo cliente de NAC en el switch o en la interfaz especificada. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

ip admission nombre-admisión (configuración de la interfaz)

Crea la regla de NAC que se va a aplicar a la interfaz especificada. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

show eou

Muestra información acerca de la configuración global del Protocolo de autenticación extensible sobre UDP (EAPoUDP) o las entradas de la memoria caché de la sesión.

show ip admission

Muestra información acerca de las entradas de la memoria caché del control de admisión a la red (NAC) o la configuración de NAC. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).


ip admission name eapoudp bypass

Para activar y configurar la característica de desviación del Protocolo de autenticación extensible sobre UDP (EAPoUDP o EoU), utilice el comando de configuración global ip admission name eapoudp bypass . Utilice la opción no de este comando para eliminar la regla.

ip admission name nombre-regla eapoudp bypass {auth-cache-list tiempo-caché [list {nombre-acl | número-acl}] | list {nombre-lista-acceso | número-lista-acceso}}

no ip admission name nombre-regla eapoudp

Descripción de la sintaxis

rule-name

Especifica el nombre de la regla del control de admisión a la red (NAC) de IP.

auth-cache-list tiempo-caché

Establece el tiempo hasta el vencimiento de las entradas de la memoria caché de autorización. El intervalo es de 1 a 135791 minutos. El valor predeterminado es TBD.

list {nombre-acl | número-acl}

Especifica el nombre o el número de una lista de control de acceso extendida o estándar (ACL) que se aplica al proxy de autenticación.

Si se introducen después de las palabras claves auth-cache-time cache-time, las anteriores son opcionales.

Nota El router de la serie Catalyst 7600 y el switch de la serie Catalyst 6500 no son compatibles con esta opción.


Valores predeterminados

El desvío de EoU está desactivado.

Modos de comando

Configuración global

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

Si se activa el desvío de EoU, el switch no se pone en contacto con el host para solicitar el estado del antivirus. En su lugar, envía una solicitud a Cisco Secure Access Control Server (ACS) en la que se incluye la dirección IP, la dirección MAC, el tipo de servicio, y la ID de sesión EAPoUDP del host. El servidor de autenticación realiza la toma de decisión sobre el control de acceso y envía la política al switch.

Puede asociar la regla especificada con un ACL para controlar qué hosts están autenticados con NAC. Si no configura una ACL estándar, el switch utiliza una regla de NAC para interceptar el tráfico IP procedente de todos los host conectados a los puertos activados por NAC.

Puede usar las palabras claves auth-cache-time tiempo-caché para especificar la hora de vencimiento de las entradas de la memoria caché y en que se debe volver a validar el host.

Puede usar las palabras claves list {nombre-acl | número-acl} para especificar una ACL nombrada o numerada que se aplica a una regla de NAC. Si los hosts de la ACL inician las conexiones IP, la función del NAC intercepta las solicitudes de conexión inicial.

Ejemplos

Este ejemplo muestra cómo se activa la desviación de EoU y se la asocia con una ACL numerada. El switch utiliza el NAC para validar el estado del antivirus del tráfico IP que coincide con la ACL en lugar de permitir los paquetes que coinciden con la ACL.

Switch(config)# ip admission name rule11 eapoudp bypass list 101

Este ejemplo muestra cómo se activa la desviación de EoU y se especifica el temporizador de entrada de la memoria caché:

Switch(config)# ip admission name rule11 eapoudp bypass auth-cache-time 30

Este ejemplo muestra cómo desactivar el desvío de EoU:

Switch(config)# ip admission name rule11 eapoudp bypass

Puede verificar la configuración introduciendo el comando EXEC privilegiado show ip admission .

Comandos relacionados

Comando
Descripción

clear eou

Borra todas las entradas del dispositivo cliente de NAC en el switch o en la interfaz especificada. Para obtener información sobre la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

show eou

Muestra información acerca de la configuración global de EAPoUDP o las entradas de la memoria caché de la sesión.

show ip admission

Muestra información acerca de las entradas almacenadas en la memoria caché de NAC o de la configuración de NAC. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas Características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).


ip device tracking

Para activar la función IP Device Tracking (Seguimiento de dispositivos IP) y configurar los parámetros de la tabla IP Device Tracking (Seguimiento de dispositivos IP), utilice el comando de configuración global ip device tracking . Utilice la opción no de este comando para desactivar la función y volver a los parámetros predeterminados.

ip device tracking [probe {count recuento | interval intervalo}]

no ip device tracking [probe {count | interval}]

Descripción de la sintaxis

probe

(Opcional) Configura los parámetros correspondientes a la tabla IP Device Tracking (Seguimiento de dispositivos IP):

count recuento

Establece el número de veces que el switch envía el sondeo ARP de una entrada antes de eliminar una entrada de la tabla IP Device Tracking (Seguimiento de dispositivos IP). El intervalo oscila entre 1 y 5.

interval intervalo

Configura el número de segundos durante los que el switch espera antes de volver a enviar el sondeo ARP. El intervalo oscila entre 30 y 300 segundos.


Valores predeterminados

IP device tracking está desactivado.

El número predeterminado de veces que el switch envía el sondeo ARP correspondiente a una entrada es 3.

El número predeterminado de segundos que el switch espera antes de volver a enviar el sondeo ARP es 30 segundos.

Modos de comando

Configuración global

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

Si desea obtener más información acerca de la función IP Device Tracking (Seguimiento de dispositivos IP) y la tabla IP Device Tracking (Seguimiento de dispositivos IP), consulte la sección "Temporizadores de NAC".

Este ejemplo muestra cómo activar IP Device Tracking (Seguimiento de dispositivos IP)):

Switch(config)# ip device tracking

Este ejemplo muestra cómo configurar el número de veces que el switch envía sondeos ARP en 4:

Switch(config)# ip device tracking probe count 4

Puede verificar la configuración introduciendo el comando EXEC privilegiado show ip device tracking .

Comandos relacionados

Comando
Descripción

clear ip device tracking

Borra las entradas de la tabla IP Device Tracking (Seguimiento de dispositivos IP) en el switch.

show ip device tracking

Muestra información acerca de las entradas de la tabla IP Device Tracking (Seguimiento de dispositivos IP).


mls rate-limit layer2 ip-admission


Nota Este comando es específico para el switch de la serie Catalyst 6500 y el router de la serie Catalyst 7600.


Para limitar la velocidad del tráfico de la capa 2 de la admisión de IP (redireccionado a la CPU) con el limitador de velocidad del hardware, utilice el comando de configuración global mls rate-limit layer2 ip ip-admission . Utilice la opción no del comando para desactivar esta característica.

mls rate-limit layer2 ip ip-admission pps [ráfaga]

no mls rate-limit layer2 ip ip-admission

Descripción de la sintaxis

pps

Establece los paquetes de limitación de velocidad por segundo. El intervalo oscila entre 10 y 1000000.

burst

(Opcional) Establece el número máximo de paquetes permitidos en una ráfaga. El intervalo oscila entre 1 y 255.

Si no se configura esta palabra clave, el valor de la ráfaga se establece en 10.


Valores predeterminados

La limitación de velocidad no está activada.

Modos de comando

EXEC privilegiado

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

El limitador de velocidad de NAC está desactivado de forma predeterminada; todos los paquetes que coinciden con el escenario se envían al RP.

Ejemplos

Este ejemplo muestra cómo establecer la velocidad de los paquetes en 1000 paquetes por segundo y la velocidad de la ráfaga en un número máximo de 100 paquetes:

Switch(config)# mls rate-limit layer2 ip-admission 1000 100

radius-server attribute 8

Para configurar el switch para que envíe el atributo Framed-IP-Address RADIUS (atributo[8]) en paquetes de solicitud de acceso o paquetes de solicitud de cuentas, utilice el modo de configuración global radius-server attribute 8. Utilice la opción no de este comando para configurar el switch de manera que no envíe el atributo RADIUS (atributo[8]).

radius-server attribute 8 include-in-access-req

no radius-server attribute 8 include-in-access-req

Descripción de la sintaxis

Este comando no tiene palabras clave ni argumentos.

Valores predeterminados

El switch no envía el atributo Framed-IP-Address RADIUS (atributo[8]) en paquetes RADIUS de solicitud de acceso o de cuentas.

Modos de comando

Configuración global

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

Cuando el switch valida la postura de hosts inactivos, también denominados hosts sin agente del control de admisión a la red (NAC), debe utilizar el comando de configuración global radius-server attribute 8 include-in-access-req.

Cuando introduce el comando de configuración global radius-server attribute 8 include-in-access-req, el switch envía el atributo Framed-IP-Address en paquetes RADIUS de solicitud de acceso o de cuentas.

Ejemplos

Este ejemplo muestra cómo configurar el switch para que envíe el atributo RADIUS (atributo[8]) en paquetes de solicitud de acceso o de cuentas:

Switch(config)# radius-server attribute 8 include-in-access-req

Puede verificar la configuración introduciendo el comando EXEC privilegiado show eou .

Comandos relacionados

Comando
Descripción

show eou

Muestra información acerca de la configuración del Protocolo de autenticación extensible sobre UDP (EAPoUDP) o las entradas de la memoria caché de la sesión.


redirect

Para especificar la URL a la que el switch redirecciona los clientes, utilice el modo de configuración redirect . Utilice la opción no del comando para eliminar la URL.

redirect url url [match nombre-acl]

no redirect url url [match]


Nota Este comando no es compatible con los switches de las series Catalyst 3750, 3560, 2970, 2960 ni con los módulos de servicio EtherSwitch de Cisco.


Descripción de la sintaxis

url

Especifica la URL a la que los clientes se redireccionan.

match nombre-acl

Especifica que el tráfico que coincide con la lista de control de acceso (ACL) especificada se redirecciona a la URL.


Valores predeterminados

No aparece ninguna ACL ni URL configurada.

Modos de comando

Configuración de la política de identidad.

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

Cuando especifique una URL redireccionada, se debe asociar una política de identidad con un perfil de identidad del Protocolo de autenticación extensible sobre UDP (EAPoUDP).

Ejemplos

Este ejemplo muestra cómo crear una política de identidad denominada policy100 y acceder a un modo de configuración de políticas de EAPoUDP:

Switch(config)# identity policy policy100
Switch(config-identity-policy)# redirect tftp:172.20.10.30/nac_authen.tar match
authen_policy

Puede verificar la configuración introduciendo el comando EXEC privilegiado show running-config .

Comandos relacionados

Comando
Descripción

identity profile eapoudp

Crea un perfil de identidad y accede al modo de configuración de perfil de EAPoUDP. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

show running-config

Muestra la configuración de funcionamiento. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Configuration Fundamentals Command Reference, Release 12.2 > File Management Commands > Configuration File Management Commands (Referencia de comandos de conceptos básicos de la configuración de Cisco IOS, versión 12.2 > Comandos de administración de archivos > Comandos de administración de archivos de configuración).


show eou

Para mostrar información acerca de la configuración del Protocolo de autenticación extensible sobre UDP (EAPoUDP) o de las entradas de la memoria caché de la sesión, utilice el comando EXEC privilegiado show eou .

show eou {all | authentication {clientless | eap | static} | interface id-interfaz | ip dirección-ip | mac dirección-mac | posturetoken nombre} [ | {begin | exclude | include} expresión]

Descripción de la sintaxis

all

Muestra la información de EAPoUDP acerca de todos los clientes.

authentication

Muestra información acerca de uno de estos tipos de autenticación de EAPoUDP:

clientless: el sistema de punto final (endpoint) no ejecuta el software CTA.

eap: el tipo de autenticación es EAP.

static: el tipo de autenticación se configura de forma estática.

interface id-interfaz

Muestra información de EAPoUDP para la interfaz especificada.

ip dirección-ip

Muestra la información de EAPoUDP para la dirección IP especificada.

mac dirección-mac

Muestra la información de EAPoUDP para la dirección MAC especificada.

posturetoken nombre

Muestra la información de EAPoUDP para el token de postura especificada.

| begin

(Opcional) La muestra comienza con la línea que coincide con la expresión.

| exclude

(Opcional) La muestra excluye las líneas que coinciden con la expresión.

| include

(Opcional) La muestra incluye las líneas que coinciden con la expresión especificada.

expression

Expresión en el resultado para utilizar como punto de referencia.


Modos de comando

EXEC privilegiado

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

Si no especifica un puerto, aparecen los parámetros globales y un resumen. Si especifica un puerto, aparecen los detalles de ese puerto.

En las expresiones se distingue entre mayúscula y minúscula. Por ejemplo, si introduceexclude output, las líneas que contienen output no se muestran, pero las líneas que contienen Output sí aparecen.

Ejemplos

A continuación, se muestra un ejemplo de resultado del comando EXEC privilegiado show eou :

Switch# show eou
Global EAPoUDP Configuration
----------------------------
EAPoUDP Version     = 1
EAPoUDP Port        = 0x5566
Clientless Hosts    = Disabled
IP Station ID       = Disabled
Revalidation        = Enabled
Revalidation Period = 36000 Seconds
ReTransmit Period   = 3 Seconds
StatusQuery Period  = 300 Seconds
Hold Period         = 180 Seconds
AAA Timeout         = 60 Seconds
Max Retries         = 3
EAP Rate Limit      = 20
EAPoUDP Logging     = Disabled

Interface Specific EAPoUDP Configurations
-----------------------------------------
Interface GigabitEthernet1/0/1
  No interface specific configuration

La tabla 4 describe los campos que aparecen en la muestra:

Tabla 4 Descripción de los campos de show eou

Campo
Descripción

EAPoUDP Version (Versión de EAPoUDP)

Muestra la versión del protocolo de EAPoUDP.

EAPoUDP Port (Puerto de EAPoUDP)

Muestra el número de puerto de EAPoUDP.

Clientless Hosts (Hosts sin cliente)

Muestra el estado de los hosts sin cliente (activados o desactivados).

IP Station ID (ID de estación IP)

Muestra si la dirección IP está permitida en el campo station-id de AAA1. Este campo está desactivado de forma predeterminada.

Revalidation (Revalidación)

Muestra el estado de revalidación.

Revalidation Period (Periodo de revalidación)

Muestra el intervalo de revalidación del host.

ReTransmit Period (Periodo de retransmisión)

Muestra el intervalo de retransmisión del paquete de EAPoUDP.

StatusQuery Period (Periodo StatusQuery)

Muestra el intervalo de consulta de estado de EAPoUDP correspondiente a hosts validados.

Hold Period (Periodo de espera)

Muestra el tiempo durante el que espera el switch después de una autenticación de NAC fallida.

AAA Timeout (Tiempo de espera de AAA)

Muestra el periodo de tiempo de espera de AAA.

Max Retries (Número máximo de intentos)

Muestra el número permitido de transmisiones.

EAPoUDP Logging (Registro de EAPoUDP)

Muestra el estado de registro.

1 AAA = authentication, authorization, and accounting (autenticación, autorización y contabilidad)


Comandos relacionados

Comando
Descripción

eou default

Restablece los parámetros globales de EAPoUDP a la configuración predeterminada. Para obtener información acerca de la sintaxis, seleccione Cisco IOS Software Configuration > Cisco IOS Release 12.3 > New Feature Documentation > 12.3 T New Features and System Messages > New Features in Release 12.3(8)T > Network Admission Control (Configuración del software Cisco IOS > Cisco IOS versión 12.3 > Documentación de las nuevas características > Nuevas características y mensajes del sistema de la versión 12.3 T > Características nuevas de la versión 12.3(8)T > Control de admisión a la red).

eou max-retry (configuración global y de la interfaz)

Especifica el número de intentos de revalidación de EAPoUDP.

eou ratelimit

Especifica el número de validaciones de postura de EAPoUDP simultáneas.

eou timeout

Establece los temporizadores de EAPoUDP.


show ip access-lists interface

Para visualizar las políticas de host de IP LP, utilice el comando EXEC privilegiado show ip access-lists .

show ip access-lists interface interfaz

Descripción de la sintaxis

interface

Especifica la interfaz que desea visualizar.


Modos de comando

EXEC privilegiado

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Ejemplos

A continuación, se muestra un ejemplo de resultado del comando EXEC privilegiado show ip device tracking all :

Switch# show ip access-lists GigabitEthernet3/4
IP Admission access control entires (Inbound)
     permit ip host 102.50.1.54 any

show ip device tracking

Para borrar entradas en la tabla IP Device Tracking (Seguimiento de dispositivos IP), utilice el comando EXEC privilegiado show ip device tracking .

show ip device tracking {all | interface id-interfaz | ip dirección-ip | mac dirección-mac[ | {begin | exclude | include} expresión]

Descripción de la sintaxis

all

Muestra todas las entradas de la tabla IP Device Tracking (Seguimiento de dispositivos IP).

interface id-interfaz

Muestra las entradas de la tabla IP Device Tracking (Seguimiento de dispositivos IP) correspondientes a la interfaz especificada.

ip dirección-ip

Muestra las entradas de la tabla IP Device Tracking (Seguimiento de dispositivos IP) correspondientes a dirección IP especificada.

mac dirección-mac

Muestra las entradas de la tabla IP Device Tracking (Seguimiento de dispositivos IP) correspondientes a dirección MAC especificada.

| begin

(Opcional) La muestra comienza con la línea que coincide con la expresión.

| exclude

(Opcional) La muestra excluye las líneas que coinciden con la expresión.

| include

(Opcional) La muestra incluye las líneas que coinciden con la expresión especificada.

expression

Expresión en el resultado para utilizar como punto de referencia.


Modos de comando

EXEC privilegiado

Historial de comando

Versión
Modificación

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Este comando fue ingresado.


Pautas de uso

En las expresiones se distingue entre mayúscula y minúscula. Por ejemplo, si introduceexclude output, las líneas que contienen output no se muestran, pero las líneas que contienen Output sí aparecen.

Ejemplos

A continuación, se muestra un ejemplo de resultado del comando EXEC privilegiado show ip device tracking all :

Switch# show ip device tracking all
---------------------------------------------------------------
  IP Address    MAC Address     Interface              STATE
---------------------------------------------------------------
  1.1.1.1       cf2a.220a.12f4  GigabitEthernet1/0/1   ACTIVE
  1.2.1.1       df4a.1235.ef1a  GigabitEthernet1/0/2   INACTIVE

Comandos relacionados

Comando
Descripción

ip device tracking

Activa la tabla IP Device Tracking (Seguimiento de dispositivos IP) y configura los parámetros de la misma.


Mensajes y procedimientos de recuperación

Esta sección contiene los siguientes temas:

Mensajes AP

Mensajes EOU

Mensajes AP

Esta sección contiene los mensajes del proxy de autenticación para la validación IP de capa 2 del control de admisión a la red (NAC).

Los switches de las series Catalyst 6500 y 4500 y el router de la serie Catalyst 7600 son compatibles con todos los mensajes de esta sección.

Los Switches Catalyst 3750, 3560, 3550, 2970, 2960, 2955, 2950 y 2940 son compatibles sólo con los mensajes AP-4-POLICY_URL_REDIRECT y AP-6-POSTURE_POLICY.

Error Message    AP-4-AUTH_PROXY_NOMEM: Sufficient memory was not available to [chars].

Explicación    Este mensaje indica que la memoria del sistema no es suficiente para realizar la operación especificada. [chars] es la operación.

Acción recomendada    Reduzca otra actividad del sistema para disminuir las demandas de la memoria. También puede asignar más recursos de memoria.

Error Message    AP-4-POLICY_URL_REDIRECT: Failed to locate match access control list
[chars] for host [inet].

Explicación    Este mensaje indica que el switch no pudo redireccionar el tráfico HTTP o HTTPS desde el host a la URL redireccionada. El par atributo-valor (AV) de url-redirect consta de la URL redireccionada y una lista de control de acceso (ACL) llamada match-all que especifica el tráfico HTTP y HTTPS que se va a redireccionar. Si la ACL no está configurada o no especifica el tráfico que se va a redireccionar, el switch no redirecciona solicitudes desde los hosts. [inet] es la dirección IP del host.

Acción recomendada    Configure y aplique una ACL en la interfaz del switch a la que el host está conectado y asegúrese de que al par AV de url-redirect conste de la URL redireccionada y la ACL.

Error Message    AP-4-POSTURE_EXCEED_MAX_INIT: Exceeded maximum limit [dec] on entries
in authentication proxy.

Explicación    Este mensaje indica que el número de entradas en la memoria caché de postura del proxy de autenticación que están en estado INIT supera el límite. Esto sucede cuando el switch tiene un proxy de autenticación configurado para validación de postura y el switch recibe solicitudes procedentes de un gran número de hosts únicos con direcciones IP de origen. Esto podría ser un ataque de rechazo del servicio. Cuando el número de entradas en el recuento de la memoria caché de postura está por debajo del máximo, se pueden crear nuevas entradas de memoria caché. [dec] es el número de entradas permitidas en la memoria caché del proxy de autenticación.

Acción recomendada    No se requiere acción. Cuando el número de entradas en el recuento de la memoria caché de postura está por debajo del máximo, se pueden crear nuevas entradas de memoria caché.

Error Message    AP-6-POSTURE_DOWNLOAD_ACL: Send AAA request to download [chars] named
access control list.

Explicación    Este mensaje indica que el switch envió una solicitud al servidor de autenticación, autorización y contabilidad (AAA) para obtener la ACL especificada. [chars] es el nombre o número de la ACL.

Acción recomendada    No se requiere acción.

Error Message    AP-6-POSTURE_POLICY: [chars] [chars] [chars] policy for host [inet].

Explicación    Este mensaje indica que la política especificada es obligatoria o fue eliminada para el host especificado. La política es una lista de control de acceso (ACL) o una URL redireccionada. El primer y segundo [chars] son las acciones que el switch realiza para imponer o eliminar la política y el tercer [chars] es la ACL o la URL redireccionada.

Acción recomendada    No se requiere acción.

Error Message    AP-6-POSTURE_START_VALIDATION: IP=[inet] | Interface=[chars].

Explicación    Este mensaje indica que el switch creó una entrada para el host en la memoria caché de la postura del proxy de autenticación e inició el proceso de validación de la postura. [inet] es la dirección IP del host y [chars] es la interfaz del switch a la que el host está conectado.

Acción recomendada    No se requiere acción.

Error Message    AP-6-POSTURE_STATE_CHANGE: IP=[inet]|STATE=[chars].

Explicación    Este mensaje indica que el estado de validación de la postura del host especificado en la memoria caché de validación de postura del proxy de autenticación ha cambiado. [inet] es la dirección IP del host. [chars] es el estado de validación de postura.

Acción recomendada    No se requiere acción.

Mensajes EOU

Estos son los mensajes del Protocolo de autenticación extensible sobre el Protocolo de datagrama de usuario (EAPoUDP o EoU) para la validación de IP de capa 2 de control de admisión a la red (NAC).


Nota Los Switches Catalyst 6500, 4500, 3750, 3560, 3550, 2970, 2960, 2955, 2950 y 2940, así como el router Catalyst 7600, son compatibles con todos los mensajes de esta sección.


Error Message    EOU-2-PROCESS_ERR: Router could not create a EAPoUDP process.

Explicación    Este mensaje indica que el switch no pudo crear una sesión EAPoUDP.

Acción recomendada    Vuelva a cargar el dispositivo.

Error Message    EOU-4-BAD_PKT: IP=[inet]| Bad Packet=[chars].

Explicación    Este mensaje indica que el router recibió un paquete de EAPoUDP no válido desde el host especificado. [inet] es la dirección IP del host y [chars] es la información acerca del paquete defectuoso.

Acción recomendada    Compruebe la configuración de IP de capa 2 de NAC en el host.

Error Message    EOU-4-MSG_ERR: Unknown message event received.

Explicación    Este mensaje indica que el proceso de validación de EAPoUDP recibió un evento de mensaje desconocido.

Acción recomendada    Si este mensaje se repite, vuelva a cargar el dispositivo.

Error Message    EOU-4-PROCESS_STOP: PROCESS=[chars]| ACTION=[chars].

Explicación    Este mensaje indica que se detuvo el proceso especificado. El primer [chars] es el proceso y el segundo [chars] es la acción realizada en el proceso.

Acción recomendada    Vuelva a cargar el dispositivo.

Error Message    EOU-4-SOCKET: EAPoUDP socket binding fails for PORT=[hex]. Check if
the interface has valid IP address.

Explicación    Este mensaje indica que el switch no pudo vincular el puerto a una dirección IP válida. [hex] es la dirección MAC del puerto.

Acción recomendada    Configure una dirección IP válida en el puerto del switch.

Error Message    EOU-4-UNKN_EVENT_ERR: UNKNOWN Event for HOST=%i| Event=%d.

Explicación    Este mensaje indica que el switch recibió un evento de EAPoUDP desconocido.

Acción recomendada    Copie el mensaje exactamente como aparece en la consola o en el registro del sistema. Vuelva a realizar la búsqueda e intente solucionar el error mediante el uso de Output Interpreter. Utilice Bug Toolkit para buscar problemas similares registrados. Si todavía necesita ayuda, inicie un caso con TAC o póngase en contacto con su representante de soporte técnico de Cisco, y proporciónele la información obtenida.

Error Message    EOU-4-UNKN_PROCESS_ERR: An unknown operational error occurred.

Explicación    Este mensaje indica que el proceso de EAPoUDP no puede funcionar debido a un error interno del sistema.

Acción recomendada    Vuelva a cargar el dispositivo.

Error Message    EOU-4-UNKN_TIMER_ERR: An unknown Timer operational error occurred.

Explicación    Este mensaje indica que el proceso de validación de EAPoUDP no puede funcionar debido a un error interno del sistema.

Acción recomendada    Vuelva a cargar el dispositivo.

Error Message    EOU-4-VALIDATION: Unable to initiate validation for HOST=[inet]|
INTERFACE=[chars].

Explicación    Este mensaje indica que el switch no pudo iniciar la validación de postura para el host especificado.

Acción recomendada    Esto no es una acción: probablemente se debe a un error en la vinculación del puerto de EAPoUDP.

Error Message    EOU-4-VERSION_MISMATCH: HOST=[inet] | Version=[dec].

Explicación    Este mensaje indica que las versiones de EAPoUDP del host y el switch especificados son incompatibles. [inet] es la dirección IP del host y [dec] es la versión de EAPoUDP del host.

Acción recomendada    Compruebe las versiones de EAPoUDP de los dispositivos.

Error Message    EOU-5-RESPONSE_FAILS: Received an EAP failure response from AAA for
host=[inet].

Explicación    Este mensaje indica que el switch recibió una respuesta de error de EAP desde el servidor de autenticación, autorización y contabilidad (AAA) acerca de que el estado del antivirus del host no se pudo validar.

Acción recomendada    No se requiere acción.

Error Message    EOU-6-AUTHSTATUS: [chars]|[inet].

Explicación    Este mensaje indica que el estado de autenticación del host especificado es Success (Correcto) o Failure (Error). [chars] es el estado y [inet] es la dirección IP del host.

Acción recomendada    No se requiere acción.

Error Message    EOU-6-AUTHTYPE: IP=[inet]| AuthType=[chars].

Explicación    Este mensaje indica que el tipo de autenticación para el host especificado es [chars]. [inet] es la dirección IP del host.

Acción recomendada    No se requiere acción.

Error Message    EOU-6-CTA: IP=[inet]| CiscoTrustAgent=[chars].

Explicación    Este mensaje indica que se detectó CTA correspondiente al host especificado. [inet] es la dirección IP del host y [chars] es el nombre de CTA.

Acción recomendada    Si el CTA no se detectó, instálelo en el host.

Error Message    EOU-6-IDENTITY_MATCH: IP=[inet]| PROFILE=EAPoUDP| POLICYNAME=[chars].

Explicación    Este mensaje indica que el switch encontró el host especificado con un perfil de identidad de EAPoUDP. Si la política especificada es obligatoria, la postura del switch no se valida. [inet] es la dirección IP del host y [chars] es el nombre de la política.

Acción recomendada    Si desea que se valide el host de postura, elimine la entrada del host del perfil de identidad de EAPoUDP.

Error Message    EOU-6-POLICY: IP=[inet]| [chars]=[chars].

Explicación    Este mensaje indica que el switch recibió una política de acceso desde el servidor AAA para que se establezca como obligatoria en el host especificado.

Acción recomendada    No se requiere acción.

Error Message    EOU-6-POSTURE: IP=[inet]| HOST=[chars]| Interface=[chars].

Explicación    Este mensaje indica que el estado de la validación de postura del host especificado cambió. [inet] es la dirección IP del host, el primer [chars] es el nombre de host y el segundo [chars] es la interfaz.

Acción recomendada    No se requiere acción.

Error Message    EOU-6-SESSION: IP=[inet]| HOST=[chars]| Interface=[chars].

Explicación    Este mensaje indica que se creó o se eliminó una entrada correspondiente al host en la interfaz especificada. [inet] es la dirección IP del host, el primer [chars] es una acción, como DETECTED (DETECTADO) o REMOVED (ELIMINADO), y el segundo [chars] es la interfaz.

Acción recomendada    No se requiere acción.

Error Message    EOU-6-SQ: IP=[inet]| STATUSQUERY|[chars].

Explicación    Este mensaje indica que el resultado de la consulta de estado del host especificado falló o no es válido. [inet] es la dirección IP del host y [chars] es el resultado de la consulta de estado (error, no válido, o sin respuesta).

Acción recomendada    No se requiere acción.