Безопасность : Cisco Identity Services Engine Software

Процесс обнаружения агента Network Admission Control (NAC) для платформы Identity Services Engine (ISE)

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ описывает, как система контроля доступа к сети Cisco NAC (NAC) Агент обнаруживает платформу Cisco Identity Services Engine (ISE) узел политики, а также конфигурация, требуемая гарантировать успешный обмен данными между агентом NAC и ISE.

Примечание: Внесенный Vivek Santuka, специалистом службы технической поддержки Cisco.

Предварительные условия

Требования

Cisco рекомендует удовлетворить эти требования:

  • Клиентский компьютер должен быть настроен с агентом NAC.

  • ISE должен быть настроен правильно для клиента, настраивающего поток.

  • Клиент AAA (коммутатор или WLC) должен быть настроен с надлежащим ACL перенаправления. Важно, что этот ACL перенаправляет любую связь на порту 80 и не перенаправляет связь на порту 8905.

  • Клиентский компьютер должен быть в состоянии решить имя хоста ISE.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Система контроля доступа к сети Cisco NAC (NAC) агент 4.9. x

  • Платформа Cisco Identity Services Engine (ISE) 1.1. x

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Процесс обнаружения

Когда агент NAC запускает, это придерживается этой последовательности:

  1. Тестовое сообщение обнаружения HTTP на порту 80 к хосту обнаружения, если вы настроены.

  2. Тестовое сообщение обнаружения HTTPS на порту 8905 к хосту обнаружения, если вы настроены.

  3. Тестовое сообщение обнаружения HTTP на порту 80 к шлюзу по умолчанию.

  4. HTTPS повторно подключает зонд на 8905 к узлу политики ISE, с которым ранее связываются.

  5. Повторитесь от 1.

Успешная проверка положения зависит от агента, достигающего узла политики, который аутентифицировал исходный сеанс 802.1x/MAB и получение информации о сеанса. Эта информация доступна коммутатору, но не агенту. Агент пытается соединиться с любым узлом, когда он подходит.

В шагах 1 и 3 заметьте, что агент NAC использует трафик HTTP для порта 80 в частности для достижения хоста обнаружения или шлюза по умолчанию. Этот процесс происходит, потому что клиент ISE, настраивающий поток, требует, чтобы порт 80 был перенаправлен к узлу политики ISE, который аутентифицировал сеанс. Пока поток процессора контрольного пути (CPP) и конфигурация перенаправления URL корректны и работа, любой агент NAC в сети не должен испытывать проблемы, достигающие корректного узла политики. Одно предупреждение помнить состоит в том, что URL перенаправления содержит имя хоста ISE, таким образом, клиентский компьютер должен быть в состоянии решить это к IP узла политики.

Если перенаправление URL не работает или не настроено, то шаги 2 и 4 используются в качестве аварийного переключения. Эти шаги используются, только если вы настроили хост обнаружения или если агент соединился с этими развертываниями ISE ранее. Даже если агент доберется до Точки принятия решений о применении политики (PDP) с помощью шага 2 или 4, то это не гарантирует, что подтверждение состояния успешно выполнится, потому что информация о сеанса может не быть доступной на этом PDP.

Для обхождения этой проблемы группы узла могут быть установлены для совместного использования информации о сеанса. Однако намного более просто настроить и получить работу перенаправления URL.

Проверка

Чтобы проверить, будет ли агент NAC в состоянии достигнуть узла политики, открыть браузер на клиентском компьютере и перейти к этому URL: https://<имя хоста ise>:8905/auth/discovery

ISE должен возвратить страницу, которая включает этот текст: X-Perfigo-CAS = <FQDN ISE>


Дополнительные сведения


Document ID: 115803