Коммутаторы : ??????????? Cisco Catalyst ????? 4500

Руководство по конфигурированию программного обеспечения Network Admission Control

23 марта 2008 - Перевод, выполненный профессиональным переводчиком
Другие версии: PDF-версия:pdf | Английский (21 августа 2006) | Отзыв

Содержание

Руководство по конфигурированию программного обеспечения
Network Admission Control

Содержание

Предварительные условия для настройки Network Admission Control (NAC)

Обзор Network Admission Control

Роли устройств NAC

Подтверждение состояния

Функционирование при сбое сервера AAA

Аутентификация и подтверждение NAC на уровне 2 по стандарту IEEE 802.1X

Подтверждение IP NAC на уровне 2

Рекомендации и ограничения по конфигурированию NAC

Конфигурирование NAC

Конфигурация NAC, используемая по умолчанию

Конфигурирование NAC на уровне 2 по стандарту IEEE 802.1X

Конфигурирование подтверждения IP NAC на уровне 2

Конфигурирование EAPoUDP

Конфигурирование политик и профилей идентификации

Конфигурирование отслеживания устройств IP

Конфигурирование отслеживания IP DHCP для NAC (необязательно)

КонфигCрирование инспектирования IP ARP с помощью списка ARP-фильтров (необязательно)

Конфигурирование инспектирования IP ARP с помощью отслеживания IP DHCP (необязательно)

Конфигурирование политики действия NAC в случае сбоя AAA (необязательно)

Просмотр данных NAC

Очистка таблицы сеансов EAPoUDP

Справочник по командам

aaa authentication eou

aaa authorization auth-proxy default

clear ip admission

clear ip device tracking

debug eou

debug ip admission

debug ip device tracking

debug sw-ip-admission

description

device

eou initialize

eou max-retry (выполняет настройку глобально или для отдельных интерфейсов)

eou ratelimit

eou revalidate (выполняет настройку глобально или для отдельных интерфейсов)

eou revalidate (в привилегированном режиме EXEC)

eou timeout (выполняет настройку глобально или для отдельных интерфейсов)

identity policy

ip admission name eapoudp

ip admission name eapoudp bypass

ip device tracking

mls rate-limit layer2 ip-admission

radius-server attribute 8

redirect

show eou

show ip access-lists interface

show ip device tracking

Сообщения и восстановление

Сообщения AP

Сообщения EOU


Руководство по конфигурированию программного обеспечения
Network Admission Control


В данном документе описывается процедура настройки технологии управления доступом Network Admission Control (NAC) на коммутаторах серии Catalyst. Технология NAC является частью концепции Cisco Self-Defending Network Initiative, позволяющей защищать активные процессы путем обнаружения, предотвращения и адаптации к угрозам безопасности в вашей сети. В условиях постоянно возрастающего уровня распространения вирусов и червей в коммерческих сетях, NAC оценивает степень защищенности от вирусов оконечных устройств и клиентов, прежде чем разрешить этим устройствам доступ к сети.

Содержание

Этот документ содержит такие разделы:

Предварительные условия для конфигурирования Network Admission Control (NAC)

Обзор Network Admission Control

Рекомендации и ограничения по конфигурированию NAC

Конфигурирование NAC

Просмотр данных NAC

Очистка таблицы сеансов EAPoUDP

Справочник по командам

Сообщения и восстановление

Предварительные условия для конфигурирования Network Admission Control (NAC)

Предусмотрено две функции Network Admission Control: аутентификация и подтверждение NAC на уровне 2 по стандарту IEEE 802.1X и подтверждение IP NAC на уровне 2. Как показано в таблице 1, поддержка данных функций зависит от типа используемой платформы.

Таблица 1. Поддержка функций NAC

Функции NAC
7600
6500
4500
3750 Metro
3750
3560
3550
(12.2S)
3550
(12.1S)
2970
2960
2955
2950-LRE
2950
2940
Cisco
Aironet

Аутентификация и подтверждение NAC
на уровне 2 по стандарту IEEE 802.1X

X

X

X

X

X

X

X

X

X

X

X

X

X

Подтверждение IP NAC на уровне 2

X

X

X

X

X

X



Примечание. Функции NAC также реализованы на маршрутизаторах Cisco IOS, использующих ПО Cisco IOS версии 12.3(8)T. Реализация функций NAC во всех коммутаторах не предусматривает обратной совместимости с реализацией функций NAC в маршрутизаторах. Коммутаторы поддерживают стандартные и загружаемые с сервера управления безопасным доступом (ACS) списки управления доступом (ACL), однако поддержка перехвата списков ACL не предусмотрена.



Примечание. Коммутаторы серии Catalyst 6500 с ПО Cisco IOS версии 12.2(18)SXF не поддерживают аутентификацию и подтверждение NAC на уровне 2 по стандарту IEEE 802.1X на оконечных коммутаторах.


Оба метода подтверждения NAC на уровне 2 (IEEE 802.1X и IP) работают на оконечных коммутаторах, однако используют различные методы инициирования подтверждения, обмена сообщениями и форсирования политик. Полный список устройств, поддерживающих функцию NAC, приведен в комментариях к выпуску NAC.


Примечание. Исчерпывающая информация по синтаксису и использованию новых или модифицированных команд, используемых в данном документе, приведена в разделе Справочник по командам или в
Справочнике по командам настройки безопасности Cisco IOS, версия 12.3 , расположенном по следующему адресу:

http://www.cisco.com/univercd/cc/td/doc/product/software/ios123/123cgcr/secur_r.



Примечание. Комментарии к выпуску NAC 2.0 можно найти по следующему адресу:

http://www.cisco.com/en/US/netsol/ns617/networking_solutions_release_notes_list.html


Обзор Network Admission Control

Заражение вирусом может стать причиной возникновения серьезных брешей в структуре защиты сети. Источником вируса могут стать ненадежные оконечные устройства — ПК и терминалы. Наибольшую опасность представляют устройства, на которых антивирусное ПО не используется или отключено. При возобновлении работы антивирусного ПО данные устройства могут не иметь в наличии последних данных по обнаружению вирусов и не использовать обновленные алгоритмы поиска. Несмотря на то, что разработчики антивирусного ПО стараются затруднить функцию его блокирования, несвоевременное обновление антивирусных программ все еще представляет определенную опасность.

NAC выполняет аутентификацию оконечных устройств, клиентов и применяет политики управления доступом для предотвращения неблагоприятного воздействия инфицированных вирусом устройств на сеть. NAC также осуществляет проверку антивирусного состояния систем на оконечных устройствах перед тем, как предоставить им доступ к сети. NAC предотвращает воздействие небезопасных устройств на сеть путем запрета доступа к несоответствующим устройствам, помещая их в карантинный сегмент сети или ограничивая их доступ к ресурсам.

Функции NAC описаны в следующих разделах:

Роли устройств NAC

Подтверждение состояния

Функционирование при сбое сервера AAA

Аутентификация и подтверждение NAC на уровне 2 по стандарту IEEE 802.1X

Подтверждение IP NAC на уровне 2

Роли устройств NAC

При использовании NAC устройствам в сети присваиваются различные роли, как показано на рис. 1 (описание приводится ниже).

Оконечное устройство/клиент/узел — узел сети, запрашивающий доступ к защищенной сети LAN. Выполняется подтверждение его состояния в соответствии с корпоративной политикой IT-безопасности компании. Данный узел может являться ПК, сервером, ноутбуком или другим устройством, не использующим IOS (принтер или сканер). Оконечное устройство использует CTA (Cisco Trust Agent — интерфейс между сервером аутентификации и ПО стороннего поставщика на оконечном устройстве). Оконечные устройства, использующие CTA, называются узлами CTA. Другие оконечные устройства (IP-телефоны Cisco, ПК, ноутбуки или устройства, не использующие IOS), на которых не настроен CTA, являются нереагирующими узлами (NRH). Сервер аутентификации должен предоставлять политики как для узлов CTA, так и для NRH. На CTA используется программа-агент, действующая в качестве интерфейса, а также динамическая библиотека Posture Plugin, в которой содержатся фактические данные о состоянии клиента.


Примечание. Точки доступа Cisco Aironet, использующие ПО Cisco IOS версии 12.3(4)JA или более поздней версии, по умолчанию поддерживают аутентификацию и подтверждение NAC на уровне 2 по стандарту IEEE 802.1X. Конфигурирование точек доступа выполнять не требуется. Точки доступа просто осуществляют ретрансляцию данных NAC между клиентами и коммутаторами.


ПО CTA также является агентом состояния или антивирусным клиентом.

Устройство сетевого доступа (NAD) — устройство, на котором выполняются функции NAC. Таким устройством может являться устройство уровня 2 или 3 на границе сети, к которому подключаются оконечные устройства. NAD инициирует процесс подтверждения состояния, затем устанавливает соединение между оконечным устройством и сервером аутентификации. NAD инициирует подтверждение состояния посредством ретрансляции сообщений расширяемого протокола аутентификации (EAP) поверх протокола передачи дейтаграмм пользователя (UDP). Таким образом, NAC использует протокол EAPoUDP (EAP поверх UDP). Протокол EAPoUDP также может называться EoU.

Для точек доступа, а также для коммутаторов серии Catalyst 2970, 2960, 2955, 2950 и 2940 данные инкапсуляции в сообщениях EAP формируются на основе аутентификации порта по стандарту IEEE 802.1X. Если для аутентификации применяется стандарт IEEE 802.1X, коммутатор использует фреймы EAP поверх LAN (EAPOL).

Для коммутаторов других серий данные инкапсуляции в сообщениях EAP могут формироваться на основе аутентификации порта IEEE 802.1X или UDP. Если для аутентификации применяется стандарт IEEE 802.1X, коммутатор использует фреймы EAPOL. При использовании UDP коммутатор использует фреймы EoU.


Примечание. В качестве посредников могут функционировать следующие устройства: коммутаторы серий Catalyst 6500, 4500, 3750, 3560, 3550, 2960, 2970, 2955, 2950 и 2940, маршрутизатор серии Catalyst 7600, коммутаторы CGESM (модуль коммутации Gigabit Ethernet). Данные устройства должны использовать ПО, в котором предусмотрена поддержка клиента RADIUS и стандарта IEEE 802.1X.


Сервер аутентификации (AS) — специализированный сервер подтверждения состояния (PVS), который подтверждает данные о состоянии оконечного устройства, после чего загружает на NAD профиль сетевого доступа (NAP) для соответствующего оконечного устройства. Профиль NAP содержит политики доступа, которые необходимо использовать для реализации сеанса оконечного устройства. Данный профиль NAP формируется после того, как AS завершает оценку данных состояния оконечного устройства в соответствии с корпоративной политикой IT-безопасности компании. Инициировав сеанс EoU между оконечным устройством и AS, NAD переходит в прозрачный режим и функционирует только в качестве соединяющего звена.

AS также может выполнять функции сторонней ремедиации или служить контрольным сервером для подтверждения клиента NRH.


Примечание. Сервер Cisco Secure ACS 4.0 или более поздней версии может выполнять функции AS RADIUS/TACACS для NAC. В NAC 2.0 коммутатор Catalyst поддерживает сервер Cisco Secure ACS 4.0 или более поздней версии с расширениями RADIUS, аутентификации, авторизации и учета (AAA) и EAP.


Рис. 1. Роли устройств NAC

Подтверждение состояния

NAC позволяет устройствам NAD разрешать или запрещать сетевым узлам доступ к сети в соответствии с состоянием ПО на узле. Данный процесс называется подтверждением состояния.

Процедура подтверждения состояния состоит из проверки состояния антивирусных средств или других данных клиента, оценки состояния безопасности клиента и предоставления NAD соответствующей сетевой политики в соответствии с состоянием системы.

Коммутатор Catalyst выполняет подтверждение состояния на портах коммутатора следующим образом: (рис. 1):

1. Если оконечное устройство или клиент пытается установить соединение с сетью через Cisco NAD (например, оконечный коммутатор), коммутатор выполняет проверку состояния антивирусных средств оконечного устройства. Состояние антивирусных средств включает в себя состояние описаний вирусов и версии антивирусного ПО/алгоритма поиска вирусов.

2. Система оконечного устройства, использующая ПО CTA, осуществляет сбор антивирусных данных (например, используемое антивирусное ПО) с оконечного устройства и передает эту информацию на коммутатор.

Если оконечное устройство не использует ПО CTA, коммутатор определяет данную систему в качестве бесклиентной системы и расценивает ее в качестве нереагирующего узла или узла без агента NAC.

Дополнительная информация по нереагирующим узлам приведена в разделе Нереагирующие узлы. Дополнительная информация по бесклиентным оконечным системам и нереагирующим узлам приведена в разделе Подтверждение состояния и подтверждение IP на уровне 2.

С Руководством администратора CTA 2.0 можно ознакомиться по следующему адресу:

http://www.cisco.com/en/US/products/ps5923/prod_maintenance_guides_list.html

С Комментариями к выпуску Cisco Trust Agent 2.0 можно ознакомиться по следующему адресу:

http://www.cisco.com/en/US/products/ps5923/prod_release_notes_list.html

Общий список документации по CTA, доступной в Интернете, расположен по следующему адресу:

http://www.cisco.com/en/US/products/ps5923/tsd_products_support_series_home.html

3. Коммутатор передает данные на сервер Cisco Secure ACS для определения политики NAC.

Сервер Cisco Secure ACS подтверждает антивирусное состояние оконечного устройства, определяет политику NAC и вновь передает политику доступа на коммутатор. Коммутатор форсирует политику доступа в отношении оконечных устройств.

В случае успешного подтверждения сервер Cisco Secure ACS предоставляет клиенту доступ к сети в соответствии с ограничениями.

Если подтверждение не пройдено, несоответствующему устройству может быть отказано в доступе, оно может быть помещено в карантинный сегмент сети или ему может быть предоставлен ограниченный доступ к ресурсам. Невозможность подтверждения может быть обусловлена следующими причинами: клиент заражен вирусом или червем, узел использует несовместимое ПО или узел использует устаревшее антивирусное ПО.

С информацией по Cisco Secure ACS для Windows можно ознакомиться по этому адресу:

http://www.cisco.com/en/US/products/sw/secursw/ps2086/index.html

С информацией по решению Cisco Secure ACS можно ознакомиться по следующему адресу:

http://www.cisco.com/en/US/products/sw/secursw/ps5338/index.html

Функционирование при сбое сервера AAA

Как правило, для проверки состояния клиента и обратной передачи политик устройствам NAD система NAC использует сервер Cisco Secure ACS. Если сервер AAA недоступен при проведении подтверждения состояния, администратор может настроить соответствующую политику, которая может быть использована на узле.

Преимущества этой системы:

В случае недоступности сервера AAA узел сохранит подключение к сети (которое, тем не менее, может быть ограниченным).

В случае восстановления состояния сервера ACS пользователи могут быть повторно утверждены, а их политики — загружены с ACS.


Примечание. При сбое сервера AAA соответствующая политика применяется только в том случае, если существующие политики не связаны с узлом. Как правило, при повторном утверждении сбой сервера AAA приводит к сохранению ранее использовавшихся политик.


Аутентификация и подтверждение NAC на уровне 2 по стандарту IEEE 802.1X

Функции NAC на уровне 2 по стандарту IEEE 802.1X могут быть использованы на порту доступа граничного коммутатора, к которому подключено устройство (конечная система или клиент). В качестве устройства могут выступать ПК, рабочая станция, точка доступа Cisco Aironet или сервер, подключенный к порту доступа коммутатора с помощью прямого соединения.

Рис 2. Сеть с использованием NAC на уровне 2 по стандарту IEEE 802.1X

Подтверждение состояния может быть инициировано как клиентом, так и коммутатором. Коммутатор ретранслирует сообщения EAPOL между конечными точками и сервером Cisco Secure ACS. После того, как сервер Cisco Secure ACS возвратит решение об управлении доступом, коммутатор форсирует ограничения доступа, назначая аутентифицированный порт на определенную сеть VLAN, что обеспечивает сегментацию и карантин для недостаточно защищенных клиентов или запрещает им доступ к сети.

Данный раздел включает следующие темы:

Нереагирующие узлы

Периодическое повторное подтверждение состояния

Действия коммутатора

Политика, используемая при сбое сервера AAA для NAC на уровне 2 по стандарту IEEE 802.1X (обход недоступной аутентификации)

Нереагирующие узлы

В качестве нереагирующего узла может рассматриваться устройство, использующее стандарт IEEE 802.1X без поддержки NAC или устройство без поддержки стандарта IEEE 802.1X. Подтверждение узла или клиента, не реагирующего на запросы подтверждения, может быть выполнено одним из следующих способов:

Гостевая сеть VLAN 802.1X (для запрашивающих устройств без поддержки стандарта IEEE 802.1X)

Идентификация 802.1X + неизвестное состояние

Если узел с клиентским ПО стандарта IEEE 802.1X подключается к коммутатору, коммутатор инициирует сеанс с сервером Cisco Secure ACS и пересылает данные узла на сервер аутентификации. Сервер аутентификации возвращает политику доступа в соответствии с известными идентификационными данными узла и неизвестным состоянием. Политика может подразумевать назначение сети VLAN или отказ в доступе к сети. Коммутатор использует данную политику в отношении узла.

Сервер аутентификации также передает на коммутатор данные, согласно которым атрибуту posture (состояние) присваивается значение Unknown, так как узел не предоставил необходимой информации по состоянию. Данная информация не влияет на способ применения политики доступа на узле.

Периодическое повторное подтверждение состояния

Изменения состояния могут быть обусловлены изменением клиента или изменением сервера Cisco Secure ACS.

Изменения узла обнаруживаются посредством CTA на узле. В этом случае CTA инициирует повторное подтверждение посредством передачи сообщения EAPOL-Start на коммутатор. Это может произойти при установке обновления операционной системы или антивирусного ПО.

Если изменение происходит на сервере аутентификации, коммутатор не осуществляет повторного подтверждения состояния до истечения таймера периодической повторной аутентификации. Это может произойти в случае появления нового файла antivirus.dat.

Коммутатор можно настроить для периодического повторного подтверждения состояния реагирующего узла, активировав периодическую повторную аутентификацию клиента с поддержкой стандарта IEEE 802.1X с указанием периода ее выполнения. В случае использования ранее выпущенных запрашивающих устройств, не имеющих поддержки CTA, можно настроить периодическое повторное подтверждение состояния для нереагирующих узлов.


Примечание. Запрашивающие устройства, не имеющие поддержки стандарта IEEE 802.1X, не могут быть настроены для периодического повторного подтверждения.


Используя NAC на уровне 2 с аутентификацией IEEE 802.1X, можно указать промежуток в секундах между попытками повторной аутентификации путем ручной настройки или посредством настройки коммутатора для использования значения атрибута RADIUS Session-Timeout в сообщении Access-Accept от сервера Cisco Secure ACS.

Коммутатор также использует для подтверждения состояния атрибут RADIUS Termination-Action. В зависимости от значения этого атрибута коммутатор может автоматически повторно утвердить клиент или выполнить завершение сеанса EAPOL с последующим повторным утверждением клиента.

Действия коммутатора

В зависимости от состояния периодической повторной аутентификации, значения повторной аутентификации и атрибута RADIUS Session-Timeout коммутатор предпринимает одно из действий, описанных в таблице 2.

Если период ожидания был задан вручную, коммутатор выполнит повторную аутентификации узла по истечении заданного срока.

Если сообщение Access-Accept не включает в себя пару Session-Timeout AV, коммутатор не выполняет повторную аутентификацию узла.

Если сообщение Access-Accept включает в себя пару Session-Timeout AV, коммутатор выполняет повторную аутентификацию с периодом ожидания, заданным на сервере Cisco Secure ACS.


Примечание. Для обозначения сообщения Access-Accept также используется понятие фрейм Accept.


Коммутатор выполняет повторную аутентификацию узла в зависимости от значения атрибута RADIUS Termination-Action.

Если пара Termination-Action AV предусмотрена и в качестве ее значения используется RADIUS-Request, коммутатор аутентифицирует узел.

Если пара Termination-Action AV не предусмотрена или в качестве ее значения используется Default, коммутатор завершает сеанс с сервером Cisco Secure ACS, авторизация узла не выполняется.

Таблица 2. Результаты периодической повторной аутентификации

Периодическая повторная аутентификация
Время повторной аутентификации
Атрибут Session-Timeout
Значение Termination-Action
Действие коммутатора

Отключено

Повторная аутентификация не выполняется.

Включено

Промежуток задан вручную (в секундах)

Коммутатор выполняет повторную аутентификацию с использованием указанного вручную промежутка.

Включено

Система автоматически настроена для использования промежутка повторной аутентификации, заданного на сервере Cisco Secure ACS

Не включен в сообщение Access-Accept

Повторная аутентификация не выполняется.

Включено

Система автоматически настроена для использования промежутка повторной аутентификации, заданного на сервере Cisco Secure ACS

Включен в сообщение Access-Accept

По умолчанию или значение не задано

Сеанс завершается после того, как истекает период повторной аутентификации с сервера.

Включено

Система автоматически настроена для использования промежутка повторной аутентификации, заданного на сервере Cisco Secure ACS

Включен в сообщение Access-Accept

RADIUS-Request

Коммутатор выполняет повторную аутентификацию, использую значение периода повторной аутентификации, заданное на сервере.


Политика, используемая при сбое сервера AAA для NAC на уровне 2 по стандарту IEEE 802.1X (обход недоступной аутентификации)


Примечание. Данная функция доступна только на коммутаторах серии Catalyst 3560 и Catalyst 3750.


Чтобы воспользоваться функцией обхода недоступной аутентификации, порт необходимо определить в качестве критического порта. Ниже описан процесс управления критическими портами:

1. Обнаружен новый сеанс IEEE 802.1X.

2. Перед активацией аутентификации в случае недоступности сервера ААА используется политика критической аутентификации, порт переходит в состояние Critical-Auth. Применяемая политика представляет собой механизм назначения портов сетям VLAN.

3. В случае восстановления сервера AAA для узла будет вновь активирована повторная аутентификация.


Примечание. При сбое сервера AAA соответствующая политика применяется только в том случае, если существующие политики не связаны с узлом. Таким образом, если предварительно после успешной аутентификации порт был назначен сети VLAN, данный порт останется в структуре этой VLAN. Однако если порт был неавторизован до перехода в состояние Critical-Auth, то он будет назначен настроенной сети VLAN доступа.


С информацией по настройке функции обхода недоступной аутентификации на коммутаторах серии Catalyst 3750 и 3560 можно ознакомиться по следующим адресам:

http://www.cisco.com/en/US/products/hw/switches/ps5023/products_configuration_guide_chapter09186a00805555e8.html

http://www.cisco.com/en/US/products/hw/switches/ps5023/products_command_reference_book09186a00804fdc8c.html

Подтверждение IP NAC на уровне 2

IP NAC на уровне 2 можно использовать на порту доступа граничного коммутатора, к которому подключено устройство (оконечная система или клиент). В качестве устройства могут выступать ПК, рабочая станция или сервер, подключенный к порту доступа коммутатора посредством прямого соединения, IP-телефона, концентратора или точки беспроводного доступа, как показано на рис. 3.


Примечание. Точки доступа Cisco Aironet не поддерживают функцию подтверждения NAC на уровне 2.


При активации IP NAC на уровне 2 протокол EAPoUDP работает только с трафиком IPv4. Коммутатор осуществляет проверку антивирусного состояния оконечных устройств или клиентов, затем форсирует использование политик контроля доступа.

Рис. 3. Сеть с использованием IP NAC на уровне 2

В этом разделе рассматриваются следующие темы:

Подтверждение состояния и подтверждение IP на уровне 2

Сервер Cisco Secure ACS и парные атрибуты

Контрольные серверы

Списки ACL, используемые по умолчанию

Таймеры NAC

Подтверждение IP NAC на уровне 2 и стеки коммутаторов

Подтверждение IP NAC на уровне 2 и резервные модульные коммутаторы

Политика, используемая при сбое сервера AAA для подтверждения IP NAC на уровне 2

Подтверждение состояния и подтверждение IP на уровне 2

IP NAC на уровне 2 поддерживает подтверждение состояния нескольких узлов на одном порту коммутатора, как показано на рис. 3.

При включении функции подтверждения IP NAC на уровне 2 на порту коммутатора, к которому подключены узлы, коммутатор может использовать функцию отслеживания DHCP или функцию отслеживания Протокола разрешения адресов (ARP) для идентификации подключенных узлов. Подтверждение состояния, инициируемое посредством отслеживания DHCP, имеет приоритет перед функцией отслеживания ARP. Коммутатор инициирует подтверждение состояния после приема ARP-пакета или создания элемента привязки отслеживания DHCP.


Примечание. Отслеживание ARP является стандартным методом обнаружения подключенных узлов. Если коммутатор должен определить узлы при наличии элемента привязки DHCP, необходимо активировать функцию отслеживания DHCP.


Если функция отдельного динамического инспектирования динамического ARP активирована на сети VLAN доступа, назначенной на порт коммутатора, подтверждение состояния инициируется при прохождении пакетов подтверждения инспектирования динамического ARP. Если функции отслеживания DHCP и инспектирования динамического ARP активированы, создание элемента привязки отслеживания DHCP выполнит инициирование подтверждения состояния.

Неблагонадежный узел может передать псевдо-пакеты ARP и попытаться пройти подтверждение состояния. Для предотвращения доступа со стороны непроверенных узлов можно активировать на порту коммутатора функцию предохранения источника IP.


Примечание. Маршрутизаторы серии Catalyst 7600 и коммутаторы серии Catalyst 6500 не поддерживают функцию предохранения источника IP.


При инициировании подтверждения состояния коммутатор создает запись в таблице сеансов EAPoUDP для отслеживания подтверждения состояния на узле и для определения политики NAC использует следующее дерево решений:

1. Если узел включен в перечень исключений (см. раздел Перечни исключений), коммутатор применяет на узле настроенную пользователем политику NAC.

2. Если функция обхода EoU активирована (см. раздел Обход EoU), коммутатор передает запрос нереагирующего узла на сервер Cisco Secure ACS и применяет политику доступа с сервера на узел. Коммутатор осуществляет подстановку пары RADIUS AV на запрос для указания, что запрос предназначен для нереагирующего узла.

3. Если функция обхода EoU деактивирована, коммутатор передает пакеты приветствия EAPoUDP на узел с запросом антивирусного состояния (см. раздел Сеансы EAPoUDP). Если после определенного количества попыток отклик от узла не поступил, коммутатор определяет узел в качестве бесклиентного и расценивает его в качестве нереагирующего узла. Коммутатор передает запрос нереагирующего узла на сервер Cisco Secure ACS и применяет политику доступа с сервера на узел.

Перечни исключений

Перечень исключений имеет локальный профиль и конфигурации политик. Профиль идентификации служит для статической авторизации или утверждения устройств по IP-адресу, MAC-адресу или типу устройства. Профиль идентификации связан с локальной политикой, указывающей атрибуты управления доступом.

Процедура подтверждения состояния указанных узлов может быть обойдена посредством указания данных узлов в перечне исключений с последующим использованием настроенной пользователем политики на узлах. После добавления записи в таблицу сеансов EAPoUDP коммутатор сравнивает данные узла с данными перечня исключений. Если узел включен в перечень исключений, коммутатор использует в отношении узла настроенную политику NAC. Коммутатор также обновляет таблицу сеансов EAPoUDP, устанавливая статус POSTURE ESTAB в качестве статуса подтверждения состояния клиента.

Обход EoU

Коммутатор может использовать функцию обхода EoU для ускорения процесса утверждения состояния узлов, не использующих CTA. Если функция обхода EoU активна, коммутатор не обращается к узлуу для запроса антивирусного состояния. Вместо этого коммутатор направляет на сервер Cisco Secure ACS запрос, включающий в себя IP-адрес, MAC-адрес, тип службы и идентификатор сеанса EAPoUDP узла. Сервер Cisco Secure ACS определяет возможность предоставления доступа и передает политику на коммутатор.

Если функция обхода EoU активирована и узел является нереагирующим узлом, коммутатор передает запрос нереагирующего узла на сервер Cisco Secure ACS и использует политику доступа с сервера на узел.

Если функция обхода EoU активирована и узел использует CTA, коммутатор также передает запрос нереагирующего узла на сервер Cisco Secure ACS и использует политику доступа с сервера на узел.

Сеансы EAPoUDP

EoU по умолчанию включен. Если функция обхода EoU отключена, коммутатор передает пакет EAPoUDP для инициирования подтверждения состояния. В процессе подтверждения состояния коммутатор форсирует политику доступа, используемую по умолчанию. После передачи коммутатором сообщения EAPoUDP на узел и ответа узла на запрос антивирусного состояния коммутатор переадресует отклик EAPoUDP на сервер Cisco Secure ACS. Если после выполнения определенного количества попыток отклик от узла не получен, коммутатор расценивает его в качестве нереагирующего узла. После подтверждения сервером ACS данных сервер аутентификации возвращает на коммутатор сообщение Access-Accept с маркером состояния и атрибутами политики. Коммутатор обновляет таблицу сеансов EAPoUDP и форсирует ограничения доступа, что обеспечивает сегментацию и помещение в карантин несоответствующих условиям безопасности клиентов (кроме этого, может применяться отказ в доступе к сети).

На портах могут применяться два типа политик:

Политика узла: состоит из ACL, форсирующего ограничения доступа в соответствии с данными подтверждения состояния.

Политика перенаправления URL: обеспечивает механизм для перенаправления всего трафика HTTP/HTTPS на сервер ремедиации, что позволяет несоответствующему требованиям узлу выполнить действия для обеспечения соответствия его параметров требованиям. Составные элементы политики:

URL сервера ремедиации.

ACL на коммутаторе, выполняющий переадресацию всех пакетов HTTP/HTTPS с узла (кроме пакетов, направленных на сервер ремедиации) на ПО коммутатора для выполнения HTTP-перенаправления.

Наименование ACL для политики узла, URL перенаправления и ACL URL перенаправления передаются с использованием объектов атрибутов RADIUS.


Примечание. Если элемент привязки отслеживания DHCP удален, коммутатор удаляет запись клиента в таблице сеансов EAPoUDP, после чего клиент более не аутентифицируется.


Сервер Cisco Secure ACS и парные атрибуты

При включении подтверждения IP NAC на уровне 2 сервер Cisco Secure ACS предоставляет в рамках NAC службы аутентификации, авторизации и учета (AAA), используя протокол RADIUS. Cisco Secure ACS получает данные антивирусного состояния оконечной системы и подтверждает антивирусное состояние оконечного устройства.

Данные пары AV на сервере Cisco Secure ACS можно задать с использованием специфического для поставщика атрибута (VSA) RADIUS cisco-av-pair:

CiscoSecure-Defined-ACL — указывает наименования загружаемых ACL на сервере Cisco Secure ACS. Коммутатор получает наименование ACL посредством пары CiscoSecure-Defined-ACL AV в следующем формате:

#ACL#-IP-name-number

где name — наименование ACL, number — номер версии (например, 3f783768).

Код состояния Auth-Proxy проверяет наличие ранее загруженных записей контроля доступа (Access Control Eentry, ACE) на указанном загружаемом ACL. Если загружены они не были, для их загрузки код состояния Auth-Proxy передает AAA-запрос с наименованием загружаемого ACL в качестве имени пользователя. Загружаемый ACL затем создается на коммутаторе с присвоением соответствующего наименования. Данный ACL имеет ACE с любым адресом источника и не содержит в конце указания безоговорочного отказа. Когда загружаемый ACL используется на интерфейсе после завершения подтверждения состояния, адрес источника изменяется на IP-адрес исходного узла. ACE присоединяются спереди к используемому по умолчанию ACL, примененном на интерфейсе коммутатора, к которому подключено оконечное устройство. Если трафик соответствует ACE CiscoSecure-Defined-ACL, выполняются соответствующие действия NAC.

При настройке ACL каждой записи (ACE) присваивается действие («permit»), протокол («ip»), компонент источника ,и компонент назначения. Политики узла (ACL, определяемые администратором на ACS или в качестве компонента статической политики на коммутаторе) должны в качестве адреса источника использовать «any». В противном случае LPIP не будет использовать политику на коммутаторе.

Например, следующее выражение является действительным:

    10 permit ip any host 10.1.1.1

Однако следующее выражение не является действительным.

    10 permit ip host 10.1.1.2 host 10.1.1.1

Далее приведен пример ACL интерфейса:

access-list 115 permit udp any any eq bootps (for bootps requests)
access-list 115 permit ip any 20.0.0.0 0.0.0.255 (NAC Ingress source N/W)
access-list 115 permit ip any host 40.0.0.5 (Audit Server)

url-redirect и url-redirect-acl — указывает локальную политику URL на коммутаторе. Коммутаторы используют следующие VSA cisco-av-pair:

url-redirect = <URL HTTP или HTTPS>

url-redirect-acl = наименование или номер ACL коммутатора

Данные пары AV позволяют коммутатору перехватывать запросы HTTP и/или HTTPS с оконечного устройства и переадресовывать веб-обозреватель клиента на заданный адрес, с которого можно загрузить последние файлы антивируса. AV-пара url-redirect на сервере Cisco Secure ACS содержит URL, на который перенаправляется веб-обозреватель.


Примечание. Функция url-redirect не может выполняться для HTTP и HTTPS одновременно.


AV-пара url-redirect-acl содержит наименование или номер ACL, указывающего перенаправляемый трафик HTTP и/или HTTPS. ACL должен быть определен на коммутаторе. Перенаправляется трафик, соответствующий разрешающей записи в ACL перенаправления. Данные AV-пары могут быть переданы, если состояние узла не соответствует требованиям.


Примечание. При настройке ACL каждой записи (ACE) присваивается действие (например, «permit»), протокол («ip»), компонент источника и компонент назначения. Политики узла (ACL, определяемые администратором на ACS или в качестве компонента статической политики на коммутаторе) должны в качестве адреса источника использовать «any». В противном случае LPIP не будет использовать политику на коммутаторе.


Ниже приведен пример url-re-direct-acl:

ip access-list extended url-redirect-acl
permit tcp any <protected-server-vlan-network> 

Дополнительная информация о парах AV, поддерживаемых ПО Cisco IOS, приведена в документации по версиям ПО, функционирующим на AAA-клиентах.

С информацией по ACS для Windows можно ознакомиться по этому адресу:
http://www.cisco.com/en/US/products/sw/secursw/ps2086/index.html

С информацией по решению ACS для Windows можно ознакомиться по этому адресу:
http://www.cisco.com/en/US/products/sw/secursw/ps5338/index.html

Контрольные серверы

Оконечные устройства, не использующие CTA, не смогут предоставить данные при запросе NAD. Такие узлы называются безагентными или нереагирующими.

На рис. 4 представлена схема размещения контрольных серверов в стандартной топологии.

Рис. 4. Роли устройств NAC

Чтобы сделать возможной более подробную проверку безагентных узлов, архитектура NAC была расширена для интеграции контрольных серверов, которые могут выполнять сканирование таких узлов на предмет соответствия параметрам безопасности, уязвимости и наличия угроз без использования CTA на узле. Результат проверки может учитываться при определении серверами доступа политики доступа для узла вместо непосредственного форсирования ограничивающей политики для всех нереагирующих узлов. Это позволяет повысить надежность функций проверки узла посредством интеграции сторонних проверочных механизмов в архитектуру NAC.

Архитектура NAC предполагает доступность контрольного сервера для реализации сообщения узла с ним. При выполнении узлом доступа к сети посредством NAD, настроенного для подтверждения состояния, NAD запрашивает AAA-сервер (Cisco Secure ACS) для получения политики доступа, форсируемой в отношении данного узла. Сервер AAA может быть настроен для выполнения сканирования узла внешним контрольным сервером. Проверка происходит асинхронно, ее проведение может занять несколько секунд. В течение этого времени AAA-сервер может передать на NAD минимально-ограничительную политику для форсирования с использованием таймера (Session-Timeout). NAD будет выполнять опрос сервера AAA в указанные интервалы до тех пор, пока результат не будет получен с контрольного сервера. После получения AAA-сервером результата будет произведен расчет политики в соответствии с результатом с дальнейшей передачей на NAD для форсирования при следующем запросе.

Списки ACL, используемые по умолчанию


Примечание. Для реализации подтверждения IP NAC на уровне 2 необходимо, чтобы используемые по умолчанию списки ACL разрешали трафик EAPoUDP.


Если функция подтверждения IP NAC на уровне 2 настроена на порту коммутатора, то на порту коммутатора также должен быть настроен используемый по умолчанию порт ACL (он будет применяться при обработке IP-трафика).

Если используемый по умолчанию список ACL настроен на коммутаторе, и сервер Cisco Secure ACS передает политику доступа узла на коммутатор, то коммутатор будет применять политику к трафику от узла, подключенного к порту коммутатора. После того, как политика узла загружена сервером Cisco Secure ACS, входящий трафик сопоставляется с загруженной политикой. Если данная политика не соответствует трафику, трафик будет сопоставлен со стандартной политикой.

Если сервер Cisco Secure ACS передает на коммутатор загружаемый список ACL, указывающий URL перенаправления в качестве действия policy-map, то данный ACL будет иметь приоритет перед списком ACL, настроенным ранее на порту коммутатора. Загружаемый ACL всегда имеет приоритет перед используемым по умолчанию списком ACL. Если используемый по умолчанию порт ACL не настроен на коммутаторе, загружаемые списки ACL не программируются.

Таймеры NAC

Коммутатор поддерживает следующие таймеры:

Таймер удержания

Таймер ожидания

Таймер повторной передачи

Таймер повторного подтверждения

Таймер запроса состояния

Таймер удержания

Таймер удержания предупреждает немедленный запуск нового сеанса EAPoUDP после предыдущей попытки с целью подтверждения сбоев сеанса. Таймер используется при передаче сообщения Accept-Reject с сервера Cisco Secure ACS на коммутатор.

По умолчанию период действия таймера составляет180 секунд (3 минуты).

Подтверждение сеанса EAPoUDP может не произойти по следующим причинам: сбой подтверждения состояния узла или прием сервером Cisco Secure ACS некорректных сообщений. Постоянный пример коммутатором или сервером аутентификации некорректных сообщений может означать попытку выполнения злонамеренным пользователем DoS-атаки (отказ обслуживания).

Таймер ожидания

Таймер ожидания задает период, в течение которого коммутатор ожидает получения ARP-пакета с опрашиваемого узла или получения обновленной записи таблицы отслеживания IP-устройств для того, чтобы удостовериться в активности подключения узла. Таймер ожидания работает со списком известных узлов, фиксируя инициируемые ими подтверждения состояния, а также с таблицей отслеживания IP-устройств.

Таймер ожидания перезапускается при приеме коммутатором пакета ARP или при обновлении записи в таблице отслеживания IP-устройств. При истечении периода ожидания таймера коммутатор завершает сеанс EAPoUDP на узле, подтверждение узла более не выполняется.


Примечание. Таблица отслеживания IP-устройств используется для отслеживания появления новых узлов в сети. Таблица отслеживания IP-устройств обнаруживает узлы посредством инспектирования IP ARP и отслеживания IP DHCP (необязательно). Инспектирование IP ARP активируется автоматически при активации функции отслеживания IP-устройств.


По умолчанию интервал инспектирования составляет 30 секунд. Тайм-аут составляет количество интервалов инспектирования, умноженное на количество повторных попыток инспектирования. Поэтому по умолчанию значение периода таймера ожидания составляет 90 секунд (интервал инспектирования составляет 30 секунд, количество повторных попыток — 3).

Коммутатор составляет список известных узлов, контролируя состав узлов, инициирующих подтверждение состояния. После принятия коммутатором пакета ARP коммутатор выполняет перезапуск таймера устаревания списка и таймера ожидания. По истечении периода устаревания списка коммутатор передает пакет ARP, чтобы удостовериться, что узел активен. Если узел активен, он направляет на коммутатор отклик. Коммутатор обновляет запись в списке известных узлов. Затем таймер устаревания списка и таймер ожидания перезапускаются. Если коммутатор не получает отклик, он выполняет завершение сеанса с сервером Cisco Secure ACS, и подтверждение узла более не выполняется.

Коммутатор также использует таблицу отслеживания IP-устройств для обнаружения и управления узлами, подключенными к коммутатору. Для обнаружения узлов коммутатор также использует функции отслеживания ARP или DHCP. По умолчанию функция отслеживания IP-устройств на коммутаторе отключена. Если функция отслеживания IP-устройств активна и узел обнаружен, коммутатор добавляет в таблицу отслеживания IP-устройств запись, содержащую следующую информацию:

IP-адрес и MAC-адрес узла

Интерфейс, на котором коммутатор обнаруживает узел

Состояние узла, установленное в положение ACTIVE при обнаружении узла

Если функция подтверждения IP NAC на уровне 2 активирована на интерфейсе, добавление записи в таблицу отслеживания IP-устройств инициирует подтверждение состояния.

Для таблицы отслеживания IP-устройств можно настроить количество попыток передачи коммутатором пробных пакетов ARP для записи перед удалением записи из таблицы и продолжительность периода ожидания перед повторной передачей пробного пакета ARP. Если коммутатор использует стандартные установки таблицы отслеживания IP-устройств, коммутатор передает пробные пакеты ARP каждые 30  секунд для всех записей. Если узел отвечает на пробный запрос, состояние узла обновляется и остается в положении ACTIVE. Если коммутатор не получает отклик, коммутатор может передать до трех дополнительных пробных пакетов ARP с интервалом 30 секунд. После передачи максимального количества запросов ARP коммутатор удаляет узел из таблицы. Коммутатор завершает сеанс EAPoUDP на узле, если сеанс был установлен.

Использование функции отслеживания IP-устройств гарантирует своевременное обнаружение узлов вне зависимости от ограничений использования DHCP. Если связь обрывается, связанные с интерфейсом записи в таблице отслеживания IP-устройств не удаляются. Статус ACTIVE изменяется на статус INACTIVE. Коммутатор не ограничивает количество записей в таблице отслеживания IP-устройств, однако накладывает ограничения на удаление записей в статусе INACTIVE. Все записи сохраняются в таблице отслеживания IP-устройств до достижения ее предельной емкости. При достижении предельной емкости таблицы коммутатор удаляет из нее записи, имеющие статус INACTIVE (при их наличии), после чего добавляет новые записи. Если в таблице отсутствуют записи со статусом INACTIVE, размер таблицы продолжает увеличиваться. Когда узел переходит в состояние INACTIVE, коммутатор завершает сеанс с этим узлом.

Для коммутаторов серии Catalyst 3750, 3560, 3550, 2970, 2960, 2955, 2950 и 2940, а также для сервисных модулей Cisco EtherSwitch верхний предел перед удалением записей в статусе INACTIVE составляет 512.

Для коммутаторов серии Catalyst 4500 и 6500, а также для маршрутизаторов серии Catalyst 7600 верхний предел перед удалением этих записей составляет 2048.

После восстановления связи коммутатор рассылает пробные пакеты ARP каждой записи узла, связанной с интерфейсом. Записи узлов, не реагирующих на ARP-запросы, переводятся коммутатором в пассивное состояние. Узлы, отвечающие на запросы коммутатора, переводятся в состояние ACTIVE, после чего инициируется подтверждение состояния.

Таймер повторной передачи

Таймер повторной передачи управляет продолжительностью периода ожидания коммутатором отклика от клиента перед повторной отправкой запроса в процессе подтверждения состояния. Недостаточная продолжительность периода ожидания может привести к лишним повторным передачам. Слишком высокая продолжительность периода ожидания удлинит период ожидания отклика.

По умолчанию продолжительность периода ожидания составляет 3 секунды.

Таймер повторного подтверждения

Таймер повторного подтверждения управляет продолжительностью периода, в течение которого политика NAC может быть применена с отношении клиента, использовавшего сообщения EAPoUDP в ходе процесса подтверждения состояния. Таймер запускается после завершения первоначального подтверждения состояния. После завершения повторного подтверждения таймер перезапускается. По умолчанию период действия таймера повторного подтверждения составляет 36000 секунд (10 часов).

Продолжительность периода ожидания таймера можно указать на коммутаторе и на интерфейсе данного коммутатора с помощью команды глобальной конфигурации eou timeout revalidation.


Примечание. Таймер повторного подтверждения может быть настроен локально на коммутаторе или может быть загружен с Cisco Server ACS.


Режим работы таймера повторного подтверждения зависит от атрибутов RADIUS Session-Timeout RADIUS и Termination-Action в сообщении Access-Accept с сервера Cisco Secure ACS, использующего AAA. Если коммутатор принимает значение Session-Timeout, данное значение используется вместо значения продолжительности таймера повторного подтверждения, заданного на коммутаторе.

Если период таймера повторного подтверждения истек, дальнейшие действия коммутатора определяются в соответствии с атрибутом Termination-Action:

Если используется стандартное значение атрибута RADIUS Termination-Action, сеанс завершается.

Если коммутатор получает другое значение атрибута Termination-Action, сеанс EAPoUDP и текущая политика доступа сохраняются в процессе повторного подтверждения состояния.

Если в качестве значения атрибута Termination-Action используется RADIUS, коммутатор выполняет повторное подтверждение клиента.

Если пакет, переданный с сервера, не содержит атрибут Termination-Action, сеанс EAPoUDP завершается.

Таймер запроса состояния

Таймер запроса состояния задает время, в течение которого коммутатор ожидает подтверждения активности ранее утвержденного клиента и сохранности его состояния. Данный таймер, запускаемый после первоначального подтверждения клиента, может быть использован только клиентами, аутентифицированными посредством сообщений EAPoUDP. По умолчанию длительность периода ожидания данного таймера составляет 300 секунд (5 минут).

После завершения повторной аутентификации таймер перезапускается. По истечении периода ожидания коммутатор проверяет состояние подтверждения узла путем передачи ему сообщения Status-Query. Если узел передает сообщение об изменении состояния, коммутатор выполняет повторное подтверждение состояния узла.

Подтверждение IP NAC на уровне 2 и стеки коммутаторов


Примечание. Данная информация может быть использована на коммутаторах серии Catalyst 3750 и сервисных модулях EtherSwitch.


При выборе нового ведущего звена в стеке все ранее утвержденные узлы, подключенные к стеку, должны пройти повторное подтверждение, если функция IP NAC на уровне 2 все еще активна на интерфейсах, к которым эти узлы подключены. Если IP NAC на уровне 2 на этих интерфейсах отключена, ранее утвержденные узлы не могут быть подтверждены повторно.

Подтверждение IP NAC на уровне 2 и резервные модульные коммутаторы


Примечание. Данная информация может быть использована на коммутаторах серии Catalyst 4500 и 6500, а также на маршрутизаторе серии Catalyst 7600.


Если настроено дублирование в режиме RPR, при переключении будут потеряны все данные текущих подтвержденных узлов. Если настроено дублирование в режиме SSO, при переключении будет выполнено повторное подтверждение текущих подтвержденных узлов.

Политика, используемая при сбое сервера AAA для подтверждения IP NAC на уровне 2


Примечание. Данная функция не предусмотрена на коммутаторах серии Catalyst 4500.


При сбое сервера AAA система функционирует следующим образом:

1. Обнаруживается новый сеанс.

2. Перед запуском функции подтверждения состояния применяется политика, используемая при сбое сервера AAA, статус сеанса изменяется на AAA DOWN.

3. В случае восстановления сервера AAA для узла будет вновь активирована функция повторного подтверждения.


Примечание. При сбое сервера AAA соответствующая политика применяется только в том случае, если существующие политики не связаны с узлом. Как правило, при повторном утверждении сбой сервера AAA приводит к сохранению политик, использовавшихся узлом ранее.


Рекомендации и ограничения по конфигурированию NAC

В данном разделе содержатся следующие ограничения и рекомендации по настройке:

Рекомендации и ограничения по настройке NAC на уровне 2 по стандарту IEEE 802.1x

Рекомендации и ограничения по настройке IP NAC на уровне 2

Рекомендации и ограничения по настройке NAC на уровне 2 по стандарту IEEE 802.1x


Примечание. Данные рекомендации могут применяться в отношении коммутаторов серии Catalyst 4900, 4500, 3750, 3560, 3550, 2970, 2960, 2955, 2950 и 2940; коммутатора CGESM (модуль коммутации Gigabit Ethernet) и сервисных модулей Cisco EtherSwitch.


Описанное ниже применяется для сети VLAN, назначенной на порт сервером ACS:

Сеть VLAN должна быть зарегистрирована на коммутаторе в качестве действительной сети VLAN.

Порт коммутатора может быть настроен в качестве порта статического доступа, назначенного на сеть VLAN, не являющуюся частной.

Порт коммутатора может быть настроен в качестве порта частной сети VLAN, принадлежащей к вторичной частной сети VLAN. Все узлы, подключенные к порту коммутатора, назначаются на частные сети VLAN вне зависимости от успешности подтверждения состояния.

Если тип сети VLAN в сообщении Access-Accept не совпадает с типом сети VLAN порта коммутатора, на который назначен клиент, назначение сети VLAN невозможно.

При назначении порта на частную сеть VLAN следует указать вторичную частную сеть VLAN. Коммутатор определяет первичную частную сеть VLAN путем использования соответствующих ассоциаций вторичной и первичной сети VLAN на коммутаторе.

Список портов, на которых NAC на уровне 2 по стандарту IEEE 802.1X не может быть настроен, приведен в разделе «Рекомендации по настройке IEEE 802.1X» в главе «Принципы функционирования и конфигурирование аутентификации 802.1X по данным порта» в Руководстве по настройке программного обеспечения.

При настройке гостевой сети VLAN, на которую назначаются нереагирующие узлы следует учитывать, что гостевая VLAN должна соответствовать требуемому типу порта. Если тип сети VLAN не соответствует типу порта коммутатора, нереагирующим узлам доступ к сети запрещается.

Если гостевая сеть VLAN настроена на порту доступа, то она классифицируется как не являющаяся частной. Если гостевая сеть VLAN настроена на порту частной сети VLAN, то она классифицируется как частная.

Для поддержки NAC необходимо, чтобы точки доступа были настроены с аутентификацией EAP и для сетей VLAN.

Инструкции по настройке аутентификации EAP на точках доступа приведены в главе
«Конфигурирование типов аутентификации» Руководства по настройке программного обеспечения Cisco IOS для точек доступа Cisco Aironet:
http://www.cisco.com/en/US/products/hw/wireless/ps430/products_configuration_guide_chapter09186a00804e7d09.html

Инструкции по настройке сети VLAN на точках доступа приведены в главе «Конфигурирование VLAN» Руководства по настройке программного обеспечения Cisco IOS для точек доступа Cisco Aironet:
http://www.cisco.com/en/US/products/hw/wireless/ps430/products_configuration_guide_chapter09186a00804e7d4e.html

NAC на уровне 2 по стандарту IEEE 802.1X взаимодействует с другими функциями следующим образом:

если узел назначен на голосовую сеть VLAN, коммутатор не подтверждает состояние, так как конфигурирование голосовой сети VLAN на порту частной VLAN невозможно.

По умолчанию нереагирующие узлы назначаются на гостевую сеть VLAN. Всем другим узлам (как узлам, успешно прошедшим подтверждение состояния, так и узлам с клиентским ПО IEEE 802.1X без NAC) доступ к сети предоставляется по результатам принятия решения о контроле доступа.

Дополнительная информация по взаимодействиям приведена в разделе «Рекомендации по настройке IEEE 802.1X» в главе «Настройка аутентификации 802.1X на основе данных порта» Руководства по настройке программного обеспечения.

Политика NAC на уровне 2 по стандарту IEEE 802.1X при сбое сервера AAA поддерживается только на коммутаторах серии Catalyst 3560 и Catalyst 3750.

Рекомендации и ограничения по настройке IP NAC на уровне 2


Примечание. Данные рекомендации могут применяться в отношении коммутаторов CGESM, сервисных модулей Cisco EtherSwitch, маршрутизатора Catalyst 7600 и коммутаторов серии Catalyst 6500, 4900, 4500, 3750, 3560 и 3550.


При настройке подтверждения IP NAC на уровне 2 следует придерживаться приведенных ниже ограничений и рекомендаций:

Для активации IP NAC на уровне 2 необходимо настроить маршрут уровня 3 от коммутатора к узлу.

Используемый по умолчанию список ACL должен разрешить трафик EAPoUDP для функционирования LPIP.

На всех коммутаторах кроме коммутаторов Catalyst 6500 (и маршрутизатора серии Catalyst 7600), подтверждение IP NAC на уровне 2 не поддерживается на портах соединительных линий, тоннелей, каналов EtherChannels, членов EtherChannel или маршрутизируемых портов.

Если функция подтверждения IP NAC на уровне 2 активна, необходимо выполнить конфигурирование стандартного списка ACL для порта коммутатора, к которому подключены узлы.

IP NAC на уровне 2 не осуществляет подтверждение трафика IPv6 и не применяет политики доступа в отношении трафика IPv6.

В случае приема большого количества пакетов ARP с различных IP-адресов возможно возникновение DoS-атаки.

Информация по ограничению ARP-пакетов приведена в разделе, посвященном описанию команды
ip arp inspection limit
в Справочнике по командам Cisco IOS по следующему адресу: http://www.cisco.com/en/US/products/sw/iosswrel/ps5187/products_command_reference_chapter09186a008017cf1c.html

Если на одном порту доступа активны IP NAC на уровне 2 и NAC на уровне 2 по стандарту IEEE 802.1X, приоритет имеет аутентификация IEEE 802.1X. Другими словами, в случае сбоя аутентификации IEEE 802.1X подтверждение IP NAC на уровне 2 выполнено не будет. Состояние узла, к которому подключен порт, могло быть подтверждено ранее, и в этом случае коммутатор уже применил ограничения доступа на основе стандарта IEEE 802.1X.

Если коммутатору необходимо использовать функции DHCP для идентификации подключенных узлов, то должна быть активна функция отслеживания DHCP.

При этом трафик DHCP должен быть разрешен в стандартном списке ACL интерфейса и в политике узла.

Пакеты DHCP должны быть разрешены в среде DHCP на используемом по умолчанию интерфейсе и в загруженной политике узла.

Для передачи конечными станциями DNS-запросов перед выполнением подтверждения состояния необходимо настроить именованный загружаемый список ACL для порта коммутатора с ACE, на которых разрешена обработка пакетов DNS.

Если необходимо переадресовывать запросы HTTP и HTTPS с оконечного устройства на заданный URL, следует активировать функцию сервера HTTP. В качестве имени списка ACL адреса URL необходимо определить url-redirect-acl. Список ACL для URL необходимо локально определить на коммутаторе. Данный список ACL, как правило, должен содержать строку «deny tcp any <адрес сервера ремедиации> eq www» с последующим использованием разрешающих ACE для перенаправляемого трафика HTTP.

Если подтверждение IP NAC на уровне 2 настроено на порту коммутатора, принадлежащем голосовой сети VLAN, коммутатор не подтверждает состояние IP-телефона. IP-телефон должен быть включен в список исключений.

Если функция подтверждения IP NAC на уровне 2 активна и при этом настроены списки ACL для сети VLAN и маршрутизатора, то политики последовательно применяются в порядке «Политика NAC на уровне 2 LP IP> ACL VLAN> ACL маршрутизатора.» Следующая политика применяется только после того, как трафик пройдет предыдущую проверку политики. Если одна из политик отклонит трафик, трафик принят не будет.


Примечание. Политика IP NAC на уровне 2 (загружается с ACS) всегда имеет преимущественное значение по сравнению со стандартной политикой интерфейса.


Если динамическое инспектирование ARP активно на входной сети VLAN, коммутатор инициирует подтверждение состояния только после подтверждения пакетов ARP.

Если на порту коммутатора активны функции предохранения источника IP и IP NAC на уровне 2, то подтверждение состояния не будет инициироваться трафиком, блокируемым функцией предохранения источника IP.

Если на порту коммутатора настроены функции аутентификации IEEE 802.1X в режиме одиночного узла и подтверждения IP NAC на уровне 2 и при этом происходит сбой аутентификации подключенных узлов, коммутатор не инициирует подтверждение состояния при приеме пакетов DHCP или ARP с узла.

Если на порту настроена аутентификация по стандарту IEEE 802.1X, порт не сможет выполнять прием или передачу трафика, отличного от фреймов EAPOL, до успешного выполнения аутентификации клиента.

На коммутаторах серии Catalyst 4500 команда режима access-group может быть использована для управления в случае замещения или слияния списков ACL сети VLAN и ACL маршрутизатора политики узла IP NAC на уровне 2.

На коммутаторах серии Catalyst 6500 и маршрутизаторах серии Catalyst 7600 трафик, обрабатываемый ACE отказа URL-Redirect, переадресовывается на оборудование без применения стандартной политики интерфейса и загружаемой политики узла. Если данный трафик (соответствующий ACE отказа URL-Redirect) подлежит фильтрации, необходимо определить список ACL сети VLAN на сеть VLAN доступа порта коммутатора.

Коммутаторы серии Catalyst 6500 и маршрутизаторы серии Catalyst 7600 не поддерживают подтверждение IP NAC на уровне 2 на портах магистралей, тоннелях, членах EtherChannel и маршрутизируемых портах. Тем не менее, на каналах Etherchannel коммутаторы серии Catalyst 6500 и маршрутизатор серии Catalyst 7600 поддерживают IP на уровне 2.

Коммутатор серии Catalyst 6500 и маршрутизатор серии Catalyst 7600 не позволяют выполнять на порту коммутатора функцию IP NAC на уровне 2, если для исходной сети VLAN настроены средства VACL Capture и/или IOS Firewall (CBAC).

Коммутаторы серии Catalyst 6500 и маршрутизаторы серии Catalyst 7600 не поддерживают функцию IP NAC на уровне 2, если порт коммутатора является компонентом частной сети VLAN.

На коммутаторах серии Catalyst 6500 и маршрутизаторах серии Catalyst трафик NAC на уровне 2 LPIP ARP, перенаправляемый на CPU, не может быть обработан функцией SPAN.

Конфигурирование NAC

В этом разделе рассматриваются следующие темы:

Конфигурация NAC, используемая по умолчанию

Конфигурирование NAC на уровне 2 по стандарту IEEE 802.1X

Конфигурирование подтверждения IP NAC на уровне 2

Конфигурирование EAPoUDP

Конфигурирование политик и профилей идентификации

Конфигурирование отслеживания устройств IP

Конфигурирование отслеживания IP DHCP для NAC (необязательно)

Конфигурирование инспектирования IP ARP с помощью списка ARP-фильтров (необязательно)

Конфигурирование инспектирования IP ARP с помощью отслеживания IP DHCP (необязательно)

Конфигурирование политики действия NAC в случае сбоя AAA (необязательно)

Конфигурация NAC, используемая по умолчанию

Стандартная конфигурация NAC на уровне 2 по стандарту IEEE 802.1X описана в разделе «Стандартная конфигурация IEEE 802.1X» главы «Настройка аутентификации 802.1X по данным порта» Руководства по настройке программного обеспечения.

По умолчанию функция подтверждения IP NAC на уровне 2 отключена.

Конфигурирование NAC на уровне 2 по стандарту IEEE 802.1X

Процедура настройки NAC на уровне 2 по стандарту IEEE 802.1X на коммутаторах серии Catalyst 4500 описана в разделах «Активация аутентификации 802.1X» и «настройка канала сообщения «Коммутатор-Сервер RADIUS»» Руководства по настройке программного обеспечения. Все другие приведенные задачи опциональны.

http://www.cisco.com/en/US/products/hw/switches/ps4324/tsd_products_support_series_home.html

Использование коммутаторов других типов описано в разделах «Настройка аутентификации и подтверждения IEEE 802.1X» и «Настройка аутентификации по стандарту IEEE 802.1x с использованием сервера RADIUS» Руководства по настройке программного обеспечения.

Рекомендации по использованию коммутатора серии Catalyst 3750 приведены по следующему адресу:
http://www.cisco.com/en/US/products/hw/switches/ps5023/tsd_products_support_series_home.html

Рекомендации по использованию коммутатора серии Catalyst 3560 приведены по следующему адресу:
http://www.cisco.com/en/US/products/hw/switches/ps5528/tsd_products_support_series_home.html

Рекомендации по использованию коммутатора серии Catalyst 3550 приведены по следующему адресу:
http://www.cisco.com/en/US/products/hw/switches/ps646/tsd_products_support_series_home.html

Рекомендации по использованию коммутатора серии Catalyst 2970 приведены по следующему адресу:
http://www.cisco.com/en/US/products/hw/switches/ps5206/tsd_products_support_series_home.html

Рекомендации по использованию коммутатора серии Catalyst 2960 приведены по следующему адресу:
http://www.cisco.com/en/US/products/ps6406/tsd_products_support_series_home.html

Рекомендации по использованию коммутаторов серии Catalyst 2955 и 2950 приведены по следующему адресу:
http://www.cisco.com/en/US/products/hw/switches/ps628/tsd_products_support_series_home.html

Рекомендации по использованию коммутатора серии Catalyst 2940 приведены по следующему адресу:
http://www.cisco.com/en/US/products/hw/switches/ps5213/tsd_products_support_series_home.html

Конфигурирование подтверждения IP NAC на уровне 2

Для настройки подтверждения IP NAC на уровне 2 следует выполнить следующие действия:

 
Команда
Назначение

Шаг 1

configure terminal

Вход в режим глобальной конфигурации.

Шаг 2

ip admission name rule-name eapoudp

Создание и настройка правила IP NAC с указанием имени правила.

Для удаления правила IP NAC на коммутаторе используется команда глобальной конфигурации
no ip admission name rule-name eapoudp.

Шаг 3

access-list access-list-number {deny | permit} source [source-wildcard] [log]

Определение списка ACL, используемого по умолчанию, с помощью адреса источника и символа шаблона.

Значение access-list-number должно быть десятичным числом в диапазонах 1–99 или 1300–1999.

Введите deny или permit для указания действия в случае соответствия условиям.

Значение source — адрес источника сети или узла, с которого передается пакет, указанный в следующем виде:

32-битная величина в виде десятичных чисел через точку.

Ключевое слово any — сокращение для совокупности значений source и source-wildcard 0.0.0.0 255.255.255.255. Значение source-wildcard вводить необязательно.

Ключевое слово host — сокращение для source 0.0.0.0 с символом шаблона.

(Необязательно) Значение source-wildcard использует символы шаблона в отношении источника.

(Необязательно) Введите log, чтобы регистрировать пакеты, совпавшие с условием записи, путем выдачи информационных журнальных сообщений на консоль.

Шаг 4

interface interface-id

Переход в режим конфигурирования интерфейса.

Шаг 5

ip access-group {access-list-number | name} in

Управление доступом к указанному интерфейсу.

Шаг 6

ip admission name rule-name

Применение заданного правила IP NAC к интерфейсу.

Для удаления правила IP NAC, примененного на заданный интерфейс, используется команда конфигурирования интерфейса no ip admission rule-name .

Шаг 7

exit

Возвращение в режим глобальной конфигурации.

Шаг 8

aaa new-model

Активация AAA.

Шаг 9

aaa authentication eou default group radius

Задание методов аутентификации EAPoUDP.

Для удаления методов аутентификации EAPoUDP используется команда глобальной конфигурации
no aaa authentication eou default.

Шаг 10

ip device tracking

Активация таблицы отслеживания IP-устройств.

Для деактивации таблицы отслеживания IP-устройств используется команда глобальной конфигурации no ip device tracking.

Шаг 11

ip device tracking [probe {count count | interval interval}]

(Необязательно) Настройка следующих параметров для таблицы отслеживания IP-устройств:

count count — количество попыток передачи коммутатором пробного запроса ARP. Диапазон — от 1 до 5. Значение по умолчанию — 3.

interval interval — продолжительность (в секундах) периода ожидания коммутатором отклика перед повторной передачей пакета ARP. Диапазон — от 30 до 300 секунд. По умолчанию задано значение 30.

Шаг 12

radius-server host {hostname | ip-address} key строка

(Необязательно) Настройка параметров сервера RADIUS.

В качестве значения hostname | ip-address следует указать имя узла или IP-адрес удаленного сервера RADIUS.

В качестве значения key строка следует указать ключ аутентификации и шифрования, используемый для взаимодействия коммутатора с демоном RADIUS на сервере RADIUS. Ключ — текстовая строка, соответствующая ключу шифрования, используемому на сервере RADIUS.

Примечание. Ключ следует настраивать в качестве последнего параметра в синтаксисе команды
radius-server host, так как пробелы непосредственно перед ключом не учитываются (пробелы внутри строки ключа и пробелы после строки ключа учитываются). Если пробел используется непосредственно в ключе, не следует заключать его в кавычки, если кавычки не являются частью строки ключа. Этот ключ должен совпадать с ключом, используемым демоном RADIUS.

При использовании нескольких серверов RADIUS данную команду следует ввести повторно.

Шаг 13 

radius-server attribute 8 include-in-access-req

(Необязательно) Если коммутатор подключен к нереагирующим узлам, коммутатор следует настроить для передачи атрибута RADIUS Framed-IP-Address (Атрибут[8]) в пакетах access-request или accounting-request.

Для настройки коммутатора без передачи атрибута Framed-IP-Address используется команда глобальной конфигурации no radius-server attribute 8 include-in-access-req.

Шаг 14 

radius-server vsa send authentication

Настройка сервера сетевого доступа для опознания и использования VSA.

Шаг 15 

eou logging

(Необязательно) Активация журналирования событий системы EAPoUDP.

Для отключения журналирования событий системы EAPoUDP используется команда глобальной конфигурации
no eou logging.

Шаг 16 

end

Возвращение в привилегированный режим EXEC.

Шаг 17 

show ip admission {[cache] [configuration] [eapoudp]}

Отображение конфигурации NAC или записей кэша сетевого доступа.

Шаг 18 

show ip device tracking {all | interface interface-id | ip ip-address | mac mac-address}

Отображение данных таблицы отслеживания IP-устройств.

Шаг 19 

copy running-config startup-config

(Необязательно) Сохраняет записи в файле конфигурации.

Если код состояния auth-proxy не должен получать сопоставления безопасности с сервера AAA, следует использовать команду глобальной конфигурации no aaa authorization auth-proxy default.

Для удаления всех записей устройства клиента NAC на коммутаторе или на указанном интерфейсе используется команда привилегированного режима EXEC clear eou. Для удаления записей в таблице отслеживания IP-устройств используется команда привилегированного режима EXEC
clear ip device tracking.

Ниже приведен пример настройки подтверждения IP NAC на уровне 2 на интерфейсе коммутатора:

Switch# configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip admission name nac eapoudp
Switch(config)# access-list 5 permit any any
Switch(config)# interface gigabitethernet 2/0/1
Switch(config-if)# ip access-group 5 in
Switch(config-if)# ip admission name nac 
Switch(config-if)# exit
Switch(config)# aaa new-model
Switch(config)# aaa authentication eou default group radius
Switch(config)# ip device tracking
Switch(config)# ip device tracking probe count 2
Switch(config)# radius-server host admin key rad123
Switch(config)# radius-server vsa send authentication
Switch(config)# eou logging
Switch(config)# end
Switch# show ip admission configuration

Authentication global cache time is 60 minutes Authentication global absolute time is 0 
minutes Authentication global init state time is 2 minutes Authentication Proxy Watch-list 
is disabled

Authentication Proxy Rule Configuration
 Auth-proxy name nac
    eapoudp list not specified auth-cache-time 60 minutes

Switch# show ip device tracking all
IP Device Tracking = Enabled
--------------------------------------------------------------
  IP Address     MAC Address       Interface          STATE   
--------------------------------------------------------------
10.5.0.25       0060.b0f8.fbfb GigabitEthernet1/0/4   ACTIVE

Конфигурирование EAPoUDP

EAPoUDP — протокол, используемый IP NAC на уровне 2 для обмена данными состояний с оконечной системой. Для тонкой настройки параметров автомата EAPoUDP следует выполнить следующие действия:

 
Команда
Назначение

Шаг 1

configure terminal

Вход в режим глобальных настроек.

Шаг 2

eou allow {clientless | ip-station-id}

eou default

eou logging

eou max-retry number

eou port port-number

eou ratelimit number

eou timeout {aaa seconds | hold-period seconds | retransmit seconds | revalidation seconds | status-query seconds}

eou revalidate

Указывает значения EAPoUDP.

Дополнительная информация о ключевых словах опций allow, default, logging, max-retry, port, rate-limit, revalidate и timeout приведена в «Справочнике по командам» данного документа.

Шаг 3

interface interface-id

Переход в режим конфигурирования интерфейса.

Шаг 4

eou default

eou max-retry number

eou timeout {aaa seconds | hold-period seconds | retransmit seconds | revalidation seconds | status-query seconds}

eou revalidate

Активация и настройка ассоциации EAPoUDP для указанного интерфейса.

Дополнительная информация по ключевым командам опций default, max-retry, revalidate и timeout приведена в «Справочнике по командам» данного документа.

Шаг 5

end

Возвращение в привилегированный режим EXEC.

Шаг 6

show eou {all | authentication {clientless | eap | static} | interface interface-id | ip ip-address | mac mac-address | posturetoken name}

Отображение информации по конфигурации EAPoUDP или записям кэша сеансов.

Шаг 7

copy running-config startup-config

(Необязательно) Сохраняет записи в файле конфигурации.

Для возвращения к стандартным глобальным значениям EAPoUDP используются no-формы команд глобальной конфигурации eou. Для отключения ассоциаций EAPoUDP используются no-формы команд конфигурирования интерфейса eou.

Ниже приведен пример настройки EAPoUDP на интерфейсе коммутатора:

Switch# configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# eou logging
Switch(config)# eou allow clientless
Switch(config)# eou timeout revalidation 2400
Switch(config)# eou revalidate 
Switch(config)# interface gigabitEthernet 1/0/4 
Switch(config-if)# eou timeout status-query 600 
Switch(config-if)# end
Switch# show eou

Global EAPoUDP Configuration
----------------------------
EAPoUDP Version     = 1
EAPoUDP Port        = 0x5566
Clientless Hosts    = Enabled
IP Station ID       = Disabled
Revalidation        = Enabled
Revalidation Period = 2400 Seconds
ReTransmit Period   = 3 Seconds
StatusQuery Period  = 300 Seconds
Hold Period         = 180 Seconds
AAA Timeout         = 60 Seconds
Max Retries         = 3
EAP Rate Limit      = 20
EAPoUDP Logging     = Enabled

Interface Specific EAPoUDP Configurations
-----------------------------------------
Interface GigabitEthernet1/0/4
  StatusQuery Period  = 600 Seconds

Конфигурирование политик и профилей идентификации

Для выполнения настройки политик и профилей идентификации необходимо выполнить следующие действия:

 
Команда
Назначение

Шаг 1

configure terminal

Вход в режим глобальных настроек.

Шаг 2

identity policy policy-name

Создание политики идентификации, переход в режим настройки политики идентификации.

Для удаления на коммутаторе политики идентификации используется команда глобальной конфигурации no identity-policy policy-name.

Шаг 3

access-group access-group

(Необязательно) Определение атрибутов доступа к сети для политики идентификации.

Шаг 4

identity profile eapoudp

Создание профиля идентификации, переход в режим настройки профиля идентификации.

Для удаления профиля идентификации используется команда глобальной конфигурации no identity profile eapoudp.

Шаг 5

device {authorize | not-authorize} {ip-address ip-address | mac-address mac-address | type cisco ip phone} [policy policy-name]

Авторизация указанного IP-устройства, применение к нему указанной политики.

Чтобы не проводить авторизацию указанного IP-устройства и удалить заданную политику с него используется команда конфигурирования интерфейса no device {authorize | not-authorize} {ip-address ip-address | mac-address mac-address | type cisco ip phone} [policy policy-name].

Шаг 6

exit

Выход из режима настройки профиля идентификации, возвращение в режим глобальной конфигурации.

Шаг 7

end

Возвращение в привилегированный режим EXEC.

Шаг 8

show identity [policy| profile]

Отображение настроенных профилей и/или политик идентификации.

Шаг 9

show running-config

Проверка записей.

Шаг 10

copy running-config startup-config

(Необязательно) Сохранение записей в файле конфигурации.


Примечание. При настройке списка ACL каждой записи (ACE) присваивается действие («permit»), протокол («ip»), компонент источника и компонент назначения. Политики узла (списки ACL, определяемые администратором на сервере ACS или в качестве компонента статической политики на коммутаторе) должны в качестве адреса источника использовать «any». В противном случае LPIP не будет использовать политику на коммутаторе. Данная команда действительна: 10 permit ip any host 10.1.1.1. Данная команда недействительна: 10 permit ip host 10.1.1.2 host 10.1.1.1


Ниже приведен пример настройки профиля, выполняющего авторизацию узла по IP-адресу, с последующим ассоциированием локальной политики с этим узлом:

Switch# configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# identity policy policy1
Switch(config-identity-policy)# access-group group1
Switch(config)# identity profile eapoudp
Switch(config-identity-prof)# device authorize ip address 10.10.142.25 policy policy1
Switch(config-identity-prof)# exit
Switch(config)# end
Switch# show identity policy
Policy Name     ACL             Redirect ACL    Redirect URL                   
===============================================================================
policy1         group1          NONE            NONE                           

Switch# show identity profile
No identity profile of type default is configured.

No identity profile of type dot1x is configured.

Service Type: eapoudp

Device / Address / Mask            Allowed         Policy
==============================================================
10.5.0.99       / 0.0.0.0          Authorized      policy1

Конфигурирование отслеживания устройств IP


Примечание. Данную задачу необходимо выполнить для активации функции подтверждения IP на уровне 2.


Функция подтверждения IP NAC на уровне 2 не использует списки ACL перехвата для определения подмножества трафика, инициирующего подтверждение состояния. Этот процесс не идентичен действиям, производимым на уровне 3. В данном случае для отслеживания новых узлов в сети используется таблица отслеживания IP-устройств. Таблица отслеживания IP-устройств обнаруживает узлы с помощью следующих механизмов:

Инспектирование IP ARP

Отслеживание IP DHCP (необязательно)

Инспектирование IP ARP активируется автоматически при активации функции отслеживания IP-устройств. Обнаружение новых узлов осуществляется путем мониторинга пакетов ARP. Функция отслеживания IP DHCP обнаруживает подключение или отключение узла при назначении или аннулировании DHCP IP-адресов.


Примечание. Если функция динамического инспектирования ARP включена, для обнаружения новых узлов для таблицы отслеживания IP-устройств используются только ARP-пакеты, подтвержденные данной функцией.


После добавления устройства в таблицу отслеживания IP адресов мониторинг устройства осуществляется путем периодической передачи ARP-запросов. Узлы, не отвечающие на данные запросы, удаляются из таблицы отслеживания устройств.


Примечание. Дополнительно можно настроить период между пробными запросами и максимальное число пробных запросов. Данные запросы используются для отслеживания узлов после их определения на NAD.


Для настройки отслеживания IP-устройств необходимо выполнить следующие действия:

Команда
Назначение

Шаг 1

configure terminal

Вход в режим глобальных настроек.

Шаг 2

ip device tracking

(Обязательно) Активация отслеживания IP-устройств.

Активируется функция определения IP-устройств на уровне 2 посредством отслеживания пакетов ARP на портах, где прием IP разрешен.

Шаг 3

ip device tracking probe count n

(Необязательно) Изменение максимального количества пробных запросов устройства. Значение по умолчанию — 3.

Шаг 4

ip device tracking probe interval interval_number

(Необязательно) Изменение интервалов запроса. Значение по умолчанию равно 30 секундам.

Шаг 5

exit

Выход из режима настройки профиля идентификации, возвращение в режим глобальной конфигурации.

Шаг 6

end

Возвращение в привилегированный режим EXEC.

Шаг 7

show ip device tracking [all]

Отображение списка IP узлов, обнаруженных на коммутаторе. Эти узлы в дальнейшем пройдут подтверждение состояния IP NAC на уровне2.

Шаг 8

show running-config

Проверка записей.

Шаг 9

copy running-config startup-config

(Необязательно) Сохраняет записи в файле конфигурации.

Ниже приведен пример настройки отслеживания IP-устройств.

Switch# configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip device tracking
Switch(config)# ip device tracking probe count 3
Switch(config)# ip device tracking probe interval 60
Switch(config)# end
Switch# show ip device tracking all
IP Device Tracking = Enabled
--------------------------------------------------------------
IP Address     MAC Address       Interface          STATE   
--------------------------------------------------------------
8.0.0.1         0060.b0f8.fbfb GigabitEthernet1/0/4   ACTIVE

Примечание. Совместно с настройкой отслеживания IP-устройств необходимо также настроить отслеживание IP DHCP или инспектирование IP ARP. Это необходимо для полноценного функционирования NAC.


Конфигурирование отслеживания IP DHCP для NAC (необязательно)

Если DHCP необходим для использования в качестве механизма инициирования/обнаружения устройств для функция подтверждения IP на уровне 2, следует выполнить настройку функции отслеживания IP DHCP. Функция отслеживания DHCP должна быть активирована на голосовой сети VLAN и сети VLAN данных порта коммутатора, на котором разрешен прием IP.

Для настройки функции отслеживания IP DHCP необходимо выполнить следующие действия:

Команда
Назначение

Шаг 1

configure terminal

Вход в режим глобальных настроек.

Шаг 2

ip dhcp snooping

Включение функции отслеживания IP DHCP на коммутаторе.

Шаг 3

ip dhcp snooping vlan vlan_id

Активация отслеживания IP DHCP на входной сети VLAN коммутатора.

Шаг 4

ip dhcp snooping trust

Активация доверенного состояния отслеживания DHCP для интерфейса.

Необходимо активировать доверенное состояние отслеживания DHCP на портах каскадирования, к которым подключен сервер DHCP.

Шаг 5

exit

Выход из режима настройки профиля идентификации, возвращение в режим глобальной конфигурации.

Шаг 6

end

Возвращение в привилегированный режим EXEC.

Шаг 7

show ip dhcp snooping [binding]

Отображение текущей конфигурации отслеживания DHCP.

Для отображения списка элементов аренды адресов DHCP, обнаруженных при отслеживании DHCP используется ключевое слово binding.

Шаг 8

show running-config

Проверка записей.

Шаг 9

copy running-config startup-config

(Необязательно) Сохранение записей в файле конфигурации.

Ниже приведен пример настройки отслеживания IP DHCP для NAC.

Switch# configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip dhcp snooping
Switch(config)# ip dhcp snooping vlan 8
Switch(config)# end
Switch# show ip dhcp snooping
Switch DHCP snooping is enabled
DHCP snooping is configured on following VLANs:
1,10,1001
Insertion of option 82 is enabled
Option 82 on untrusted port is not allowed Verification of hwaddr field is enabled
Interface                    Trusted     Rate limit (pps)
------------------------     -------     ----------------

Switch# show ip dhcp snooping binding
MacAddress          IpAddress        Lease(sec)  Type           VLAN  Interface
------------------  ---------------  ----------  -------------  ----  --------------------
00:60:B0:F8:FB:FB   8.0.0.1          79464       dhcp-snooping  8     GigabitEthernet1/0/4
Total number of bindings: 1

Если требуется использовать только функцию инспектирования IP ARP, необходимо соблюсти одно из следующих условий:

Имеется статический список ACL ARP-фильтра, пропускающий только обязательные доверенные IP-адреса (на NAD должна быть активна опция формирования записей ARP).

Коммутатор содержит элемент привязки отслеживания DHCP, позволяющий функции инспектирования IP ARP подтверждать состояние записей IP ARP.

Входной интерфейс NAC переходит в группу доверенных для инспектирования IP ARP. Как правило, данная задача невыполнима, так как клиенты на входном интерфейсе NAC подвержены мониторингу.

Конфигурирование инспектирования IP ARP с помощью списка ARP-фильтров (необязательно)

Данная задача активирует возможность обнаружения IP-устройств на уровне 2 с назначениями статических IP-адресов, в отношении которых будут выполнены динамические проверки подтверждения инспектирования ARP.

Чтобы выполнить настройка инспектирования IP ARP с помощью списка ARP-фильтров, следует выполнить следующие действия:

Команда
Назначение

Шаг 1

configure terminal

Вход в режим глобальных настроек.

Шаг 2

arp access-list static-arp-list

Настройка списка ACL фильтра IP ARP на NAD для активации доверенных MAC-адреса и сети (N/W) IP/

Шаг 3

deny [ip [any | host sender-ip [sender-ip-mask]]] [mac any]

Отбрасывание пакетов ARP на основе заданных критериев.

Шаг 4

permits [ip [any | host sender-ip [sender-ip-mask]]] [mac any]

Пересылка пакетов ARP на основе заданных критериев.

Шаг 5

exit

Выход из режима настройки профиля идентификации, возвращение в режим глобальной конфигурации.

Шаг 6

ip arp inspection vlanvlan_id

Активация функции инспектирования IP ARP на сети VLAN.

Шаг 7

ip arp inspection filter static-arp-list vlan vlan_id

Активация функции инспектирования IP ARP на входной сети VLAN коммутатора.

Примечание. При выполнении данного шага записи отслеживания IP DHCP не формируются на тестируемом устройстве

Шаг 8

end

Возвращение в привилегированный режим EXEC.

Шаг 9

show ip arp inspection [statistics]
[vlan vlan_id]

Отображение текущей конфигурации или статистических данных инспектирования ARP. Для отображения данных определенной сети VLAN можно использовать ключевое слово vlan.

Шаг 10

show running-config

Проверка записей.

Шаг 11

copy running-config startup-config

(Необязательно) Сохраняет записи в файле конфигурации.

Ниже приведен пример настройки функции инспектирования IP ARP с помощью списка ARP-фильтров:

Switch# configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# arp access-list arp-list
Switch(config-arp-nacl)# deny ip host 101.50.1.54 mac any
Switch(config-arp-nacl)# deny ip host 101.50.1.51 mac any
Switch(config-arp-nacl)# permit ip 101.50.1.0 0.0.0.255 mac any
Switch(config-arp-nacl)# exit
Switch(config)# ip arp inspection vlan 101
Switch(config)# ip arp inspection filter arp-acl vlan 101
Switch(config)# end
Switch# show ip arp inspection vlan 101

Source Mac Validation      : Disabled
Destination Mac Validation : Disabled
IP Address Validation      : Disabled

 Vlan     Configuration    Operation   ACL Match          Static ACL
 ----     -------------    ---------   ---------          ----------
  101     Enabled          Active      arp-acl            No 

 Vlan     ACL Logging      DHCP Logging
 ----     -----------      ------------
  101     Deny             Deny  

Switch# show ip arp inspection statistics

 Vlan      Forwarded        Dropped     DHCP Drops      ACL Drops
 ----      ---------        -------     ----------      ---------
 101              9              2              0              4

 Vlan   DHCP Permits    ACL Permits   Source MAC Failures
 ----   ------------    -----------   -------------------
  101              9              0                     0

 Vlan   Dest MAC Failures   IP Validation Failures   Invalid Protocol Data
 ----   -----------------   ----------------------   ---------------------
  101                   0                        0                       0

Конфигурирование инспектирования IP ARP с помощью отслеживания IP DHCP (необязательно)

Данная задача активирует возможность обнаружения IP-устройств на уровне 2 для проведения проверок подтверждения функции инспектирования ARP. По умолчанию пакеты ARP подтверждаются с помощью привязок отслеживания DHCP.


Примечание. Для выполнения данной задачи необходимо предварительно активировать функцию отслеживания DHCP на сети VLAN с разрешенной функцией инспектирования ARP.


Для настройки инспектирования IP ARP с помощью функции отслеживания IP DHCP необходимо выполнить следующие действия:

Команда
Назначение

Шаг 1

configure terminal

Вход в режим глобальных настроек.

Шаг 2

ip dhcp snooping

Включение функции отслеживания IP DHCP на коммутаторе.

Шаг 3

ip dhcp snooping vlan vlan_id

Активация отслеживания IP DHCP на входной сети VLAN коммутатора.

Шаг 4

ip dhcp snooping trust

Активация доверенного состояния отслеживания DHCP для интерфейса.

Шаг 5

ip arp inspection vlan vlan_id

Активация функции инспектирования IP ARP на сети VLAN.

Примечание. Функция отслеживания DHCP должна быть включена на сети VLAN с разрешенным инспектированием IP ARP.

Шаг 6

ip arp inspection vlan trust

Активация доверенного состояния инспектирования ARP для интерфейса.

Необходимо активировать доверенное состояние инспектирования ARP на портах каскадирования, к которым подключен сервер DHCP. Данное условие необходимо для разрешения пакетов ARP с сервера без проведения проверок подтверждения.

Шаг 7

ip arp inspection filter static-arp-list vlan vlan_id

Активация функции инспектирования IP ARP на входной сети VLAN коммутатора.

Примечание. При выполнении данного шага записи отслеживания IP DHCP не формируются на тестируемом устройстве.

Шаг 8

end

Возвращение в привилегированный режим EXEC.

Шаг 9

show ip arp inspection [statistics]
[vlan vlan_id]

Отображение текущей конфигурации или статистических данных инспектирования ARP. Для отображения данных определенной сети VLAN можно использовать ключевое слово vlan.

Шаг 10

show running-config

Проверка записей.

Шаг 11

copy running-config startup-config

(Необязательно) Сохранение записей в файле конфигурации.


Примечание. Для данной конфигурации настройку статического списка ARP-фильтров выполнять не требуется.


Ниже приведен пример настройки функции инспектирования IP ARP с помощью отслеживания IP DHCP:

Switch# configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip dhcp snooping vlan 8
Switch(config)# ip arp inspection vlan 8
Switch(config)# end
Switch# show ip arp inspection vlan 8

Source Mac Validation      : Disabled
Destination Mac Validation : Disabled
IP Address Validation      : Disabled

 Vlan     Configuration    Operation   ACL Match          Static ACL
 ----     -------------    ---------   ---------          ----------
    8     Enabled          Active                         

 Vlan     ACL Logging      DHCP Logging
 ----     -----------      ------------
   8     Deny             Deny  

Switch# show ip arp inspection statistics vlan 8

 Vlan      Forwarded        Dropped     DHCP Drops      ACL Drops
 ----      ---------        -------     ----------      ---------
    8              4              0              0              0

 Vlan   DHCP Permits    ACL Permits   Source MAC Failures
 ----   ------------    -----------   -------------------
   8              4              0                     0

 Vlan   Dest MAC Failures   IP Validation Failures   Invalid Protocol Data
 ----   -----------------   ----------------------   ---------------------
   8                   0                        0 

Конфигурирование политики действия NAC в случае сбоя AAA (необязательно)


Примечание. Функция подтверждения IP NAC на уровне 2 не предусмотрена на коммутаторах серии Catalyst 4500.


Для выполнения настройки политики действия NAC в случае сбоя AAA следует выполнить следующие действия:

Команда
Назначение

Шаг 1

configure terminal

Вход в режим глобальных настроек.

Шаг 2

ip admission name rule-name eapoudp event timeout aaa policy identity identity_policy_name

Создание правила NAC и ассоциирование его с политикой идентификации, используемой при сеансах в условиях недоступности сервера ААА.

Для удаления правила на коммутаторе используется команда глобальной конфигурации
no ip admission name rule-name eapoudp event timeout aaa policy.

Шаг 3

access-list access-list-number {deny | permit} source [source-wildcard] [log]

Определение списка ACL, используемого по умолчанию, с помощью адреса источника и символа шаблона.

Значение access-list-number должно быть десятичным числом в диапазонах 1–99 или 1300–1999.

Введите deny или permit, чтобы указать действие, выполняемое при соответствии условиям.

Значение source — адрес источника сети или узла, с которого передается пакет, указанный в следующем виде:

32-битная величина в виде десятичных чисел через точку

Ключевое слово any в качестве аббревиатуры source и source-wildcard 0.0.0.0 255.255.255.255. Значение source-wildcard вводить необязательно.

Ключевое слово host в качестве аббревиатуры для источника и символа шаблона source источник 0.0.0.0.

(Необязательно) Значение source-wildcard использует символы шаблона в отношении источника.

(Необязательно) Введите log, чтобы выдавать на консоль информационные журнальные сообщения о пакетах, совпадающих с условиями записи.

Шаг 4

interface interface-id

Переход в режим конфигурирования интерфейса.

Шаг 5

ip access-group {access-list-number | name} in

Управление доступом к указанному интерфейсу.

Шаг 6

ip admission name rule-name

Применение заданного правила IP NAC на интерфейсе.

Для удаления правила IP NAC, примененного на заданный интерфейс, используется команда конфигурирования интерфейса no ip admission rule-name .

Шаг 7

exit

Возвращение в режим глобальной конфигурации.

Шаг 8

aaa new-model

Активация AAA.

Шаг 9

aaa authentication eou default group radius

Задание методов аутентификации EAPoUDP.

Для удаления методов аутентификации EAPoUDP используется команда глобальной конфигурации
no aaa authentication eou default.

Шаг 10

aaa authorization network default local

Установка локального метода авторизации. Для удаления метода авторизации используется команда no aaa authorization network default local.

Шаг 11

ip device tracking

Активация таблицы отслеживания IP-устройств.

Для деактивации таблицы отслеживания IP-устройств используется команда глобальной конфигурации no ip device tracking no ip device tracking.

Шаг 12

ip device tracking [probe {count count | interval interval}]

Настройка следующих параметров для таблицы отслеживания IP-устройств:

count count — количество попыток передачи коммутатором пробного запроса ARP. Диапазон — от 1 до 5. Значение по умолчанию — 3.

interval interval — продолжительность (в секундах) периода ожидания коммутатором отклика перед повторной передачей пакета ARP. Диапазон — от 30 до 300 секунд. По умолчанию задано значение 30.

Шаг 13

radius-server host {hostname | ip-address} test username username idle-time 1 key string

Настройка параметров сервера RADIUS.

В качестве значения hostname | ip-address следует указать имя узла или IP-адрес удаленного сервера RADIUS.

В качестве значения key string следует указать ключ аутентификации и шифрования, используемый между коммутатором и демоном RADIUS на сервере RADIUS. Ключ — текстовая строка, соответствующая ключу шифрования, используемому на сервере RADIUS.

Примечание. Ключ следует настраивать в качестве последнего параметра при использовании в команде
radius-server host, так как пробелы непосредственно перед ключом не учитываются (пробелы внутри строки ключа и пробелы после строки ключа учитываются). Если пробел используется непосредственно в ключе, не следует заключать его в кавычки, если кавычки не являются частью строки ключа. Данный ключ должен соответствовать шифрованию на демоне RADIUS.

test username используется для настройки формального имени пользователя для проверки состояния активности сервера ААА.

idle-time используется для задания частоты выполнения проверок активности SERVER. Если трафик в направлении сервера RADIUS отсутствует, NAD передаст на сервер RADIUS фиктивные пакеты RADIUS в соответствии со значением параметра idle-time.

При использовании нескольких серверов RADIUS данную команду следует ввести отдельно для каждого сервера.

Шаг 14

radius-server attribute 8 include-in-access-req

Если коммутатор подключен к нереагирующим узлам, коммутатор следует настроить для передачи атрибута RADIUS Framed-IP-Address (Атрибут[8]) в пакетах access-request или accounting-request.

Для конфигурирования коммутатора без передачи атрибута Framed-IP-Address используется команда глобальной конфигурации no radius-server attribute 8 include-in-access-req.

Шаг 15

radius-server vsa send authentication

Настройка сервера сетевого доступа для опознания и использования VSA.

Шаг 16

radius-server dead-criteria {tries | time} value

(Необязательно) Устанавливает один или оба критерия, используемые для отображения пассивного состояния сервера RADIUS, в качестве указанных констант.

Шаг 17

eou logging

(Необязательно) Включение журналирования событий системы EAPoUDP.

Для отключения журналирования событий системы EAPoUDP используется команда глобальной конфигурации
no eou logging.

Шаг 18

end

Возвращение в привилегированный режим EXEC.

Шаг 19

show ip admission {[cache] [configuration] [eapoudp]}

Отображение конфигурации NAC или записей кэша сетевого доступа.

Шаг 20

show ip device tracking {all | interface interface-id | ip ip-address | mac mac-address}

Отображение данных таблицы отслеживания IP-устройств.

Шаг 21

show aaa servers

Отображение состояния серверов AAA, настроенных на данном коммутаторе.

Шаг 22

copy running-config startup-config

(Необязательно) Сохранение записей в файле конфигурации.

Ниже приведен пример использования политики при сбое сервера AAA:

Switch# configure terminal 
Enter configuration commands, one per line.  End with CNTL/Z.
Switch(config)# ip admission name AAA_DOWN eapoudp event timeout aaa policy identity 
global_policy
Switch(config)# aaa new-model
Switch(config)# aaa authorization network default local
Switch(config)# aaa authentication eou default group radius
Switch(config)# identity policy global_policy
Switch(config-identity-policy)# ac
Switch(config-identity-policy)# access-group global_acl
Switch(config)# ip access-list extended global_acl
Switch(config-ext-nacl)# permit ip any any
Switch(config-ext-nacl)# exit
Switch(config)# radius-server host 40.0.0.4 test username administrator idle-time 1 key 
cisco
Switch(config)# radius-server dead-criteria tries 3
Switch(config)# radius-server vsa send authentication
Switch(config)# radius-server attribute 8 include-in-access-req
Switch(config)# int fastEthernet 2/13
Switch(config-if)# ip admission AAA_DOWN
Switch(config-if)# exit
Switch# show ip admission configuration
Authentication global cache time is 60 minutes Authentication global absolute time is 0 
minutes Authentication global init state time is 2 minutes Authentication Proxy Watch-list 
is disabled

Authentication Proxy Rule Configuration
 Auth-proxy name AAA_DOWN
    eapoudp list not specified auth-cache-time 60 minutes
    Identity policy name global_policy for AAA fail policy

Switch# show aaa servers
RADIUS: id 1, priority 1, host 40.0.0.4, auth-port 1645, acct-port 1646
     State: current UP, duration 5122s, previous duration 9s
     Dead: total time 79s, count 3
     Authen: request 158, timeouts 14
             Response: unexpected 1, server error 0, incorrect 0, time 180ms
             Transaction: success 144, failure 1
     Author: request 0, timeouts 0
             Response: unexpected 0, server error 0, incorrect 0, time 0ms
             Transaction: success 0, failure 0
     Account: request 0, timeouts 0
             Response: unexpected 0, server error 0, incorrect 0, time 0ms
             Transaction: success 0, failure 0
     Elapsed time since counters last cleared: 2h13m

Switch#show aaa method-lists authentication authen queue=AAA_ML_AUTHEN_LOGIN authen 
queue=AAA_ML_AUTHEN_ENABLE authen queue=AAA_ML_AUTHEN_PPP authen queue=AAA_ML_AUTHEN_SGBP 
authen queue=AAA_ML_AUTHEN_ARAP authen queue=AAA_ML_AUTHEN_EAPOUDP
  name=default valid=1 id=0 state=ALIVE : SERVER_GROUP radius authen 
queue=AAA_ML_AUTHEN_DOT1X
  name=default valid=1 id=0 state=ALIVE : SERVER_GROUP radius permanent lists
  name=Permanent Enable None valid=1 id=0 ALIVE : ENABLE  NONE
  name=Permanent Enable valid=1 id=0 ALIVE : ENABLE
  name=Permanent None valid=1 id=0 ALIVE : NONE
  name=Permanent Local valid=1 id=0 ALIVE : LOCAL 

Просмотр данных NAC


Примечание. Точки доступа не поддерживают следующие команды.


Для отображения данных NAC используется одна из следующих команд привилегированного режима EXEC:

Таблица 3. Команды отображения данных NAC

Команда
Назначение

show dot1x [all | interface interface-id | statistics interface interface-id]

Отображение статистических данных IEEE 802.1x, административного статуса и рабочего состояния.

show eou {all | authentication {clientless | eap | static} | interface interface-id | ip ip-address | mac mac-address | posturetoken name}

Отображение информации по конфигурации EAPoUDP или записям кэша сеансов.

show ip admission {[cache] [configuration] [eapoudp]}

Отображение конфигурации NAC или записей кэша сетевого доступа.

show ip device tracking {all | interface interface-id | ip ip-address | mac mac-address}

Отображение данных таблицы отслеживания IP-устройств.


Ниже приведен пример выводимой информации при обнаружении нового узла:

00:45:15: %EOU-6-SESSION: IP=10.5.0.25| HOST=DETECTED| Interface=GigabitEthernet1/0/4
00:45:15: %EOU-6-CTA: IP=10.5.0.25| CiscoTrustAgent=DETECTED
00:45:16: %EOU-6-POLICY: IP=10.5.0.25| TOKEN=Healthy
00:45:16: %EOU-6-POLICY: IP=10.5.0.25| URL=http://10.5.0.43
00:45:16: %EOU-6-POLICY: IP=10.5.0.25| URL ACL=s-acl
00:45:16: %EOU-6-POLICY: IP=10.5.0.25| ACLNAME=#ACSACL#-IP-Healthy-42dbdd9d
00:45:16: %EOU-6-POLICY: IP=10.5.0.25| HOSTNAME=CMELTER-XP:dsbu
00:45:16: %EOU-6-POSTURE: IP=10.5.0.25| HOST=AUTHORIZED| Interface=GigabitEthernet1/0/4
00:45:16: %EOU-6-AUTHTYPE: IP=10.5.0.25| AuthType=EAP

Switch# show eou all
-------------------------------------------------------------------------
Address         Interface              AuthType   Posture-Token Age(min)
-------------------------------------------------------------------------
10.5.0.25       GigabitEthernet1/0/4   EAP        Healthy         0

Switch# show eou ip 10.5.0.25
Address             : 10.5.0.25
MAC Address         : 0060.b0f8.fbfb
Interface           : GigabitEthernet1/0/4
AuthType            : EAP
Audit Session ID    : 0000000000296E2E000000040A050019
PostureToken        : Healthy
Age(min)            : 0
URL Redirect        : http://10.5.0.43
URL Redirect ACL    : s-acl
ACL Name            : #ACSACL#-IP-Healthy-42dbdd9d
User Name           : HOST-XP:dsbu
Revalidation Period : 600 Seconds
Status Query Period : 600 Seconds
Current State       : AUTHENTICATED 

Очистка таблицы сеансов EAPoUDP

Для удаления клиентских записей в таблице сеансов EAPoUDP используется команда привилегированного режима EXEC clear eou. После удаления записей они создаются только при приеме коммутатором ARP-пакета с узла или после создания элемента привязки отслеживания DHCP для узла. Для удаления записей в таблице отслеживания IP-устройств на коммутаторе используется команда привилегированного режима EXEC clear ip device tracking.

Справочник по командам


Примечание. Точки доступа не поддерживают команды, описанные в следующем разделе данного документа.


В данном разделе описаны команды IP NAC на уровне 2, нетипичные для Cisco IOS. Документация по типичным командам Cisco IOS приведена по следующим адресам:

http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_guide09186a008021650d.html

и

http://www.cisco.com/en/US/products/sw/iosswrel/ps5187/products_command_reference_chapter09186a008017cf1c.html

aaa authentication eou

Для настройки методов аутентификации расширяемого протокола аутентификации (EAP) поверх UDP (EAPoUDP или EoU) используется команда глобальной конфигурации aaa authentication eou. Для удаления методов аутентификации используется форма no данной команды.

aaa authentication eou default group radius

no aaa authentication eou default

Описание синтаксиса

Для данной команды не предусмотрены аргументы или ключевые слова.

По умолчанию

Методы аутентификации EAPoUDP не настроены.

Режимы команд

Глобальная конфигурация

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

После настройки списков ACL и определения правила Network Admission Control (NAC) можно выполнить настройка методов аутентификации EAPoUDP на коммутаторе. Методы аутентификации также можно задать с помощью команды глобальной конфигурации aaa authorization auth-proxy default group radius.

Примеры

Ниже приведен пример установки методов аутентификации EAPoUDP:

Switch(config)# aaa authentication eou default group radius 

Настройки можно проверить путем ввода команды привилегированного режима EXEC show running-config.

Связанные команды

Команда
Описание

aaa authorization auth-proxy default

Включение и настройка методов авторизации EAPoUDP.

identity profile eapoudp

Создание профиля идентификации и переход в режим настройки профиля EAPoUDP. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

ip admission name eapoudp

Создание и настройка правил IP NAC.

show ip admission

Отображение данных о кэшируемых записях NAC или конфигурации NAC. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

show running-config

Отображение рабочей конфигурации. Для получения информации о синтаксисе следует открыть пункт Справка по командам Cisco IOS Configuration выпуск 12.2 > Команды управления файлами > Команды управления файлами конфигурации.


aaa authorization auth-proxy default

Чтобы активировать код состояния auth-proxy для получения сопоставлений безопасности с сервера аутентификации, авторизации и учета (ААА), необходимо указать команду глобальной конфигурации aaa authorization auth-proxy default. Для отключения этой функции используется no- форма данной команды.

aaa authorization auth-proxy default group radius

no aaa authorization auth-proxy default


Примечание. Ключевые слова cache, server-group-name и tacacs+ не поддерживаются, несмотря на то, что они могут отображаться в строке помощи.


Описание синтаксиса

Для данной команды не предусмотрены аргументы или ключевые слова.

По умолчанию

Код состояния auth-proxy не получает сопоставления безопасности с сервера AAA.

Режимы команд

Глобальная конфигурация

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

После выполнения настройки списков управления доступом (ACL) и определения правила Network Admission Control IP (NAC) следует задать методы аутентификации authentication-proxy. Для настройки методов аутентификации расширяемого протокола аутентификации (EAP) поверх UDP (EAPoUDP) используется команда глобальной конфигурации aaa authentication eou default group radius.

Примеры

Ниже приведен пример получения сопоставлений безопасности с сервера AAA:

Switch(config)# aaa authorization auth-proxy default group radius

Настройки можно проверить путем ввода команды привилегированного режима EXEC show running-config.

Связанные команды

Команда
Описание

aaa authentication eou

Установка методов аутентификации EAPoUDP на коммутаторе.

identity profile eapoudp

Создание профиля идентификации и переход в режим настройки профиля EAPoUDP. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

ip admission name eapoudp

Создание и настройка правил IP NAC.

show ip admission

Отображение данных о кэшируемых записях NAC или конфигурации NAC. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

show running-config

Отображение рабочей конфигурации. Для получения информации о синтаксисе следует открыть пункт Справка по командам Cisco IOS Configuration выпуск 12.2 > Команды управления файлами > Команды управления файлами конфигурации.


clear ip admission

Для удаления записей разрешения доступа IP на коммутаторе используется команда привилегированного режима EXEC clear ip admission.

clear ip admission {{cache | watch-list} {* | ip-address}}

Описание синтаксиса

cache

Удаление записей разрешения доступа IP.

watch-list

Удаление записей контрольного списка разрешения доступа IP.

*

Удаление всех записей кэша.

ip-адрес

Удаление записей кэша указанного IP-адреса.


По умолчанию

Значение по умолчанию не предусмотрено.

Режимы команд

Привилегированный режим EXEC

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Примеры

Ниже приведен пример удаления всех записей кэша разрешения доступа IP:

Switch# clear ip admission * 

Настройки можно проверить путем ввода команды привилегированного режима EXEC show eou или show ip admission.

Связанные команды

Команда
Описание

ip admission name eapoudp

Создание и настройка правил Network Admission Control (NAC).

show eou

Отображение информации по конфигурации EAPoUDP или записям кэша сеансов.

show ip admission

Отображение данных о кэшируемых записях NAC или конфигурации NAC. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.


clear ip device tracking

Для удаления записей в таблице отслеживания IP-устройств на коммутаторе используется команда привилегированного режима EXEC clear ip device tracking.

clear ip device tracking {all | interface interface-id | ip ip-address | mac mac-address}

Описание синтаксиса

all

Удаление всех записей отслеживания IP-устройств.

interface interface-id

Удаление всех записей отслеживания IP-устройств на указанном интерфейсе.

ip ip-address

Удаление всех записей отслеживания IP-устройств для указанного IP-адреса.

mac mac-address

Удаление всех записей отслеживания IP-устройств для указанного MAC-адреса.


По умолчанию

Значение по умолчанию не предусмотрено.

Режимы команд

Привилегированный режим EXEC

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

После использования привилегированной команды clear ip device tracking для удаления записей отслеживания IP-устройств коммутатор передает ARP-запросы на удаленные узлы. Если узел активен, он отвечает на запрос. Коммутатор добавляет запись отслеживания IP-устройств для данного узла.

Примеры

Ниже приведен пример удаления всех записей в таблице отслеживания IP-устройств:

Switch# clear ip device tracking all

Настройки можно проверить путем ввода команды привилегированного режима EXEC show ip device tracking.

Связанные команды

Команда
Описание

ip device tracking

Активирование таблицы отслеживания IP-устройств и настройка ее параметров.

show ip device tracking

Отображение данных таблицы отслеживания IP-устройств.


debug eou

Для включения функции отладки протокола EAPoUDP используется команда привилегированного режима EXEC debug eou. Чтобы отключить данную функцию, следует использовать no-форму данной команды.

debug eou {all | eap | errors | events | obj-create | obj-destroy | obj-link | obj-unlink | packets | ratelimit | sm}

no debug eou {all | eap | errors | events | obj-create | obj-destroy | obj-unlink | packets | ratelimit | sm}

Описание синтаксиса no debug eou {all | eap | errors | events | packets | ratelimit | sm}

all

Отображение всех данных EAPoUDP.

eap

Отображение пакетов EAPoUDP.

errors

Отображение данных ошибок пакетов EAPoUDP.

events

Отображение данных событий пакетов EAPoUDP.

obj-create

Отображение данных созданных сеансов EAPoUDP.

obj-destroy

Отображение удаленных сеансов EAPoUDP.

obj-link

Отображение данных сеансов EAPoUDP, добавленных к хэш-таблице.

obj-unlink

Отображение данных сеансов EAPoUDP, удаленных из хэш-таблицы.

packets

Отображение данных пакетов EAPoUDP.

ratelimit

Отображение данных подтверждения состояния EAPoUDP.

sm

Отображение данных изменения состояний EAPoUDP.


По умолчанию

Функция отладки отключена.

Режимы команд

Привилегированный режим EXEC

История команд

Версия
Изменение

12.2(18)SXF
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

Команда undebug eou идентична команде no debug eou.

Функция отладки на коммутаторах серии Catalyst 3750 и сервисных модулях EtherSwitch активируется только на ведущем звене. Для включения функции отладки на ведомом звене стека следует начать на ведущем звене команду привилегированного режима EXEC session switch-number. Затем в командной строке ведомого звена следует ввести команду debug. Также для включения функции отладки на ведомом звене стека без предварительного запуска сеанса на ведущем звене можно выполнить команду привилегированного режима EXEC remote command stack-member-number LINE.

Связанные команды

Команда
Описание

show debugging

Отображение данных о разрешенных типах отладки. Для получения информации о синтаксисе следует открыть пункт Руководства по настройке и справочники команд конфигурации Cisco IOS версии 12.2 > Руководство по основам настройки Cisco IOS версии 12.2 > Администрирование системы > Устранение неисправностей и управление сбоями.

show eou

Отображение информации по глобальной настройке EAPoUDP или записям кэша сеансов.


debug ip admission

Отладка событий разрешения доступа IP активируется командой привилегированного режима EXEC debug ip admission. Чтобы отключить данную функцию, следует использовать no-форму данной команды.

debug ip admission {api | dos | eapoudp | function-trace | object-creation | object-deletion | timers}

no debug ip admission {api | dos | eapoudp | function-trace | object-creation | object-deletion | timers}

Описание синтаксиса

api

Отображение событий программного интерфейса приложения разрешения доступа IP.

dos

Отображение данных предотвращения отказа в обслуживании агента аутентификации.

eapoudp

Отображение данных событий подтверждения состояния EAPoUDP.

function-trace

Отображение данных отслеживания функции агента аутентификации.

object-creation

Отображение данных о созданных объектах агента аутентификации.

object-deletion

Отображение данных об удаленных объектах агента аутентификации.

timers

Отображение данных о событиях таймера агента аутентификации.


По умолчанию

Функция отладки отключена.

Режимы команд

Привилегированный режим EXEC

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

Команда undebug ip admission идентична команде no debug ip admission.

Функция отладки на коммутаторах серии Catalyst 3750 и сервисных модулях EtherSwitch активируется только на ведущем звене. Для включения функции отладки на ведомом звене стека следует начать на ведущем звене команду привилегированного режима EXEC session switch-number. Затем в командной строке ведомого звена следует ввести команду debug. Также для включения функции отладки на ведомом звене без предварительного запуска сеанса на ведущем звене можно выполнить команду привилегированного режима EXEC remote command stack-member-number LINE.

Связанные команды

Команда
Описание

show debugging

Отображение данных о разрешенных типах отладки. Для получения информации о синтаксисе следует открыть пункт Руководства по настройке и справочники команд конфигурации Cisco IOS версии 12.2 > Руководство по основам настройки Cisco IOS версии 12.2 > Администрирование системы > Устранение неисправностей и управление сбоями.

show eou

Отображение информации по глобальной настройке EAPoUDP или записям кэша сеансов.

show ip admission

Отображение данных о кэшируемых записях NAC или конфигурации NAC. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.


debug ip device tracking

Для включения функции отслеживания Network Admission Control (NAC) используется команда привилегированного режима EXEC
debug ip device tracking. Чтобы отключить данную функцию, следует использовать no-форму данной команды.

debug ip device tracking {all | events | obj-create | obj-destroy | redundancy}

no debug ip device tracking {all | events | obj-create | obj-destroy | redundancy}

Описание синтаксиса

all

Отображение всех данных EAPoUDP.

events

Отображение данных событий пакетов EAPoUDP.

obj-create

Отображение данных созданных сеансов EAPoUDP.

obj-destroy

Отображение удаленных сеансов EAPoUDP.

избыточность

Отображение данных о статусе SSO резервных модулей Supervisor Engine в сеансах EAPoUDP.

Примечание. Данное ключевое слово может использоваться только на коммутаторах серии Catalyst 4500.


По умолчанию

Функция отладки отключена.

Режимы команд

Привилегированный режим EXEC

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

Команда undebug ip device tracking идентична команде no debug ip device tracking.

Функция отладки на коммутаторах серии Catalyst 3750 и сервисных модулях EtherSwitch активируется только на ведущем звене. Для включения функции отладки на ведомом звене стека следует начать на ведущем звене команду привилегированного режима EXEC session switch-number. Затем в командной строке ведомого звена следует ввести команду debug. Также для включения функции отладки на ведомом звене без предварительного запуска сеанса на ведущем звене можно выполнить команду привилегированного режима EXEC remote command stack-member-number LINE.

debug sw-ip-admission

Для включения отладки функции обработки NAC на уровне 2 IP (события привязки ARP и DHCP; в зависимости от используемого коммутатора) используется команда привилегированного режима EXEC debug sw-ip-admission. Чтобы отключить данную функцию, следует использовать no-форму данной команды.

debug sw-ip-admission [packet]

no debug sw-ip-admission [packet]

Описание синтаксиса

packet

(Необязательно) Активирует функцию отладки пакетов, используемых для отслеживания узлов NAC на уровне 2 IP.


Описание синтаксиса

Для данной команды не предусмотрены аргументы или ключевые слова.

По умолчанию

Функция отладки отключена.

Режимы команд

Привилегированный режим EXEC

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

Команда undebug sw-ip-admission идентична команде no debug sw-ip-admission.

Функция отладки на коммутаторах серии Catalyst 3750 и сервисных модулях EtherSwitch активируется только на ведущем звене. Для включения функции отладки на ведомом звене стека следует начать на ведущем звене команду привилегированного режима EXEC session switch-number. Затем в командной строке ведомого звена следует ввести команду debug. Также для включения функции отладки на ведомом звене без предварительного запуска сеанса на ведущем звене можно выполнить команду привилегированного режима EXEC remote command stack-member-number LINE.

Связанные команды

Команда
Описание

show debugging

Отображение данных о разрешенных типах отладки. Для получения информации о синтаксисе следует открыть пункт Руководства по настройке и справочники команд конфигурации Cisco IOS версии 12.2 > Руководство по основам настройки Cisco IOS версии 12.2 > Администрирование системы > Устранение неисправностей и управление сбоями.

show eou

Отображение информации по глобальной настройке EAPoUDP или записям кэша сеансов.

show ip admission

Отображение данных о кэшируемых записях NAC или конфигурации NAC. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.


description

Для ввода описания политик идентификации используется команда режима настройки политики идентификации description. Для удаления описания используется no-форма данной команды.

description line-of-description [line-of-description] [line-of-description] ...

no description line-of-description [line-of-description] [line-of-description] ...

Описание синтаксиса

line-of-description

Описание политики идентификации.


По умолчанию

Описание не задано.

Режимы команд

Настройка политики идентификации

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

Описание политики идентификации может содержать более одной строки.

Примеры

Ниже приведен пример ввода описания политики идентификации policy100:

Switch(config)# identity policy policy100
Switch(config-identity-policy)# description Admin policy for the engineering group

Настройки можно проверить путем ввода команды привилегированного режима EXEC show running-config.

Связанные команды

Команда
Описание

description (identity-profile configuration)

Ввод описания политики идентификации. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

show running-config

Отображение рабочей конфигурации. Для получения информации о синтаксисе следует открыть пункт Справка по командам Cisco IOS Configuration выпуск 12.2 > Команды управления файлами > Команды управления файлами конфигурации.


device

Для авторизации или отклонения устройства вручную используется команда режима настройки политики идентификации device. Для возврата к значению по умолчанию используется no-форма данной команды.

device {authorize | not-authorize} {ip-address ip-address | mac-address mac-address | type cisco ip phone} [policy policy-name]

no device {authorize | not-authorize} {ip-address ip-address | mac-address mac-address | type cisco ip phone} [policy policy-name]

Описание синтаксиса

authorize

Настройка авторизованного устройства.

not-authorize

Настройка неавторизованного устройства.

ip-address ip-address

Задание IP-адреса устройства.

mac-address mac-address

Задание MAC-адреса устройства.

type cisco ip phone

Указание типа устройства (IP-телефон Cisco).

policy policy-name

Указание политики, используемой на устройстве.


По умолчанию

Устройства не авторизуются или отклоняются вручную.

Режимы команд

Настройка профиля идентификации

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

При создании профиля идентификации следует использовать команду глобальной конфигурации identity profile {default | dot1x | eapoudp} перед тем, как выполнить команду настройки профиля идентификации device.

Примеры

Ниже приведен пример статической авторизации устройства с MAC-адресом 1234.abcd.5678 и политикой policy1:

Switch(config)# identity profile eapoudp
Switch(config-identity-prof)# device authorize mac-address 1234.abcd.4578 policy policy1

Настройки можно проверить путем ввода команды привилегированного режима EXEC show running-config.

Связанные команды

Команда
Описание

access-group (identity policy)

Указание группы доступа для политики идентификации. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

identity profile eapoudp

Создание профиля идентификации и переход в режим настройки профиля EAPoUDP. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

show running-config

Отображение рабочей конфигурации. Для получения информации о синтаксисе следует открыть пункт Справка по командам Cisco IOS Configuration выпуск 12.2 > Команды управления файлами > Команды управления файлами конфигурации.


eou initialize

Для выполнения перезапуска автоматов EAPoUDP вручную используется команда привилегированного режима EXEC eou initialize.

eou initialize {all | authentication {clientless | eap | static} | interface interface-id | ip ip-address | mac mac-address | posturetoken name}

Описание синтаксиса

all

Повторное подтверждение всех клиентов EAPoUDP.

authentication

Повторное подтверждение с одним из следующих типов аутентификации EAPoUDP:

clientless — оконечная система не использует ПО CTA.

eap — тип аутентификации — EAP.

static — тип аутентификации настроен статически.

interface interface-id

Повторное подтверждение клиента EAPoUDP на заданном интерфейсе.

ip ip-address

Повторное подтверждение клиента EAPoUDP на указанном IP-адресе.

mac mac-address

Повторное подтверждение клиента EAPoUDP на указанном MAC-адресе.

posturetoken имя

Повторное подтверждение клиента EAPoUDP с указанным маркером состояния.


По умолчанию

Значение по умолчанию не предусмотрено.

Режимы команд

Привилегированный режим EXEC

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

При вводе команды привилегированного режима EXEC eou initialize настроенные сеансы EAPoUDP перезапускаются.

Примеры

Ниже приведен пример инициирования перезапуска всех ассоциаций EAPoUDP:

Switch# eou initialize 

Настройки можно проверить путем ввода команды привилегированного режима EXEC show eou.

Связанные команды

Команда
Описание

eou revalidate (выполняет настройку глобально или для отдельных интерфейсов)

Включение функции повторного подтверждения ассоциаций EAPoUDP на коммутаторе или на заданном интерфейсе.

eou revalidate (в привилегированном режиме EXEC)

Инициирование повторного подтверждения ассоциаций EAPoUDP вручную.

show eou

Отображение информации по конфигурации EAPoUDP или записям кэша сеансов.


eou max-retry (выполняет настройку глобально или для отдельных интерфейсов)

Для указания количества попыток повторного подтверждения EAPoUDP используется команда глобальной конфигурации и конфигурирования интерфейсов eou max-retry. Для возврата к значению по умолчанию используется no-форма данной команды.

eou max-retry number

no eou max-retry

Описание синтаксиса

number

Количество попыток повторного подтверждения ассоциаций EAPoUDP. Диапазон — от 1 до 3.


По умолчанию

По умолчанию количество попыток повторного подтверждения — 3.

Режимы команд

Глобальная настройка и настройка интерфейсов

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

Количество попыток повторного подтверждения можно указать с помощью команды глобальной конфигурации eou max-retry number. Для задания количества попыток повторного подтверждения для указанного интерфейса также можно использовать команду конфигурирования интерфейса eou max-retry number.

Примеры

Ниже приведен пример указания количества попыток (2) повторного подтверждения на коммутаторе:

Switch(config)# eou max-retry 2 

Ниже приведен пример указания количества попыток (1) повторного подтверждения на интерфейсе:

Switch(config-if)# eou max-retry 1

Настройки можно проверить путем ввода команды привилегированного режима EXEC show eou.

Связанные команды

Команда
Описание

show eou

Отображение информации по конфигурации EAPoUDP или записям кэша сеансов.


eou ratelimit

Для указания количества одновременных подтверждений состояния EAPoUDP используется команда глобальной конфигурации eou ratelimit. Для возврата к значению по умолчанию используется no-форма данной команды.

eou ratelimit number

no eou ratelimit

Описание синтаксиса

number

Количество клиентов, состояние которых может подтверждаться одновременно. Диапазон — от 0 до 200.


По умолчанию

Значение по умолчанию равно.

Режимы команд

Глобальная конфигурация

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

При вводе команды eou rate-limit 0 ограничительная функция отключается.

Если количество одновременно подтверждаемых клиентов равняется 100 и при этом коммутатор подключен к 101 клиенту, подтверждение состояния клиента 101 не будет выполнено до завершения сеанса EAPoUDP другим клиентом.

Для возврата к настройкам по умолчанию используются команды глобальной конфигурации eou default или no eou ratelimit.

Примеры

Ниже приведен пример указания количества одновременно подтверждаемых клиентов (40):

Switch(config)# eou ratelimit 40 

Ниже приведен пример возврата к использованию настроек по умолчанию (количество одновременно подтверждаемых клиентов — 20):

Switch(config-if)# eou default

Настройки можно проверить путем ввода команды привилегированного режима EXEC show eou.

Связанные команды

Команда
Описание

eou default

Возврат глобальных параметров EAPoUDP в состояние по умолчанию. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

show eou

Отображение информации по конфигурации EAPoUDP или записям кэша сеансов.


eou revalidate (выполняет настройку глобально или для отдельных интерфейсов)

Для включения функции повторного подтверждения ассоциаций EAPoUDP используется команда глобальной конфигурации и конфигурирования интерфейсов eou revalidate.

eou revalidate

Описание синтаксиса

Для данной команды не предусмотрены аргументы или ключевые слова.

По умолчанию

Значение по умолчанию не предусмотрено.

Режимы команд

Глобальная настройка и настройка интерфейсов

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

Для включения функции повторного подтверждения ассоциаций EAPoUDP на коммутаторе можно использовать команду глобальной конфигурации eou revalidate. Для включения функции повторного подтверждения ассоциаций EAPoUDP на интерфейсе можно также использовать команду глобальной конфигурации eou revalidate.

Значение таймера повторного подтверждения зависит от атрибута 27 RADIUS Session-Timeout RADIUS и атрибута 29 Termination-Action в сообщении Access-Accept с сервера Cisco Secure ACS, использующего AAA. Если коммутатор принимает значение Session-Timeout, данное значение используется вместо значения продолжительности таймера повторного подтверждения, заданного на коммутаторе.

Если период таймера повторного подтверждения истек, дальнейшие действия коммутатора определяются в соответствии с атрибутом Termination-Action:

Если используется стандартное значение атрибута RADIUS Termination-Action, сеанс завершается до выполнения повторного подтверждения коммутатором.

Если коммутатор получает другое значение атрибута Termination-Action, то сеанс EAPoUDP и текущая политика доступа сохраняются в процессе повторного подтверждения состояния.

Если в качестве значения атрибута Termination-Action используется RADIUS, коммутатор выполняет повторное подтверждение клиента.

Если пакет, переданный с сервера, не содержит атрибут Termination-Action, сеанс EAPoUDP завершается, коммутатор вновь инициирует подтверждение состояния.

Примеры

Ниже приведен пример глобального инициирования повторного подтверждения ассоциаций EAPoUDP:

Switch(config)# eou revalidate 

Ниже приведен пример инициирования повторного подтверждения ассоциаций EAPoUDP на интерфейсе:

Switch(config)# interface gigabitethernet 1/0/1
Switch(config-if)# eou revalidate 

Настройки можно проверить путем ввода команды привилегированного режима EXEC show eou.

Связанные команды

Команда
Описание

eou initialize

Сброс вручную конечных автоматов EAPoUDP.

eou allow (выполняет настройку глобально или для отдельных интерфейсов)

Включение дополнительных опций EAPoUDP. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

eou logging

Включение функции журналирования системных событий EAPoUDP. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

eou port

Установка порта UDP для EAPoUDP. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

eou revalidate (в привилегированном режиме EXEC)

Инициирование повторного подтверждения ассоциаций EAPoUDP вручную.

show eou

Отображение информации по конфигурации EAPoUDP или записям кэша сеансов.


eou revalidate (в привилегированном режиме EXEC)

Для выполнения инициирования повторного подтверждения EAPoUDP вручную используется команда привилегированного режима EXEC eou revalidate.

eou revalidate {all | authentication {clientless | eap | static} | interface interface-id | ip ip-address | mac mac-address | posturetoken name}

Описание синтаксиса

all

Повторное подтверждение всех клиентов EAPoUDP.

authentication

Повторное подтверждение с одним из следующих типов аутентификации EAPoUDP:

clientless — оконечная система не использует ПО CTA.

eap — тип аутентификации — EAP.

static — тип аутентификации настроен статически.

interface interface-id

Повторное подтверждение клиента EAPoUDP на заданном интерфейсе.

ip ip-address

Повторное подтверждение клиента EAPoUDP на указанном IP-адресе.

mac mac-address

Повторное подтверждение клиента EAPoUDP на указанном MAC-адресе.

posturetoken name

Повторное подтверждение клиента EAPoUDP с указанным маркером состояния.


По умолчанию

Значение по умолчанию не предусмотрено.

Режимы команд

Привилегированный режим EXEC

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

Для выполнения инициирования повторного подтверждения ассоциаций EAPoUDP на коммутаторе вручную используется команда привилегированного режима EXEC eou revalidate.

Примеры

Ниже приведен пример инициирования перезапуска всех клиентов EAPoUDP:

Switch# eou revalidate all

Ниже приведен пример инициирования повторного подтверждения клиентов EAPoUDP на указанном интерфейсе:

Switch# eou revalidate interface gigabitethernet 1/0/2

Настройки можно проверить путем ввода команды привилегированного режима EXEC show eou.

Связанные команды

Команда
Описание

eou initialize

Сброс вручную конечных автоматов EAPoUDP.

eou revalidate (выполняет настройку глобально или для отдельных интерфейсов)

Включение функции повторного подтверждения ассоциаций EAPoUDP на коммутаторе или на заданном интерфейсе.

show eou

Отображение информации по конфигурации EAPoUDP или записям кэша сеансов.


eou timeout (выполняет настройку глобально или для отдельных интерфейсов)

Для установки таймеров EAPoUDP используется команда глобальной конфигурации и конфигурирования интерфейсов eou timeout. Для установки значения по умолчанию используется no-форма данной команды.

eou timeout {aaa seconds | hold-period seconds | retransmit seconds | revalidation seconds | status-query seconds}

no eou timeout {aaa | hold-period | retransmit | revalidation | status-query}

Описание синтаксиса

aaa seconds

Установка периода (в секундах), в течение которого коммутатор ожидает повторной передачи пакетов на сервер аутентификации, авторизации и учета (AAA). Диапазон — от 1 до 60.

hold-period seconds

Установка продолжительности периода ожидания (в секундах) повторной аутентификации коммутатором узла после сбоя предыдущей попытки аутентификации. Диапазон — от 60 до 86 400 секунд.

retransmit seconds

Установка продолжительности периода ожидания (в секундах) коммутатором отклика от клиента перед повторной передачей запроса антивирусного состояния. Диапазон — от 1 до 60.

revalidation seconds

Установка продолжительности периода (в секундах), в течение которого политика Network Admission Control (NAC) может быть использована на клиенте, использовавшем сообщения EAPoUDP в процессе подтверждения состояния. Диапазон — от 5 до 86 400.

status-query seconds

Установка продолжительности периода ожидания (в секундах) коммутатором перед выполнением проверки ранее подтвержденного клиента и неизменности его состояния. Диапазон — от 10 до 1800 секунд.


По умолчанию

По умолчанию период ожидания AAA составляет 60 секунд (1 минута).

По умолчанию период удержания составляет 180 секунд (3 минуты).

Время повторной передачи по умолчанию — 3 секунды.

Период повторного подтверждения по умолчанию — 600 секунд (10 минут).

Время запроса состояния по умолчанию составляет 300 секунд (5 минут).

Режимы команд

Глобальная настройка и настройка интерфейсов

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

Таймеры EAPoUDP на коммутаторе могут быть настроены глобально путем ввода команды глобальной конфигурации eou timeout. Таймеры EAPoUDP на указанном интерфейсе также могут быть настроены глобально путем ввода команды конфигурирования интерфейса eou timeout.

Дополнительная информация по таймерам EAPoUDP приведена в разделе Таймеры NAC.

Примеры

Ниже приведен пример установки на коммутаторе таймера повторной передачи (45 секунд):

Switch(config)# eou timeout retransmit 45

Ниже приведен пример установки на интерфейсе таймера повторного подтверждения (800 секунд):

Switch(config-if)# eou timeout revalidation 800

Настройки можно проверить путем ввода команды привилегированного режима EXEC show eou.

Связанные команды

Команда
Описание

eou default

Возврат глобальных параметров EAPoUDP в состояние по умолчанию. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

eou allow (выполняет настройку глобально или для отдельных интерфейсов)

Включение дополнительных опций EAPoUDP. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

eou logging

Включение функции журналирования системных событий EAPoUDP. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

eou port

Установка порта UDP для EAPoUDP. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

show eou

Отображение информации по конфигурации EAPoUDP или записям кэша сеансов.


identity policy

Для создания политики идентификации и перехода в режим настройки политики EAPoUDP используется команда глобальной конфигурации identity policy. Для удаления данной политики используется no-форма данной команды.

identity policy policy-name

no identity policy policy-name

Описание синтаксиса

имя политики

Указание имени политики EAPoUDP.


По умолчанию

Политики EAPoUDP не настраиваются.

Режимы команд

Глобальная конфигурация

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

После выполнения аутентификации устройства вручную по IP-адресу, MAC-адресу или по типу устройства можно также определить политику, используемую на устройстве, с помощью команды глобальной конфигурации identity policy policy-name. Дополнительная информация приведена в разделе «Настройка политик и профилей идентификации» главы «Hастройка Network Admission Control».

Примеры

Ниже приведен пример создания политики идентификации и перехода в режим настройки политики EAPoUDP:

Switch(config)# identity policy policy11 

Настройки можно проверить путем ввода команды привилегированного режима EXEC show running-config.

Связанные команды

Команда
Описание

access-group (identity policy)

Указание группы доступа для политики идентификации. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

identity profile eapoudp

Создание профиля идентификации и переход в режим настройки профиля EAPoUDP. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

show running-config

Отображение рабочей конфигурации. Для получения информации о синтаксисе следует открыть пункт Справка по командам Cisco IOS Configuration выпуск 12.2 > Команды управления файлами > Команды управления файлами конфигурации.


ip admission name eapoudp

Для создания правила Network Admission Control IP используется команда глобальной конфигурации ip admission name eapoudp. Для удаления данного правила используется no-форма данной команды.

ip admission name rule-name eapoudp

no ip admission name rule-name eapoudp

Описание синтаксиса

rule-name

Указание имени правила NAC IP.


По умолчанию

Правила NAC IP не настраиваются.

Режимы команд

Глобальная конфигурация

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

Правило IP NAC определяет метод использования NAC.

Для того, чтобы использовать правило NAC IP на порту доступа оконечного коммутатора, используется команда конфигурирования интерфейса ip admission admission-name.

Примеры

Ниже приведен пример создания правила NAC IP rule11:

Switch(config)# ip admission name rule11 eapoudp 

Настройки можно проверить путем ввода команды привилегированного режима EXEC show ip admission.

Связанные команды

Команда
Описание

clear eou

Удаление всех записей устройства клиента NAC на коммутаторе или на указанном интерфейсе. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

ip admission admission-name (настройка интерфейса)

Создание правила NAC, применяемого к указанному интерфейсу. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

show eou

Отображение информации по глобальной настройке EAPoUDP или записям кэша сеансов.

show ip admission

Отображение данных о кэшируемых записях NAC или конфигурации NAC. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.


ip admission name eapoudp bypass

Для включения и настройки функции обхода EAPoUDP используется команда глобальной конфигурации ip admission name eapoudp bypass. Для удаления данного правила используется no-форма данной команды.

ip admission name rule-name eapoudp bypass {auth-cache-list cache-time [list {acl-name | acl-number}] | list {access-list-name | access-list-number}}

no ip admission name rule-name eapoudp

Описание синтаксиса

имя правила

Указание имени правила NAC IP.

auth-cache-list cache-time

Установка времени, по истечении которого записи кэша авторизации теряют значение. Допустимый диапазон — от 1 до 135 791 минут. По умолчанию задано значение TBD (подлежит определению).

list {acl-name | acl-number}

Указание имени или номера стандартного или расширенного списка управления доступом (ACL), используемого на агенте аутентификации.

Данные ключевые слова являются опциональными при вводе их после ключевых слов auth-cache-time cache-time.

Примечание. Данная опция не поддерживается на коммутаторах серии Catalyst 6500 и маршрутизаторах серии Catalyst 7600.


По умолчанию

Функция обхода EAPoUDP отключена.

Режимы команд

Глобальная конфигурация

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

Если функция обхода EAPoUDP активна, коммутатор не запрашивает антивирусное состояние узла путем подключения к нему. Вместо этого коммутатор направляет на Cisco Secure ACS (сервер аутентификации) запрос, включающий в себя IP-адрес, MAC-адрес, тип службы и идентификатор сеанса EAPoUDP узла. Сервер аутентификации определяет возможность предоставления доступа и передает политику на коммутатор.

Заданное правило можно ассоциировать с ACL для управления аутентификацией узлов с NAC. Если стандартный ACL не настроен, коммутатор использует правило NAC для перехвата всего IP-трафика от всех узлов, подключенных к портам с активным NAC.

Время истечения периода активности записей кэша с последующим повторным подтверждением узла можно указать с помощью ключевых слов auth-cache-time cache-time.

Для указания именованного или пронумерованного ACL, используемого для правила NAC, можно использовать ключевые слова list {acl-name | acl-number}. Если IP-соединения инициируются узлами, включенными в ACL, исходные запросы соединения перехватываются с помощью NAC.

Примеры

Ниже приведен пример включения функции обхода EAPoUDP и ассоциирования ее с пронумерованным ACL. Коммутатор использует NAC для подтверждения антивирусного состояния IP-трафика, соответствующего ACL вместо их непосредственного разрешения.

Switch(config)# ip admission name rule11 eapoudp bypass list 101

Ниже приведен пример включения функции обхода EAPoUDP и указаны периоды активности записей кэша:

Switch(config)# ip admission name rule11 eapoudp bypass auth-cache-time 30

Ниже приведен пример отключения функции обхода EAPoUDP:

Switch(config)# ip admission name rule11 eapoudp bypass 

Настройки можно проверить путем ввода команды привилегированного режима EXEC show ip admission.

Связанные команды

Команда
Описание

clear eou

Удаление всех записей устройства клиента NAC на коммутаторе или на указанном интерфейсе. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

show eou

Отображение информации по глобальной настройке EAPoUDP или записям кэша сеансов.

show ip admission

Отображение данных о кэшируемых записях NAC или конфигурации NAC. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.


ip device tracking

Для включения функции отслеживания IP-устройств и настройки параметров таблицы отслеживания IP-устройств используется команда глобальной конфигурации ip device tracking. Для отключения этой функции и возврата к значению по умолчанию используется no-форма данной команды.

ip device tracking [probe {count count | interval interval}]

no ip device tracking [probe {count | interval}]

Описание синтаксиса

probe

(Необязательно) Настройки параметров для таблицы отслеживания IP-устройств.

count count

Установка количества попыток передачи коммутатором ARP-запросов перед удалением соответствующей записи из таблицы отслеживания IP-устройств. Диапазон — от 1 до 5.

interval interval

Установка периода ожидания перед повторной передачей коммутатором ARP-запроса. Диапазон — от 30 до 300 секунд.


По умолчанию

Функция отслеживания IP-устройств отключена.

Количество попыток передачи коммутатором ARP-запросов по умолчанию — 3.

Период ожидания перед повторной передачей коммутатором ARP-запроса по умолчанию — 30 секунд.

Режимы команд

Глобальная конфигурация

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

Информация о функции отслеживания IP-устройств и таблице отслеживания IP-устройств приведена в разделе Таймеры NAC.

Ниже приведен пример включения функции отслеживания IP-устройств:

Switch(config)# ip device tracking

Ниже приведен пример установки количества попыток передачи коммутатором пробных пакетов ARP (4):

Switch(config)# ip device tracking probe count 4

Настройки можно проверить путем ввода команды привилегированного режима EXEC show ip device tracking.

Связанные команды

Команда
Описание

clear ip device tracking

Удаление записей из таблицы отслеживания IP-устройств на коммутаторе.

show ip device tracking

Отображение данных таблицы отслеживания IP-устройств.


mls rate-limit layer2 ip-admission


Примечание. Данная команда используется на коммутаторах серии Catalyst 6500 и маршрутизаторах серии Catalyst 7600.


Для ограничения скорости передачи разрешенного трафика IP на уровне 2 (перенаправляемого на CPU) с помощью аппаратного ограничителя используется команда глобальной конфигурации mls rate-limit layer2 ip ip-admission. Чтобы отключить данную функцию, следует использовать no-форму данной команды.

mls rate-limit layer2 ip ip-admission pps [burst]

no mls rate-limit layer2 ip ip-admission

Описание синтаксиса

pps

Установка ограничения количества передаваемых за одну секунду пакетов. Диапазон — от 10 до 1 000 000.

burst

(Необязательно) Указание максимально допустимого количества пакетов в блоке. Диапазон — от 1 до 255.

Если данное ключевое слово не используется, максимальное количество пакетов в блоке равняется 10.


По умолчанию

Ограничение количества передаваемых пакетов не используется.

Режимы команд

Привилегированный режим EXEC

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

Ограничитель NAC по умолчанию отключен; все пакеты, соответствующие сценарию, передаются на RP.

Примеры

Ниже приведен пример установки количества передаваемых за секунду пакетов (1000) и количества пакетов в блоке (100):

Switch(config)# mls rate-limit layer2 ip-admission 1000 100

radius-server attribute 8

Для настройки коммутатора с целью реализации передачи атрибута RADIUS Framed-IP-Address (Атрибут[8]) в пакетах access-request или accounting-request используется команда глобальной конфигурации radius-server attribute 8. Для настройки коммутатора с целью отключения возможности передачи данного атрибута RADIUS используется no-форма данной команды.

radius-server attribute 8 include-in-access-req

no radius-server attribute 8 include-in-access-req

Описание синтаксиса

Для данной команды не предусмотрены аргументы или ключевые слова.

По умолчанию

Коммутатор не осуществляет передачу атрибута RADIUS Framed-IP-Address (Атрибут[8]) в пакетах access-request или accounting-request.

Режимы команд

Глобальная конфигурация

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

При подтверждении коммутатором состояния нереагирующих узлов (узлов, не использующих агент NAC) необходимо использовать команду глобальной конфигурации radius-server attribute 8 include-in-access-req.

При вводе команды глобальной конфигурации radius-server attribute 8 include-in-access-req коммутатор передает атрибут Framed-IP-Address в пакетах RADIUS access-request или accounting-request.

Примеры

Ниже приведен пример настройки коммутатора для передачи атрибута RADIUS (Атрибут[8]) в пакетах access-request или accounting-request:

Switch(config)# radius-server attribute 8 include-in-access-req

Настройки можно проверить путем ввода команды привилегированного режима EXEC show eou.

Связанные команды

Команда
Описание

show eou

Отображение информации по конфигурации EAPoUDP или записям кэша сеансов.


redirect

Для указания URL, к которому коммутатор перенаправляет клиентов, используется режим настройки redirect. Для удаления URL используется no-форма данной команды.

redirect url url [match acl-name]

no redirect url url [match]


Примечание. Данная команда не поддерживается на коммутаторах серии Catalyst 3750, 3560, 2970, 2960 и сервисных модулях Cisco EtherSwitch.


Описание синтаксиса

url

Указание URL, на который перенаправляются клиенты.

match acl-name

Установка условия перенаправления трафика, соответствующего ACL, на данный URL.


По умолчанию

URL и ACL не настраиваются.

Режимы команд

Настройка политики идентификации

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

При указании URL для перенаправления политика идентификации должна быть ассоциирована с профилем идентификации EAPoUDP.

Примеры

Ниже приведен пример создания политики идентификации policy100 с последующим переходом в режим настройки политики EAPoUDP:

Switch(config)# identity policy policy100
Switch(config-identity-policy)# redirect tftp:172.20.10.30/nac_authen.tar match 
authen_policy

Настройки можно проверить путем ввода команды привилегированного режима EXEC show running-config.

Связанные команды

Команда
Описание

identity profile eapoudp

Создание профиля идентификации и переход в режим настройки профиля EAPoUDP. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

show running-config

Отображение рабочей конфигурации. Для получения информации о синтаксисе следует открыть пункт Справка по командам Cisco IOS Configuration выпуск 12.2 > > Команды управления файлами > Команды управления файлами конфигурации.


show eou

Для отображения информации по глобальной настройке EAPoUDP или записям кэша сеансов используется команда привилегированного режима EXEC show eou.

show eou {all | authentication {clientless | eap | static} | interface interface-id | ip ip-address | mac mac-address | posturetoken name} [ | {begin | exclude | include} expression]

Описание синтаксиса

all

Отображение данных EAPoUDP по всем клиентам.

authentication

Отображение данных по одному из следующих типов аутентификации EAPoUDP:

clientless — оконечная система не использует ПО CTA.

eap — Тип аутентификации — EAP.

static — Тип аутентификации настроен статически.

interface interface-id

Отображение данных EAPoUDP для указанного интерфейса.

ip ip-address

Отображение данных EAPoUDP для указанного IP-адреса.

mac mac-address

Отображение данных EAPoUDP для указанного MAC-адреса.

posturetoken имя

Отображение данных EAPoUDP для указанного маркера состояния.

| begin

(Необязательно) Вывод данных начинается со строки, значение которой совпадает со значением expression.

| exclude

(Необязательно) Не отображаются строки, значение которых совпадает со значением expression.

| include

(Необязательно) Отображаются строки, значение которых совпадает со значением expression.

выражение

Используется в качестве контрольной точки.


Режимы команд

Привилегированный режим EXEC

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

Если порт не указан, выводятся глобальные параметры и сводка. Если порт указан, выводятся данные по этому порту.

При указании выражения следует учитывать регистр символов. Например, при вводе exclude output не будут отображаться строки, содержащие output. Однако строки, содержащие Output, выводиться будут.

Примеры

Ниже приведен пример вывода данных при выполнении команды привилегированного режима EXEC show eou:

Switch# show eou
Global EAPoUDP Configuration
----------------------------
EAPoUDP Version     = 1
EAPoUDP Port        = 0x5566
Clientless Hosts    = Disabled
IP Station ID       = Disabled
Revalidation        = Enabled
Revalidation Period = 36000 Seconds
ReTransmit Period   = 3 Seconds
StatusQuery Period  = 300 Seconds
Hold Period         = 180 Seconds
AAA Timeout         = 60 Seconds
Max Retries         = 3
EAP Rate Limit      = 20
EAPoUDP Logging     = Disabled

Interface Specific EAPoUDP Configurations
-----------------------------------------
Interface GigabitEthernet1/0/1
  No interface specific configuration

В таблице 4 приведены описания полей:

Таблица 4. Описания полей show eou

Поле
Описание

EAPoUDP Version

Отображение версии протокола EAPoUDP.

EAPoUDP Port

Отображение номера порта EAPoUDP.

Бесклиентные узлы

Отображение состояния бесклиентных узлов (разрешены или запрещены).

Идентификатор IP станции

Статус IP-адреса (разрешен/запрещен) в поле AAA1 station-id. По умолчанию данное поле не используется.

Revalidation

Отображение статуса повторного подтверждения.

Revalidation Period

Отображение интервала повторного подтверждения узла.

ReTransmit Period

Отображение интервала повторной передачи пакетов EAPoUDP.

StatusQuery Period

Отображение интервала запроса состояния EAPoUDP для подтвержденных узлов.

Hold Period

Отображение времени ожидания коммутатором после сбоя аутентификации NAC.

AAA Timeout

Отображение периода тайм-аута AAA.

Max Retries

Отображение максимального количества передач.

EAPoUDP Logging

Отображение состояния журналирования.

1 AAA = аутентификация, авторизация и учет


Связанные команды

Команда
Описание

eou default

Возврат глобальных параметров EAPoUDP в состояние по умолчанию. Информация о синтаксисе приводится в разделе Настройка программного обеспечения Cisco IOS > Cisco IOS версии 12.3 > Документация по новым функциям > 12.3 T Новые функции и системные сообщения > Новые функции в версии 12.3(8)T > Управление доступом к сети.

eou max-retry (выполняет настройку глобально или для отдельных интерфейсов)

Указание количества попыток повторного подтверждения EAPoUDP.

eou ratelimit

Указание количества одновременных подтверждений состояния EAPoUDP.

eou timeout

Установка таймеров EAPoUDP.


show ip access-lists interface

Для отображения политик узла LP IP используется команда привилегированного режима EXEC show ip access-lists.

show ip access-lists interface interface

Описание синтаксиса

interface

Указание отображаемого интерфейса.


Режимы команд

Привилегированный режим EXEC

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Примеры

Ниже приведен пример вывода данных при выполнении команды привилегированного режима EXEC show ip device tracking all :

Switch# show ip access-lists GigabitEthernet3/4
IP Admission access control entires (Inbound)
     permit ip host 102.50.1.54 any

show ip device tracking

Для отображения записей в таблице отслеживания IP-устройств используется команда привилегированного режима EXEC show ip device tracking.

show ip device tracking {all | interface interface-id | ip ip-address | mac mac-address} [ | {begin | exclude | include} expression]

Описание синтаксиса

all

Отображение всех записей отслеживания IP-устройств.

interface interface-id

Отображение записей отслеживания IP-устройств для указанного интерфейса.

ip ip-address

Отображение записей отслеживания IP-устройств для указанного IP-адреса.

mac mac-address

Отображение записей отслеживания IP-устройств для указанного MAC-адреса.

| begin

(Необязательно) Вывод данных начинается со строки, значение которой совпадает со значением expression.

| exclude

(Необязательно) Не отображаются строки, значение которых совпадает со значением expression.

| include

(Необязательно) Отображаются строки, значение которых совпадает со значением expression.

expression

Используется в качестве контрольной точки.


Режимы команд

Привилегированный режим EXEC

История команд

Версия
Изменение

12.2(18)SXF,
12.2(25)SED, 12.2(25)SG

Команда включена впервые.


Инструкции по использованию

При указании выражения следует учитывать регистр символов. Например, при вводе |?exclude output, не будут отображаться строки, содержащие output Однако строки, содержащие Output, выводиться будут.

Примеры

Ниже приведен пример вывода данных при выполнении команды привилегированного режима EXEC show ip device tracking all :

Switch# show ip device tracking all
---------------------------------------------------------------
  IP Address    MAC Address     Interface              STATE
---------------------------------------------------------------
  1.1.1.1       cf2a.220a.12f4  GigabitEthernet1/0/1   ACTIVE
  1.2.1.1       df4a.1235.ef1a  GigabitEthernet1/0/2   INACTIVE

Связанные команды

Команда
Описание

ip device tracking

Активирование таблицы отслеживания IP-устройств и настройка ее параметров.


Сообщения и восстановление

В этом разделе рассматриваются следующие темы:

Сообщения AP

Сообщения EOU

Сообщения AP

В данном разделе содержатся сообщения агента аутентификации при подтверждении NAC на уровне  2 IP.

Коммутаторы серии Catalyst 6500 и 4500, маршрутизатор серии Catalyst 7600 поддерживают все сообщения в данном разделе.

Коммутаторы серии Catalyst 3750, 3560, 3550, 2970, 2960, 2955, 2950 и 2940 поддерживают только сообщения AP-4-POLICY_URL_REDIRECT и AP-6-POSTURE_POLICY.

Error Message    AP-4-AUTH_PROXY_NOMEM: Sufficient memory was not available to [chars].

Пояснение.    Данное сообщение означает, что объем системной памяти недостаточен для выполнения операции. Строка [chars] — условное обозначение операции.

Рекомендуемое действие.    Освободить системную память, используемую другими процессами. Также можно выделить дополнительные ресурсы памяти.

Error Message    AP-4-POLICY_URL_REDIRECT: Failed to locate match access control list 
[chars] for host [inet].

Пояснение.    Данное сообщение означает, что коммутатор не смог перенаправить трафик HTTP или HTTPS от узла на URL переадресации. Пара AV url-redirect состоит из URL переадресации и ACL match-all определяющего перенаправляемый трафик HTTP и HTTPS. Если ACL не настроен или в нем не указывается перенаправляемый трафик, коммутатор не выполняет переадресацию запросов от узлов. Строка [inet] — условное обозначение IP-адреса узла.

Рекомендуемое действие.    Следует настроить и применить ACL на интерфейсе коммутатора, к которому подключен узел. Необходимо убедиться, что пара AV состоит из URL переадресации и ACL.

Error Message    AP-4-POSTURE_EXCEED_MAX_INIT: Exceeded maximum limit [dec] on entries 
in authentication proxy.

Пояснение.    Данное сообщение означает, что количество записей в кэше состояния агента аутентификации в состоянии INIT превышает максимально допустимое. Как правило, это происходит, если коммутатор использует агент аутентификации, настроенный для подтверждения состояния и при этом коммутатор получает запросы с большого количества уникальных узлов с IP-адресами источника. Возможно, была предпринята попытка DoS-атаки. Если количество записей в кэше состояния не превышает максимально допустимое, новые записи могут быть созданы. Строка [dec] — условное обозначение максимально допустимого количества записей в кэше агента аутентификации.

Рекомендуемое действие.    Действие не требуется. Если количество записей в кэше состояния не превышает максимально допустимое, новые записи могут быть созданы.

Error Message    AP-6-POSTURE_DOWNLOAD_ACL: Send AAA request to download [chars] named 
access control list.

Пояснение.    Данное сообщение означает, что коммутатор передал запрос на сервер аутентификации, авторизации и учета (ААА) для получения указанного ACL. Строка [chars] — условное обозначение имени или номера ACL.

Рекомендуемое действие.    Действие не требуется.

Error Message    AP-6-POSTURE_POLICY: [chars] [chars] [chars] policy for host [inet].

Пояснение.    Данное сообщение означает, что указанная политика форсируется или была удалена для указанного узла. Под политикой подразумевается ACL или URL переадресации. Первая и вторая строки [chars] — действия, предпринимаемые коммутатором для форсирования или удаления политики; третья строка [chars] — ACL или URL переадресации.

Рекомендуемое действие.    Действие не требуется.

Error Message    AP-6-POSTURE_START_VALIDATION: IP=[inet] | Interface=[chars].

Пояснение.    Данное сообщение означает, что коммутатор создал запись для узла в кэше состояния агента аутентификации и инициировал процесс подтверждения состояния. Строка [inet] — условное обозначение IP-адреса узла, строка [chars] — условное обозначение интерфейса коммутатора, к которому подключен узел.

Рекомендуемое действие.    Действие не требуется.

Error Message    AP-6-POSTURE_STATE_CHANGE: IP=[inet]|STATE=[chars].

Пояснение.    Данное сообщение означает, что статус подтверждения состояния указанного узла в кэше состояния агента аутентификации изменился. Строка [inet] — условное обозначение IP-адреса узла. Строка [chars] — условное обозначение статуса подтверждения состояния.

Рекомендуемое действие.    Действие не требуется.

Сообщения EOU

Ниже описаны сообщения EAPoUDP при подтверждении NAC на уровне 2 IP.


Примечание. Коммутаторы серии Catalyst 6500, 4500, 3750, 3560, 3550, 2970, 2960, 2955, 2950 и 2940, маршрутизаторы серии Catalyst 7600 поддерживают все сообщения, описанные в данном разделе.


Error Message    EOU-2-PROCESS_ERR: Router could not create a EAPoUDP process.

Пояснение.    Данное сообщение означает, что коммутатор не смог создать сеанс EAPoUDP.

Рекомендуемое действие.    Следует перезагрузить устройство.

Error Message    EOU-4-BAD_PKT: IP=[inet]| Bad Packet=[chars].

Пояснение.    Данное сообщение означает, что маршрутизатор принял ошибочный пакет EAPoUDP с указанного узла. Строка [inet] — условное обозначение IP-адреса узла, строка [chars] — условное обозначение данных ошибочного пакета.

Рекомендуемое действие.    Следует проверить конфигурацию IP NAC на уровне 2 на узле.

Error Message    EOU-4-MSG_ERR: Unknown message event received.

Пояснение.    Данное сообщение означает, что в процессе подтверждения EAPoUDP было получено неизвестное сообщение.

Рекомендуемое действие.    При повторном появлении сообщения следует перезагрузить устройство.

Error Message    EOU-4-PROCESS_STOP: PROCESS=[chars]| ACTION=[chars].

Пояснение.    Данное сообщение означает, что указанный процесс остановлен. Первая строка [chars] обозначает процесс, вторая строка [chars] обозначает предпринятое действие.

Рекомендуемое действие.    Следует перезагрузить устройство.

Error Message    EOU-4-SOCKET: EAPoUDP socket binding fails for PORT=[hex]. Check if 
the interface has valid IP address.

Пояснение.    Данное сообщение означает, что коммутатор не смог выполнить назначение порта на действительный IP-адрес. Строка [hex] — условное обозначение MAC-адреса порта.

Рекомендуемое действие.    Следует настроить действительный IP-адрес на порту коммутатора.

Error Message    EOU-4-UNKN_EVENT_ERR: UNKNOWN Event for HOST=%i| Event=%d.

Пояснение.    Данное сообщение означает, что коммутатор получил неизвестное событие EAPoUDP.

Рекомендуемое действие.    Следует скопировать сообщение в консоль или системный журнал. Рекомендуется попробовать устранить ошибку с помощью Output Interpreter. Примеры похожих проблем могут быть приведены в Bug Toolkit. Если проблему устранить не удалось, следует попытаться решить ее с помощью центра технической поддержки (TAC) или обратиться представителю службы технической поддержки Cisco, предоставив ему собранные данные.

Error Message    EOU-4-UNKN_PROCESS_ERR: An unknown operational error occurred.

Пояснение.    Данное сообщение означает, что процесс EAPoUDP не может быть выполнен ввиду внутренней системной ошибки.

Рекомендуемое действие.    Следует перезагрузить устройство.

Error Message    EOU-4-UNKN_TIMER_ERR: An unknown Timer operational error occurred.

Пояснение.    Данное сообщение означает, что процесс подтверждения EAPoUDP не может быть выполнен ввиду внутренней системной ошибки.

Рекомендуемое действие.    Следует перезагрузить устройство.

Error Message    EOU-4-VALIDATION: Unable to initiate validation for HOST=[inet]| 
INTERFACE=[chars].

Пояснение.    Данное сообщение означает, что коммутатор не смог запустить подтверждение состояния для указанного узла.

Рекомендуемое действие.    Определенных действий не предусмотрено. Возможно, проблема вызвана сбоем при назначении порта EAPoUDP.

Error Message    EOU-4-VERSION_MISMATCH: HOST=[inet] | Version=[dec].

Пояснение.    Данное сообщение означает, что версии EAPoUDP указанного узла и коммутатора несовместимы. Строка [inet] — условное обозначение IP-адреса узла, строка [chars] — условное обозначение версии EAPoUDP.

Рекомендуемое действие.    Следует проверить версии EAPoUDP на устройствах.

Error Message    EOU-5-RESPONSE_FAILS: Received an EAP failure response from AAA for 
host=[inet].

Пояснение.    Данное сообщение означает, что коммутатор получил от сервера ААА отклик о сбое EAP. Антивирусное состояние узла не может быть подтверждено.

Рекомендуемое действие.    Действие не требуется.

Error Message    EOU-6-AUTHSTATUS: [chars]|[inet].

Пояснение.    Данное сообщение указывает статус аутентификации указанного узла: Success (аутентификация выполнена успешно) или Failure (аутентификация не выполнена). Строка [chars] — условное обозначение статуса, строка [inet] — условное обозначение IP-адреса узла.

Рекомендуемое действие.    Действие не требуется.

Error Message    EOU-6-AUTHTYPE: IP=[inet]| AuthType=[chars].

Пояснение.    Данное сообщение указывает тип аутентификации заданного узла (строка [chars]). Строка [inet] — условное обозначение IP-адреса узла.

Рекомендуемое действие.    Действие не требуется.

Error Message    EOU-6-CTA: IP=[inet]| CiscoTrustAgent=[chars].

Пояснение.    Данное сообщение означает, что на указанном узле обнаружено ПО CTA. Строка [inet] — условное обозначение IP-адреса узла, строка [chars] — условное обозначение наименования CTA.

Рекомендуемое действие.    Если ПО CTA не обнаружено, следует выполнить его установку на узле.

Error Message    EOU-6-IDENTITY_MATCH: IP=[inet]| PROFILE=EAPoUDP| POLICYNAME=[chars].

Пояснение.    Данное сообщение означает, что коммутатор не обнаружил указанный узел с профилем идентификации EAPoUDP. Если заданная политика форсируется, состояние коммутатора не подтверждается. Строка [inet] — условное обозначение IP-адреса узла, строка [chars] — условное обозначение наименования политики.

Рекомендуемое действие.    Если состояние узла должно быть подтверждено, следует удалить запись узла из профиля идентификации EAPoUDP.

Error Message    EOU-6-POLICY: IP=[inet]| [chars]=[chars].

Пояснение.    Данное сообщение означает, что коммутатор получил от сервера AAA политику доступа для форсирования в отношении указанного узла.

Рекомендуемое действие.    Действие не требуется.

Error Message    EOU-6-POSTURE: IP=[inet]| HOST=[chars]| Interface=[chars].

Пояснение.    Данное сообщение означает, что статус подтверждения состояния указанного узла изменился. Строка [inet] — условное обозначение IP-адреса узла, первая строка [chars] — условное обозначение имени узла, вторая строка [chars] — условное обозначение интерфейса.

Рекомендуемое действие.    Действие не требуется.

Error Message    EOU-6-SESSION: IP=[inet]| HOST=[chars]| Interface=[chars].

Пояснение.    Данное сообщение означает, что для узла на указанном интерфейсе была создана или удалена запись. Строка [inet] — условное обозначение IP-адреса узла, первая строка [chars] — условное обозначение действия (DETECTED или REMOVED), вторая строка [chars] — условное обозначение интерфейса.

Рекомендуемое действие.    Действие не требуется.

Error Message    EOU-6-SQ: IP=[inet]| STATUSQUERY|[chars].

Пояснение.    Данное сообщение означает, что результат запроса состояния для указанного узла неверен. Строка [inet] — условное обозначение IP-адреса узла, строка [chars] — условное обозначение результата запроса состояния (failure (сбой), invalid (ошибка)или no response (нет отклика)).

Рекомендуемое действие.    Действие не требуется.