Implemente el generador de perfiles de NAC en un NAC existente fuera de banda

Introducción

Esta guía de implementación describe cómo implementar Cisco NAC Profiler Server y Cisco NAC Profiler Collectors (ubicados en el Cisco NAC Appliance Clean Access Server) en una implementación de instalaciones fuera de banda (OOB). Este documento describe cómo implementar mejor el Cisco NAC Profiler en una implementación existente de OOB High Availability NAC. Su objetivo es ayudarle a comprender las funciones básicas y la topología de una solución Cisco NAC Profiler integrada con el dispositivo Cisco NAC. También le ayuda a comprender cómo se envía la información de los terminales sobre todos los dispositivos sin NAC desde los colectores al servidor de perfiles. El objetivo de la solución es perfilar los terminales y agregarlos a la lista de filtros de dispositivos del Cisco NAC Appliance Clean Access Manager (CAM) para aplicar la política adecuada.

prerrequisitos

Requisitos

Primero debe configurar su Cisco NAC Manager, Cisco NAC Server y Cisco NAC Profiler de acuerdo con las guías de instalación y configuración para cada producto.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• NAC Manager (192.168.96.10 HA Service IP)

• Servidor NAC (IP de servicio 192.168.97.10 HA)

• NAC Profiler (192.168.96.21)

• Switch de acceso 3560 (192.168.100.35)

• Switch de distribución 3750 (192.168.97.1)

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Antecedentes

Descripción General del NAC Profiler

Cisco NAC Profiler permite a los administradores de red implementar y administrar de forma eficaz el Network Admission Control (NAC) en redes empresariales de diversas dimensiones y complejidad mediante la identificación, ubicación y determinación de las capacidades de todos los terminales de red conectados, independientemente del tipo de dispositivo, para garantizar y mantener un acceso a la red adecuado. Cisco NAC Profiler es un sistema que detecta, cataloga y da perfiles a todos los terminales conectados a una red con la tarea específica de crear perfiles de terminales sin agente.

Descripción general de NAC

El dispositivo Cisco Network Admission Control (NAC) (también conocido como Cisco Clean Access) es una solución potente y fácil de usar de control de admisión y cumplimiento de normativas. Con completas funciones de seguridad, opciones de implementación en banda o fuera de banda, herramientas de autenticación de usuarios y controles de filtrado de tráfico y ancho de banda, Cisco NAC Appliance es una solución completa para controlar y proteger las redes. Como punto central de gestión de acceso para su red, Cisco NAC Appliance le permite implementar políticas de seguridad, acceso y cumplimiento en un solo lugar en lugar de tener que propagar las políticas a través de la red en muchos dispositivos.

Configurar

Descripción general de la guía de configuración

En esta sección encontrará la información para configurar las funciones descritas en este documento.

El diagrama de la figura 1 muestra una implementación básica de instalaciones de capa 2 con servidores NAC de alta disponibilidad (HA) en los switches de distribución. El servidor de perfiles y el administrador NAC pueden sentarse en la misma red de administración y enviar y recibir información de los servidores y recopiladores NAC. Hay varias formas en las que el generador de perfiles de Cisco NAC puede detectar terminales remotos que no son de NAC, y en esta guía se describen los métodos más comunes y recomendados. Esta guía de configuración describe cómo lograr estos objetivos:

• Agregue la comunicación SNMP hacia y desde el switch de acceso a los colectores NAC.

• Configure un puerto SPAN en los switches de distribución para capturar todo el tráfico de los dispositivos de capa de acceso, específicamente el tráfico DHCP de los terminales, ya que estamos más interesados en el atributo de información de clase del proveedor DHCP sobre los terminales.

• Configure el servidor de perfiles y la comunicación del colector de Cisco NAC en consecuencia para recibir toda la información recopilada por los colectores.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

Figura 1: Implementación de dispositivos OOB Cisco NAC con Cisco NAC Profiler

Configuraciones

Este documento utiliza estas configuraciones para configurar el NAC Profiler y los recopiladores en una solución fuera de banda:

• Configuración del NAC Profiler para la Topología OOB

• Configuración del colector NAC

• Configure el Switch de Acceso para Enviar Trampas SNMP al Colector NAC

• Configure el switch de acceso en el generador de perfiles para recopilar información SNMP

• Configure el puerto de switch ETH3 del colector NAC en los switches de distribución para SPAN

Configuración del generador de perfiles y recopiladores de NAC en una solución fuera de banda

• Los servidores NAC deben configurarse mediante la configuración normal de NAC HA.

• El recopilador utiliza la dirección IP virtual del servidor NAC para comunicarse con el generador de perfiles.

• El par NAC Collector HA se agrega como una sola entrada en el Profiler y se comunica a la dirección IP virtual del servidor NAC.

1. Agregue un nuevo colector al generador de perfiles.

   Vaya a Configuration > NAC Profiler Modules > Add Collector.

   

2. Agregue un nuevo nombre de colector para el par HA del servidor NAC. Esto puede ser lo que desee, pero debe coincidir con la configuración del colector.

   • Nombre del colector: CAS-OOB-Pair1

   • Dirección IP: 192.168.97.10 (dirección virtual del servidor NAC)

   • Conexión: Déjalo como NINGUNO por ahora

   

3. Configure los módulos de servicio del colector. Deje NetMap y NetTrap solos (la configuración predeterminada no es necesaria).

   

4. Agregue una interfaz NetWatch (ETH3) conectada a un puerto SPAN en el switch de distribución.

   

5. Agregue un bloque de subred para el módulo NetInquiry para escuchar el tráfico interesante que viene de las redes de acceso. Sea específico en las redes y no aplique impuestos innecesarios al servidor NAC. En esta configuración de laboratorio, puede ser todo el espacio privado 192.168.0.0.

   

   Deje Ping Sweep y DNS Collection desactivados.

6. Configure el reenvío como escuche en la dirección IP 192.168.97.10 (VIP) y el puerto TCP 31416. Esto permite que el colector actúe como servidor y escuche una conexión del generador de perfiles al puerto específico.

7. Deje NetFlow deshabilitado (ya que se utiliza una sesión Netwatch /SPAN) en la Configuración de NetRelay. Asegúrese de hacer clic en el botón Save Collector para guardar la configuración.

   

8. Vaya a la ficha Configuración > Aplicar cambios > Actualizar módulos.

   

Configuración del colector NAC

Esta configuración debe ejecutarse exactamente igual que en ambos dispositivos.

1. SSH al colector e inicie sesión como root.

2. Escriba service collector config y ejecute el script de configuración para configurar la parte del NAC Collector.

   [root@NAC Server1 ~]#  service collector config
   Enable the NAC Collector (y/n) [y]:
   Configure NAC Collector (y/n) [y]:
   Enter the name for this remote collector.  
   Please note that if this collector exists on a HA pair that this name must match
   its pair's name for proper operation. (24 char max) [NAC Server1]: CAS-OOB-Pair1
   Network configuration to connect to a NAC Profiler Server
     Connection type (server/client) [server]:
     Listen on IP [192.168.97.10]:
   
     You will be asked to enter the IP address(es) of the NPS.  This
     is necessary to configure the access control list used by this
     collector.  If the NPS is part of an HA pair then you must include
     the real IP address of each independent NPS and the virtual IP to
     ensure proper connectivity in the NAC Server of failover.
   
     Enter the IP address(es) of the NAC Profiler.
      (Finish by typing 'done') [127.0.0.1]: 192.168.96.20  (Real IP address of  NAC Profiler1)
     Enter the IP address(es) of the NAC Profiler.
      (Finish by typing 'done') [192.168.96.20]: 192.168.96.21 (Virtual IP of NAC Profiler)
     Enter the IP address(es) of the NAC Profiler.
      (Finish by typing 'done') [done]: 192.168.96.22 (Real IP of NAC Profiler2)
     Enter the IP address(es) of the NAC Profiler.
      (Finish by typing 'done') [done]: done
     Port number [31416]:
     Encryption type (AES, blowfish, none) [none]: AES
     Shared secret []: cisco123
   -- Configured NAC SERVER-OOB-Pair1-fw
   -- Configured NAC SERVER-OOB-Pair1-nm
   -- Configured NAC SERVER-OOB-Pair1-nt
   -- Configured NAC SERVER-OOB-Pair1-nw
   -- Configured NAC SERVER-OOB-Pair1-ni
   -- Configured NAC SERVER-OOB-Pair1-nr

   El colector NAC está configurado.

3. Inicie los servicios del colector.

   [root@NAC Server1 ~]# service collector start
   

Configure el Switch de Acceso para Enviar Trampas SNMP al Colector NAC

Esta configuración permite al generador de perfiles recibir dinámicamente todos los nuevos dispositivos que se conectan a un puerto de switch en toda la red.

Nota: También puede tener una configuración ya cumplimentada para su configuración NAC normal. Si es así, todo lo que debe hacer es agregar el colector CAS como host en su configuración SNMP para recibir las trampas SNMP cuando los nuevos dispositivos se conectan a los puertos de switch.

Consola/Telnet en el switch (nac-3560-access#).

snmp-server community cleanaccess RW 
## Allows read-write access from the NAC Manager
snmp-server community profiler RO  
## Allows read only access from Collectors
snmp-server enable traps mac-notification 
## Enables new-mac notification traps

snmp-server host 192.168.97.10 version 1 profiler mac-notification snmp
## Allow traps to the NAC Collectors Managment IP addresss

Configure el switch de acceso en el generador de perfiles para recopilar información SNMP

Siga estas instrucciones para configurar el switch de acceso en el generador de perfiles para recopilar información SNMP.

1. Vaya a la GUI del generador de perfiles: Configuration > Network Devices > Add Device.

   

2. Agregue el nombre de host y la dirección IP de administración del switch.

3. Introduzca las cadenas SNMP de sólo lectura configuradas en el switch. Asegúrese de elegir el módulo de mapeo del colector NAC, de modo que se elija el colector para sondear el switch de acceso cada hora y reenviar la información al generador de perfiles.

4. Haga clic en Agregar dispositivo y Aplicar cambios. Actualice los módulos desde el panel izquierdo de la GUI.

   

   Nota: El acceso de lectura y escritura no es necesario para el NAC Profiler en una implementación NAC, ya que el NAC Manager ya controla el dispositivo. Puede haber conflictos y sobrecarga adicional para los switches cuando no es necesario.

Configure el puerto de switch ETH3 del colector NAC en los switches de distribución para SPAN

Nota: Esto permite al módulo NetWatch escuchar el tráfico en la red y reenviar información al generador de perfiles. Asegúrese de no suscribir en exceso la interfaz del colector NAC. Tiene una limitación de 1 GB/seg. Cree las interfaces o VLAN del switch según su modelo de switch y la versión del código.

Nota: Como mínimo, desea ver las solicitudes y ofertas de DHCP desde los terminales de los switches de acceso. Si esto no es posible, agregue un colector NAC en o cerca de los servidores DHCP de la red.

Configure una sesión de monitor en el switch de distribución.

monitor session 1 source interface Gi1/0/1 - 43 , Gi1/0/46 - 48
monitor session 1 source interface Po10
monitor session 1 destination interface Gi1/0/44

Verificación

Use esta sección para confirmar que su configuración funciona correctamente.

• Asegúrese de que el generador de perfiles y el recopilador se comunican y se están ejecutando. Si no lo son, no verá ninguna información sobre los dispositivos de la red. Si hay problemas, no continúe hasta que se estén ejecutando todos los módulos del colector y el servidor.

  En el generador de perfiles, vaya a Configuration > NAC Profiler Modules > List NAC Profiler Modules.

  

• Verifique que el switch de acceso pueda enviar trampas de notificación MAC nueva al colector.

  Nota: Tenga cuidado cuando habilite debug y conozca sus peligros.

  nac-3560-access# debug snmp packet 
  nac-3560-access# debug snmp header
  
  SNMP packet debugging is on
  SNMP packet debugging is on
  *Mar 30 22:45:12: SNMP: Queuing packet to 192.168.97.10
  *Mar 30 22:45:12: 
  Outgoing SNMP packet
  *Mar 30 22:45:12: v1 packet
  *Mar 30 22:45:12: community string: profiler
  *Mar 30 22:45:12: SNMP: V1 Trap, ent cmnMIBNotificationPrefix, 
     addr 192.168.100.35, gentrap 6, spectrap 1 
  cmnHistMacChangedMsg.0 = 
  01 00  65 00   04 23  B3 82    60 00  04 00    
  cmnHistTimestamp.0 = 258751290
  

• Verifique que el generador de perfiles haya recibido la nueva dirección MAC del colector.

  Vaya a Consola de terminal > Ver/Administrar terminales > Mostrar terminales por puertos de dispositivo > Desagrupados > Tabla de dispositivos > (Elija el switch).

  

• Verifique que el colector haya sondeado el SNMP en el switch.

1. Mire la columna Último escaneo. Esto verifica que el colector escaneó el switch cada 60 minutos de forma predeterminada.

   

2. Debug SNMP nuevamente en la CLI del switch.

3. Desde la GUI del generador de perfiles, vaya a Configuration > Network Devices > List Network Devices > (Seleccione el dispositivo).

4. Haga clic en Consulta ahora.

   

5. Vea el resultado de la depuración en el switch para que el colector realice un sondeo SNMP del switch.

   *Mar 30 23:09:24: SNMP: Packet received via UDP from 192.168.97.11 on Vlan100
   *Mar 30 23:09:24: SNMP: Get-next request, reqid 1347517983, errstat 0, erridx 0
   ifType = NULL TYPE/VALUE
   *Mar 30 23:09:24: SNMP: Response, reqid 1347517983, errstat 0, erridx 0
   ifType.1 = 53
   *Mar 30 23:09:24: SNMP: Packet sent via UDP to 192.168.97.11
   

6. Verifique que SPAN funcione en el switch y que el colector pueda recibir tráfico.

   1. SSH al NAC Profiler.

   2. Escriba tcpdump -i eth3.

      16:54:36.432218 IP cas2.nacelab2.cisco.com.9308 > 
         elab2-dns-dhcp.nacelab2.cisco.com.domain:  
         48871+ PTR? 68.39.168.192.in-addr.arpa. (44)
      16:54:36.432223 IP cas2.nacelab2.cisco.com.9308 > 
         elab2-dns-dhcp.nacelab2.cisco.com.domain:  
         48871+ PTR? 68.39.168.192.in-addr.arpa. (44)
      16:54:36.432468 IP cas2.nacelab2.cisco.com.9308 > 
         elab2-dns-dhcp.nacelab2.cisco.com.domain:  
         58368+ PTR? 69.39.168.192.in-addr.arpa. (44)
      16:54:36.432472 IP cas2.nacelab2.cisco.com.9308 > 
         elab2-dns-dhcp.nacelab2.cisco.com.domain:  
         58368+ PTR? 69.39.168.192.in-addr.arpa. (44)
      16:54:36.432842 IP cas2.nacelab2.cisco.com.9308 > 
         elab2-dns-dhcp.nacelab2.cisco.com.domain:  
         1650+ PTR? 70.39.168.192.in-addr.arpa. (44)
      16:54:36.432846 IP cas2.nacelab2.cisco.com.9308 > 
         elab2-dns-dhcp.nacelab2.cisco.com.domain:  
         1650+ PTR? 70.39.168.192.in-addr.arpa. (44)
      

7. Vea el resultado en la pantalla. Si le preocupa la cantidad de resultados, puede canalizar el resultado a un archivo del colector NAC. Consulte las páginas principales en Linux.

8. Compruebe si puede ver el tráfico DHCP sobre los terminales del switch.

   Vaya a Profiler GUI > Endpoint Console > View/Manage Endpoints. Haga clic en un perfil; haga clic en un dispositivo y haga clic en los datos del terminal.

   Puede ver información de clase de proveedor DHCP del dispositivo capturado del tráfico NetWatch/SPAN en el colector:

   

Soporte para la Configuración de NTP

El NAC Profiler soporta la configuración NTP solamente con la versión 3.1 y posterior. Permite configurar las diferentes opciones para los servidores de tiempo a través de una interfaz web controlada por menús. Consulte la sección Configuración de NTP en Cisco NAC Profiler Server para obtener detalles completos.

Si la versión del NAC Profiler es anterior a la 3.1, entonces no puede configurar el NTP porque NAC Profiler versión 2.1.8 no tiene la capacidad de hacerlo a través de la interfaz web. Consulte las advertencias abiertas mencionadas en las notas de la versión de NAC Profiler versión 2.1.8. Para obtener más información, consulte el Id. de bug Cisco CSCsu46273 (sólo clientes registrados) .

Puede configurar lo mismo manualmente a través de la CLI. Complete estos pasos:

1. Desde una sesión SSH al Profiler, cd a /etc, y edite el archivo ntp.conf.

2. Agregue los servidores de hora adecuados en este archivo.

3. Configure la zona horaria del reloj.

   mv /etc/localtime /etc/localtime-old
   ln -sf /usr/share/zoneinfo/<your_time_zone> /etc/localtime

Información Relacionada

• Cisco NAC Appliance (Clean Access)
• Soporte Técnico y Documentación - Cisco Systems