Пример конфигурации радио Из группы (OOB) NAC

Пример конфигурации радио Из группы (OOB) NAC
Содержание
Введение
Предпосылки
Требования
Используемые компоненты
Соглашения
Справочная информация
Cisco обзор NAC
Действительный способ ворот (способ моста)
Способ из группы
Единственный знак - на
Формируйте NAC OOB беспроводное решение
Конфигурация выключателя катализатора
Шаги для формирования NAC OOB на WLC и менеджере NAC
Формирование единственного знака - на (SSO) с беспроводным решением OOB
Шаги для формирования SSO на менеджере NAC
Шаги для формирования SSO на радио диспетчер LAN
Проверить
CISCO WLC CLI команды для проверки
Проверка государства клиента от WLC GUI
Проверка единственного знака - на на сервере NAC с WLC
Расследовать
Поиск неисправностей команд
Соответствующая информация
Введение
Этот документ обеспечивает руководство дизайна для развертывания безопасности конечной точки прибора Сетевого контроля приема
(NAC) Cisco Из группы (OOB) в Cisco Объединенное развертывание Беспроводной сети. Эти рекомендации передовой практики
предполагают, что Cisco Объединенная Беспроводная сеть была развернута в соответствии с рекомендациями, предоставленными в
Руководстве по проектированию Подвижности Предприятия 3.0.
Рекомендуемый дизайн является Действительными Воротами (Способ Моста) и центральное развертывание решение OOB с RADIUS
Единственный Знак - На. Беспроводной контроллер LAN (WLC) должен быть размещен L2 смежный с сервером NAC. Клиент
связывается к WLC, и WLC подтверждает подлинность пользователя. Как только идентификация закончена, пользовательский трафик
проходит карантин VLAN с WLC на сервер NAC. Оценка положения и процесс исправления имеют место. Как только пользователь
удостоверен, пользователь изменения VLAN от карантина до доступа VLAN в WLC. Движение обходит сервер NAC, когда
перемещено для доступа к VLAN.
Предпосылки
Требования
Эта конфигурация документа является определенной для выпуска WLC 5.1 и NAC 4.5
Используемые компоненты
Этот документ является t, ограниченным определенными версиями программного и аппаратного обеспечения.
Сервер NAC 3350 4.5
Менеджер по NAC 3350 4.5
WLC 2106 5.1
Информация в этом документе была создана из устройств в определенной окружающей среде лаборатории. Все устройства,
используемые в этом документе, начали с очищенного (неплатеж) конфигурацию. Если ваша сеть жива, удостоверьтесь, что вы
понимаете потенциальное воздействие любой команды.
Соглашения
Направьте в Cisco Технические Соглашения Подсказок для получения дополнительной информации о соглашениях документа.
Справочная информация
Cisco обзор NAC
NAC Cisco использует сетевую инфраструктуру для обеспечивания соблюдения политики безопасности на всех устройствах, которые
стремятся получить доступ к сети вычислительные ресурсы. С Cisco прибор NAC, сетевые администраторы могут подтвердить
подлинность, разрешить, оценить, и перепромежуточный телеграфированный, радио, и удаленные пользователи и их машины до
сетевого доступа. Прибор NAC Cisco определяет, совместимы ли сетевые устройства, такие как ноутбуки, телефоны IP или игровые
консоли с политикой сетевой безопасности, и восстанавливает любые слабые места, прежде чем он разрешит доступ к сети.
Терминология рекомендуемого дизайна обсуждена:
Действительный способ ворот (способ моста)
Когда прибор NAC формируется как действительные ворота, он действует как мост между конечными пользователями и воротами по
умолчанию (маршрутизатор) для подсети клиента, которой управляют. Для данного клиента VLAN прибор NAC соединяет движение
со своего интерфейса, которому не доверяют, на его интерфейс, которому доверяют. Когда это действует как мост от стороны, которой
не доверяют, до стороны, которой доверяют, прибора, два VLANs используются. Например, клиент VLAN 110 определен между
беспроводным контроллером LAN (WLC) и интерфейсом, которому не доверяют, прибора NAC. Нет никакого разбитого
интерфейсного или переключенного действительного интерфейса (SVI), связанного с VLAN 110 на выключателе распределения. VLAN
10 формируется между интерфейсом, которому доверяют, прибора NAC и маршрутизатором следующего перелета interface/SVI для
подсети клиента. Правило отображения сделано в приборе NAC, что вперед пакеты, которые прибывают в VLAN 110 VLAN 10, когда
это обменивает информацию о признаке VLAN как показано в Рис. 1-1. Процесс полностью изменен для пакетов, которые
возвращаются к клиенту. Обратите внимание на то, что в этом способе BPDUs не переданы с недоверяемой стороны VLANs их
коллегам доверяемой стороны. Отображение VLAN выбора обычно выбирается, когда прибор NAC помещен логически действующий
между клиентами и сетями, которые защищены. Если прибор NAC должен быть развернут в действительном способе ворот с
Объединенным Беспроводным развертыванием, этот выбор соединения должен использоваться. Поскольку сервер NAC знает о
верхних протоколах слоя, по умолчанию он явно позволяет протоколы, которые требуют, чтобы он соединил с сетью в Заверенной
Роли, например, DNS и DHCP.
Рисунок 1-1 действительные ворота с отображением VLAN
Способ из группы
Развертывание из группы требует, чтобы пользовательский трафик пересек через прибор NAC только в рамках идентификации, оценки
положения и исправления. Когда пользователь заверен и передает все стратегические проверки, движение обычно переключается через
сеть и обходит сервер NAC. Для получения дополнительной информации отошлите к Главе 4 Cisco NAC Чистый прибором менеджер
по Доступу Инсталлэйшн и Гид администрации.
Когда прибор NAC формируется этим способом, WLC является устройством, которым управляют, в менеджере NAC, тот же самый
способ, которым выключателем Cisco управляет менеджер NAC. После того, как пользователь заверен и передает оценку положения,
менеджер NAC приказывает WLC помечать пользовательский трафик от NAC VLAN к доступу VLAN, который предлагает привилегии
доступа.
Рисунок 1-2 прибор NAC в способе из группы с действительным способом ворот
Единственный знак - на
Единственным знаком - на (SSO) является выбор, который не требует пользовательского вмешательства и является относительно
прямым для осуществления. Это использует VPN SSO способность решения NAC, вместе с программным обеспечением Clean Access
Agent, которое управляет на клиенте PC. VPN SSO использует отчеты бухгалтерского учета RADIUS для уведомления прибора NAC о
заверенных пользователях удаленного доступа, которые соединяются с сетью. Таким же образом эта функция может быть
использована вместе с диспетчером WLAN для автоматического информирования серверу NAC о заверенных беспроводных клиентах,
которые соединяются с сетью.
Посмотрите рисунки 1-3 до 1-6 для примеров беспроводного клиента, который выполняет идентификацию SSO, оценку положения,
исправление и сетевой доступ через прибор NAC.
Эту последовательность показывают в рисунке 1-3:
1. Беспроводной пользователь выполняет 802.1x/EAP идентификацию через диспетчера WLAN к разведке и добыче нефти и газа
сервер AAA.
2. Клиент получает IP-адрес или из AAA или из сервера DHCP.
3. После того, как клиент получает IP-адрес, WLC вперед RADIUS, считающий, (начинает) отчет к прибору NAC, который
включает IP-адрес беспроводного клиента.
Примечание: В то время как Cisco выключатели Катализатора посылает два бухгалтерских отчета, диспетчер WLC использует
единственный RADIUS, считающий отчет (начало) для 802.1x идентификация клиента и назначение IP-адреса: бухгалтерское
начало посылают, после 802.1x идентификацию клиента и временное обновление посылают после того, как клиенту назначают
IP-адрес.
4. После того, как это обнаружит сетевое соединение, Агент NAC пытается соединиться с CAM (с протоколом SWISS). Движение
перехвачено сервером NAC, который, в свою очередь, подвергает сомнению менеджера NAC, чтобы определить, является ли
пользователь в пользовательском списке онлайн. Только клиенты, которые заверены, находятся в пользовательском списке
онлайн, который имеет место в примере выше в результате обновления RADIUS в шаге 3.
5. Агент NAC выполняет местную оценку положения безопасности/риска машины клиента и вперед оценку к серверу NAC для
сетевого определения приема.
Процесс идентификации клиента рисунка 1-3 и оценка положения
Эта последовательность имеет место в рисунке 1-4:
1. Прибор NAC вперед оценка агента менеджеру по Прибору NAC (CAM).
2. В этом примере CAM решает, что клиент не находится в соблюдении и приказывает прибору NAC помещать пользователя в
карантинную роль.
3. Прибор NAC тогда посылает информацию об исправлении агенту клиента.
Информация об оценке положения рисунка 1-4 от CAS до CAM
Эта последовательность имеет место в рисунке 1-5:
1. Агент Клиента показывает время, которое остается достигать исправления.
2. Агент ведет пользователя, постепенного посредством процесса исправления; например, в обновлении антивирусного файла
определения.
3. После завершения исправления агент обновляет сервер NAC.
4. CAM показывает заявление политики допустимого использования (AUP) пользователю.
Процесс исправления клиента рисунка 1-5 с CAS как устройство осуществления
Эта последовательность имеет место в рисунке 1-6:
1. После того, как это примет AUP, прибор NAC переключает пользователя на (санкционированную) роль онлайн.
2. Функциональность SSO населяет пользовательский список онлайн с IP-адресом клиента. После исправления вход для хозяина
добавлен к гарантированному списку. Оба из этих столов (вместе с обнаруженным столом клиентов) сохраняются CAM
(менеджер по Прибору NAC).
3. Менеджер NAC посылает SNMP, пишут уведомление WLC для изменения пользователя VLAN от карантина до доступа VLAN.
4. Пользовательский трафик начинает оставлять WLC с доступом признаком VLAN. Сервер NAC больше не находится в пути для
этого особого пользовательского трафика.
Рисунок 1-6 гарантированный обход клиента CAS путем переключения на доступ VLAN
Самый прозрачный метод для облегчения беспроводной пользовательской идентификации должен позволить идентификацию VPNSSO на сервере NAC и формировать WLCs для отправления RADIUS, считающего серверу NAC. Если бухгалтерский учет отчетов
должен быть отправлен серверу RADIUS вверх по течению в сети, сервер NAC может формироваться для отправления бухгалтерского
пакета серверу RADIUS.
Примечание: Если идентификация VPN-SSO позволена без Чистого агента Доступа, установленного на клиенте PC, пользователь все
еще автоматически заверен. Однако они автоматически не связаны через прибор NAC, пока их веб-браузер не открыт, и попытка связи
предпринята. В этом случае, когда пользователь открывает их веб-браузер, они на мгновение перенаправлены (без быстрого входа в
систему) в пределах “бессубъектной” фазы. Когда процесс SSO завершен, они связаны с их первоначально требуемым URL.
Формируйте NAC OOB беспроводное решение
В этой секции вам дарят информацию для формирования особенностей, описанных в этом документе.
Примечание: Используйте Инструмент Поиска Команды (только зарегистрированные клиенты) для получения большей информации о
командах, используемых в этой секции.
В текущем внедрении NAC WLC объединяет с Cisco прибор NAC в способе в группе только, где прибор NAC должен остаться в
информационном канале даже после того, как удостоверен пользователь. Как только прибор NAC заканчивает свою проверку
положения, сотрудник/гость получает доступ сети, основанной на их роли.
С NAC 4.5 и выпуском WLC 5.1, беспроводное решение NAC поддерживает интеграцию OOB с прибором NAC. Когда клиент
связывает и заканчивает L2Auth, он проверен, связан ли карантинный интерфейс с WLAN/SSID. Если да, начальное движение
посылают в карантинном интерфейсе. Движение клиента течет в карантине VLAN, который является trunked к прибору NAC. Как
только проверка положения сделана, менеджер NAC посылает сообщение набора SNMP, которое обновляет доступ VLAN ID;
диспетчер обновляет себя с доступом VLAN ID, и поток данных начинает переключаться от диспетчера непосредственно к сети без
сервера NAC.
Пример рисунка 2-1 автономного CAS в способе моста, связанном с WLC через выключатель
В рисунке 2-1 WLC связан с портом ствола, который несет карантин VLAN и доступ VLAN (176 и 175). На выключателе карантин
движение VLAN является trunked к прибору NAC и доступом, движение VLAN является trunked непосредственно к выключателю
Layer3. Движение, которое достигает карантина VLAN на приборе NAC, нанесено на карту для доступа к основанному VLAN на
статической конфигурации отображения. Когда клиент связывается полный Автор L2, это проверяет, связан ли карантинный
интерфейс; если да, данные посылают в карантинном интерфейсе. Движение клиента течет в карантине VLAN, который является
trunked к прибору NAC. Как только проверка положения сделана, сервер NAC (CAS) посылает сообщение набора SNMP, которое
обновляет доступ VLAN ID диспетчеру, и поток данных начинает переключаться с WLC непосредственно к сети без сервера NAC.
Ограничения
Никакой профиль порта не связался
Никакой ID VLAN не определил на менеджере NAC: определенный на WLC
Поддержка фильтра MAC не в состоянии использовать ID VLAN от ролевых параметров настройки
Действительные Ворота из группы поддержка способа сервера NAC только
Слой 2 ассоциации между WLC и сервером NAC
NAC ISR и WLC NM не могут быть настроены, чтобы сделать Радио OOB NAC
Примечание: Обратитесь к VLAN, Наносящему на карту в Действительной части Способов Ворот Cisco Прибор NAC - Чистый Гид
Конфигурации Сервера Доступа, Выпуск 4.8 (1) для получения дополнительной информации о том, как безопасно формировать VLANs
в действительных способах ворот.
Конфигурация выключателя катализатора
interface GigabitEthernet2/21
description NAC SERVER UNTRUSTED INTERFACE
switchport
switchport trunk native vlan 998
switchport trunk allowed vlan 176
switchport mode trunk
no ip address
!
interface GigabitEthernet2/22
description NAC SERVER TRUSTED INTERFACE
switchport
switchport trunk native vlan 999
switchport trunk allowed vlan 11,175
switchport mode trunk
no ip address
!
interface GigabitEthernet2/23
description NAC MANAGER INTERFACE
switchport
switchport access vlan 10
no ip address
spanning-tree portfast
!
interface GigabitEthernet2/1
description WLC
switchport
switchport trunk allowed vlan 75,175,176
switchport trunk native vlan 75
switchport mode trunk
no ip address
!
interface Vlan75
Description WLC Management VLAN
ip address 10.10.75.1 255.255.255.0
!
interface Vlan175
Description Client Subnet Access VLAN
ip address 10.10.175.1 255.255.255.0
end
Шаги для формирования NAC OOB на WLC и менеджере NAC
Выполните эти шаги для формирования NAC OOB на WLC и менеджере NAC:
1. Позвольте способ SNMP v2 на диспетчере.
2. Создайте профиль для WLC на менеджере по CAM. Нажмите OOB Management Profile> Device> New.
3. Как только профиль создан на CAM, добавьте WLC в профиле; пойдите к управлению OOB> Устройства> Новый и войдите в
управленческий IP-адрес WLC.
Теперь диспетчер добавлен в менеджере по CAM.
4. Добавьте CAM, поскольку SNMP заманивают управляющего в ловушку от WLC. Используйте точное название приемника
ловушки в CAM как приемник SNMP.
5. Формируйте приемник ловушки SNMP в CAM с тем же самым именем, которое определено на диспетчере; нажмите Profiles под
управлением OOB> Приемник SNMP.
На данном этапе WLC и CAM могут говорить друг с другом для проверки положения клиента и обновлений состояния
доступа/карантина.
6. В диспетчере создайте динамическое взаимодействие с доступом и изолируйте VLAN.
7. Создайте WLAN и свяжите его с динамическим интерфейсом.
8. Наконец, позвольте NAC в WLAN.
9. Добавьте подсеть клиента в сервере CAS как подсеть, которой управляют; щелкните сервер CAS> Выбирают ваш сервер CAS>,
Справляются> Продвинутый>, Подсети, Которыми управляют,> Добавляют Неиспользованный IP-адрес от подсети
клиента и помещают карантин VLAN (VLAN, которому не доверяют) для подсети, которой управляют.
10. Создайте отображения VLAN на CAS. Выберите сервер CAS> Выбирают ваш сервер CAS>, Справляются> Продвинутый>
Отображение VLAN. Добавьте доступ VLAN, которому столь же доверяют, и изолируйте VLAN, как не доверяется.
Формирование единственного знака - на (SSO) с беспроводным решением OOB
Это требования для предоставления возможности беспроводного SSO:
1. Позвольте идентификацию VPN на сервере NAC — WLC определен как “концентратор VPN” в приборе NAC.
2. Позвольте RADIUS, считающий на WLC — диспетчер, который определен в приборе NAC, должен формироваться для отправки
отчетов бухгалтерского учета RADIUS в прибор NAC для каждого 802.1x/EAP WLAN, который является подсетью, которой
управляют, в NAC.
Шаги для формирования SSO на менеджере NAC
Выполните эти шаги для формирования SSO на менеджере NAC:
1. От CAM левое меню, под управлением Устройством, выбирает Сервер CCA, и затем нажимает на ссылку Сервера NAC.
2. От страницы Статуса Сервера выберите вкладку Authentication и затем подменю VPN Auth. Посмотрите рисунок 3-1.
Рисунок 3-1, позволяющий единственный знак - на сервере NAC
3. Выберите Концентраторы VPN, Устанавливающие (рисунок 3-2) добавить новый вход WLC. Населите области входа для
управленческого IP-адреса WLC, и разделил тайну, которую вы хотите использовать между WLC и сервером NAC.
Рисунок 3-2 добавляет WLC как клиента RADIUS согласно секции концентратора VPN
4. Для Ролевого Отображения добавьте новый сервер идентификации с типом vpn sso под Управлением пользователями>
Подлинные Серверы.
5. Щелкните символом Отображения и затем добавьте Правило Отображения. Отображение варьируется зависящий от признака
класса 25 стоимостей, которые WLC посылает в бухгалтерском пакете. Это значение атрибута формируется в Сервере RADIUS и
варьируется основанный на пользовательском разрешении. В этом примере значение атрибута является ALLOWALL, и это
помещено в роль AllowAll.
Шаги для формирования SSO на радио диспетчер LAN
Бухгалтерский учет RADIUS должен формироваться на WLC для достижения Единственного Знака - На способности с сервером NAC.
Проверить
Используйте эту секцию, чтобы подтвердить, что ваша конфигурация работает должным образом.
Переводчик Продукции Тул (только зарегистрированные клиенты) (OIT) поддерживает определенные выставочные команды.
Используйте OIT для просмотра анализа выставочной продукции команды.
CISCO WLC CLI команды для проверки
(Cisco Controller) >show interface summary
Interface Name
Port Vlan Id
IP Address
Type
Ap Mgr Guest
----------------------------------------------- ---- -------- -----ap-manager
1
untagged
10.10.75.3
Static Yes
No
management
1
untagged
10.10.75.2
Static No
No
nac-vlan
1
175
10.10.175.2
Dynamic No
No
service-port
N/A N/A
192.168.1.1
Static No
No
virtual
N/A N/A
1.1.1.1
Static No
No
(Cisco Controller) >show interface detailed management
Interface Name...................................
MAC Address......................................
IP Address.......................................
IP Netmask.......................................
IP Gateway.......................................
VLAN.............................................
Quarantine-vlan..................................
Active Physical Port.............................
management
00:18:73:34:b2:60
10.10.75.2
255.255.255.0
10.10.75.1
untagged
0
1
Primary Physical Port............................
Backup Physical Port.............................
Primary DHCP Server..............................
Secondary DHCP Server............................
DHCP Option 82...................................
ACL..............................................
AP Manager.......................................
Guest Interface..................................
1
Unconfigured
10.10.75.1
Unconfigured
Disabled
Unconfigured
No
No
(Cisco Controller) >show interface detailed nac-vlan
Interface Name...................................
MAC Address......................................
IP Address.......................................
IP Netmask.......................................
IP Gateway.......................................
VLAN.............................................
Quarantine-vlan..................................
Active Physical Port.............................
Primary Physical Port............................
Backup Physical Port.............................
Primary DHCP Server..............................
Secondary DHCP Server............................
DHCP Option 82...................................
ACL..............................................
AP Manager.......................................
Guest Interface..................................
nac-vlan
00:18:73:34:b2:63
10.10.175.2
255.255.255.0
10.10.175.1
175
176
1
1
Unconfigured
10.10.175.1
Unconfigured
Disabled
Unconfigured
No
No
Проверка государства клиента от WLC GUI
Первоначально ток находится в карантинном состоянии, пока анализ положения не сделан в приборе NAC.
Государством NAC клиента должен быть Доступ после того, как будет закончен анализ положения.
Проверка единственного знака - на на сервере NAC с WLC
При Авторе VPN пойдите в Активный подраздел Клиента, чтобы проверить, прибыл ли бухгалтерский пакет начала от WLC. Этот
вход обнаруживается с агентом CCA, установленным на машине клиента.
Необходимо открыть браузер для завершения Единственного Знака - На процессе без агента. Когда пользователь открывает браузер,
процесс SSO имеет место, и пользователь обнаруживается в Пользовательском списке онлайн (OUL). С RADIUS, считающим пакет
остановки, пользователь удален из Активного списка Клиента.
Расследовать
В настоящее время нет никакой определенной информации о поиске неисправностей, доступной для этой конфигурации.
Поиск неисправностей команд
Переводчик Продукции Тул (только зарегистрированные клиенты) (OIT) поддерживает определенные выставочные команды.
Используйте OIT для просмотра анализа выставочной продукции команды.
Примечание: Обратитесь к Важной информации о Командах Отладки перед использованием команд отладки.
Соответствующая информация
Запросы о комментариях (RFCs)
Примеры конфигурации и технические примечания
© 1992-2014 Cisco Systems, Inc. Все права защищены.
Дата генерации PDF файла: 26 декабря 2014
http://www.cisco.com/cisco/web/support/RU/107/1070/1070142_nac_oob.html