Salah satu poin yang paling rentan dari jaringan adalah akses tepi. Lapisan akses adalah di mana pengguna akhir terhubung ke jaringan. Di masa lalu, administrator jaringan sebagian besar bergantung pada keamanan fisik untuk melindungi bagian dari jaringan. Pengguna yang tidak sah tidak diizinkan untuk memasuki sebuah gedung yang aman di mana mereka bisa plug ke jaringan, dan mahasiswa tidak membawa komputer dengan mereka. Saat ini, kontraktor dan konsultan teratur memiliki akses untuk mengamankan daerah, dan mahasiswa membawa laptop tidak mengejutkan. Sekali di dalam, tidak ada yang mencegah kontraktor atau mahasiswa dari memasukkan ke soket dinding dan mendapatkan akses ke jaringan perusahaan. Tidak perlu untuk memasukkan kantor karyawan untuk melakukan hal ini. Ruang konferensi sering menawarkan akses jaringan melalui jack di tembok atau bahkan switch desktop yang. Setelah terhubung ke jaringan, setiap orang (karyawan, kontraktor, konsultan, tamu, mahasiswa, dan pengguna yang jahat) memiliki akses ke semua sumber daya pada jaringan.
Apa yang biasa disebut lapisan akses dalam desain jaringan adalah akhir bisnis jaringan, bagian dari jaringan yang pengguna Anda melihat dan berinteraksi dengan. Para pengguna akhir tidak melihat atau menghargai kekuatan runtuh distribusi lapisan inti Anda, keanggunan rencana menangani Anda, atau jenius akhir Anda untuk mengakhiri desain jaringan. Pengguna Anda lebih teknis mungkin dapat mengidentifikasi port RJ-45 atau akses WLAN titik jika diminta, namun sebagian besar pengguna hanya mengharapkan jaringan untuk berada di sana. Pelatihan pengguna menggunakan akses difokuskan pada kecil-semakin kecil semakin baik-jumlah langkah pengguna harus melalui untuk mendapatkan akses ke aplikasi jaringan mereka.
Pada saat yang sama menyediakan akses jaringan rumit sederhana bagi pengguna, lapisan akses memberikan garis pertama pertahanan keamanan untuk jaringan, memberikan diferensiasi layanan berdasarkan kebijakan manajemen,, memberikan kekuatan untuk mendukung penyebaran perangkat khusus.
Peran dapat dibagi secara luas menjadi bidang-bidang berikut:
• Akses lapisan keamanan
• Akses lapisan QoS
• Akses lapisan Power-over-Ethernet (PoE)
Access Layer Security
Lapisan akses adalah di mana perangkat jaringan klien Anda secara langsung terhubung ke jaringan Anda. Anda ingin hubungan mereka menjadi seperti efisien, sederhana, dan aman mungkin. Ini melibatkan mengendalikan yang mengakses jaringan dan layanan apa. Mengontrol akses mungkin sesederhana memblokir akses, atau mungkin melibatkan pengalihan atau mengkarantina tindakan.
Untuk melanjutkan umum metafora keamanan bagian dari pengendalian batas juga mengamati perilaku yang tidak pantas di perbatasan juga dapat mengakibatkan akses diblokir.
Sekolah SRA menggunakan asli Cisco beralih fitur dan produk keamanan Cisco untuk menyediakan layanan kontrol batas. Alat utama untuk keamanan lapisan akses di sekolah adalah sebagai berikut:
• Fitur Catalyst Keamanan Terpadu (CISF)
• Cisco Clean Access (NAC)
Jaringan Layanan Jaringan • Cisco Identity-Based (IBNS)
Ketika menerapkan fitur keamanan, pertimbangan perlu dibuat pada persyaratan klien menggunakan lapisan akses. Di Sekolah SRA, koneksi client berikut dianggap:
• Ethernet port PC client
• port Printer
• port telepon IP
• Wireless klien
• port AP
• Akses lapisan PoE
• Akses lapisan QoS
Fitur Catalyst Keamanan Terpadu (CISF) Pelabuhan Dilindungi
Fitur Catalyst Keamanan Terpadu (CISF) termasuk VLAN swasta, keamanan pelabuhan, DHCP mengintip, IPSource Guard, Alamat aman Resolution Protocol (ARP) deteksi, dan pemeriksaan ARP dinamis. Fitur-fitur ini melindungi jaringan terhadap serangan seperti denial-of-service (DoS) serangan infrastruktur man-in-the-middle, spoofing, dan.
• Keamanan Pelabuhan-mana jumlah alamat MAC memungkinkan pada port switch dimonitor, dan switch dapat merespon pelanggaran dengan pesan manajemen dan perubahan status port.
• DHCP mengintip-mana pesan DHCP diperiksa, dan disaring untuk memastikan bahwa pesan-pesan DHCP server hanya datang dari antarmuka terpercaya.
• IPSource Guard-mana lalu lintas IP dibatasi berdasarkan DHCP atau alamat IP statis MAC binding untuk memastikan tuan rumah tidak berusaha untuk menggunakan alamat IP dari host tetangga
• Dinamis ARP inspeksi-mana semua paket ARP dari interface dipercaya diperiksa untuk memastikan bahwa mereka mengandung valid MAC address dan alamat IP pasangan, mencegah serangan ARP spoofing
• Tingkat ARP melakukan pembatasan-mana tingkat berlebihan permintaan ARP (yang harus diproses oleh jaringan host CPU), dan saklar merespon dengan pembatasan akses jika tingkat ini terlampaui.
• Storm Control-Mencegah lalu lintas di LAN dari yang terganggu oleh siaran, multicast, atau badai unicast
CISF Port Configuration
switchport port-keamanan maksimum 2
switchport port-security
port-security switchport penuaan waktu 2
pelanggaran switchport port-security membatasi
switchport port-security Jenis penuaan tidak aktif
ip arp inspeksi tingkat batas 100
ip dhcp mengintip tingkat batas 100
tingkat siaran badai-kontrol 20.00 10.00
tingkat multicast badai-kontrol 50.00 30.00
Ports NAC Dilindungi
Bagian ini membahas dia Cisco NAC Appliance (juga dikenal sebagai Cisco Clean Access) di Sekolah SRA. Hal ini tidak dimaksudkan untuk menjadi panduan komprehensif tentang solusi Cisco NAC Appliance sendiri. Bab ini berfokus pada prinsip-prinsip desain NAC Appliance umum dan bagaimana mereka berlaku untuk komponen Sekolah SRA.
Cisco NAC Appliance adalah produk NAC mudah digunakan yang menggunakan infrastruktur jaringan untuk menegakkan kepatuhan kebijakan keamanan pada semua perangkat mencari ke sumber daya jaringan akses komputasi. Dengan Cisco NAC Appliance, administrator jaringan dapat mengotentikasi, wewenang, mengevaluasi, dan memperbaiki kabel, nirkabel, dan pengguna remote dan mesin mereka sebelum akses jaringan. Cisco NAC Appliance mengidentifikasi apakah perangkat jaringan seperti laptop, atau telepon IP telah sesuai dengan kebijakan keamanan jaringan, dan perbaikan kerentanan sebelum mengizinkan akses ke jaringan.
Ketika digunakan, Cisco NAC Appliance memberikan manfaat sebagai berikut:
• Mengakui pengguna, perangkat mereka, dan peran mereka dalam jaringan. Langkah pertama ini terjadi pada titik otentikasi, sebelum kode berbahaya dapat menyebabkan kerusakan.
• Mengevaluasi apakah mesin telah sesuai dengan kebijakan keamanan. Kebijakan keamanan dapat mencakup spesifik anti-virus atau perangkat lunak anti-spyware, update OS, atau patch. Cisco NAC Appliance mendukung kebijakan yang bervariasi menurut jenis pengguna, jenis perangkat, atau sistem operasi.
• Memaksa kebijakan keamanan dengan memblokir, mengisolasi, dan memperbaiki mesin non-compliant.
• mesin Non-compliant diarahkan ke jaringan karantina, di mana perbaikan terjadi pada kebijaksanaan administrator.
Gambar 9-1 menunjukkan empat fungsi utama dari NAC berikut:
• Otentikasi dan otorisasi
• Scan dan mengevaluasi
• Karantina dan menegakkan
• Update dan meremediasi
Untuk gambaran yang lebih mendalam dari Clean Access Server dan bersih Access Manager, lihat situs berikut ini:
• Cisco NAC Appliance-Clean Instalasi Access Server dan Panduan Administrasi http://www.cisco.com/application/pdf/en/us/guest/products/ps7122/c1626/ccmigration_09186a00807a4090.pdf
• Cisco NAC Appliance-Clean Instalasi Access Manager dan Panduan Administrasi http://www.cisco.com/en/US/docs/security/nac/appliance/configuration_guide/45/cam/45cam-book.html
Cisco Clean Access Components
Cisco NAC Appliance adalah solusi terintegrasi jaringan-centric dikelola dari Cisco Clean Manajer Akses web konsol dan ditegakkan melalui Clean Access Server dan (opsional) Bersih Access Agen atau Cisco NAC Web Agen. Cisco NAC Appliance memeriksa sistem klien, memberlakukan persyaratan jaringan, mendistribusikan patch dan perangkat lunak antivirus, dan karantina rentan atau terinfeksi klien untuk perbaikan sebelum klien mengakses jaringan. Cisco NAC Appliance terdiri dari komponen yang ditunjukkan pada Gambar 9-2.
Akses Clean Manager (CAM)
CAM adalah server administrasi untuk Clean Access penyebaran. Konsol web yang aman dari Clean Access Manager adalah titik manajemen untuk 20 Access Server Bersih dalam penyebaran (atau 40 CAS jika menginstall SuperCAM a). Untuk Out-of-Band (OOB) penyebaran, konsol web admin memungkinkan Anda untuk mengontrol switch dan VLAN penugasan port pengguna melalui penggunaan SNMP. Di Sekolah SRA, CAM akan berlokasi di kantor kecamatan.
Akses Clean Server (CAS)
CAS adalah server penegakan antara untrusted (dikelola) jaringan dan jaringan terpercaya. CAS memberlakukan kebijakan yang sudah Anda tetapkan di konsol CAM admin web, termasuk hak akses jaringan, persyaratan otentikasi, pembatasan bandwidth, dan persyaratan sistem Access Clean. Anda dapat menginstal CAS baik sebagai alat standalone (seperti Cisco NAC-3300 Series) atau sebagai modul jaringan (Cisco NME-NAC-K9) dalam chassis Cisco ISR dan menyebarkan di-band (selalu sejalan dengan lalu lintas pengguna) atau OOB (inline dengan lalu lintas pengguna hanya selama otentikasi / penilaian postur).
CAS juga dapat digunakan dalam modus Layer 2 (pengguna Layer-2-berdekatan dengan CAS) atau Layer 3 modus (pengguna beberapa Layer-3 hop jauh dari CAS). Anda juga dapat menyebarkan beberapa CAS berbagai ukuran / kapasitas agar sesuai dengan kebutuhan dari berbagai segmen jaringan. Anda dapat menginstal peralatan Seri Cisco NAC-3300 di kantor pusat inti perusahaan Anda, misalnya untuk menangani ribuan pengguna dan sekaligus menginstal satu atau lebih modul jaringan Cisco NAC di platform ISR untuk menampung kelompok-kelompok yang lebih kecil dari pengguna di kantor satelit, misalnya.
Di Sekolah SRA, CAS akan terletak di lokasi sekolah dan kabupaten, dan itu akan digunakan untuk menyediakan Layer-2 atau Layer-3 OOB penilaian otentikasi / postur.
Bersih Access Agent (CAA)
CAA adalah opsional agen read-only yang berada pada klien Windows. Ia memeriksa aplikasi, file, layanan, atau kunci registri untuk memastikan bahwa klien memenuhi jaringan dan perangkat lunak persyaratan tertentu Anda sebelum mendapatkan akses ke jaringan.
Catatan Tidak ada klien pembatasan firewall dengan penilaian CAA postur. Agen dapat memeriksa registri klien, layanan, dan aplikasi bahkan jika firewall pribadi diinstal dan berjalan.
Jika NAC diimplementasikan sebagai bagian dari Sekolah SRA dianjurkan bahwa CAA digunakan.
Cisco NAC Web Agen
Cisco NAC Web Agen menyediakan penilaian postur sementara untuk mesin klien. Pengguna meluncurkan executable Cisco NAC Web Agen, yang menginstal file Web Agen di direktori sementara pada komputer klien melalui kontrol ActiveX atau Java applet. Ketika pengguna mengakhiri sesi Web Agen, Agen Web log pengguna off dari jaringan dan ID pengguna mereka menghilang dari daftar Pengguna Online.
Bersihkan Kebijakan Access Update
Regular update dari dikemas kebijakan / aturan yang dapat digunakan untuk memeriksa status up-to-date sistem operasi, antivirus (AV), antispyware (AS), dan perangkat lunak klien lainnya. Menyediakan built-in mendukung untuk 24 vendor AV dan 17 AS vendor.
NAC Appliance Mode dan Positioning
NAC Appliance memungkinkan beberapa opsi penyebaran dan dapat ditempatkan di berbagai titik dalam jaringan. Modus operasi secara umum dapat didefinisikan sebagai berikut:
• Out-of-band (OOB) gerbang maya
• OOB IP Gateway
• In-band (IB) gerbang maya
• IB IP gateway nyata
OOB Mode
Penyebaran OOB memerlukan lalu lintas pengguna untuk melintasi melalui NAC Appliance hanya selama otentikasi, penilaian postur, dan perbaikan. Ketika pengguna adalah otentik dan melewati semua pemeriksaan kebijakan, lalu lintas mereka diaktifkan secara normal melalui jaringan dan melewati alat. Lihat Gambar 9-3.
Untuk menyebarkan NAC Appliance cara ini, perangkat klien harus langsung terhubung ke jaringan melalui port switch Catalyst. Setelah pengguna dikonfirmasi dan melewati penilaian postur, Bersih Access Manager (CAM) menginstruksikan saklar untuk memetakan port pengguna dari VLAN yang tidak berkepentingan (yang switch atau lalu lintas rute pengguna ke NAC) ke dikonfirmasi (resmi) VLAN yang menawarkan penuh hak akses. Misalnya, seperti yang ditunjukkan pada Gambar 9-3, klien PC terhubung melalui VLAN 110 ke NAC Clean Access Server untuk otentikasi dan postur penilaian, dan dipindahkan ke VLAN 10 setelah berhasil menyelesaikan otentikasi dan otorisasi, dan memindai dan fase evaluasi kerangka NAC.
In-Band Mode
Ketika NAC Appliance ditempatkan di-band, semua lalu lintas pengguna, baik yang tidak berkepentingan dan dikonfirmasi, melewati NAC Appliance, yang dapat diposisikan secara logis atau fisik antara pengguna akhir dan jaringan (s) dilindungi. Lihat Gambar 9-4 untuk di-band contoh topologi logis dan Gambar 9-5 untuk di-band contoh topologi fisik.
In-Band Virtual Gateway
Ketika NAC Appliance dikonfigurasi sebagai gateway virtual, ia bertindak sebagai jembatan antara pengguna akhir dan default gateway (router) untuk subnet klien yang dikelola. Berikut dua pilihan menjembatani didukung oleh NAC Appliance:
• Transparan-Untuk VLAN klien tertentu, NAC Appliance menjembatani lalu lintas dari untrusted interface untuk antarmuka dipercaya. Karena alat ini menyadari "protokol lapisan atas", secara default blok semua lalu lintas kecuali Bridge Protocol Data Unit (BPDU) frame (pohon rentang) dan protokol yang secara eksplisit diijinkan dalam "tidak sah" peran; misalnya, DNS dan DHCP. Dengan kata lain, itu memungkinkan mereka protokol yang diperlukan untuk klien untuk menghubungkan ke jaringan, otentikasi, menjalani penilaian postur, dan perbaikan. Pilihan ini layak ketika NAC Appliance diposisikan secara fisik di-band antara pengguna akhir dan jaringan hulu (s) dilindungi, seperti yang ditunjukkan pada Gambar 5.
• Pemetaan-VLAN ini mirip dalam perilaku dengan metode transparan kecuali bahwa daripada menjembatani VLAN yang sama dari sisi untrusted ke sisi dipercaya alat, dua VLAN digunakan. Misalnya, Klien VLAN 131 didefinisikan untuk antarmuka untrusted dari NAC Appliance. Tidak ada antarmuka dialihkan atau beralih antarmuka virtual (SVI) terkait dengan VLAN 131. VLAN 31 dikonfigurasi antara antarmuka terpercaya dari NAC Appliance dan next-hop interface router / SVI untuk subnet klien. Aturan pemetaan dibuat dalam NAC Appliance yang meneruskan paket tiba pada VLAN 131 dan ke depan mereka VLAN 31 dengan menukar informasi tag VLAN. Proses ini dibalik untuk paket kembali ke klien. Perhatikan bahwa dalam mode ini, BPDU tidak lulus dari VLAN untrusted-sisi ke rekan-rekan sisi mereka yang terpercaya.
Pilihan pemetaan VLAN biasanya dipilih saat NAC Appliance diposisikan secara logis di-band antara klien dan jaringan dilindungi. Ini adalah pilihan menjembatani yang harus digunakan jika NAC Appliance akan dikerahkan dalam mode gateway virtual.
In-Band Nyata IP Gateway
Ketika NAC Appliance dikonfigurasi sebagai "nyata" IP gateway, itu berperilaku seperti router dan meneruskan paket antara interface-nya. Dalam skenario ini, satu atau lebih VLAN klien / subnet berada di belakang untrusted interface. NAC Appliance bertindak sebagai gateway default untuk semua klien yang berada pada jaringan tersebut. Sebaliknya, VLAN tunggal / subnet didefinisikan pada interface dipercaya, yang merupakan jalur ke jaringan hulu dilindungi (s).
Setelah otentikasi klien berhasil dan penilaian postur, NAC Appliance oleh rute standar lalu lintas dari jaringan untrusted ke trusted interface, di mana ia kemudian diteruskan berdasarkan topologi routing jaringan.
NAC Appliance saat ini tidak mampu mendukung protokol routing dinamis. Dengan demikian, rute statis harus dikonfigurasi dalam sisi terpercaya dari Layer 3 jaringan untuk setiap subnet klien berakhir pada atau berada di belakang untrusted interface. Rute-rute statis harus referensi, sebagai hop berikutnya, alamat IP dari antarmuka terpercaya dari NAC.
Jika satu atau lebih Layer-3 hop ada antara antarmuka NAC dipercaya dan subnet akhir-klien, rute statis ke jaringan klien harus dikonfigurasi dalam NAC Appliance. Demikian juga, rute default statis (0/0) diperlukan dalam hilir Layer 3 jaringan (referensi alamat IP dari antarmuka NAC untrusted) untuk memfasilitasi perilaku default routing dari jaringan klien ke NAC Appliance.
Tergantung pada topologi, ada beberapa pilihan untuk memfasilitasi routing untuk dan dari NAC Appliance, termasuk rute statis, VRF-Lite, MPLS VPN, dan teknik segmentasi lainnya. Hal ini di luar cakupan panduan desain ini untuk memeriksa semua metode yang mungkin.
In-Band Versus Out-of-Band
Out-of-Band Karakteristik Deployment
Access Clean Server (CAS) selalu sejalan dengan lalu lintas pengguna (baik sebelum dan otentikasi berikut, penilaian postur dan remediasi). Penegakan dicapai melalui yang inline dengan lalu lintas.
Access Clean Server (CAS) sejalan dengan lalu lintas pengguna hanya selama proses otentikasi, penilaian dan remediasi. Setelah itu, pengguna lalu lintas tidak datang ke CAS. Penegakan dicapai melalui penggunaan SNMP untuk mengendalikan switch dan tugas VLAN ke port.
CAS dapat digunakan untuk aman mengontrol lalu lintas pengguna dikonfirmasi dan tidak berkepentingan dengan menggunakan kebijakan lalu lintas (berdasarkan port, protokol, subnet), kebijakan bandwidth, dan sebagainya.
CAS dapat mengontrol lalu lintas pengguna selama otentikasi, penilaian dan remediasi fase, tetapi tidak dapat melakukannya pasca-perbaikan karena lalu lintas adalah out-of-band.
Tidak memberikan saklar kontrol tingkat pelabuhan
Menyediakan kontrol port-tingkat dengan menetapkan port ke VLAN tertentu yang diperlukan
In-Band penyebaran didukung ketika deploying untuk jaringan nirkabel
Wireless OOB memerlukan topologi jaringan tertentu dan konfigurasi.
Cisco NAC Appliance In-Band penyebaran dengan didukung Cisco switch kompatibel dengan 802.1x
Cisco tidak menyarankan menggunakan 802.1x dalam penyebaran OOB, karena konflik kemungkinan akan ada di antara Cisco NAC Appliance OOB dan 802.1x untuk mengatur VLAN pada switch interface / port.
Out-of-Band Persyaratan
Pelaksanaan OOB dari Cisco NAC Appliance membutuhkan switch dan Controller Wireless LAN didukung oleh perangkat lunak Cisco NAC Appliance. Semua switch diuji sebagai bagian dari pengembangan Sekolah SRA, selain dari Cisco Catalyst 2975, yang didukung oleh Cisco NAC OOB, dan Controller Wireless LAN juga didukung oleh perangkat lunak NAC Appliance yang digunakan dalam panduan desain ini. Jika Catalyst 2975 akan digunakan sebagai saklar akses dengan Cisco NAC Appliance, solusi NAC harus menjadi solusi di-band.
Catatan Untuk mendapatkan daftar terbaru dari perangkat yang didukung, memeriksa versi terbaru dari Cisco NAC Appliance-Clean Instalasi Access Manager dan Panduan Administrasi di URL berikut: http://www.cisco.com/en/US/docs/security/ nac / alat / configuration_guide / 45 / cam / 45cam-book.html
Out-Of-Band, Layer 2 dan Layer 3
Desain yang diusulkan untuk Sekolah SRA adalah desain OOB, agar kinerja tertinggi dan skalabilitas untuk lalu lintas yang telah melewati otentikasi, penilaian postur, dan tahap perbaikan dari NAC. Sekolah SRA menawarkan dua pilihan lapisan akses yang berbeda, Layer-2 lapisan akses untuk sekolah-sekolah kecil dan hibrida Layer-2 / Layer-3 lapisan akses untuk sekolah yang lebih besar. Ini berarti bahwa baik Layer-2 solusi OOB atau Layer-3 solusi OOB NAC dapat digunakan.
NAC Deployment di Sekolah SRA
Sekolah SRA menyediakan solusi Cisco NAC Appliance di setiap jenis situs, Kantor Kecamatan, School Site 1, dan School Site 2, dengan CAM di Kantor Kecamatan, dan CAS di Kantor Kecamatan dan Web Sekolah. Dalam masing-masing jenis situs yang berbeda CAS terhubung langsung ke inti / distribusi.
Topologi sederhana yang digunakan dalam situs Sekolah SRA berarti bahwa VLAN dari lapisan akses ke untrusted interface dari NAC Appliance selalu tersedia sebagai komponen standar desain, dan lalu lintas dipercaya seharusnya tidak perlu terowongan ke CAS. Hal ini memungkinkan umum konfigurasi jaringan, untuk mendukung NAC pada salah satu situs Sekolah, terlepas dari apakah perangkat klien menggunakan model akses Layer-2 atau Layer-3. Sebagai klien dapat menggunakan koneksi Layer-2 ke untrusted interface dari NAS baik Layer 2 atau Layer 3 mode akses (ini memerlukan batang antara Layer-3 akses saklar dan inti / distribusi. Salah satu VLAN bagasi akan membawa VLAN dipercaya, dan VLAN lainnya routing IP untuk semua lalu lintas lainnya), dan VLAN digunakan sekali klien dipercaya akan baik menjadi layer-2 akses VLAN dari inti / switch distribusi atau layer-3 akses saklar VLAN tergantung pada kebutuhan situs.
Hal ini diilustrasikan pada Gambar 9-6 dan Gambar 9-7. Pada Gambar 9-6, ada Layer-2 koneksi NAC OOB sederhana di mana perangkat klien pada koneksi awal ke jaringan diberikan VLAN 264, yang menghubungkan mereka langsung ke untrusted interface dari NAS. Pemetaan antarmuka ini melalui antarmuka NAC VLAN 64 dipercaya memungkinkan klien untuk mendapatkan alamat IP yang dimiliki pada VLAN 64. Untuk melakukan tindakan diizinkan oleh klien tidak dipercaya, setelah selesai keberhasilan fungsi NAC, saklar akses diinstruksikan, via SNMP, untuk mengubah VLAN klien untuk VLAN 64. meskipun klien telah berubah layer-2 VLAN koneksi layer-3 jaringan tidak berubah.
Dalam Gambar 9-7, proses yang sama diikuti ketika klien tidak dipercaya, tapi setelah klien telah berhasil menyelesaikan fungsi NAC yang saklar akses diinstruksikan melalui SNMP untuk mengubah VLAN klien untuk VLAN 67-subnet lokal ke switch akses . Sebagai Layer-3 informasi untuk klien telah berubah saklar juga diperintahkan untuk "bouncing" port switch klien untuk memulai permintaan DHCP baru untuk alamat IP yang tepat untuk VLAN 67.
Konfigurasi CAS dan CAM
CAS dan CAM konfigurasi awal dilakukan melalui langsung pada server interface, dan ini dijelaskan dalam panduan instalasi, Cisco NAC Appliance Instalasi Hardware, Release 4.1. Selama tahap konfigurasi beberapa langkah harus diikuti dalam mengkonfigurasi NAC Appliance dengan alamat IP, VLAN. password, dll panduan instalasi berisi lembar kerja membantu pengumpulan dan penyusunan informasi ini untuk kedua CAM dan CAS.
Setelah CAM (s) dan CAS (s) dikonfigurasi mereka dapat dikonfigurasi dengan antarmuka web mereka. Hampir semua solusi NAC Appliance dapat dikonfigurasi melalui CAM, dan itu telah diakses melalui HTTPS ke alamat IP yang ditetapkan selama tahap konfigurasi alat.
Tugas pertama pada CAM sebelum konfigurasi awal adalah instalasi lisensi untuk solusi. Izin harus diinstal untuk CAM, dan server CAS bahwa kontrol CAM. Cisco NAC Appliance Memesan Panduan, memberikan informasi mengenai pilihan pemesanan.
Lisensi dapat dimasukkan melalui antarmuka web CAM, sebagai menunjukkan pada Gambar 9-8.
Menambahkan CAS untuk CAM
Untuk server CAS untuk dikelola oleh CAM, itu harus ditambahkan ke daftar server yang dikelola di CAM. Untuk melakukannya CAM perlu mengetahui alamat IP dari CAS, dan Jenis Server (perannya dalam jaringan) dari CAS. Selain ini CAS dan CAM harus memiliki rahasia bersama sama. Rahasia bersama dikonfigurasi selama instalasi server. Contoh menambahkan CAS untuk CAM, ditunjukkan pada Gambar 9-9.
Setelah CAS telah ditambahkan ke CAM, itu muncul dalam daftar server di CAM. Dari titik ini, dapat dikelola langsung dari CAM untuk hampir semua tugas. Contoh daftar server ditunjukkan pada Gambar 9-10.
Mengelola CAS
Setelah CAS dalam daftar server yang dikelola oleh CAM, dapat dikonfigurasi lebih lanjut untuk perannya dalam jaringan. Untuk mengelola server klik ikon di bawah Kelola menuju daftar server, ini akan menghubungkan Anda ke server CAS dan hadir dengan menu summary ditunjukkan pada Gambar 9-11.
Di bawah CAS Jaringan pengaturan tab, yang ditunjukkan pada Gambar 9-12. pengaturan jaringan dasar untuk CAS dapat dilihat dan diubah, jika diperlukan. Dalam contoh ini, kami menjaga konfigurasi jaringan dilakukan selama instalasi server. Dialog utama di bawah Tab Network adalah dialog IP, yang ditunjukkan pada Gambar 9-12, dialog lain memungkinkan opsi DHCP ke dikonfigurasi-kami contoh menggunakan default DHCP passthrough- dan pilihan DNS mana nama host, nama domain, dan informasi DNS server ditambahkan, seperti yang ditunjukkan pada Gambar 9-13.
Tab berikutnya dalam konfigurasi CAS adalah Filter tab (lihat Gambar 9-14), untuk tujuan contoh kita dialog penting adalah Peran di mana jaringan filter lalu lintas dapat diterapkan untuk Peran pengguna yang berbeda. Peran bunga pada saat ini adalah default Peran Unauthenticated. Secara default blok Peran Unauthenticated semua lalu lintas. Dalam contoh ini kita memungkinkan Peran Unauthenticated untuk lulus Active Directory lalu lintas otentikasi klien untuk lolos ke Active Directory Sever. Ini akan memungkinkan klien jendela untuk bergabung dengan aktif Directory Domain, dan pengguna windows untuk otentikasi ke domain meskipun mereka belum melalui proses NAC. Hal ini sering penting untuk memungkinkan printer dan informasi pemetaan drive yang akan dikirim ke pengguna winders. Sebagai pengguna telah dikonfirmasi dengan Active Directory Domain informasi otentikasi pengguna mungkin belajar dari Active Directory, dan pengguna tidak harus reauthenticate untuk server NAC.
Catatan Penciptaan Peran dan filter yang terkait dilakukan dalam Manajemen CAM Pengguna -> menu Peran Pengguna.
Tab berikutnya yang memerlukan konfigurasi tab Advanced. Ini memiliki beberapa dialog yang membutuhkan konfigurasi. Yang pertama adalah dialog Subnet Managed, di mana masing-masing subnet VLAN dipercaya ditambahkan ke CAS untuk manajemen. Contoh ini ditunjukkan pada Gambar 9-15.
0 komentar:
Posting Komentar