#NAC Cisco0704

NAC et 802.
1X : Diffrents tats du
dploiement Vision et ToIP
Prsentation CSIC 7 Avril 2010
Rappel sur le
fonctionnement du 802.1X
2 - Rfrences, date, lieu
Rappel sur la notion de VLANs
802.1x : Dynamic VLAN assignment

Radius request
802.1x ?
RADIUS
Dynamic Vlan assigment
Response
(+ Attributs)
3 Standard IETF Attribute :

Tunnel-Type (64)
Valeur VLAN
Tunnel-Medium-Type (65)
Valeur 802
Tunnel-Private-Group-ID (81)
Name of the vlan,
C97-576463-00
2010 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
802.1X + IPT Solution: Multi-Domain

Authentication (MDA) Host Mode
Voice Domain
Data Domain
SW ITCHPORT
ated
c
i
t
n
the
Au
icate
t
n
e
h
t
Au
oL
EAP
AC
oL, M
EAP
interface fastEthernet 3/48

authentication host-mode multidomain
authentication host-mode multi-domain
C97-576463-00
2010 Cisco Systems, Inc. All rights reserved.
Cisco Confidential
VLANs Vision et ToIP
CLIENT
ACCE
SS
Platform
Origin
W
o
r
k
s
t
a
ti
o
n
C
e
rt
if
i
c
a
t
e
WIRED
Vision
TOTAL{Home-Domain}
WIRED
Linux
TOTAL{Home-Domain}
WIRED
Vision
TOTAL{Other-Domain}
WIRED
ANY
PARTNER
WIRED
ANY
GUEST
WIRED
Phone
IP-PHONE
WIFI
Vision
TOTAL{Home-Domain}
WIFI
Vision
TOTAL{Other-Domain}
WIFI
PRT
PARTNER
WIFI
ALL
GUEST
AUTHENTICATION
Directo
U
USER/
ry
S
PASS
Check
E
WOR
R
D
C
e
rt
if
i
c
a
t
e
AD
CONFORMITY
RESULT
Security
Zone
(VLAN)
Assignment
Sa
nit
y
ch
ec
k
Workstation
compliant?
Y
N
ZSC
Z QUARANTINE
Z Linux
Linux
AD {Other
Domain}
Z Other Domains
Partner
LDAP
Z Partner
LDAP
Z Wired Guest
VOIP VLAN
Total User
LDAP
ZSC
QUARANTINE
Z Other Domains
Partner
LDAP
Z Partner
Z Wireless Guest
Etats P du NAC : Poste Vision

P=Poste de Travail
Points cls lors de la mise en uvre du NAC

Lactivation du NAC sur la ToIP est indpendante de lactivation du NAC
pour le poste de travail Vision.
Il ny a pas de VLAN guest pour la ToIP , il en rsulte que
lactivation du NAC pour la ToIP conduit de fait un tat NAC
Enforced , et limpossibilit pour tout poste de travail (Vision ou
autre poste) daccder en direct au rseau ToIP.
On obtient donc un niveau de scurit beaucoup plus leve pour linfra ToIP,
mme si le NAC enforced na pas t mis en uvre pour les postes de travail.
Dans cet tat labsence de mise en uvre du cloisonnement des Vlans rend
toutefosi visible le Vlan ToiP depuis les Vlans data
La mise en uvre du NAC Enforced sur le Poste de travail, via la mise

en place du cloisonnement des VLANs, permet une augmentation
sensible du niveau de scurit de la ToiP
- Rfrences, date, lieu
Les tats P prliminaires

Etat P0 : sans NAC
Pas de mise en uvre du NAC
Dploiement du certificat machine sur les postes Vision (utilisation pour
SCCM ou dautres usages que le NAC)
Activation des VLAN de production
Etat P1 : NAC Infra Ready

Mise niveau des infrastructures conformes aux pr requis 802.1X
Etat sans NAC +
Mise niveau ou remplacement des switchs avec les pr requis 802.1X
Etat P2 : NAC Ready

Activation de lauthentification rseau pour les postes Vision , pas de
contrle daccs pour les postes non Vision
NAC Infra Ready +
Intgration des switchs dans le serveur Radius de production
Activation de lagent 802.1X sur les postes Vision
Les tats P avec contrle daccs actif

Etat P3 : NAC Enforced
Activation de lauthentification rseau pour les postes Vision , activation du
VLAN Guest pour les postes non contrls
NAC ready +
Activation du VLAN Guest et du cloisonnement entre VLANs (ACLs)
Etat P4 : NAC + Remdiation

Activation de lauthentification rseau et de la remdiation pour les postes
Vision , activation du VLAN Guest pour les postes non contrls
Etat NAC Enforced +
Activation de lagent NAP sur les postes Vision
Intgration du NPS (Network Policy Server)
Activation NAP sur infrastructure SCCM
Activation licence SNAC sur infrastructure SEPM
Activation du VLAN de remdiation
10
Etats T du NAC : Tlphone IP
Les tats T
Etat T0 : sans NAC
Pas de mise en uvre du NAC
Activation du VLAN ToIP
Etat T1 : NAC Infra Ready

Mise niveau des infrastructures conformes aux pr requis 802.1X
Etat sans NAC +
Mise niveau ou remplacement des switchs avec les pr requis 802.1X
Mise niveau ou remplacement des Tlphones IP avec les prrequis
802.1X
Etat T2 : NAC Enforced

Activation de lauthentification rseau pour les Tlphones IP
NAC Infra Ready +
Intgration des switchs dans le serveur Radius de production
Intgration des Tlphones IP dans le serveur Radius de production
12
Etats PxTx du NAC : Poste

Vision + Tlphone IP
Les Etats du NAC : PxTx

Plusieurs combinaisons dtats sont possibles que nous noterons PxTx
Nous ne conserverons donc que les plus pertinentes, en consquence
les combinaisons P0T1, P0T2, P2T1, P3T1, P4T1 ne seront pas
retenues.
Liste des tats en cours de dploiement
Etat P0T0 : pas de mise en uvre du NAC

Etat P1T1 : mise niveau des infrastructures Lan et ToIP
Etat P1T2 : mise en uvre du NAC enforced pour la ToIP uniquement
Etat P2T2 : NAC ready pour les postes Vision et NAC enforced pour la ToIP
Etat P3T2 : NAC enforced pour les postes Vision et la ToIP
Etat P4T2 : NAC + remdiation pour les postes Vision, NAC enforced pour
la ToIP
Etats P1T0, P2T0, P3T0, P4T0 : Etats temporaire correspondant au

dploiement de la tlphonie sur IP avec des tlphones IP non
compatibles au 802 .1X
14
Rcapitulatif : Tableau des tats possible
T0
15
P0
P1
P2
P3
P4
T1
T2
Benchmark : Rfrences de
dploiement du NAC
Quelques Rfrences (sources Cisco et Juniper) dbut 2010
Socit
nationalit Framew
ork
Cisco
MBDA
Franaise
ACCOR
Franaise
EXXON MOBIL
CHEVRON
TEXACO
BANCHAK
PETROLEUM
17
O (ACS
4.1)
N
N
(Microsoft ) O
N
(Microsoft ) N
N (Juniper ) N
N (Juniper ) N
remarques
ACL gres par

5 000 Solfoft/NP
Authent poste et
30 000 utilisateur
NC
O
O
N
O
O
N (Juniper) O
3 000 Deploiement France

10 000
500 000
en cours de
2 000 dploiement
Amricaine NC
Amricaine NC
N (Juniper ) O
N (Juniper) O
O
N
O
O
100 000
35 000 4 000 sites
Amricaine NC
Britannique NC
Sudoise NC
N (Juniper) O
N (Juniper) O
N (Juniper ) N
O (ACS
4.1)
N
N
N
O
N
N
O
20 000
8 500
10 000
20 000
N (Juniper) N
N (Juniper) N
AREVA
Franaise N
BOEING
Amricaine NC
LOCKEED MARTIN Amricaine NC
CARREFOUR
GENERAL
ELECTRIC
7-ELEVEN
BANK OF NEW
YORK
UNITED UTILITIES
ERICSSON
Ptrolires
Radius
Cisco
Deploiem
conform partena
ent
nombre
it
ire
internatio
de
/invit
nal
postes
Franaise
Amricaine O
Amricaine NC
Thailandais
e
NC
9 000 Dploiement sige
3 000

#NAC Cisco0704

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

#NAC Cisco0704

Transféré par

Droits d'auteur :

Formats disponibles

NAC et 802.

Prsentation CSIC 7 Avril 2010

2 - Rfrences, date, lieu

Rappel sur la notion de VLANs

802.1x : Dynamic VLAN assignment

3 Standard IETF Attribute :

2010 Cisco Systems, Inc. All rights reserved.

802.1X + IPT Solution: Multi-Domain

interface fastEthernet 3/48

authentication host-mode multi-domain

2010 Cisco Systems, Inc. All rights reserved.

VLANs Vision et ToIP

Etats P du NAC : Poste Vision

7 - Rfrences, date, lieu

Points cls lors de la mise en uvre du NAC

La mise en uvre du NAC Enforced sur le Poste de travail, via la mise

- Rfrences, date, lieu

Les tats P prliminaires

Etat P1 : NAC Infra Ready

Etat P2 : NAC Ready

- Rfrences, date, lieu

Les tats P avec contrle daccs actif

Etat P4 : NAC + Remdiation

- Rfrences, date, lieu

Etats T du NAC : Tlphone IP

11 - Rfrences, date, lieu

Etat T1 : NAC Infra Ready

Etat T2 : NAC Enforced

- Rfrences, date, lieu

Etats PxTx du NAC : Poste

13 - Rfrences, date, lieu

Les Etats du NAC : PxTx

Etat P0T0 : pas de mise en uvre du NAC

Etats P1T0, P2T0, P3T0, P4T0 : Etats temporaire correspondant au

- Rfrences, date, lieu

Rcapitulatif : Tableau des tats possible

- Rfrences, date, lieu

16 - Rfrences, date, lieu

Quelques Rfrences (sources Cisco et Juniper) dbut 2010

ACL gres par

3 000 Deploiement France

9 000 Dploiement sige

Vous aimerez peut-être aussi