View
228
Download
0
Category
Preview:
Citation preview
7/25/2019 #NAC Cisco0704
1/17
Prsentation CSIC 7 Avril 2010
NAC et 802.1X : Diffrents tats du
dploiement Vision et ToIP
7/25/2019 #NAC Cisco0704
2/17
appel sur le
fon!tionnement du 802.1X
2 - Rfrences, date, lieu
7/25/2019 #NAC Cisco0704
3/17
appel sur la notion de V"ANs
7/25/2019 #NAC Cisco0704
4/17
2010 Cisco Systems, Inc All ri!"ts reserved Cisco ConfidentialC#7-$7%&%'-00 &
802.1x : Dynamic VLAN assignment
(3 Standard IETF Attri!te :( T!nne"#Ty$e %&'(
Valeur VLAN
T!nne"#)edi!m#Ty$e %&*(Valeur 802
T!nne"#+ri,ate#-r!$#ID %81(
Name of the vlan,
)ynamic *lan assi!mentRes+onse Attri.uts/
RA)IS
Radius reuest0213 4
7/25/2019 #NAC Cisco0704
5/17
7/25/2019 #NAC Cisco0704
6/17
V"ANs Vision et ToIP
ACC+$$
C"I+NT AT*+NTICATI/N C/N/%IT +$"T
Platform /riin
3or4stationCertifi
!ate
$+Certifi!ate
$+5PA$$3/D
Dire!tor6C'e!4
$anit6
!'e!4
3or4station!ompliant7
$e!urit6 one(V"AN)
Assinment
5IR9) *ision 686A:;ome-)omain< = A) => ?SC@ ? ARA@6I@9
5IR9) :inu3 686A:;ome-)omain ?SC
@ ARA@6I@9
5II *ision 686A:;8t"er-)omain< = ? 8t"er )omains
5II PR6 PAR6@9R = Partner
:)AP
? Partner
5II A:: B9S6 ? 5ireless Buest
7/25/2019 #NAC Cisco0704
7/17
+tats P du NAC : Poste Vision
P9Poste de Traail
; - Rfrences, date, lieu
7/25/2019 #NAC Cisco0704
8/17
Points !ls lors de la mise en uest ? pour la ToIP , il en rsulte @ue
l=a!tiation du NAC pour la ToIP !onduit de fait un tat > NAC
+nfor!ed ?, et l=impossiBilit pour tout poste de traail (Vision ou
autre poste) d=a!!der en dire!t au rseau ToIP.
8n o.tient donc un niveau de scurit .eaucou+ +lus leve +our lEinfra 6oIP,mFme si le G @AC enforced H nEa +as t mis en uvre +our les +ostes de travail
)ans cet tat lEa.sence de mise en uvre du cloisonnement des *lans rendtoutefosi visi.le le *lan 6oiP de+uis les *lans data
"a mise en
7/25/2019 #NAC Cisco0704
9/17
"es tats P prliminaires
+tat P0 : sans NAC
Pas de mise en uvre du NAC )+loiement du certificat mac"ine sur les +ostes *ision utilisation +our
SCCD ou dEautres usa!es ue le @AC/Activation des *:A@ de +roduction
+tat P1 : > NAC Infra ead6 ?
Mise niveau des infrastructures conformes aux pr requis 802.1
9tat sans @AC Dise J niveau ou rem+lacement des sKitc"s avec les +r reuis 021L
+tat P2 : > NAC ead6 ?
Activation de !"aut#entification rseau pour !es postes $ision % pas decontr&!e d"acc's pour !es postes non $ision
@AC Infra Ready Int!ration des sKitc"s dans le serveur Radius de +roductionActivation de lEa!ent 021L sur les +ostes *ision
- Rfrences, date, lieu
7/25/2019 #NAC Cisco0704
10/17
"es tats P ae! !ontrle d=a!!Es a!tif
+tat PF : > NAC +nfor!ed ?
Activation de !"aut#entification rseau pour !es postes $ision % activation du$(AN )uest pour !es postes non contr&!s
@AC ready Activation du *:A@ Buest et du cloisonnement entre *:A@s AC:s/
+tat PG : > NAC # emdiation ?
Activation de !"aut#entification rseau et de !a remdiation pour !es postes
$ision % activation du $(AN )uest pour !es postes non contr&!s
9tat @AC 9nforced Activation de lEa!ent @AP sur les +ostes *ision Int!ration du @PS @etKorM Policy Server/
Activation @AP sur infrastructure SCCDActivation licence S@AC sur infrastructure S9PDActivation du *:A@ de remdiation
10 - Rfrences, date, lieu
7/25/2019 #NAC Cisco0704
11/17
+tats T du NAC : Tlp'one IP
11 - Rfrences, date, lieu
7/25/2019 #NAC Cisco0704
12/17
"es tats T
+tat T0 : sans NAC
Pas de mise en uvre du NACActivation du *:A@ 6oIP
+tat T1 : > NAC Infra ead6 ?
Mise niveau des infrastructures conformes aux pr requis 802.1
9tat sans @AC Dise J niveau ou rem+lacement des sKitc"s avec les +r reuis 021L Dise J niveau ou rem+lacement des 6l+"ones IP avec les +rreuis
021L
+tat T2 : > NAC +nfor!ed ?
Activation de !"aut#entification rseau pour !es *!p#ones +P@AC Infra Ready
Int!ration des sKitc"s dans le serveur Radius de +roduction Int!ration des 6l+"ones IP dans le serveur Radius de +roduction
12 - Rfrences, date, lieu
7/25/2019 #NAC Cisco0704
13/17
+tats PHTHdu NAC : Poste
Vision # Tlp'one IP
1F - Rfrences, date, lieu
7/25/2019 #NAC Cisco0704
14/17
"es +tats du NAC : PHTH
Plusieurs !omBinaisons d=tats sont possiBles @ue nous noterons PHTH
Nous ne !onsererons don! @ue les plus pertinentes, en !ons@uen!e
les !omBinaisons P0T1, P0T2, P2T1, PFT1, PGT1 ne seront pas
retenues.
"iste des tats en !ours de dploiement
9tat P0T0N +as de mise en uvre du @AC 9tat P1T1N mise J niveau des infrastructures :an et 6oIP 9tat P1T2N mise en uvre du G @AC enforced H +our la 6oIP uniuement 9tat P2T2 N @AC ready +our les +ostes *ision et G @AC enforced H +our la 6oIP 9tat PFT2N G @AC enforced H +our les +ostes *ision et la 6oIP 9tat PGT2 : G @AC remdiation H +our les +ostes *ision, G @AC enforced H +our
la 6oIP
+tats P1T0, P2T0, PFT0, PGT0 : +tats temporaire !orrespondant au
dploiement de la tlp'onie sur IP ae! des tlp'ones IP non
!ompatiBles au 802 .1X
1G - Rfrences, date, lieu
7/25/2019 #NAC Cisco0704
15/17
!apitulatif : TaBleau des tats possiBle
+0 +1 +2 +3 +'
T0 / / / / /
T1 /
T2 / / / /
1 - Rfrences, date, lieu
7/25/2019 #NAC Cisco0704
16/17
Jen!'mar4 : fren!es de
dploiement du NAC
1K - Rfrences, date, lieu
7/25/2019 #NAC Cisco0704
17/17
Luel@ues fren!es (sour!es Cis!o et Muniper) &dBut 2010
1; - Rfrences, date, lieu
Scitnatina"it
Frame
risc
4adi!sisc
cn5rmit
$artenaire
6in,it
De$"iement
internatina"
nmrede
$stesremar7!es
"#$A %ran&aise '' (A)*4+- N ' ' . 000
A)L res 1ar*olfoft/N
A))' %ran&aise 'N("icrosoft - ' ' ' 30 000
Authent 1oste etutilisateur
AEVA %ran&aise N N("icrosoft - N N) N 3 000$e1loiement %rance#'EN5 Amricaine N) N (6uni1er - N ' ' 0 000L')7EE$ "AN Amricaine N) N (6uni1er - N ' ' .00 000
)AE%'9 %ran&aise ' N (6uni1er- ' ' ' 2 000en cours !e!1loiement
5ENEALELE)) Amricaine N) N (6uni1er - ' ' ' 00 000:ELEVEN Amricaine N) N (6uni1er- ' N ' 3. 0004 000 sites#AN7 '% NE;
Recommended