A HCAP protokollal integrálhatja a Microsoft hálózatvédelmi (NAP) megoldását a Cisco Network Admission Control rendszerrel. Amikor a HCAP protokollt hálózati házirend-kiszolgáló (NPS) és hálózatvédelmi rendszerekkel együtt helyezi üzembe, a hálózati házirend-kiszolgáló el tudja végezni a Cisco 802.1X hozzáférésű ügyfelek engedélyezését, beleértve a hálózatvédelmi állapotházirend kényszerítését, míg a Cisco hitelesítési, engedélyezési és nyilvántartási feladatokat ellátó kiszolgálói (más néven AAA-kiszolgálók) végzik a hitelesítést.

A HCAP-kiszolgáló üzembe helyezéséhez a következőt kell tennie:

  1. Helyezzen üzembe hálózatvédelemre képes ügyfélszámítógépeket. Állítsa be az ügyfélszámítógépeket, hogy a Cisco EAP-FAST hitelesítési módszert használják a hálózati hozzáférés során.

  2. Helyezze üzembe a hálózatvédelmi rendszert annak dokumentációja alapján. Ennek keretében el kell végeznie a rendszerállapot-ügynökök beállítását az ügyfélszámítógépeken és a megfelelő rendszerállapot-érvényesítők konfigurálását a hálózati házirend-kiszolgálókon.

  3. Helyezze üzembe a Cisco Network Admission Control rendszert a Cisco üzembe helyezési dokumentációja alapján.

  4. Telepítse a HCAP-kiszolgálót a Kiszolgálókezelő eszközzel elérhető Szerepkörök hozzáadása varázslón keresztül. A HCAP-kiszolgáló a Hálózati házirend- és elérési szolgáltatások kiszolgálói szerepkör egyik szerepkör-szolgáltatása. Amikor telepíti a HCAP-kiszolgálót, a telepítő a további szükséges összetevőket, az Internet Information Services (IIS) szolgáltatást és a hálózati házirend-kiszolgálót is telepíti ugyanarra a számítógépre. Továbbá automatikusan igényel egy kiszolgálói tanúsítványt az IIS-szolgáltatást futtató kiszolgáló számára, így lehetővé teszi SSL- (Secure Sockets Layer-) kapcsolatok létesítését az IIS és a Cisco AAA-kiszolgáló között.

  5. Állítsa be az IIS-szolgáltatást, hogy az figyeljen megadott IP-címeket, amelyeken a Cisco AAA-kiszolgálók engedélyezési kérelmeket küldhetnek.

  6. Adja meg a Cisco AAA-kiszolgálón a HCAP-, NPS- és IIS-szolgáltatásokat futtató kiszolgáló URL-címét, hogy a Cisco AAA-kiszolgáló engedélyezési kérelmeket tudjon küldeni a hálózati házirend-kiszolgálónak.

  7. Állítsa be az NPS-szolgáltatást a HCAP-kiszolgálón RADIUS-proxyként, hogy az továbbítsa az engedélyezési kérelmeket olyan hálózati házirend-kiszolgálókhoz, amelyek egy vagy több távoli RADIUS-kiszolgálócsoport tagjai. Másik lehetőségként beállíthatja a hálózati házirend-kiszolgálót a HCAP-kiszolgálón RADIUS-kiszolgálóként, így a felhatalmazási kéréseket helyileg dolgozhatja fel.

  8. Konfigurálja a hálózati házirend-kiszolgálókat RADIUS-kiszolgálókként az engedélyezés végrehajtásához, amelynek keretében megtörténik a hálózatvédelem üzembe helyezése és a hálózati házirend-kiszolgáló állapotházirendjének létrehozása is. Ha az NPS-HCAP-kiszolgáló egy RADIUS-proxy, amely kapcsolódási kérelmeket továbbít távoli RADIUS-kiszolgálócsoportokban lévő NPS RADIUS-kiszolgálókhoz, be kell állítania a RADIUS-proxyt RADIUS-ügyfélként minden egyes RADIUS-kiszolgálón.

  9. Az NPS RADIUS-kiszolgálókon állítson be a hálózati házirendhez hálózatvédelmi állapotházirendet. Igény szerint a hálózati házirend feltételei tartalmazhatják a HCAP-csoportnevet és HCAP-helycsoportot a hálózatvédelem és a Cisco Network Admission Control rendszer együttműködésének biztosításához. Továbbá a Kiterjesztett állapot feltétellel a hálózati házirendben megadhatja az ügyfélszámítógép azon kiterjesztett állapotát, amely szükséges a hálózati házirendnek való megfeleléshez. A kiterjesztett állapotok a Cisco Network Admission Control rendszer elemei, és az Átmeneti, Fertőzött és Ismeretlen állapotokat foglalják magukba. Ezzel a hálózatiházirend-feltétellel beállíthatja a hálózati házirend-kiszolgálót, hogy engedélyezze vagy utasítsa el a hozzáférést az ügyfélszámítógép a fenti állapotok egyikeként azonosítható állapota alapján.

Hitelesítési és engedélyezési folyamat

Miután üzembe helyezte a Cisco Network Admission Control rendszert és a hálózati házirend-kiszolgálót a hálózatvédelmi szolgáltatással, a hitelesítési és engedélyezési folyamat a következőképpen működik:

  1. Az ügyfélszámítógép megpróbál hozzáférni a hálózathoz. Az ügyfél megpróbálhat kapcsolódni egy 802.1X hitelesítő kapcsolón keresztül vagy egy 802.1X vezeték nélküli hozzáférési ponton keresztül, amely RADIUS-ügyfélként van beállítva a Cisco AAA-kiszolgálóhoz.

  2. Miután a Cisco AAA-kiszolgáló fogad egy csatlakozási kérelmet a hálózati hozzáférést biztosító kiszolgálótól vagy az útválasztótól, a Cisco AAA-kiszolgáló rendszerállapot-kimutatási adatokat kér az ügyféltől egy EAP-TLV érték elküldésével.

  3. Az ügyfélszámítógépen elérhető rendszerállapot-ügynökök jelentik az épségi állapotot az ügyfélen található NAP-ügynöknek, amely létrehoz egy rendszerállapot-kimutatást, és elküldi azt a Cisco AAA-kiszolgálóra.

  4. A Cisco AAA-kiszolgáló továbbítja a rendszerállapot-kimutatást a HCAP protokollon keresztül a hálózati házirend-kiszolgáló proxynak vagy kiszolgálónak az ügyfélszámítógép felhasználóazonosítójával, számítógép-azonosítójával és helyével együtt.

  5. Ha az NPS-HCAP-kiszolgáló RADIUS-proxyként van beállítva, akkor az hálózati házirend-kiszolgáló továbbítja az engedélyezési kérelmet a megfelelő távoli RADIUS-kiszolgálócsoporthoz. (Ezt a döntést a hálózati házirend-kiszolgáló a beállított kapcsolatkérelem-házirendek kiértékelésével hozza meg.) Ha az NPS-HCAP-kiszolgáló be van állítva RADIUS-kiszolgálóként, akkor az NPS-HCAP-kiszolgáló dolgozza fel az engedélyezési kérelmeket.

  6. Az NPS kiértékeli a rendszerállapot-kimutatást a beállított hálózati házirend alapján, és ha talál egy egyező hálózati házirendet, létrehoz egy rendszerállapot-visszajelzést, amely majd visszakerül az ügyfélhez. Ezt küldi el a rendszer a Cisco AAA-kiszolgálóhoz a HCAP protokollon keresztül a NAP-kényszerítés állapotára vonatkozó adatokkal és a kiterjesztett állapotinformációkkal együtt.

  7. A Cisco AAA-kiszolgáló kiértékeli a NAP-kényszerítésállapotot a Cisco Network Admission Control-házirend alapján, és meghatározza a hálózati hozzáférési profilt.

  8. A Cisco AAA-kiszolgáló elküldi a hálózati hozzáférési profilt a hálózati hozzáférést biztosító kiszolgálónak (a kapcsolónak, az elérési pontnak vagy az útválasztónak). A hálózati hozzáférési profil olyan információkat tartalmaz, amelyek alapján a hálózati hozzáférést biztosító kiszolgáló teljes hozzáférést biztosít, korlátozza a hozzáférési jogokat vagy megtagadja az ügyfélszámítógép hozzáférését.

  9. A Cisco AAA-kiszolgáló visszaküldi a rendszerállapot-visszajelzést az ügyfélszámítógépnek.

  10. Ha az ügyfélkonfiguráció nem felel meg az állapotházirendnek, és a rendszerállapot-visszajelzés szervizelésre utasítja az ügyfelet, akkor az ügyfél megpróbálja végrehajtani a szükséges műveleteket, például szoftverfrissítéseket tölt le vagy konfigurációs beállításokat módosít. A szervizelés után az ügyfél megpróbálja újra elérni a hálózatot, és a hitelesítési és engedélyezési folyamat megismétlődik.

További hivatkozások

Tartalom