#NAC Cisco0704

7/25/2019 #NAC Cisco0704

1/17

Prsentation CSIC 7 Avril 2010

NAC et 802.1X : Diffrents tats du

dploiement Vision et ToIP

7/25/2019 #NAC Cisco0704

2/17

appel sur le

fon!tionnement du 802.1X

2 - Rfrences, date, lieu

7/25/2019 #NAC Cisco0704

3/17

appel sur la notion de V"ANs

7/25/2019 #NAC Cisco0704

4/17

2010 Cisco Systems, Inc All ri!"ts reserved Cisco ConfidentialC#7-$7%&%'-00 &

802.1x : Dynamic VLAN assignment

(3 Standard IETF Attri!te :( T!nne"#Ty$e %&'(

Valeur VLAN

T!nne"#)edi!m#Ty$e %&*(Valeur 802

T!nne"#+ri,ate#-r!$#ID %81(

Name of the vlan,

)ynamic *lan assi!mentRes+onse Attri.uts/

RA)IS

Radius reuest0213 4

7/25/2019 #NAC Cisco0704

5/17

7/25/2019 #NAC Cisco0704

6/17

V"ANs Vision et ToIP

ACC+$$

C"I+NT AT*+NTICATI/N C/N/%IT +$"T

Platform /riin

3or4stationCertifi

!ate

$+Certifi!ate

$+5PA$$3/D

Dire!tor6C'e!4

$anit6

!'e!4

3or4station!ompliant7

$e!urit6 one(V"AN)

Assinment

5IR9) *ision 686A:;ome-)omain< = A) => ?SC@ ? ARA@6I@9

5IR9) :inu3 686A:;ome-)omain ?SC

@ ARA@6I@9

5II *ision 686A:;8t"er-)omain< = ? 8t"er )omains

5II PR6 PAR6@9R = Partner

:)AP

? Partner

5II A:: B9S6 ? 5ireless Buest

7/25/2019 #NAC Cisco0704

7/17

+tats P du NAC : Poste Vision

P9Poste de Traail

; - Rfrences, date, lieu

7/25/2019 #NAC Cisco0704

8/17

Points !ls lors de la mise en uest ? pour la ToIP , il en rsulte @ue

l=a!tiation du NAC pour la ToIP !onduit de fait un tat > NAC

+nfor!ed ?, et l=impossiBilit pour tout poste de traail (Vision ou

autre poste) d=a!!der en dire!t au rseau ToIP.

8n o.tient donc un niveau de scurit .eaucou+ +lus leve +our lEinfra 6oIP,mFme si le G @AC enforced H nEa +as t mis en uvre +our les +ostes de travail

)ans cet tat lEa.sence de mise en uvre du cloisonnement des *lans rendtoutefosi visi.le le *lan 6oiP de+uis les *lans data

"a mise en

7/25/2019 #NAC Cisco0704

9/17

"es tats P prliminaires

+tat P0 : sans NAC

Pas de mise en uvre du NAC )+loiement du certificat mac"ine sur les +ostes *ision utilisation +our

SCCD ou dEautres usa!es ue le @AC/Activation des *:A@ de +roduction

+tat P1 : > NAC Infra ead6 ?

Mise niveau des infrastructures conformes aux pr requis 802.1

9tat sans @AC Dise J niveau ou rem+lacement des sKitc"s avec les +r reuis 021L

+tat P2 : > NAC ead6 ?

Activation de !"aut#entification rseau pour !es postes $ision % pas decontr&!e d"acc's pour !es postes non $ision

@AC Infra Ready Int!ration des sKitc"s dans le serveur Radius de +roductionActivation de lEa!ent 021L sur les +ostes *ision

- Rfrences, date, lieu

7/25/2019 #NAC Cisco0704

10/17

"es tats P ae! !ontrle d=a!!Es a!tif

+tat PF : > NAC +nfor!ed ?

Activation de !"aut#entification rseau pour !es postes $ision % activation du$(AN )uest pour !es postes non contr&!s

@AC ready Activation du *:A@ Buest et du cloisonnement entre *:A@s AC:s/

+tat PG : > NAC # emdiation ?

Activation de !"aut#entification rseau et de !a remdiation pour !es postes

$ision % activation du $(AN )uest pour !es postes non contr&!s

9tat @AC 9nforced Activation de lEa!ent @AP sur les +ostes *ision Int!ration du @PS @etKorM Policy Server/

Activation @AP sur infrastructure SCCDActivation licence S@AC sur infrastructure S9PDActivation du *:A@ de remdiation


7/25/2019 #NAC Cisco0704

11/17

+tats T du NAC : Tlp'one IP


7/25/2019 #NAC Cisco0704

12/17

"es tats T

+tat T0 : sans NAC

Pas de mise en uvre du NACActivation du *:A@ 6oIP

+tat T1 : > NAC Infra ead6 ?

Mise niveau des infrastructures conformes aux pr requis 802.1

9tat sans @AC Dise J niveau ou rem+lacement des sKitc"s avec les +r reuis 021L Dise J niveau ou rem+lacement des 6l+"ones IP avec les +rreuis

021L

+tat T2 : > NAC +nfor!ed ?

Activation de !"aut#entification rseau pour !es *!p#ones +P@AC Infra Ready

Int!ration des sKitc"s dans le serveur Radius de +roduction Int!ration des 6l+"ones IP dans le serveur Radius de +roduction


7/25/2019 #NAC Cisco0704

13/17

+tats PHTHdu NAC : Poste

Vision # Tlp'one IP

1F - Rfrences, date, lieu

7/25/2019 #NAC Cisco0704

14/17

"es +tats du NAC : PHTH

Plusieurs !omBinaisons d=tats sont possiBles @ue nous noterons PHTH

Nous ne !onsererons don! @ue les plus pertinentes, en !ons@uen!e

les !omBinaisons P0T1, P0T2, P2T1, PFT1, PGT1 ne seront pas

retenues.

"iste des tats en !ours de dploiement

9tat P0T0N +as de mise en uvre du @AC 9tat P1T1N mise J niveau des infrastructures :an et 6oIP 9tat P1T2N mise en uvre du G @AC enforced H +our la 6oIP uniuement 9tat P2T2 N @AC ready +our les +ostes *ision et G @AC enforced H +our la 6oIP 9tat PFT2N G @AC enforced H +our les +ostes *ision et la 6oIP 9tat PGT2 : G @AC remdiation H +our les +ostes *ision, G @AC enforced H +our

la 6oIP

+tats P1T0, P2T0, PFT0, PGT0 : +tats temporaire !orrespondant au

dploiement de la tlp'onie sur IP ae! des tlp'ones IP non

!ompatiBles au 802 .1X

1G - Rfrences, date, lieu

7/25/2019 #NAC Cisco0704

15/17

!apitulatif : TaBleau des tats possiBle

+0 +1 +2 +3 +'

T0 / / / / /

T1 /

T2 / / / /


7/25/2019 #NAC Cisco0704

16/17

Jen!'mar4 : fren!es de

dploiement du NAC

1K - Rfrences, date, lieu

7/25/2019 #NAC Cisco0704

17/17

Luel@ues fren!es (sour!es Cis!o et Muniper) &dBut 2010

1; - Rfrences, date, lieu

Scitnatina"it

Frame

risc

4adi!sisc

cn5rmit

$artenaire

6in,it

De$"iement

internatina"

nmrede

$stesremar7!es

"#$A %ran&aise '' (A)*4+- N ' ' . 000

A)L res 1ar*olfoft/N

A))' %ran&aise 'N("icrosoft - ' ' ' 30 000

Authent 1oste etutilisateur

AEVA %ran&aise N N("icrosoft - N N) N 3 000$e1loiement %rance#'EN5 Amricaine N) N (6uni1er - N ' ' 0 000L')7EE$ "AN Amricaine N) N (6uni1er - N ' ' .00 000

)AE%'9 %ran&aise ' N (6uni1er- ' ' ' 2 000en cours !e!1loiement

5ENEALELE)) Amricaine N) N (6uni1er - ' ' ' 00 000:ELEVEN Amricaine N) N (6uni1er- ' N ' 3. 0004 000 sites#AN7 '% NE;

Documents

#NAC Cisco0704