Foro en Español

Reply
Super Contributor I
Posts: 290
Registered: ‎11-05-2012

Nac clearpas

Estimados estoy en una disyuntiva, necesito de su apoyo en esto.

Estoy configurando onguard con switches Cisco 2960. Me he percatado que estos modelos no soportan la identificación del host, es decir que por mas que active el ip Device Tracking el switch no conoce la session del dispositivo ya sea por mab u 802.1x. Por lo tanto cuando el dispositivo pasa por el proceso de validación en el servicio de onguard y no cumple con las políticas de validación, al momento de enviar el Cisco session termination, esta no se ejecuta, cuando veo en el service el mensaje CoA sale session not matching. Mi problema viene acá, como entonces hago para cambiar la vlan al usuario, si no puedo realizar este cambio por CoA?

Algguien ha pasado por esto? Que sugerencia de configuración me dan.

Super Contributor I
Posts: 290
Registered: ‎11-05-2012

Re: Nac clearpas

Estimados:

 

Algún consejo o solución a mi problema?

 

Saludos,

Moderator
Posts: 881
Registered: ‎07-29-2010

Re: Nac clearpas

Si el switch no soporta CoA puedes hacer un "SNMP bounce". Para ello tienes que habilitarlo en Administration > Server Confguration > Service Parameters > Async network services.

 

Pruebalo y dinos qué tal te va.

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Super Contributor I
Posts: 290
Registered: ‎11-05-2012

Re: Nac clearpas

También tengo que habilitar snmp en el switch?
Moderator
Posts: 881
Registered: ‎07-29-2010

Re: Nac clearpas

Claro :)

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Super Contributor I
Posts: 290
Registered: ‎11-05-2012

Re: Nac clearpas

Hola Samuel, me funcionó correctamente. Em detalle es que esto lo tengo que hacer desde el onguard activity. Mi problema es el siguiente, que pasa si el usuario al ingresar con onguard pasa todo el proceso de validación e ingresa correctamente. Que pasa si por ejemplo el usuario deshabilita el firewall y onguard detecta y me pone en cuarenta. Como puedo hacer para desconectar al menos al usuario, ya que CoA del switch no está soportado. Alguna sugerencia? Como lo configuro?
Moderator
Posts: 881
Registered: ‎07-29-2010

Re: Nac clearpas

En caso de tener el agente instalado en el cliente no te hace falta hacer SNMP bouce. Una vez tienes agente puedes utilizar un enforcement de tipo "Agent based". Cuando haces el enforcement así es el propio agente NAC el que hace un "bounce" de la tarjeta de red del cliente.

 

 

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
Showing results for 
Search instead for 
Did you mean: