Poltica solucin propietaria es una XOS extremo apoyado en todo G2 devices plus la X770 , todo

devices and IdentiFiWireless EOS que proporciona el control del trfico y la manipulacin . El
trfico ser remitido a velocidad de lnea.
Estas acciones incluyen:
El trfico lo permite
Negar el trfico
Control de ancho de banda
Priorizar el trfico
Asignacin de una clase especfica de servicio (CoS) / Calidad de Servicio ( QoS ) Tag
Especificacin de envase que contiene DA cola de trfico o para una VLAN particular, la asignacin
de VLAN.

Interruptores / Wireless Controller

La poltica funciona mejor con interruptores extremos que apoyen la poltica.
RFC 3580 interruptores se pueden utilizar con menos funcionalidad (VLAN solamente).
Nota: Si los conmutadores de acceso no son extremas otra solucin consiste en agregar hasta ms
de 9000 usuarios en un interruptor S-Series.
Extreme NetSight
y OneView y el Mdulo Administrador de directivas dentro de la NetSight Extreme son las
herramientas de configuracin de directivas.
La autenticacin del servidor
Con el fin de cumplir de manera efectiva las reglas de poltica de comunicacin de red apropiados
para el papel comercial del usuario del dispositivo o de la conexin a la red, una identidad debe ser
establecido para ese usuario o dispositivo. Centrada en el usuario y tecnologas de autenticacin
de mquina centrada en la capa de acceso de la infraestructura de la red deben ser empleados
para identificar al usuario y / o dispositivo, como una impresora, telfono, cmara, dispositivo de
almacenamiento, etc. autenticacin permite entonces que para la autorizacin de el uso de la red
apropiada por la asociacin del usuario o dispositivo a un papel de organizacin apropiada. Estos
tipos de autenticacin trabajan en conjunto con los servicios de AAA estndar de la industria tales
como servidores RADIUS y servicios de directorio (LDAP) para autenticar usuarios y sistemas de
extremo en el entorno de red.

Los productos Extreme apoyan la aplicacin de la poltica de capa 2 que analiza

el trfico en el borde de acceso . Cada usuario / dispositivo puede ser colocado
en sus propios QoS / contenedor de seguridad recursos de la red de suministro
directamente al punto de conexin de red. Por lo tanto , la seguridad puede ser
aplicada antes de trfico entra en la red , no despus de trfico entra en la
red , el consumo de ancho de banda. Otros fabricantes de equipos utilizan ACL
a los recursos de red de provisin a los usuarios contenidos dentro de las
VLAN .
La aplicacin extrema de la poltica a la capa fsica soporta verdaderos QoS de
extremo a extremo en que las garantas de calidad de servicio son
aprovisionados desde el punto de conexin a la red , y no aguas arriba en la
primera interfaz de enrutado . Por lo tanto , las garantas de calidad de servicio
son mucho ms robustos dejando caer trfico no deseado entre en la red y el
consumo de ancho de banda necesarios para las aplicaciones de misin crtica.

A pesar de que la estructura de una arquitectura de red habilitada poltica puede variar de una
organizacin a otra , todas las implementaciones generalmente tomar la forma mostrada
anteriormente .
Extreme traduce el nivel de negocio o de la red de distribucin de directivas a lo que llamamos
"funciones" . Esto define la responsabilidad del trabajo especfico y la funcin de los empleados y
grupos de empleados (ingeniera , ventas, finanzas, etc.) individuales .
A nivel de la prestacin de servicios , los recursos de red se asignan a los grupos definidos en
funcin de si o no el "papel " se permite el acceso al recurso ( s ) o niega el acceso . Esto incluira
tambin "Asignacin de trfico " consideraciones tales como la cantidad de ancho de banda debe
asignarse a los distintos protocolos que estn permitidos .
Por ltimo , a nivel de dispositivo , reglas de clasificacin se definen los cuales , a su vez , se
agrupan lgicamente para formar los servicios que sern distribuidos a los roles para proporcionar
la estructura poltica como se define por la direccin y TI .

En poltica, se describi anteriormente que tres niveles de configuracin de la poltica entregan

aprovisionamiento basado en papel de los recursos de la red. Pero, cmo funciona este mapa a la
configuracin de los interruptores? funciones de poltica en la Poltica NetSight son en realidad los
perfiles de poltica dentro de la CLI de conmutadores Extreme ', mientras que las reglas de poltica
de NetSight son las reglas de poltica de los dispositivos. Por lo tanto, las funciones de poltica, tal
como se define en la Poltica NetSight, tambin pueden ser referidos como perfiles de polticas.
Tenga en cuenta que los servicios son, de hecho, no se ha configurado en los dispositivos.
Servicios actan slo como una agrupacin de normas de clasificacin de Poltica NetSight para
fines de organizacin, y no son utilizados por los interruptores.
En poltica, los roles de poltica estn asociados a servicios que son, a su vez, asociado a las
normas de clasificacin de manera transitiva relativos funciones de poltica a las reglas de poltica.
En los dispositivos, esta relacin es directa donde los roles de poltica estn asociados
directamente a las reglas de poltica como se ha descrito anteriormente. La lgica subyacente por
esta traduccin se lleva a cabo por la Poltica de NetSight.
Utilice el "modelo de poltica espectculo" para ver los roles y reglas de poltica "Show" para ver las
reglas.

En este ejemplo hay cuatro funciones: "administrador de red", "Facultad", "estudiante" y "Visitante."
Cada funcin define un conjunto distinto de los recursos de red que se asignan para poner fin a los
sistemas cuando el papel se asigna al puerto.
La funcin "Facultad" se asocia con los servicios de "Denegar Protocolos de administracin",
"Denegar Uso inaceptable", y "Denegar Legado Protocolos". Cada uno de estos servicios contiene
un conjunto de reglas de clasificacin, cada uno de los cuales implementa la lgica de la
clasificacin del trfico de mltiples capas implementado a nivel de puerto para definir un conjunto
de recursos de la red. Cuando se asigna la funcin "Facultad" a un puerto, todo el trfico recibido
en este puerto es manipulada por las reglas de clasificacin definidos en los servicios. As, un
sistema de extremo que se ha asignado la funcin "Facultad" tendr ningn TFTP, el trfico de
Telnet y SNMP que genera descartado en el puerto de conexin, tal como se define por el servicio
"Denegar protocolos administrativos", as como la respuesta DHCP, RIP, OSPF, Apple, DECNet, e
IPX, tal como se define por el "Denegar uso inaceptable" y servicios "Legado protocolos". se
permitir que el resto del trfico en la red.
Para soportar la flexibilidad de la red de aprovisionamiento de recursos con la poltica, los servicios
pueden ser asignados a ms de una funcin, si el papel exige el mismo conjunto de recursos de
red definidos por el servicio. Por ejemplo, en esta figura el papel "Estudiante" se asocia a los
mismos servicios que el papel "Facultad" adems de la "Denegar el Servicio Agrcola Facultad de
servidor". Un sistema final asignado la funcin de la poltica de "estudiante" se denegar el acceso
al TFTP, Telnet, SNMP, DHCP recibida, RIP, OSPF, Apple, DECNet, e IPX de los "Protocolos de
administracin", "uso aceptable", y "protocolos heredados "servicios. Adems, todo el trfico
destinado al rango de direcciones IP utilizada por la comunidad de servidores de la facultad
tambin ser descartada en la entrada a la red, tal como se define por el servicio "Denegar
Facultad de servidores".

La asignacin de directivas se puede dividir en ya sea la poltica esttica y dinmica poltica.

Poltica esttica -es una poltica (conjunto de reglas) se define para ser aplicado a un puerto del
switch o una VLAN, suponiendo que los paquetes ya estn etiquetados VLAN a la entrada.
Poltica de puerto anular cualquier PVID y clase de ajustes de servicio definidos en el puerto a
travs de la consola o la gestin local.
Funcin de nivel de dispositivo se aplica a un puerto. Tambin domina todas PVID y clase de
ajustes de servicio, y prevalece sobre cualquier clase de configuracin de servicio definido en el
papel a nivel de puerto. No exime a cualquier nivel de control de acceso por defecto definido en el
papel a nivel de puerto.
Poltica dinmica -depende la autenticacin y autorizacin de usuarios individuales, en el que la
informacin de autorizacin contiene (entre otras cosas) un nombre de una poltica / papel que
debe aplicarse a todas las tramas / paquetes hacia o desde la estacin en la que ese usuario se ha
autenticado. Poltica dinmica se aplican en funcin de la clasificacin que incluye el cliente
(estacin) direccin MAC de origen.

La poltica es un punto crtico para la integracin de una implementacin extrema NAC

tanto para habilitar la autenticacin de puerto, as como la elaboracin de polticas de
modificador disponibles para su uso por NAC.

Despus de haber descubierto los interruptores en la red, puede iniciar Administrador

de directivas de cualquier based application Java o utilizar la pgina de inicio.
La recomendacin es usar OneView siempre que sea posible.

OneView y Policy Manager proporciona la capacidad de crear mltiples configuraciones

de poltica por lo que le permite agrupar sus funciones y dispositivos en dominios de
polticas . Un dominio de polticas contiene cualquier nmero de funciones y un

conjunto de dispositivos que son asignadas a ese dominio en particular . Los dominios
de polticas se gestionan de forma centralizada en la base de datos y se comparten
entre los clientes de poltica . Por ejemplo , una universidad puede tener un dominio
dormitorio con una configuracin de directiva creada para los estudiantes , y un
dominio de administracin con una configuracin de polticas para el personal o los
diferentes tipos de dispositivos se pueden separar porque no todas las funciones de la
Directiva son compatibles con todos los dispositivos .

Crear un dominio de polticas para reas especficas de la red en la que la

configuracin de la poltica de los dispositivos ser consistente.
La primera vez que miras las Polticas, que se encuentran en el dominio
predeterminado Poltica. Puede gestionar toda su red en el dominio predeterminado
Poltica, o puede crear varios dominios, cada uno con una configuracin poltica
diferente, y asignar los dispositivos de red para el dominio apropiado. Por defecto, el
dominio predeterminado Poltica est pre-cargado con un archivo de base de datos
Policy Manager (PMD) Demo.pmd llamada. Las funciones, servicios, reglas, pertenencia
a la VLAN, y la clase de servicio en esta configuracin inicial definen una aplicacin
sugerida de cmo el trfico de red puede ser manejado. Este es un punto de partida
para una nueva implementacin de polticas y con frecuencia necesitar personalizar
para aprovechar al mximo el poder de una red habilitada de polticas.

El Director de Poltica predeterminada de dominio est pre- cargado con un archivo de

base de datos Poltica de llamada Demo.pmd que proporciona un conjunto de funciones
de poltica para ser utilizado en un entorno de acceso Polticas NAC ) . Estas funciones
definen una implementacin sugerida de cmo el trfico de red puede ser manejado .
Este es un punto de partida para un nuevo despliegue de polticas y, a menudo precise
personalizarse para aprovechar al mximo el poder de una red habilitada de polticas.
El archivo Demo.pmd puede ser tambin importados de un archivo en el Administrador
de directivas . En el men Archivo , seleccione Importar elemento seguido por la
importacin subtema de archivo. Cuando la importacin del cuadro de dilogo de
archivo, seleccione el botn Examinar y seleccione el archivo Demo.pmd . Complete el
cuadro de dilogo seleccionando el botn Seleccionar todo seguido de los elementos
existentes de sobrescritura de casilla de verificacin . Seleccione el botn Aceptar para
completar el cuadro de dilogo Importar archivo.

Roles / Servicios carpeta : se utilizan para definir las funciones de negocio identificados
dentro de la organizacin .
En Funciones / Servicios , funciones de poltica pueden ser creados para definir un
conjunto de recursos de red que se asignarn a un sistema final . En el ejemplo anterior
, varios roles se definen : Administrador, Enterprise Access , el usuario Enterprise y el
acceso de invitado , tal como est configurado por defecto en el archivo demo.pmd de
Poltica .
Haga clic en la carpeta funciones en el panel izquierdo, en la pestaa principal Roles .
El papel tableprovides una visin general de la configuracin de las funciones de
poltica , incluyendo el control de acceso predeterminada, la configuracin
predeterminada de CoS y el nmero de reglas de clasificacin se asignan a la funcin
poltica .
El Asistente para clases, se puede utilizar para configurar un nuevo papel de poltica ,
servicios y reglas asociadas , el Asistente para clases, slo es accesible desde Policy
Manager.

Contener VLAN -Cualquier que coincida con el atributo de trfico a la VLAN

especificada. Si no se selecciona la casilla de verificacin de control de acceso , la
trama ser manejado por control de acceso de la funcin de la poltica si se especifica,
o el PVID del puerto se recibi el paquete en . Tenga en cuenta que tanto la CoS y
casillas de verificacin de control de acceso pueden seleccionarse al mismo tiempo.
Esto implementa la combinacin de reglas de clasificacin , tales como delantero y la
prioridad.
Por ejemplo , si el trfico es igual a " Permiso " ser la salida etiquetada VLAN1000 . La
definicin de una contenida a la VLAN para una regla de poltica tambin ajustar el ID
de VLAN cuando se sincroniza con NAC.

Clasificacin procedencia de las reglas: determina qu regla de clasificacin se

utiliza si hay varias reglas de clasificacin coincide con un paquete de entrada y las
acciones entre las reglas de clasificacin son contradictorios; por ejemplo, una regla
podra asignar el paquete a una VLAN, mientras que la otra regla dice para descartar el
paquete. Tenga en cuenta que el orden de precedencia regla de clasificacin se
organiza sobre la base del atributo en el que se basa la clasificacin. Un valor inferior
denota una mayor prioridad.
Tenga en cuenta que para cualquier regla de clasificacin, una mscara puede o no
puede ser especificado con varias longitudes (apoyo mscara para las reglas de
clasificacin es dependiente de la plataforma). Por lo tanto, si hay varias reglas de
clasificacin se configuran con el mismo atributo con diferentes longitudes de mscara,
la regla de clasificacin coincidente con el mejor partido (mayor longitud de la
mscara) tiene precedencia ms alta.
Tenga en cuenta que las plataformas que soportan las reglas de origen y de destino de
socket clasificaciones IP, como la S o la serie K, no apoyan explcitamente las reglas de
clasificacin de direcciones IP de origen y la direccin IP de destino. reglas de
clasificacin de las direcciones IP de origen y destino direcciones IP se configuran
utilizando una mscara de 32 bits para la toma de IP de origen y de destino toma de
reglas de clasificacin IP.

Dispositivos -a base de datos con los dispositivos en los que se desplegaran las
polticas definidas . Estos dispositivos forman el " borde activo " de la red .
Grupos puerto -permite el administrador de red para crear agrupaciones lgicas de
puertos en la red de la organizacin poltica y el despliegue de autenticacin en
Administrador de directivas .
Un administrador de red puede utilizar cualquiera de los dos grupos predefinidos de
puerto (por ejemplo, los puertos del panel posterior ) o grupos de puertos definidos por el
usuario . Utilice el Asistente de configuracin de puertos para configurar un grupo de
puertos al mismo tiempo con una seleccin .

Los interruptores del sistema final utilizados por el sistema de NAC se deben agregar a
Administrador de directivas NetSight . Para integrar los dispositivos administrados en
Poltica haga clic en Abrir / Administrar dominio ( s ) , y seleccione la opcin de men "
Asignar dispositivos de dominio " .
Cuando la ventana " Asignar dispositivos de dominio " aparece expandir el rbol Todos
los dispositivos , seleccione los interruptores del sistema final , y despus haga clic en
el botn de flecha para importar los interruptores necesarios en el dominio actual .
Seleccione el botn OK para terminar la tarea de importar los interruptores del sistema
final en la poltica .

Administrador de directivas ofrece trfico basado en polticas de reflejo de la

funcionalidad que permite a los administradores de red para supervisar el trfico
recibido en un puerto particular en la red, mediante la definicin de una clase de trfico
que va a ser duplicado (reflejado) a otro puerto en el mismo dispositivo en el que el
trfico puede entonces analizar. Trfico de reflejo se puede configurar para una regla
(basado en una clasificacin del trfico) o como una accin predeterminada papel. Slo
el trfico de entrada se puede reflejar mediante la duplicacin del trfico basado en
polticas, y la configuracin de duplicacin del trfico tiene prioridad sobre la creacin
de reflejo normal basada en el puerto.
utiliza la duplicacin de grupos de puertos de trfico Administrador de directivas
existentes (creados mediante la ficha grupos de puertos) para especificar los puertos
que se enviar el trfico de espejo para el seguimiento y anlisis. Cuando un usuario
final se conecta al dispositivo que se encuentran los puertos especificados, y se le
asigna el papel que tiene el trfico de reflejo configurado, entonces hay un espejo de
trfico establecido para el puerto del usuario final conectado. Sin embargo, si el usuario
final se le asigna un papel que no tiene trfico de reflejo configurado, o si el usuario
final se conecta a un dispositivo que no tiene ningn puerto en los grupos de puertos
especificados, entonces existir ningn espejo trfico.
Los ejemplos de cmo se puede utilizar la duplicacin del trfico incluyen:
Como reflejo del trfico de los usuarios sospechosos en funcin de su direccin MAC o
IP.
Monitoreo de llamadas VoIP por direccin IP o rango de puertos.

Reflejo de trfico a los sistemas IDS optimizados, por ejemplo un sistema para todo el
trfico HTTP (para buscar sitios web sospechosos) o un sistema para todos los
mensajes de correo electrnico (en busca de correo no deseado).

En el despliegue NAC la funcin de duplicacin de puertos se puede hacer cumplir en el

puerto de enlace ascendente desde el mando inalmbrico o puerto de acceso para
supervisar el trfico DHCP y NetBIOS . En este ejemplo , el puerto Electrodomsticos
eth1 NAC est conectado a ge.1.48 en el interruptor. Un papel esttica se aplica al
puerto del switch que reflejar DHCP y NetBIOS trfico que NAC utilizar para resolver
MAC a la direccin IP .
Para llevar a cabo Kerberos Curioseando en la puerta de entrada NAC tendr que
configurar un puerto espejo ( SPAN ) para enviar trfico (necesidad de filtrar a slo los
paquetes de Kerberos en un entorno de produccin ) a la segunda interfaz de la puerta
de entrada NAC . Este puerto espejo o bien se puede configurar en el conmutador de
acceso , donde los sistemas de extremo de prueba estn conectados a l o en el
interruptor de centro de datos que est conectado el Directorio Activo . La
configuracin adicional que hay que hacer en la pasarela de NAC para habilitar
Kerberos espionaje .

Despus del final interruptores del sistema se han agregado al dominio de polticas y
de que haya terminado su configuracin.
La poltica puede aplicar la configuracin a los sistemas finales que sern gestionadas
por NAC Hasta que esto no cumplir se ha llevado a cabo no hay ninguna configuracin
poltica de la anterior devices.seen
La opcin de comprobar el dominio que permite ver si hay diferencias en la
configuracin de dispositivos a lo que es en la Poltica de NetSight.

Para completar la integracin de una Poltica permitido SwitchWith el sistema NAC es

activar la autenticacin a nivel mundial sin tener que habilitar la autenticacin . Este es
un paso necesario para que los parmetros de autenticacin especficos se pueden
configurar los puertos del switch antes de la autenticacin est habilitada en el
interruptor .
Primero seleccione la ficha Autenticacin del administrador de polticas . Si el tipo de
autenticacin se establece en Ninguno , entonces debe ser cambiado . Seleccione la
autenticacin de varios usuarios y de- seleccionar el parmetro a travs de Internet .
Este 802.1x permitir y autenticacin MAC que se utilizan para la autenticacin de red.

Para configurar los parmetros del puerto especficos regresan a la pestaa

Informacin Ver y ampliar la lista de puertos para el interruptor del sistema final NAC .
La autenticacin debe estar desactivado durante al menos el puerto de enlace
ascendente . Haga clic en el puerto de enlace ascendente del interruptor y seleccione
Propiedades en el men. En el cuadro de dilogo Propiedades de puerto seleccione la
ficha Configuracin de la autenticacin y luego seleccione el botn radial inactivo
durante el comportamiento de autenticacin .

Despus de desactivar la autenticacin en el puerto de enlace ascendente haga clic de

nuevo en el puerto de enlace ascendente y seleccione la opcin Freeze para detener la
poltica de ser aplicada al puerto de enlace ascendente . Esto evitar cualquier prdida de
conectividad de administracin al conmutador del usuario final .

Volver a la ficha de autenticacin Policy Manager y cambiar el botn de opcin de

autenticacin de estado para el estado Habilitado . Seleccione el botn Aplicar para
completar la integracin Policy Manager con el sistema de NAC .
Despus de seleccionar el botn Aplicar el cuadro de dilogo de autenticacin de
estado aparece ofreciendo el ajuste del nivel de puerto. A medida que los puertos se
han ajustado manualmente seleccione la opcin " Continuar sin establecer ningn
Puertos en Inactivo Papel / Default " . Esta ventana se utiliza para verificar que la
autenticacin de nivel de puerto se ha configurado correctamente, de modo que no se
encierre el exterior del switch .