Эксперт SkillFactory Сергей Кучеренко о новых трендах в области сетевой безопасности: как ответить новым вызовам, используя уже существующее оборудование Cisco. Смотрите запись вебинара: http://www.youtube.com/watch?v=JzO8bRguh74&hd=1

1. Сетевая безопасность в
2014: новые проблемы и
их решение на базе Cisco
ведущий:
Сергей Кучеренко
14 января 2014
serg.kucherenko@getccna.ru

2. О чем мы поговорим:

Вызовы и ответы на них

Набор необходимых компонентов

Решения отдельных задач

Презентация целостного решения

3. Вызовы и ответы на них
 Доступ для пользователей а не адресов – проводной и беспроводной доступ на
основе групповой принадлежности пользователя для PC и Laptop
 Защита от Web угроз и контроль рабочего времени – политики доступа к Web на
основании групповой или сетевой принадлежности пользователей для PC, Laptop и
мобильных устройств
 BYOD – Значит любит – MDM клиент для мобильных устройств сотрудников, push
сетевых настроек для безопасного подключение я корпоративной сети, установка
корпоративных приложений, защита от утери и кражи устройства

4. Набор необходимых компонентов
Нам понадобится:
 Cisco ISR G2 – IOS 15.3(2)T1 для всей линейки. В этой версии OS будут использованы
следующий компоненты:
 User Based Firewall
 Transparent ZBF
 ScanSafe Connector
 LDAP Server in AAA
 Cisco Wireless LAN Controller – версия ПО начиная с 5.0.148.0 для текущей
демонстрации был использован интегрированный в ISR WLC на основе ISM-SRE-300
с версией ПО 7.4.110.0 В этой версии ПО будут при приготовлении использованы
следующий компоненты:
 WEB Passthrough Authentication
 802.1X Authentication/Authorization

5. Нам понадобится (продолжение):
 Microsoft Windows Server – был использован Windows Server 2008 R2 64-bit со
следующими ролями:
 Доменная Служба Active Directory
 DNS-сервер
 Служба политик сети и доступа (NPS)
 Служба сертификатов Active Directory
 Meraki Systems Manager – облачный Mobile Device Manager, использование данного
продукта бесплатно. В ходе демонстрации используется:
 Push сетевых настроек на мобильные устройства для 802.1x подключений

6. Решения отдельных задач
Представить/Спланировать/Нарисовать
.10
.2
Vlan 95 SF_Mng 192.168.95.0/24
.2
Vlan 96 SF_Open 192.168.96.0/24 .1
.2
Vlan 97 SF_Sales192.168.97.0/24
.1
.2
Vlan 98 SF_TR 192.168.98.0/24
.1
Vlan 50 SF_Data 192.168.32.0/24
.4
.1
G0/0.130 SF_SRV 192.168.30.0/24
G0/0.50 SF_Mng 192.168.95.0/24
SF_Open
.4
G0/0.50 SF_Data 192.168.32.0/24
Vlan 95 SF_Mng – MNG zone
Vlan 50 SF_Data – IN zone
Vlan 96 SF_Open – GUEST zone
Vlan 97 SF_Sales – SALES_WF zone
Vlan 98 SF_TR – TR_WF zone
Vlan 30 SF_SRV – SRV zone
G0/2 – OUT zone
G0/2
Internet
G0/0
Sales
Resources
.20
.10
SF_Corp
Trainer
Resources
Pair
Pair
Pair
Pair
Pair
Pair
Pair
Pair
Pair
Pair
Pair
Pair
IN_OUT
IN_SRV
OUT_SRV
GUEST_OUT
SLAES_WF_SRV
TR_WF_SRV
MNG_MNG
IN_IN
SLAES_WF_OUT
TR_WF_OUT
SLAES_WF_IN
TR_WF_IN

7. Глобальные Этапы:
1. User Based Firewall
2. ScnaSafe Connector
3. WLC Setup
4. MS Network Policy Server setup
5. Meraki Systems Manager setup

8. 1. User Based Firewall
Новый подход позволяющий в качестве match в class-map type inspect использовать user-group
user-group – для получения информации о групповой принадлежности пользователей
используется функционал Authentication Proxy.
Authentication Proxy (Admission) – Функция позволяющая провести аутентификацию
пользователей перед предоставлением сетевого доступа. Аутентификация может проходить с
помощью протоколов:
 Telnet – пользователь инициирует telnet сессию на ресурс, маршрутизатор перехватывает этот
пакет и возвращает пользователю запрос username/password. После ввода проводится
проверка пользователя по одному из доступных способов аутентификации. Если способ
аутентификации это предусматривает нам маршрутизатор возвращается информация о
групповой принадлежности пользователя в случаи успешной аутентификации
 FTP – процесс проходит аналогично за исключением того что пользователь должен
инициировать FTP запрос для начала процедуры аутентификации
 HTTP – для проведения аутентификации используется http или https
при использовании http authentication proxy аутентификация может
проходить в двух режимах:

9. Режимы HTTP аутентификации:
1. HTTP Basic – в этом случае при первом обращении пользователь перенаправляется на адрес
virtual-proxy и всегда видит в browser окно аутентификации. Если на маршрутизаторе не
включен ip http secure-server передача пользовательских login/password происходит в
открытом виде. В случае если secure-server включен аутентификация проходит через https.
Если на маршрутизаторе используется само подписанный сертификат пользователь всегда
будет видеть сообщении об ошибке сертификата:
Для того чтоб ошибка сертификата не появлялась требуется:
 Добавить сертификат маршрутизатор в “Доверенные Центры Сертификации”
 Выписать маршрутизатору сертификат корпоративным или общеизвестным Certificate
Authority
В качестве способов аутентификации могут быть использованы: Local/Radius/LDAP

10. 2. NTLMSSP – в этом режиме так же происходит первоначальное перенаправление на
адрес virtual-proxy, но маршрутизатор пытается получить информацию о
аутентификации пользователя прозрачно запрашивая NTLM enabled browser
(IE/Mozilla/Chrome). В качестве username/password используются те что были введены
при входе в систему *. Credentials пользователя никогда не передаются в открытом
виде, передается их Hash значение. Получив этот hash маршрутизатор отправляет его на
сервер аутентификации.
При использовании NTLMSSP на клиентской стороне следует:
 Для Internet Explorer добавить IP/FQDN Virtual-proxy в список trusted-sites
 Для Firefox при использовании Virtual-Proxy
IP без name может понадобится изменить
файл конфигурации
* - работает только на ПК под управлением
Windows, ПК должны быть членами Domain,
пользовательский вход должен осуществляется
с помощью доменной учетной записи
В качестве способов аутентификации могут быть использованы: LDAP (Только MS AD)

11. Способы аутентификации:
 local – в качестве базы пользователей используется локальная база данных маршрутизатора
при использовании данного подхода нет возможности предоставить групповую информацию
(Для User Based ZBF не применимо)
 radius – в качестве сервера аутентификации используется Radius server (Cisco ACS/Cisco
ISE/Microsoft NPS/…) сервер возвращает на маршрутизатор Vendor Specific AV Pair которая
содержит атрибут “supplicant-group=” указанное здесь значении маршрутизатор
воспринимает как имя группы
 ldap – в качестве сервера аутентификации используется ldap сервер. В таком случае ldap
возвращает группы в которых находится пользователь в атрибуте “memberOF=” IOS в свою
очередь автоматически преобразовывает атрибут “memberOF=” в атрибут “supplicant-group=”
с помощью default attribute map

12. Как это работает?
IP Admission
Rule
AAA
Rule
RADIUS
Authentication Request
HTTP Request
HTTP Redirect to Virtual
Proxy IP IF NTLM with
HASH request
HTTP Request Virtual
Proxy IP IF NTLM with
HASH
Authentication Request
class-map type inspect
match usergroup
Authentication Response
Cisco AV Pair
“supplicant-group=“
policy-map type inspect
class type inspect
inspect
Authentication Request
zone-pair security
LDAP
Authentication Response
HTTP Basic
Attribute
Map
Authentication
Response
“memberOF=“

13. Последовательность настройки User Based Firewall:
1. Настройка серверов аутентификации
a) RADIUS MS в IOS
b) LDAP MS в IOS
c) Настройка Microsoft NAP для возврата информации о группах через Radius
2. Настройка правила AAA для authentication-proxy
3. Настройка политику authentication-proxy
a) Протокол с помощью которого проходит аутентификация/Исключения из
аутентификации/Режима аутентификации/Листов AAA/Virtual IP/Virtual FQDN
b) Изменение таймеров по умолчанию
c) Назначение authentication-proxy на интерфейс
4. Настройка ZBF с использованием Group-Info
5. Проверка настроек

14. Особенности настройки User Based Firewall
b) LDAP MS в IOS
 Создаем и настраиваем LDAP server
R1(config)#ldap server name
name – имя объекта конфигурации, не FQDN сервера
R1(config-ldap-server)#ipv4 address
R1(config-ldap-server)# transport port port (3268 default for MS)
R1(config-ldap-server)#base-dn dn-name
dn-name – точка с которой следует начинать поиск пользователя в домене,
обычно корень домена
R1(config-ldap-server)# bind authenticate root-dn username-dn password password
username-dn – DN пользователя под которым будет подключатся Router,
пользователя должен иметь достаточно прав для проведения search/read/lookup,
далее мы указываем пароль этого пользователя

15. R1(config-ldap-server)# authentication bind-first (начинать аутентификацию с операции bind)
 Создаем AAA server-group
R1(config)#aaa group server ldap name
name – имя элемента конфигурации, для аутентификации через ldap обязательно создание aaa
group server ldap, в эту группу мы добавляем ранее созданный сервер, в дальнейшем эта группа
будет использоваться при создании правил аутентификации/авторизации
R1(config-ldap-sg)#server ldap server name

16. 2. Настройка правил AAA для authentication-proxy
 Включаем AAA Framework
R1(config)#aaa new-model
Данная команда приводит к тому что по всем протоколам удаленного доступа (Telnet/SSH/HTTP)
будет требоваться локальная аутентификация. Перед выполнением следует убедится что на
устройстве задан enable secret и есть хотя бы один пользователь в локальной базе данных:
R1(config)#enable secret password
R1(config)#username name secret password
 Создание правила аутентификации
R1(config)#aaa authentication login list name group {radius|ldap grup name}
list name – имя листа аутентификации, в дальнейшем это имя будет привязываться к
authentication-proxy
{radius|ldap grup name} – Radius указывает что для проведения аутентификации будут
использованы все настроенные radius сервера, если требуется аутентификация через ldap здесь
следует указать имя созданной в шаге 1.b) aaa group server ldap LDAP_GR

17.  Создание правила авторизации
R1(config)#aaa authorization network list name group {radius|ldap grup name}
login list name – имя листа авторизации , в дальнейшем это имя будет привязываться к
authentication-proxy
{radius|ldap grup name} – Radius указывает что для проведения авторизации будут использованы
все настроенные radius сервера, если требуется авторизация через ldap здесь следует указать
имя созданной в шаге 1 b) aaa group server ldap LDAP_GR
3. Настройка политику authentication-proxy
a) Настройка Протокола с помощью которого проходит аутентификация/Исключений из
аутентификации/Режима аутентификации/Листов AAA/Virtual IP/Virtual FQDN
 Исключения
Для исключений создается extended ACL в котором deny строки являются исключением из
правила (ex: Корпоративный AD/DNS сервер)

18.  Протокол для проведения аутентификации
R1(config)#ip admission name auth-proxy name proxy {http|telnet|ftp} list ACL name
auth-proxy name – имя правила authentication-proxy, в последующем именованное правило
назначается на интерфейс. Для всех настроек имя должно совпадать.
{http|telnet|ftp} – протокол который будет использоваться для аутентификации
ACL name – ACL для исключений созданный в предыдущем шаге
 Режим аутентификации для HTTP
R1(config)#ip admission name auth-proxy name {http-basic|ntlm}
R1(config)#ip admission name auth-proxy name order {http-basic|ntlm}
Указываем какой режим пытаться использовать в первую очередь. Обычно устанавливается
такой же режим как и в предыдущем шаге.

19.  Virtual IP/Virtual FQDN
R1(config)#ip admission virtual-ip ip virtual-host name
ip – любой не используемый в сети IP address (ex:1.1.1.1), не может быть адресом
маршрутизатора, на этот адрес маршрутизатор будет перенаправлять браузер для
аутентификации
name – имя на которое будет происходить перенаправление, имя задается не в формате FQDN
(ex:isr-proxy), браузер самостоятельно добавит имя домена текущего сетевого подключения. В
корпоративном DNS должна присутствовать советующая A запись указывающая на virtual IP. Если
задано name перенаправлении всегда идет на имя.
 Листы AAA
R1(config)# ip admission name name method-list authentication list name authorization list name
Указываются имена листов созданных в шаге 2.

20. b) Изменение таймеров по умолчанию
У Auth-proxy существует два основных таймера:
 Inactivity Timer – сколько сессия может быть неактивной прежде чем кэш аутентификации
будет удален (def=60 min)
 Absolute Timer – как долго сессия может длится (def=0 т.е. ограничения нет)
Временные ограничения также могут быть наложены двумя способами:
 Global – для всех ip admission rules
 Per-rule – для каждого ip admission rules name

21. c) Назначение Authentication proxy на интерфейс
Правило назначается на тот интерфейс где мы хотим перехватывать пользовательские запросы и
проводить аутентификацию:
R1(config)#interface type number
R1(config-subif)#ip admission name
name – имя правила authentication proxy созданного в предыдущих шагах
4. Настройка ZBF с использованием Group-Info
При создании class-map type inspect используется способ поиска match-all и в такой class-map
выставляется match user-group, match class-map (match-any) с перечнем приложений, и при
необходимости match access-group для ограничения по IP адресам
Note: Т.к. в правилах auth-proxy были исключения для этих IP следует создавать отдельный класс
или классы и размещать их выше классов с match по user-group в policy-map type inspect

22. 5. Проверка настроек
Для проверки успешного прохождения аутентификации и корректной передачи информации о
группах:
R1#test aaa group radius username password legacy
R1#tes aaa group ldap group username password new-code
Эти тест можно проводить с параллельно включенным debug:
R1#debug radius
R1#debug ldap all
Мониторинг работы auth-proxy:
R1#sh ip admission cache
Очистка Cache:
R1#clear ip admission cache {*|username}
R1#sh ip admission cache username user

23. 2. ScnaSafe Connector
ScanSafe – облачный сервис Web безопасности Cisco решающий ряд задач:
 URL Filtering – пользователю и/или группе может быть задан перечень разрешённых URL
категории (Social Networks/News/…). Категорий могут быть запрещены/разрешены как на
постоянной основе так и на основе временных рамок
 File Filtering – разрешение/запрет передачи файлов определенного типа. Ограничения также
могут быть постоянными либо привязанными к определённым временным диапазонам
 Application Filtering – распознавание и фильтрация различных Web based приложений (ex:
разрешить Facebook но заблокировать Facebook игры)
 Antimalware – защита от зловредного кода по средствам проверки репутации запрашиваемых
сайтов а так же сканирования содержимого этих сайтов

24. ISR и ScanSafe – маршрутизатор Cisco имеет встроенный функционал ScanSafe Connector. Эта
функция позволяет перенаправлять пользовательский HTTP/HTTPS трафик в облако. При
перенаправлении к пользовательскому пакету может быть добавлена информация о
username/group для более гибкого наложения политик доступа. Информация о пользователе и
группе всегда передается в зашифрованном виде.
Перенаправление может осуществляется:
 Без аутентификации – в этом случаи все пользователи трафик которых был направлен для
фильтрации одним ISR будут принадлежать одной default group. Кроме того есть возможность
назначить различные group на разные интерфейсы ISR в этом случае пользователи
находящиеся на разных интерфейсах могут принадлежать разным группам.
 С аутентификацией – ISR будет проводит аутентификацию пользователей и помещать в
перенаправляемый пакет информацию о username/group. Аутентификация работает только
через http/https и может проходить в двух уже известных режимах:
 HTTP Basic
 NTLM

25. Как это работает?
IP Admission
Rule
AAA
Rule
HTTP Request vk.com
HTTP Redirect to Virtual Proxy IP
IF NTLM with HASH request
Authentication Request
HTTP Request Virtual Proxy IP IF
NTLM with HASH
Attribute
Map
Authentication Request
Authentication Response
HTTP Request vk.com
LDAP://Boss
HTTP Basic
HTTP Request vk.com
HTTP Response vk.com
Content Scan
Access Policy
Antimalware
Scan
Authentication
Response
“memberOF=Boss“
LDAP

26. Последовательность настройки IOS ScanSafe Connector:
1. Выдача лицензии
2. Настройка Parameter-Map Content Scan
3. Настройка серверов аутентификации
4. Настройка правила AAA для authentication-proxy
5. Настройка политику authentication-proxy
a) Протокол с помощью которого проходит аутентификация/Исключения из
аутентификации/Режима аутентификации/Листов AAA/Virtual IP/Virtual FQDN
b) Изменение таймеров по умолчанию
c) Назначение authentication-proxy на интерфейс
6. Назначение User-Group на интерфейсах где аутентификация не возможна
7. Включение Content Scan
8. Проверка настроек
9. Базовые настройки на портале администратора

27. Особенности настройки ScnaSafe Connector
1. Выдача лицензии
При покупке сервиса ScanSafe или при заказе демо пользователь получает письмо следующего
содержания:
В письме содержится ссылка на портал администратора а так же временный пароль (должен
быть изменен при первом входе). В качестве имени администратора используется e-mail of IT
contact (нужно указать при заказе)
Зайдя на портал администратора необходимо перейти: Admin>Authentication>Company
Key>Create New После этого ключ будет выслан на почту администратора

28. 2. Настройка Parameter-Map Content Scan
Данный элемент конфигурации отвечает за связь с Proxy Servers облака безопасности.
R1(config)#parameter-map type content-scan global
Переходим в настройки content-can, в IOS может быть только одна parameter-map такого типа
 Задать Proxy Servers
R1(config-profile)#server scansafe primary name server fqdn port http 8080 https 8080
R1(config-profile)#server scansafe secondary name server fqdn port http 8080 https 8080
Указываем FQDN серверов для подключений (из письма). Для перенаправлении http/https по
умолчанию используется порт 8080
 Задать license
R1(config-profile)#license {0|7} key
0 – ключ далее вводится в незашифрованном виде (так он приходит в письме)
7 – ключ вводится в уже зашифрованном виде

29.  Задать Source IP
R1(config-profile)#source address ipv4 address
Здесь указывается адрес внешнего интерфейс с которого будет происходить перенаправление
 Default User-group
R1(config-profile)#user-group group name
group name – имя группы которое будет отправляться в случае когда аутентификацию провести
невозможно.
 Действие в случае отказа облака
R1(config-profile)# server scansafe on-failure {allow-all|block-all}

30. 3. Настройка серверов аутентификации
Выполняется так же как и в случаи Authentication Proxy, в качестве сервера аутентификации
всегда используется LDAP (Рекомендуем MS AD в этом случае можно использовать NTLM)
4. Настройка правила AAA для authentication-proxy
Выполняется так же как для User Based ZBF
5. Настройка политику authentication-proxy
Выполняется так же как для User Based ZBF

31. 6. Назначение User-Group на интерфейсах где аутентификация не возможна – актуально для
интерфейсов за которыми находятся мобильные устройства. Даже Basic аутентификация не
всегда работает адекватно в мобильных OS
7. Включение Content Scan
На внешнем интерфейсе включается функция перенаправления трафика http/https в облако
ScanSafe:
R1(config)#interface type number
R1(config-if)#content-scan out
8. Проверка настроек
Статус подключения к Proxy Servers
R1#show content-scan summary
Проверки аутентификации выполняются так же как для User Based ZBF

32. 9. Базовые настройки на портале администратора
 Создание групп – для дальнейшего применения политик на основе групповой
принадлежности пользователя требуется создать группы на портале администратора:
Admin>Management>Groups>Add Directory Group
LDAP группы должны быть созданы в формате LDAP://Group Name.
Note: Все группы которые отправляет ISR для ScanSafe являются LDAP группами.

33.  Создание Фильтров – фильтр является элементом который идентифицирует URL
категории/Приложения/Типы файлов. В последующем фильтр может быть добавлен в
политику в которой назначается действие
Web Filtering>Management> Filters>Create Filter
 Создание Политик – политик объединяют группу пользователя фильтр и действие
(Allow/Block/Warm/…). Политик могут действовать на постоянной основе или на основе
временных диапазонов
Web Filtering>Management>Policy>Create Rule

34. 1.
2.
3.
4.
Задаем имя политики
Делаем ее активной
Указываем действие
Выбираем группу к
которой будет
применятся политика
5. Добавляем Фильтр
который будет
действовать в этой
политике
6. Добавляем расписание
работы политики

35. 3. WLC Setup
От WLC нам понадобится:
 2 SSID:
 открытый SSID с captive-portal который будут использовать гости компании а
так же сотрудники при подключении с мобильных устройств если на них еще
не установлен Meraki MDM client
 SSID c 802.1x аутентификаций – к этой
беспроводной сети будут подключатся:
 сотрудники на PC и Laptop
помещаемые с помощью 802.1х
аутентификации в тот же VLAN что и в
проводной сети
 Сотрудники со своих мобильных
устройств после получения сетевых
настроек из Meraki Systems Manager
 802.1х authentication and Authorization

36. Последовательность WLC Setup:
1. Задание Radius Server в WLC
2. Настройка Captive Portal WLC
3. Настройка открытого SSID
4. Настройка SSID с 802.1x аутентификацией и авторизацией
5. Настройка политик в MS NPS

37. Особенности WLC Setup
1. Задание Radius Server в WLC
Security>>>Radius>>Authentication>>>New
2. Настройка Captive Portal WLC
Security>>>Web Auth>>>Web Login Page
Для создание Custom Captive Portal можно использовать готовые шаблоны
Cisco, Шаблоны могут быть загружены с cisco.com в разделе ПО для WLC:
 Bundle загружается с cisco.com как .zip
 Выбираем понравившийся вариант странички
 Правим его
 Архивируем снова весь Bundle в .tar и загружаем
на WLC по TFTP
Commands>>>Download

38. 3. Настройка открытого SSID
 При создании SSID мапируется к интерфейсу контролера отвечающего за гостевую
сеть
 После этого в настройках
Security>>>Layer 3 поставить галочку в Web Policy и в качестве типа политики выбрать
Passthrough
Note: Перенаправление происходит с помощью
подмены адреса в DNS Replay на virtual IP
контроллера.

39. 4. Настройка SSID с 802.1x аутентификацией и авторизацией
 При создании SSID мапируется к интерфейсу Management
 После этого в настройках
Security>>>Layer 2 оставляем Layer 2
Security в значении по умолчанию
Далее переходим на Security>>>AAA Servers и выбираем
в качестве сервера аутентификации ранее созданный
Для того чтоб на SSID работало назначение VLAN
Advanced>>>Allow AAA
Override

40. 4. MS Network Policy Server setup
Данный этап состоит из двух под-этапов:
1. Задание WLC как Radius client в NPS

41. 2. Создание политик сетевого доступа
Минимально достаточные условия:
 Группа пользователей
 Тип проверки подлинности – EAP
Кроме того можно добавить: Тип порта NAS – Wireless
802.11 а так же Понятное имя клиента – Имя WLC в NPS

42. Необходимо убедится что
в свойствах PEAP указан
корректный сертификат.
Можно удалить атрибуты проставленные по умолчанию. После этого необходимо добавить
следующие атрибуты со значениями:
 Tunnel-Type=Virtual LANs (VLAN)
 Tunnel-Medium-Type=802
 Tunnel-Pvt-Group-ID= VLAN Number

43. 5. Meraki Systems Manager setup
Meraki Systems Manager – является бесплатной облачной Mobile Device Management системой.
Основные функции мобильные устройства:
 Местоположение
 Аудит устройств (Состояние памяти/Версия OS/Установленное ПО/…)
 Централизованное развертывание приложений
 Применение корпоративных политик (Беспроводные сети/Настройки Proxy/Включение
шифрование/Требование установки пароля и его сложности/…)
 Защита при краже или утере (Удаление всех данных с устройства/Удаление данных
корпоративных приложений)
Основные функции Laptop/PC (Windows/MAC OS)
 Местоположение
 Аудит устройств (Состояние памяти/Версия OS/Установленное ПО/…)
 Удаленное управление (RDP Windows)
 Централизованное развертывание приложений (Windows)

44. Последовательность настройки Meraki Systems Manager :
1. Регистрация в системе
2. Deployment клиентов
a) Android Enrollment
b) iOS Enrollment
3. Настройка политик для мобильных устройств

45. Особенности работы с Meraki Systems Manager
1. Регистрация в системе
https://account.meraki.com/login/dashboard_login?go=
После завершения процедуры регистрации мы
входим в систему

46. 2. Deployment клиентов
За Deployment отвечает раздел Mobile>>>Deployment
a) Android Enrollment– можно начать сразу же после входа в систему
В наличии инструкция для двух вариантов Enrollment:
 Play Market – в этом случае необходимо прочитать QRcode с устройства – это приведёт к перенаправлению на
старичку клиента Meraki в Play Market. Устанавливаем
клиент и после установки еще раз считываем QR-code
 Web Enrolment – необходимо открыть указанную ссылку и
подтвердить Enrolment Code
После подтверждения кода произойдет
перенаправление в Play Market для
загрузки приложений
Note: Присутствует вариант отправки ссылки Web Enrollment на email. Очень удобно в уже
работающей инфраструктуре т.к. устройству сразу можно назначить Tag.

47. b) iOS Enrollment
Для iOS Enrollment необходимо:
 Иметь или завести новую учётную запись
Apple ID
 Выгрузить Meraki Certificate Request на PC
 Перейти в Apple Push Certification Portal
 Создать на портале сертификат используй
Meraki Certificate Request и выгрузить его
себе на PC
 Указать в Organization>>>Settings имя
Apple ID и созданный сертификат
Варианты Enrollment:
 Web based
 QR-code
 Email

48. 3. Настройка политик для мобильных устройств
Основой для применяя политик являются Tags. Tag применяется к устройству, Profile
применяется к одному или более Tags. К Profile применятся Settings По умолчанию при
первом входе в систему доступен единственный Tag=recently-added
Monitor>>>Clients
Tag>>> Add добавляем новый Tag
Tag>>>Remove удаляем recently-added
Mobile>>>Profiles
Создаем нужное количество Profile и указываем к каким Tag они
будут применятся

49. Mobile>>>Settings

50. Презентация целостного решения
“Генеральский Эффект” еще никто не отменял!

51. Полезные ссылки:
Финальная конфигурация R1
https://drive.google.com/file/d/0B0VvUTk8KGWfZG5jdGhFX3B4R0E/edit?usp=sharing
Security Configuration Guide: Zone-Based Policy Firewall
http://www.cisco.com/en/US/docs/ios-xml/ios/sec_data_zbf/configuration/15-1mt/sec-data-zbf-15-mt-book.html
BRKSEC-3007 - Advanced Cisco IOS Security Features (2012 London)
https://www.ciscolive365.com/connect/sessionDetail.ww?SESSION_ID=3025&backBtn=true
Cisco ISR Web Security with Cisco ScanSafe Solution Guide
http://www.cisco.com/en/US/docs/security/web_security/ISR_SS/ISR_ScanSafe_SolutionGuide.pdf
Cisco ScanCenter Administrator Guide
http://www.cisco.com/en/US/docs/security/web_security/scancenter/administrator/guide/b_ScanCenter_Administrator_Guide.html
YouTube канал компании Meraki
http://www.youtube.com/channel/UCimwNLMzVRMp7SUPVRNaqew
Wireless LAN Controller Web Passthrough Configuration Example
http://www.cisco.com/en/US/products/ps6366/products_configuration_example09186a00809bdb5f.shtml
Dynamic VLAN Assignment with RADIUS Server and Wireless LAN Controller
http://www.cisco.com/en/US/tech/tk722/tk809/technologies_configuration_example09186a008076317c.shtml