思科NAC架构知识

思科NAC架构知识

学习啦在线学习网 　　cisco思科依靠自身的技术和对网络经济模式的深刻理解，使其成为了网络应用的成功实践者之一，他出产的路由设备也是世界一流，那么你了解思科NAC架构知识吗?下面是学习啦小编整理的一些关于思科NAC架构知识的相关资料，供你参考。

　　什么是Cisco NAC Framework的组件?

　　Cisco的NAC Framework试图解决一个复杂的问题，因此它必然也是一个复杂的解决方案。充分实施NAC Framework并不是一个简单的任务，因为整个架构中有太多来自Cisco和其它厂商的不同组件了，比如架构中包含了NAC策略管理器，多网络系统，认证服务器，补丁修补服务器，以及第三方安全软件验证服务器等。

　　Cisco的NAC Framework是设计用来如何让多种硬件和软件组件协同工作，共同保护用户网络免受不良客户端侵害的一种架构。这些不良的客户端可能是没有及时打补丁的个人电脑，没有安装杀毒软件或者没有安装防火墙的电脑。

　　思科NAC架构知识：

学习啦在线学习网 　　图A显示了整个框架的组件工作方式：

学习啦在线学习网 　　图A NAC架构工作方式

学习啦在线学习网 　　关于Cisco NAC Framework

　　不论是对于安全管理人员还是网络管理人员来说，让上图中的所有组件都和谐的工作，确实不是一件易事。不过没关系，思科的NAC架构已经被大多数主流终端安全公司，安全接入网关以及补丁修复服务器所支持。

　　Cisco NAC Framework如何工作

　　说了这么多，Cisco NAC Framework到底能做什么呢?以下是它的工作内容：

学习啦在线学习网 　　1.如果一台PC试图接入网络，首先必须经过验证，并且审核它的策略是否与规定相符。PC试图登录的行为会触发NAC过程。

　　2.PC主机运行思科可信代理Cisco Trust Agent (CTA).

　　3.网络接入设备Network Access Device (NAD) 即以太网交换机试图建立到PC机的连接。

学习啦在线学习网 　　4.可扩展认证协议Extensible Authentication Protocol (EAP)启用，PC电脑上的凭据被发送到思科安全接入控制服务器上Cisco Secure Access Control Server (ACS)。

学习啦在线学习网 　　5.直到这整个过程完成，PC主机(潜在的不良终端)只是将来自可信代理Cisco Trust Agent的凭证发送到了网络上。PC机本身还不能与网络进行通信。

学习啦在线学习网 　　6.可信代理Cisco Trust Agent是通过一个安全通道传达凭证的，因此NAD看不到它们。

　　7.安全接入控制服务器ACS Server可以将凭证传递给其它的服务器。比如，现在大部分此类凭证都会发送给Windows AD服务器。当然，凭证也会发送给其它服务器，比如LDAP或一次性密码服务器。

　　8.根据一个或多个验证服务器反馈的信息，ACS服务器可以允许，拒绝或者隔离请求接入网络的PC。另外，ACS服务器可以设定不同的网络接入等级。

学习啦在线学习网 　　9.在校验安全策略一致性方面，Cisco NAC Framework采用的是网络和基于代理的扫描方式。

学习啦在线学习网 　　10.Cisco NAC Framework可以实施针对各类设备的一致性检测。

　　11.Cisco NAC Framework可以通知用户的连接状态，如果其中出现任何问题，它可以通过升级PC机的补丁，防火墙或其它设置等方式纠正所出现的问题。另外，也可以通过弹出窗口或类似功能通知PC机是否获得了网络访问权。比如用户可能会看到一个弹出窗口，其中标注为：“由于你的电脑缺少必要的升级补丁，因此没有获得网络访问权限。为了获得网络访问权限，请先访问以下地址[URL]获取电脑升级补丁。” 图B可以帮助我们更好的理解这个过程：

　　图B连接过程

学习啦在线学习网 　　可能你注意到了，通常都是使用802.1X网络验证协议来验证试图接入网络的设备。因此NAD连接的交换机必须支持802.1X，否则该设备在验证和扫描前无法真正被隔离。