Cisco的NAC Framework是設(shè)計用來如何讓多種硬件和軟件組件協(xié)同工作，共同保護(hù)用戶網(wǎng)絡(luò)免受不良客戶端侵害的一種架構(gòu)。本文主要向大家淺顯的介紹NAC Framework架構(gòu)。

什么是Cisco NAC Framework的組件?

Cisco的NAC Framework試圖解決一個復(fù)雜的問題，因此它必然也是一個復(fù)雜的解決方案。充分實(shí)施NAC Framework并不是一個簡單的任務(wù)，因?yàn)檎麄€架構(gòu)中有太多來自Cisco和其它廠商的不同組件了，比如架構(gòu)中包含了NAC策略管理器，多網(wǎng)絡(luò)系統(tǒng)，認(rèn)證服務(wù)器，補(bǔ)丁修補(bǔ)服務(wù)器，以及第三方安全軟件驗(yàn)證服務(wù)器等。圖A顯示了整個框架的組件工作方式：

圖A NAC架構(gòu)工作方式 

關(guān)于Cisco NAC Framework

不論是對于安全管理人員還是網(wǎng)絡(luò)管理人員來說，讓上圖中的所有組件都和諧的工作，確實(shí)不是一件易事。不過沒關(guān)系，思科的NAC架構(gòu)已經(jīng)被大多數(shù)主流終端安全公司，安全接入網(wǎng)關(guān)以及補(bǔ)丁修復(fù)服務(wù)器所支持。

Cisco NAC Framework如何工作

說了這么多，Cisco NAC Framework到底能做什么呢？以下是它的工作內(nèi)容：
1.如果一臺PC試圖接入網(wǎng)絡(luò)，首先必須經(jīng)過驗(yàn)證，并且審核它的策略是否與規(guī)定相符。PC試圖登錄的行為會觸發(fā)NAC過程。

2.PC主機(jī)運(yùn)行思科可信代理Cisco Trust Agent (CTA).

3.網(wǎng)絡(luò)接入設(shè)備Network Access Device (NAD) 即以太網(wǎng)交換機(jī)試圖建立到PC機(jī)的連接。

4.可擴(kuò)展認(rèn)證協(xié)議Extensible Authentication Protocol (EAP)啟用，PC電腦上的憑據(jù)被發(fā)送到思科安全接入控制服務(wù)器上Cisco Secure Access Control Server (ACS)。

5.直到這整個過程完成，PC主機(jī)（潛在的不良終端）只是將來自可信代理Cisco Trust Agent的憑證發(fā)送到了網(wǎng)絡(luò)上。PC機(jī)本身還不能與網(wǎng)絡(luò)進(jìn)行通信。

6.可信代理Cisco Trust Agent是通過一個安全通道傳達(dá)憑證的，因此NAD看不到它們。

7.安全接入控制服務(wù)器ACS Server可以將憑證傳遞給其它的服務(wù)器。比如，現(xiàn)在大部分此類憑證都會發(fā)送給Windows AD服務(wù)器。當(dāng)然，憑證也會發(fā)送給其它服務(wù)器，比如LDAP或一次性密碼服務(wù)器。

8.根據(jù)一個或多個驗(yàn)證服務(wù)器反饋的信息，ACS服務(wù)器可以允許，拒絕或者隔離請求接入網(wǎng)絡(luò)的PC。另外，ACS服務(wù)器可以設(shè)定不同的網(wǎng)絡(luò)接入等級。

9.在校驗(yàn)安全策略一致性方面，Cisco NAC Framework采用的是網(wǎng)絡(luò)和基于代理的掃描方式。

10.Cisco NAC Framework可以實(shí)施針對各類設(shè)備的一致性檢測。

11.Cisco NAC Framework可以通知用戶的連接狀態(tài)，如果其中出現(xiàn)任何問題，它可以通過升級PC機(jī)的補(bǔ)丁，防火墻或其它設(shè)置等方式糾正所出現(xiàn)的問題。另外，也可以通過彈出窗口或類似功能通知PC機(jī)是否獲得了網(wǎng)絡(luò)訪問權(quán)。比如用戶可能會看到一個彈出窗口，其中標(biāo)注為：“由于你的電腦缺少必要的升級補(bǔ)丁，因此沒有獲得網(wǎng)絡(luò)訪問權(quán)限。為了獲得網(wǎng)絡(luò)訪問權(quán)限，請先訪問以下地址[URL]獲取電腦升級補(bǔ)丁。” 圖B可以幫助我們更好的理解這個過程：

圖B連接過程

可能你注意到了，通常都是使用802.1X網(wǎng)絡(luò)驗(yàn)證協(xié)議來驗(yàn)證試圖接入網(wǎng)絡(luò)的設(shè)備。因此NAD連接的交換機(jī)必須支持802.1X，否則該設(shè)備在驗(yàn)證和掃描前無法真正被隔離。
 

【編輯推薦】

1. 華為路由器與CISCO路由器在配置上的差別
2. 華為路由器簡單配置詳解
3. 理解華為路由器配置命令中清除列表規(guī)則
4. 應(yīng)用視點(diǎn)：看華為路由器接入的實(shí)際應(yīng)用
5. 應(yīng)用視點(diǎn)：華為路由器網(wǎng)守配合技巧