为什么要使用网络准入控制
不具备访问资格的终端尝试连接，连接被允许，感染范围扩大；其它终端收到威胁

功能 隔离纠正 感染范围收受到控制；终端安然无恙

NAC解决方案
终端系统 CTA
网络接入设备
AAA服务器
供应商服务器

组件：
支持NAC的应用
支持NAC的应用收集主机上的状态凭证信息
CTA收集最小限度的状态信息
基于厂商与应用类型注册到CTA
从AAA与厂商服务器接受通告与动作
指示状态变化

CTA
插件接口去注册查询不同厂商的状态信息
状态请求基于厂商与应用类型
作为它自己及基本主机信息的状态提供者
CTA版本，os类型与os版本
使用EAPoUDP与路由器通信
显示报告信息给用户
响应状态查询信息
注意：CTA不防护它自己，支持NAC的应用或主机
建议标准主机安全措施去保护主机环境，包括CSA

路由器
策略执行点
检测状态提供设备
触发状态处理流程（基于intercept-acl)
中继状态凭证到acs
定期完整的重评估（重证实定时器）
定期L3状态查询
通告主机上的状态变化
保证主机为先前证实的相同主机
执行访问权限
动态acl
可选url重定向（对于非响应设备的反馈很重要）
应用到适当的接口
处理响应设备
支持基于ip或mac地址的exception list
在acs上使用网络访问限制(NAR)支持exception list

AAA服务器
策略决定点
从端点获得凭证
证实凭证
发送访问规则到路由器，反馈到端点

厂商服务器
支持NAC的应用能够传递AAA服务器不能本地验证的凭证
AAA服务器能够代理指定的状态凭证到厂商服务器验证
HCAP协议接口 在线验证
厂商服务器验证凭证并通知AAA服务器验证结果

管理与报告
CiscoWorks SIMS
搜集和拦截ios系统日志和acs事件
实时监控
NAC报告

可哟凭证
凭证形成NAC的策略基础

凭证封包与数据类型

EAP
扩展EAP
EAP-TLV
status query
EAPoUDP

新凭证
新凭证不依赖于Cisco

凭证用作状态检查
凭证用于状态检查
规则评价形成策略令牌
最终评价令牌
授予权限

intercept ACL
interface(or Defailt)ACL

NAC流程

实施
setup acs
setup av solution
install clients on hosts
configure cisco ios NAD for NAC
verify operation

acs
安装证书Because CTA communicates with the ACS server via PEAP,you must have a server certificate for NAC to work
配置logging
可下载ACL
radius group属性 : url redirect,status rquery timeout,revalidation timeout
clientless user : network access restrictions
外部用户数据库
NAC数据库策略：本地，外部

转载地址：http://www.netsp.com.cn/Article/netsafe/others/200610/20061028230729.html