思科NAC架構知識

　　cisco思科依靠自身的技術和對網(wǎng)絡經(jīng)濟模式的深刻理解，使其成為了網(wǎng)絡應用的成功實踐者之一，他出產(chǎn)的路由設備也是世界一流，那么你了解思科NAC架構知識嗎?下面是學習啦小編整理的一些關于思科NAC架構知識的相關資料，供你參考。

　　什么是Cisco NAC Framework的組件?

　　Cisco的NAC Framework試圖解決一個復雜的問題，因此它必然也是一個復雜的解決方案。充分實施NAC Framework并不是一個簡單的任務，因為整個架構中有太多來自Cisco和其它廠商的不同組件了，比如架構中包含了NAC策略管理器，多網(wǎng)絡系統(tǒng)，認證服務器，補丁修補服務器，以及第三方安全軟件驗證服務器等。

　　Cisco的NAC Framework是設計用來如何讓多種硬件和軟件組件協(xié)同工作，共同保護用戶網(wǎng)絡免受不良客戶端侵害的一種架構。這些不良的客戶端可能是沒有及時打補丁的個人電腦，沒有安裝殺毒軟件或者沒有安裝防火墻的電腦。

　　思科NAC架構知識：

　　圖A顯示了整個框架的組件工作方式：

　　圖A NAC架構工作方式

　　關于Cisco NAC Framework

　　不論是對于安全管理人員還是網(wǎng)絡管理人員來說，讓上圖中的所有組件都和諧的工作，確實不是一件易事。不過沒關系，思科的NAC架構已經(jīng)被大多數(shù)主流終端安全公司，安全接入網(wǎng)關以及補丁修復服務器所支持。

　　Cisco NAC Framework如何工作

　　說了這么多，Cisco NAC Framework到底能做什么呢?以下是它的工作內容：

　　1.如果一臺PC試圖接入網(wǎng)絡，首先必須經(jīng)過驗證，并且審核它的策略是否與規(guī)定相符。PC試圖登錄的行為會觸發(fā)NAC過程。

　　2.PC主機運行思科可信代理Cisco Trust Agent (CTA).

　　3.網(wǎng)絡接入設備Network Access Device (NAD) 即以太網(wǎng)交換機試圖建立到PC機的連接。

　　4.可擴展認證協(xié)議Extensible Authentication Protocol (EAP)啟用，PC電腦上的憑據(jù)被發(fā)送到思科安全接入控制服務器上Cisco Secure Access Control Server (ACS)。

　　5.直到這整個過程完成，PC主機(潛在的不良終端)只是將來自可信代理Cisco Trust Agent的憑證發(fā)送到了網(wǎng)絡上。PC機本身還不能與網(wǎng)絡進行通信。

　　6.可信代理Cisco Trust Agent是通過一個安全通道傳達憑證的，因此NAD看不到它們。

　　7.安全接入控制服務器ACS Server可以將憑證傳遞給其它的服務器。比如，現(xiàn)在大部分此類憑證都會發(fā)送給Windows AD服務器。當然，憑證也會發(fā)送給其它服務器，比如LDAP或一次性密碼服務器。

　　8.根據(jù)一個或多個驗證服務器反饋的信息，ACS服務器可以允許，拒絕或者隔離請求接入網(wǎng)絡的PC。另外，ACS服務器可以設定不同的網(wǎng)絡接入等級。

　　9.在校驗安全策略一致性方面，Cisco NAC Framework采用的是網(wǎng)絡和基于代理的掃描方式。

　　10.Cisco NAC Framework可以實施針對各類設備的一致性檢測。

　　11.Cisco NAC Framework可以通知用戶的連接狀態(tài)，如果其中出現(xiàn)任何問題，它可以通過升級PC機的補丁，防火墻或其它設置等方式糾正所出現(xiàn)的問題。另外，也可以通過彈出窗口或類似功能通知PC機是否獲得了網(wǎng)絡訪問權。比如用戶可能會看到一個彈出窗口，其中標注為：“由于你的電腦缺少必要的升級補丁，因此沒有獲得網(wǎng)絡訪問權限。為了獲得網(wǎng)絡訪問權限，請先訪問以下地址[URL]獲取電腦升級補丁。” 圖B可以幫助我們更好的理解這個過程：

　　圖B連接過程

　　可能你注意到了，通常都是使用802.1X網(wǎng)絡驗證協(xié)議來驗證試圖接入網(wǎng)絡的設備。因此NAD連接的交換機必須支持802.1X，否則該設備在驗證和掃描前無法真正被隔離。