评分并提供意见反馈 :
华为采用机器翻译与人工审校相结合的方式将此文档翻译成不同语言,希望能帮助您更容易理解此文档的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 华为对于翻译的准确性不承担任何责任,并建议您参考英文文档(已提供链接)。
NAC基本原理
基本流程
NAC功能的基本流程如图2-2所示。
- NAC终端接入网络时,首先通过接入设备进行用户身份认证,接入设备和安全策略服务器(例如AAA服务器)配合,完成对用户的身份认证。
- 对于认证通过的用户,安全策略服务器下发授权信息给接入设备。对于认证失败的用户,接入设备对其进行隔离。
- 接入设备根据安全策略服务器下发的授权信息,控制终端用户的网络访问权限,并建立终端与安全策略服务器之间通信的渠道。
- NAC终端和安全策略服务器直接交互,终端上报自己的状态信息,包括病毒库版本、操作系统版本、终端上安装的补丁版本等信息。
- 安全策略服务器检查终端的状态信息,对于不符合企业安全标准的NAC终端,安全策略服务器重新下发授权信息给接入设备。
- 接入设备根据安全策略服务器下发的授权信息,修改终端用户的网络访问权限。
- NAC终端根据状态检查结果,接入软件服务器进行客户端下载、系统修复、补丁/病毒库升级等处理,直到符合企业安全标准。
用户的接入模式
在NAC网络中,根据实际用户接入网络的情况可将接口下用户的接入模式划分为四种。
- 单用户接入(single-terminal):设备接口下仅允许一个数据终端接入网络。
- 单用户通过语音终端接入(single-voice-with-data):设备接口下仅有一个数据终端通过一个语音终端接入网络,设备对数据终端和语音终端进行单独认证。
- 多用户共享权限接入(multi-share):设备接口下存在多个数据终端接入网络,设备仅对第一个上线的用户进行接入认证,后续用户将共享网络访问权限。但如果第一个上线用户下线后,其他用户也无网络访问权限。
- 多用户单独认证接入(multi-authen):设备接口下存在多个数据终端接入网络,设备对每个用户单独进行接入认证。一个用户下线后不会影响其他用户的网络访问权限。
三种认证方式比较
NAC包括三种认证方式:802.1x认证、MAC认证、Portal认证。三种认证方式的优劣比较如表2-1所示。
表2-1 认证方式对比
对比项 |
802.1x认证 |
MAC认证 |
Portal认证 |
|---|---|---|---|
客户端需求 |
需要 |
不需要 |
不需要 |
优点 |
安全性高 |
无需安装客户端 |
部署灵活 |
缺点 |
部署不灵活 |
需登记MAC地址,管理复杂 |
安全性不高 |
适合场景 |
新建网络、用户集中、信息安全要求严格的场景 |
打印机、传真机等哑终端接入认证的场景 |
用户分散、用户流动性大的场景 |
在NAC网络部署中,为了灵活地适应网络环境中的多种认证需求,设备支持在接入用户的接口上对802.1x认证、MAC认证、Portal认证进行同时部署。如果使能多种认证方式,那么各认证顺序的生效方式和配置先后顺序保持一致。
另一方面,在部署多种认证方式后,设备默认允许用户能够先后通过不同方式的接入认证,以实现授予用户不同的网络权限的目的。以用户先通过Portal认证后通过802.1x为例,如果Portal认证用户能够访问信息安全性较低的市场部网络,802.1x认证用户能够访问信息安全要求严格的财务部网络,那么用户的网络访问权限变化过程如下。
- 用户首先通过Portal认证,能够访问市场部网络。
- 用户需要访问财务部网络,需要再次进行802.1x认证,认证成功后网络访问权限变更为802.1x认证用户的网络访问权限,即能够访问财务部网络。
