ZDNet Solution系列之：思科NAC架构不简单

zdnet网络频道原创文章，转载请注明出处 Cisco的NAC Framework是设计用来如何让多种硬件和软件组件协同工作，共同保护用户网络免受不良客户端侵害的一种架构。这些不良的客户端可能是没有及时打补丁的个人电脑，没有安装杀毒软件或者没有安装防火墙的电脑。ZDNet Solution的目的在于尽可能将复杂的NAC Framework架构浅显的介绍给大家。

什么是Cisco NAC Framework的组件?

Cisco的NAC Framework试图解决一个复杂的问题，因此它必然也是一个复杂的解决方案。充分实施NAC Framework并不是一个简单的任务，因为整个架构中有太多来自Cisco和其它厂商的不同组件了，比如架构中包含了NAC策略管理器，多网络系统，认证服务器，补丁修补服务器，以及第三方安全软件验证服务器等。图A显示了整个框架的组件工作方式：

图A NAC架构工作方式
 

关于Cisco NAC Framework

不论是对于安全管理人员还是网络管理人员来说，让上图中的所有组件都和谐的工作，确实不是一件易事。不过没关系，思科的NAC架构已经被大多数主流终端安全公司，安全接入网关以及补丁修复服务器所支持。

Cisco NAC Framework如何工作

说了这么多，Cisco NAC Framework到底能做什么呢？以下是它的工作内容：
1.如果一台PC试图接入网络，首先必须经过验证，并且审核它的策略是否与规定相符。PC试图登录的行为会触发NAC过程。

2.PC主机运行思科可信代理Cisco Trust Agent (CTA).

3.网络接入设备Network Access Device (NAD) 即以太网交换机试图建立到PC机的连接。

4.可扩展认证协议Extensible Authentication Protocol (EAP)启用，PC电脑上的凭据被发送到思科安全接入控制服务器上Cisco Secure Access Control Server (ACS)。

5.直到这整个过程完成，PC主机（潜在的不良终端）只是将来自可信代理Cisco Trust Agent的凭证发送到了网络上。PC机本身还不能与网络进行通信。

6.可信代理Cisco Trust Agent是通过一个安全通道传达凭证的，因此NAD看不到它们。

7.安全接入控制服务器ACS Server可以将凭证传递给其它的服务器。比如，现在大部分此类凭证都会发送给Windows AD服务器。当然，凭证也会发送给其它服务器，比如LDAP或一次性密码服务器。

8.根据一个或多个验证服务器反馈的信息，ACS服务器可以允许，拒绝或者隔离请求接入网络的PC。另外，ACS服务器可以设定不同的网络接入等级。

9.在校验安全策略一致性方面，Cisco NAC Framework采用的是网络和基于代理的扫描方式。

10.Cisco NAC Framework可以实施针对各类设备的一致性检测。

11.Cisco NAC Framework可以通知用户的连接状态，如果其中出现任何问题，它可以通过升级PC机的补丁，防火墙或其它设置等方式纠正所出现的问题。另外，也可以通过弹出窗口或类似功能通知PC机是否获得了网络访问权。比如用户可能会看到一个弹出窗口，其中标注为：“由于你的电脑缺少必要的升级补丁，因此没有获得网络访问权限。为了获得网络访问权限，请先访问以下地址[URL]获取电脑升级补丁。” 图B可以帮助我们更好的理解这个过程：

图B连接过程

可能你注意到了，通常都是使用802.1X网络验证协议来验证试图接入网络的设备。因此NAD连接的交换机必须支持802.1X，否则该设备在验证和扫描前无法真正被隔离。