網(wǎng)絡運維|網(wǎng)絡接入控制NAC

大家好，我是一枚從事IT外包的網(wǎng)絡運維工程師，今天和大家聊點安全方面的技術(shù)，這次咱們就聊一聊網(wǎng)絡接入控制技術(shù)。

NAC概述

簡介

NAC（Network Admission Control）稱為網(wǎng)絡接入控制，通過對接入網(wǎng)絡的客戶端和用戶的認證保證網(wǎng)絡的安全，是一種“端到端”的安全技術(shù)。

三種認證方式比較

NAC包括三種認證方式：802.1X認證、MAC認證和Portal認證。由于三種認證方式認證原理不同，各自適合的場景也有所差異，實際應用中，可以根據(jù)場景部署某一種合適的認證方式，也可以部署幾種認證方式組成的混合認證，混合認證的組合方式以設(shè)備實際支持為準。三種認證方式比較如圖2所示。

圖2  認證方式對比

NAC與AAA

NAC與AAA互相配合，共同完成接入認證功能。

·NAC：用于用戶和接入設(shè)備之間的交互。NAC負責控制用戶的接入方式，即用戶采用802.1X，MAC或Portal中的哪一種方式接入，接入過程中的各類參數(shù)和定時器。確保合法用戶和接入設(shè)備建立安全穩(wěn)定的連接。

·AAA：用于接入設(shè)備與認證服務器之間的交互。AAA服務器通過對接入用戶進行認證、授權(quán)和計費實現(xiàn)對接入用戶訪問權(quán)限的控制。

NAC應用場景

如圖3所示，某企業(yè)中機要室通過RouterB連接到RouterA，辦公區(qū)通過RouterC連接到RouterA，訪客區(qū)通過AP連接到RouterA。為保證企業(yè)內(nèi)部網(wǎng)絡的安全性，需控制用戶對網(wǎng)絡的訪問，只有通過認證的用戶，才允許訪問管理員授權(quán)的網(wǎng)絡資源。

圖3  通過NAC控制企業(yè)用戶訪問網(wǎng)絡示意圖 

機要室內(nèi)終端類型較多而且打印機數(shù)量遠大于員工數(shù)量，因此可在RouterA的接口Eth2/0/1上同時部署802.1X認證和MAC認證并且優(yōu)先觸發(fā)MAC認證，同時配置用戶的接入模式為多用戶單獨認證接入（multi-authen）。

辦公區(qū)內(nèi)用戶安全控制的要求較為嚴格，因此可在RouterC上僅連接PC的接口Eth2/0/1和Eth2/0/2上部署802.1X認證，同時配置用戶的接入模式為單用戶接入（single-terminal）；連接IP Phone和PC的接口Eth2/0/3上部署802.1X認證和MAC認證，同時配置用戶的接入模式為單用戶通過語音終端接入（single-voice-with-data）。

訪客區(qū)用戶流動性較大并且網(wǎng)絡訪問權(quán)限較低，因此可在RouterA的接口Eth2/0/3上部署Portal認證，同時配置用戶的接入模式為多用戶共享權(quán)限接入（multi-share）。

以上文章由北京艾銻無限科技發(fā)展有限公司整理