网络运维|网络接入控制NAC

2020-04-27 13:36 作者：艾锑无限 浏览量：

大家好，我是一枚从事IT外包的网络运维工程师，今天和大家聊点安全方面的技术，这次咱们就聊一聊网络接入控制技术。

NAC概述

简介

NAC（Network Admission Control）称为网络接入控制，通过对接入网络的客户端和用户的认证保证网络的安全，是一种“端到端”的安全技术。

三种认证方式比较

NAC包括三种认证方式：802.1X认证、MAC认证和Portal认证。由于三种认证方式认证原理不同，各自适合的场景也有所差异，实际应用中，可以根据场景部署某一种合适的认证方式，也可以部署几种认证方式组成的混合认证，混合认证的组合方式以设备实际支持为准。三种认证方式比较如图2所示。

图2  认证方式对比

NAC与AAA

NAC与AAA互相配合，共同完成接入认证功能。

· NAC：用于用户和接入设备之间的交互。NAC负责控制用户的接入方式，即用户采用802.1X，MAC或Portal中的哪一种方式接入，接入过程中的各类参数和定时器。确保合法用户和接入设备建立安全稳定的连接。

· AAA：用于接入设备与认证服务器之间的交互。AAA服务器通过对接入用户进行认证、授权和计费实现对接入用户访问权限的控制。

NAC应用场景

如图3所示，某企业中机要室通过RouterB连接到RouterA，办公区通过RouterC连接到RouterA，访客区通过AP连接到RouterA。为保证企业内部网络的安全性，需控制用户对网络的访问，只有通过认证的用户，才允许访问管理员授权的网络资源。
图3  通过NAC控制企业用户访问网络示意图 


机要室内终端类型较多而且打印机数量远大于员工数量，因此可在RouterA的接口Eth2/0/1上同时部署802.1X认证和MAC认证并且优先触发MAC认证，同时配置用户的接入模式为多用户单独认证接入（multi-authen）。

办公区内用户安全控制的要求较为严格，因此可在RouterC上仅连接PC的接口Eth2/0/1和Eth2/0/2上部署802.1X认证，同时配置用户的接入模式为单用户接入（single-terminal）；连接IP Phone和PC的接口Eth2/0/3上部署802.1X认证和MAC认证，同时配置用户的接入模式为单用户通过语音终端接入（single-voice-with-data）。

访客区用户流动性较大并且网络访问权限较低，因此可在RouterA的接口Eth2/0/3上部署Portal认证，同时配置用户的接入模式为多用户共享权限接入（multi-share）。

艾锑无限科技专业：IT外包、企业外包、北京IT外包、桌面运维、弱电工程、网站开发、wifi覆盖方案,网络外包,网络管理服务,网管外包,综合布线,服务器运维服务,中小企业it外包服务,服务器维保公司,硬件运维,网站运维服务
 
以上文章由北京艾锑无限科技发展有限公司整理