笔记:理解与部署网络准入控制NAC 为什么要使用网络准入控制 功能 隔离纠正 感染范围收受到控制;终端安然无恙 NAC解决方案 组件: CTA 路由器 AAA服务器 厂商服务器 管理与报告 可哟凭证 凭证封包与数据类型 EAP 新凭证 凭证用作状态检查 intercept ACL NAC流程 实施
不具备访问资格的终端尝试连接,连接被允许,感染范围扩大;其它终端收到威胁
终端系统 CTA
网络接入设备
AAA服务器
供应商服务器
支持NAC的应用
支持NAC的应用收集主机上的状态凭证信息
CTA收集最小限度的状态信息
基于厂商与应用类型注册到CTA
从AAA与厂商服务器接受通告与动作
指示状态变化
插件接口去注册查询不同厂商的状态信息
状态请求基于厂商与应用类型
作为它自己及基本主机信息的状态提供者
CTA版本,os类型与os版本
使用EAPoUDP与路由器通信
显示报告信息给用户
响应状态查询信息
注意:CTA不防护它自己,支持NAC的应用或主机
建议标准主机安全措施去保护主机环境,包括CSA
策略执行点
检测状态提供设备
触发状态处理流程(基于intercept-acl)
中继状态凭证到acs
定期完整的重评估(重证实定时器)
定期L3状态查询
通告主机上的状态变化
保证主机为先前证实的相同主机
执行访问权限
动态acl
可选url重定向(对于非响应设备的反馈很重要)
应用到适当的接口
处理响应设备
支持基于ip或mac地址的exception list
在acs上使用网络访问限制(NAR)支持exception list
策略决定点
从端点获得凭证
证实凭证
发送访问规则到路由器,反馈到端点
支持NAC的应用能够传递AAA服务器不能本地验证的凭证
AAA服务器能够代理指定的状态凭证到厂商服务器验证
HCAP协议接口 在线验证
厂商服务器验证凭证并通知AAA服务器验证结果
CiscoWorks SIMS
搜集和拦截ios系统日志和acs事件
实时监控
NAC报告
凭证形成NAC的策略基础
扩展EAP
EAP-TLV
status query
EAPoUDP
新凭证不依赖于Cisco
凭证用于状态检查
规则评价形成策略令牌
最终评价令牌
授予权限
interface(or Defailt)ACL
setup acs
setup av solution
install clients on hosts
configure cisco ios NAD for NAC
verify operation
acs
安装证书Because CTA communicates with the ACS server via PEAP,you must have a server certificate for NAC to work
配置logging
可下载ACL
radius group属性 : url redirect,status rquery timeout,revalidation timeout
clientless user :.network aclearcase/" target="_blank" >ccess restrictions
外部用户数据库
NAC数据库策略:本地,外部