網絡運維|網絡接入控制NAC

2020-04-27 13:36 作者：艾銻無限 瀏覽量：

大家好，我是一枚從事IT外包的網絡運維工程師，今天和大家聊點安全方面的技術，這次咱們就聊一聊網絡接入控制技術。

NAC概述

簡介

NAC（Network Admission Control）稱為網絡接入控制，通過對接入網絡的客戶端和用戶的認證保證網絡的安全，是一種“端到端”的安全技術。

三種認證方式比較

NAC包括三種認證方式：802.1X認證、MAC認證和Portal認證。由于三種認證方式認證原理不同，各自適合的場景也有所差異，實際應用中，可以根據場景部署某一種合適的認證方式，也可以部署幾種認證方式組成的混合認證，混合認證的組合方式以設備實際支持為準。三種認證方式比較如圖2所示。

圖2  認證方式對比

NAC與AAA

NAC與AAA互相配合，共同完成接入認證功能。

· NAC：用于用戶和接入設備之間的交互。NAC負責控制用戶的接入方式，即用戶采用802.1X，MAC或Portal中的哪一種方式接入，接入過程中的各類參數和定時器。確保合法用戶和接入設備建立安全穩定的連接。

· AAA：用于接入設備與認證服務器之間的交互。AAA服務器通過對接入用戶進行認證、授權和計費實現對接入用戶訪問權限的控制。

NAC應用場景

如圖3所示，某企業中機要室通過RouterB連接到RouterA，辦公區通過RouterC連接到RouterA，訪客區通過AP連接到RouterA。為保證企業內部網絡的安全性，需控制用戶對網絡的訪問，只有通過認證的用戶，才允許訪問管理員授權的網絡資源。
圖3  通過NAC控制企業用戶訪問網絡示意圖 


機要室內終端類型較多而且打印機數量遠大于員工數量，因此可在RouterA的接口Eth2/0/1上同時部署802.1X認證和MAC認證并且優先觸發MAC認證，同時配置用戶的接入模式為多用戶單獨認證接入（multi-authen）。

辦公區內用戶安全控制的要求較為嚴格，因此可在RouterC上僅連接PC的接口Eth2/0/1和Eth2/0/2上部署802.1X認證，同時配置用戶的接入模式為單用戶接入（single-terminal）；連接IP Phone和PC的接口Eth2/0/3上部署802.1X認證和MAC認證，同時配置用戶的接入模式為單用戶通過語音終端接入（single-voice-with-data）。

訪客區用戶流動性較大并且網絡訪問權限較低，因此可在RouterA的接口Eth2/0/3上部署Portal認證，同時配置用戶的接入模式為多用戶共享權限接入（multi-share）。

艾銻無限科技專業：IT外包、企業外包、北京IT外包、桌面運維、弱電工程、網站開發、wifi覆蓋方案,網絡外包,網絡管理服務,網管外包,綜合布線,服務器運維服務,中小企業it外包服務,服務器維保公司,硬件運維,網站運維服務
 
以上文章由北京艾銻無限科技發展有限公司整理