1、網絡準入控制(NAC)目錄 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document i .網絡準入概述i HYPERLINK l bookmark6 o Current Document .準入方式1 HYPERLINK l bookmark8 o Current Document 802.1X 準入控制 2X 的工作過程 2 HYPERLINK l bookmark10 o Current Document CISCOEOU入控制3 HYPERLINK l bookmark12 o Current Document DHCP準入控制3 H

2、YPERLINK l bookmark14 o Current Document ARP準入控制4 HYPERLINK l bookmark16 o Current Document 網關型準入控制 4 HYPERLINK l bookmark18 o Current Document H3C Portal 準入控制4Portal 系統組成4Portal 原理5 HYPERLINK l bookmark20 o Current Document .準入技術的比較 5網絡準入控制（NAC）.網絡準入概述網絡準入控制是指對網絡的邊界進行保護， 對接入網絡的終端和終端的使用 人進行合規性檢查。借助N

3、AC,客戶可以只允許合法的、值得信任的終端設備接 入網絡，而不允許其它設備接入。NAC系統組件：終端安全檢查軟件；網絡接入設備（接入交換機和無線訪問 點）；策略/AAA服務器。NAC系統基本工作原理：當終端接入網絡時，首先由終端設備和網絡接入設 備（如：交換機、無線 AP、VPN等）進行交互通訊。然后，網絡接入設備將終 端信息發給策略/AAA服務器對接入終端和終端使用者進行檢查。當終端及使用 者符合策略/AAA服務器上定義的策略后，策略/AAA服務器會通知網絡接入設備， 對終端進行授權和訪問控制。通過網絡準入一般可以實現以下功能：用戶身份認證從接入層對訪問的用戶進行最小授權控制， 根據用戶身份

4、嚴格控制用戶對內 部網絡訪問范圍，確保企業內網資源安全。終端完整性檢查通過身份認證的用戶還必須通過終端完整性檢查，查看連入系統的補丁、防 病毒等功能是否已及時升級，是否具有潛在安全隱患。終端安全隔離與修補對通過身份認證但不滿足安全檢查的終端不予以網絡接入，并強制引導移至隔離修復區，提示用戶安裝有關補丁、殺毒軟件、配置操作系統有關安全設置等。非法終端網絡阻斷能及時發現并阻止未授權終端對內網資源的訪問，降低非法終端對內網進行 攻擊、竊密等安全威脅，從而確保內部網絡的安全。.準入方式目前常用的準入控制：802.1x準入控制網絡準入控制(NAC)CISCO EOI入控制DHCP入控制ARP準入控制網關

5、型準入控制H3C Portal準入控制802.1x準入控制802.1x準入控制：802.1x協議是基于Client/Server的訪問控制和認證協議。它可以限制未經授權的用戶/設備通過接入端口(access port)訪問LAN/WLAM在 獲得交換機或LAN提供的各種業務之前，802,1x對連接到交換機端口上的用戶/ 設備進行認證。在認證通過之前，802.1x只允許EAPoL(基于局域網的擴展認證 協議)數據通過設備連接的交換機端口；認證通過以后，正常的數據可以順利地通過以太網端口。802.1x是一個二層協議，需要以太網交換機支持。802.1x的每個物理端口被分為受控和不受控的兩個邏輯端口，

6、物理端口收到 的每個幀都被送到受控和不受控端口。其中，不受控端口始終處于雙向聯通狀態， 主要用于傳輸認證信息。而受控端口的聯通或斷開是由該端口的授權狀態決定的。 認證者的EAP根據認證服務器認證過程的結果，控制受控端口 ”的授權/未授權 狀態。處在未授權狀態的控制端口將拒絕用戶 /設備的訪問。受控端口與不受控 端口的劃分，分離了認證數據和業務數據，提高了系統的接入管理和接入服務提 供的工作效率。802.1x主要采用VLAN動態切換的方式授權客戶端，近幾年部分廠商開始支 持通過下發ACL方式授權客戶端。802.1x目前的不足指出在于：由于是二層協議, 同時802.1x在交換機上基本是端口插線加電

7、即啟動認證，所以在大多場合不支 持，如VPN、WLAN、專線等環境，無法穿透三層網絡環境。而且在HUB的情況下 VLAN無法切換和存在訪問控制漏洞。02.1X的工作過程802.1X工作過程：(1,當用戶有上網需求時打開802.1X客戶端程序，輸入已經申請、登記過的 用戶名和口令，發起連接請求。此時，客戶端程序將發出請求認證的報文給交換 機，開始啟動一次認證過程。網絡準入控制(NAC)(2.交換機收到請求認證的數據幀后，將發出一個請求幀要求用戶的客戶端 程序將輸入的用戶名送上來。(3.客戶端程序響應交換機發出的請求，將用戶名信息通過數據幀送給交換 機。交換機將客戶端送上來的數據幀經

8、過封包處理后送給認證服務器進行處理。(4.認證服務器收到交換機轉發上來的用戶名信息后，將該信息與數據庫中 的用戶名表相比對，找到該用戶名對應的口令信息，用隨機生成的一個加密字對 它進行加密處理，同時也將此加密字傳送給交換機，由交換機傳給客戶端程序。(5.客戶端程序收到由交換機傳來的加密字后，用該加密字對口令部分進行 加密處理(此種加密算法通常是不可逆的)，并通過交換機傳給認證服務器。(6.認證服務器將送上來的加密后的口令信息和其自己經過加密運算后的口 令信息進行對比，如果相同，則認為該用戶為合法用戶，反饋認證通過的消息， 并向交換機發出打開端口的指令，允許用戶的業務流通過端口訪問網絡。否則，

9、反饋認證失敗的消息，并保持交換機端口的關閉狀態，只允許認證信息數據通過 而不允許業務數據通過。CISCOEOUt 入控制EAP OVER UDP,思科公司私有的準入控制技術；CISCO 3550以上設備支持， EOU技術工作在三層，采用UDP封裝，客戶端開放UDP 21862端口，由于是三 層所以在很多地方比二層協議更靈活， 如在災備，設備例外，認證放行等特性上 都較為靈活。CISCO EOU入控制技術，同時分為二層EOU和三層EOU即：IPL2, IPL3 兩者不同的在于：二層EOU是指運行在交換設備上的(三層交換機也包括)，二 層EOU認證是靠ARP和DHCP觸發認證的，所以在客戶端和認證

10、網絡設備之間 Authenticator System (設備端)之間必須可以讓 ARP和DHCP包能夠通過；三 層的EOU L3IP_EOU是工作在路由器上的，他是靠包轉發來觸發認證，所以支 持各種接入環境。二層EOU和三層EOU除了認證觸發和運行設備有區別外其他 無區別。如果環境允許推薦使用 EOU技術。DHCRB入控制終端設備接入，分配一個臨時IP然后后臺檢測你的合法性，如果合法則給你 重新分配一個合法的IP地址供正常辦公。DHCP的準入控制的優點是兼容老舊交 換機。缺點是不如802.1x協議的控制力度強。網絡準入控制（NAC）ARP準入控制通過ARP欺騙和干擾技術實現。ARP欺騙實際上

11、是一種變相病毒。容易造 成網絡堵塞。由于越來越多的終端安裝的 ARP防火墻，ARP準入控制在遇到這種 情況下，則不能起作用。網關型準入控制通過網絡限制，網關認證等方式授權客戶端訪問網絡。網關型準入控制只控制了網絡的出口，沒有控制內網的邊界接入。H3C Portal 準入控制未認證用戶上網時，設備強制用戶登錄到特定站點，用戶可以免費訪問其中 的服務。當用戶需要使用互聯網中的其它信息時，必須在門戶網站進行認證，只有認證通過后才可以使用互聯網資源。Portal的擴展功能主要是指通過強制接入終端實施補丁和防病毒策略，加強 網絡終端對病毒攻擊的主動防御能力。具體擴展功能如下：在Portal身份認證的基礎

12、上增加了安全認證機制，可以檢測接入終端上 是否安裝了防病毒軟件、是否更新了病毒庫、是否安裝了非法軟件、是 否更新了操作系統補丁等；用戶通過身份認證后僅僅獲得訪問部分互聯網資源（受限資源）的權限， 如病毒服務器、操作系統補丁更新服務器等；當用戶通過安全認證后便 可以訪問更多的互聯網資源（非受限資源）。Portal系統組成Portal的系統組成，由五個基本要素組成：認證客戶端、接入設備、Portal服務器、認證/計費服務器和安全策略服務器。.認證客戶端安裝于用戶終端的客戶端系統，為運行 HTTP/HTTPSB議的瀏覽器或運行 Portal客戶端軟件的主機。對接入終端的安全性檢測是通過 Portal

13、客戶端和安全 策略服務器之間的信息交流完成的。.接入設備網絡準入控制(NAC)交換機、路由器等寬帶接入設備的統稱，主要有三方面的作用：在認證之前，將用戶的所有 HTTP請求都重定向到Portal服務器。在認證過程中，與Portal服務器、安全策略服務器、認證/計費服務器交 互，完成身份認證/安全認證/計費的功能。在認證通過后，允許用戶訪問被管理員授權的互聯網資源。. Portal服務器接收Portal客戶端認證請求的服務器端系統，提供免費門戶服務和基于 Web 認證的界面，與接入設備交互認證客戶端的認證信息。.認證/計費服務器與接入設備進行交互，完成對用戶的認證和計費。.安全策略服務器與Por

14、tal客戶端、接入設備進行交互，完成對用戶的安全認證，并對用戶進 行授權操作。Portal 原理Portal原理為：(1)未認證用戶訪問網絡時，在Web瀏覽器地址欄中輸入一個互聯網的地址， 那么此HTTP請求在經過接入設備時會被重定向到 Portal服務器的Web認證主頁 上；若需要使用Portal的擴展認證功能，則用戶必須使用 Portal客戶端。(2)用戶在認證主頁/認證對話框中輸入認證信息后提交，Portal服務器會將用 戶的認證信息傳遞給接入設備；(3)然后接入設備再與認證/計費服務器通信進行認證和計費；(4)認證通過后，如果未對用戶采用安全策略，則接入設備會打開用戶與互聯 網的通路，

15、允許用戶訪問互聯網；如果對用戶采用了安全策略，則客戶端、接入 設備與安全策略服務器交互，對用戶的安全檢測通過之后，安全策略服務器根據 用戶的安全性授權用戶訪問非受限資源。3.準入技術的比較網絡準入控制(NAC)對比802.1xCisco EOUDHCPAR葉擾網關型H3C Portal技 術 特 點非授權終端 不能訪問任 何網絡資源，不能對網絡 產生任何破壞性影響非授權終端不能訪問任何網絡資源，不能對網絡產生任何破壞性影響終端可以通 過自行IP等手段，繞開DHC睢入控制終端可以通過自行設置本機的路由、 ARP映射等繞 開ARP入控制非授權終端不能訪問受網關保護的網絡資源。但終端之間可以直接相互訪問未認證用戶強制登 錄到特定站點，可以免費訪問其中的服 務。認證通過后才可以使用互聯網資源部 署 要 求無須調整網絡結構；要求網絡設備支持 802.1x思科公司私有的準入控 制技術；CISCO 3550以上設備支 持無需調整網 絡結構；需 在每個網段 部署專用DHCPI艮務 器無需調整網 絡結構；需要 在每個網段 設置AR葉擾器需要調整網絡結構；需要專門的網關H3c私有，至少需要 認證客戶端、接入設 備、Portal服務器 (、認證/計費服務 器和安全策略服務 器)