思科NAC架构知识.docx

《思科NAC架构知识.docx》由会员分享，可在线阅读，更多相关《思科NAC架构知识.docx（3页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、思科NAC架构知识不管是对于安全管理人员还是网络管理人员来讲，让上图中的所有组件都和谐的工作，确实不是一件易事。不过没关系，思科的NAC架构已经被大多数主流终端安全公司，安全接入网关以及补丁修复服务器所支持。CiscoNACFramework怎样工作讲了这么多，CiscoNACFramework到底能做什么呢?下面是它的工作内容：1.假如一台PC试图接入网络，首先必须经过验证，并且审核它的策略能否与规定相符。PC试图登录的行为会触发NAC经过。2.PC主机运行思科可信代理CiscoTrustAgent(CTA).3.网络接入设备NetworkAccessDevice(NAD)即以太网交换机试图

2、建立到PC机的连接。4.可扩展认证协议ExtensibleAuthenticationProtocol(EAP)启用，PC电脑上的凭据被发送到思科安全接入控制服务器上CiscoSecureAccessControlServer(ACS)。5.直到这整个经过完成，PC主机(潜在的不良终端)只是将来自可信代理CiscoTrustAgent的凭证发送到了网络上。PC机本身还不能与网络进行通信。6.可信代理CiscoTrustAgent是通过一个安全通道传达凭证的，因而NAD看不到它们。7.安全接入控制服务器ACSServer能够将凭证传递给其它的服务器。比方，如今大部分此类凭证都会发送给Window

3、sAD服务器。当然，凭证也会发送给其它服务器，比方LDAP或一次性密码服务器。8.根据一个或多个验证服务器反应的信息，ACS服务器能够允许，拒绝或者隔离请求接入网络的PC。另外，ACS服务器能够设定不同的网络接入等级。9.在校验安全策略一致性方面，CiscoNACFramework采用的是网络和基于代理的扫描方式。10.CiscoNACFramework能够施行针对各类设备的一致性检测。11.CiscoNACFramework能够通知用户的连接状态，假如其中出现任何问题，它能够通过升级PC机的补丁，防火墙或其它设置等方式纠正所出现的问题。另外，可以以通过弹出窗口或类似功能通知PC机能否获得了网络访问权。比方用户可能会看到一个弹出窗口，其中标注为：由于你的电脑缺少必要的升级补丁，因而没有获得网络访问权限。为了获得网络访问权限，请先访问下面地址URL获取电脑升级补丁。图B能够帮助我们更好的理解这个经过：