網絡運維|網絡接入控制NAC
2020-04-27 13:36 作者:艾銻無限 瀏覽量:
網絡運維|網絡接入控制NAC
大家好,我是一枚從事IT外包的網絡運維工程師,今天和大家聊點安全方面的技術,這次咱們就聊一聊網絡接入控制技術。NAC概述
簡介
NAC(Network Admission Control)稱為網絡接入控制,通過對接入網絡的客戶端和用戶的認證保證網絡的安全,是一種“端到端”的安全技術。三種認證方式比較
NAC包括三種認證方式:802.1X認證、MAC認證和Portal認證。由于三種認證方式認證原理不同,各自適合的場景也有所差異,實際應用中,可以根據場景部署某一種合適的認證方式,也可以部署幾種認證方式組成的混合認證,混合認證的組合方式以設備實際支持為準。三種認證方式比較如圖2所示。圖2 認證方式對比
NAC與AAA
NAC與AAA互相配合,共同完成接入認證功能。· NAC:用于用戶和接入設備之間的交互。NAC負責控制用戶的接入方式,即用戶采用802.1X,MAC或Portal中的哪一種方式接入,接入過程中的各類參數和定時器。確保合法用戶和接入設備建立安全穩定的連接。
· AAA:用于接入設備與認證服務器之間的交互。AAA服務器通過對接入用戶進行認證、授權和計費實現對接入用戶訪問權限的控制。
NAC應用場景
如圖3所示,某企業中機要室通過RouterB連接到RouterA,辦公區通過RouterC連接到RouterA,訪客區通過AP連接到RouterA。為保證企業內部網絡的安全性,需控制用戶對網絡的訪問,只有通過認證的用戶,才允許訪問管理員授權的網絡資源。圖3 通過NAC控制企業用戶訪問網絡示意圖
辦公區內用戶安全控制的要求較為嚴格,因此可在RouterC上僅連接PC的接口Eth2/0/1和Eth2/0/2上部署802.1X認證,同時配置用戶的接入模式為單用戶接入(single-terminal);連接IP Phone和PC的接口Eth2/0/3上部署802.1X認證和MAC認證,同時配置用戶的接入模式為單用戶通過語音終端接入(single-voice-with-data)。
訪客區用戶流動性較大并且網絡訪問權限較低,因此可在RouterA的接口Eth2/0/3上部署Portal認證,同時配置用戶的接入模式為多用戶共享權限接入(multi-share)。
艾銻無限科技專業:IT外包、企業外包、北京IT外包、桌面運維、弱電工程、網站開發、wifi覆蓋方案,網絡外包,網絡管理服務,網管外包,綜合布線,服務器運維服務,中小企業it外包服務,服務器維保公司,硬件運維,網站運維服務
以上文章由北京艾銻無限科技發展有限公司整理
相關文章
IT電腦維護外包
關閉