(完整word版)网络准入控制V1.0

网络准入控制（NAC)

目录

1。网络准入概述 (1)

2。准入方式 (2)

2.1。 802.1x准入控制 (2)

2.1。1. 802。1X的工作过程 (3)

2。2. CISCO EOU准入控制 (4)

2。3。 DHCP准入控制 (4)

2.4。 ARP准入控制 (5)

2。5。网关型准入控制 (5)

2.6。 H3C Portal准入控制 (5)

2.6。1。 Portal系统组成 (5)

2。6。2。 Portal原理 (7)

3。准入技术的比较 (7)

1.网络准入概述

网络准入控制是指对网络的边界进行保护，对接入网络的终端和终端的使用人进行合规性检查。借助NAC，客户可以只允许合法的、值得信任的终端设备接入网络，而不允许其它设备接入。

NAC系统组件:终端安全检查软件；网络接入设备（接入交换机和无线访问点）；策略/AAA服务器。

NAC系统基本工作原理:当终端接入网络时，首先由终端设备和网络接入设备（如：交换机、无线AP、VPN等）进行交互通讯。然后，网络接入设备将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查.当终端及使用者符合策略/AAA服务器上定义的策略后，策略/AAA 服务器会通知网络接入设备，对终端进行授权和访问控制。

通过网络准入一般可以实现以下功能:

◆用户身份认证

从接入层对访问的用户进行最小授权控制，根据用户身份严格控制用户对内部网络访问范围，确保企业内网资源安全。

◆终端完整性检查

通过身份认证的用户还必须通过终端完整性检查，查看连入系统的补丁、防病毒等功能是否已及时升级，是否具有潜在安全隐患。

◆终端安全隔离与修补

对通过身份认证但不满足安全检查的终端不予以网络接入，并强制引导移至隔离修复区，提示用户安装有关补丁、杀毒软件、配置操作系统有关安全设置等。

◆非法终端网络阻断

能及时发现并阻止未授权终端对内网资源的访问，降低非法终端对内网进行攻击、窃密等安全威胁，从而确保内部网络的安全。

2.准入方式

目前常用的准入控制：

➢802.1x准入控制

➢CISCO EOU准入控制

➢DHCP准入控制

➢ARP准入控制

➢网关型准入控制

➢H3C Portal准入控制

2.1.802。1x准入控制

802.1x准入控制：802。1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口（access port)访问LAN/WLAN.在获得交换机或LAN提供的各种业务之前，802。1x对连接到交换机端口上的用户/设备进行认证.在认证通过之前，802.1x 只允许EAPoL(基于局域网的扩展认证协议)数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。802。1x是一个二层协议，需要以太网交换机支持。

802.1x的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送

到受控和不受控端口。其中,不受控端口始终处于双向联通状态，主要用于传输认证信息.而受控端口的联通或断开是由该端口的授权状态决定的。认证者的EAP根据认证服务器认证过程的结果，控制”受控端口”的授权/未授权状态.处在未授权状态的控制端口将拒绝用户/设备的访问。受控端口与不受控端口的划分，分离了认证数据和业务数据，提高了系统的接入管理和接入服务提供的工作效率。

802.1x主要采用VLAN 动态切换的方式授权客户端，近几年部分厂商开始支持通过下发ACL 方式授权客户端。802.1x目前的不足指出在于：由于是二层协议，同时802。1x在交换机上基本是端口插线加电即启动认证，所以在大多场合不支持，如VPN、WLAN、专线等环境,无法穿透三层网络环境。而且在HUB的情况下VLAN无法切换和存在访问控制漏洞。

2.1.1.802.1X的工作过程

802。1X工作过程:

(1.当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机,开始启动一次认证过程。

（2.交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。

（3。客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理.

(4.认证服务器收到交换机转发上来的用户名信息后，将该信息与数据库中的用户名表相比对，找到该用户名对应的口令信息，用随机生成的一个加密字对它进行加密处理，同时也将此加密字传送给交换机，由交换机传给客户端程序。

（5。客户端程序收到由交换机传来的加密字后，用该加密字对口令部分进行加密处理(此种加密算法通常是不可逆的)，并通过交换机传给认证服务器.

(6。认证服务器将送上来的加密后的口令信息和其自己经过加密运算后的口令信息进行对比，如果相同，则认为该用户为合法用户，反馈认证通过的消息,并向交换机发出打开端口的指令，允许用户的业务流通过端口访问网络。否则，反馈认证失败的消息，并保持交换机端口的关闭状态，只允许认证信息数据通过而不允许业务数据通过。

2.2.CISCO EOU准入控制

EAP OVER UDP ，是思科公司私有的准入控制技术；CISCO 3550 以上设备支持， EOU技术工作在三层，采用UDP封装，客户端开放UDP 21862 端口，由于是三层所以在很多地方比二层协议更灵活，如在灾备，设备例外,认证放行等特性上都较为灵活.

CISCO EOU 准入控制技术 ,同时分为二层EOU 和三层EOU 即：IPL2,IPL3。两者不同的在于：二层EOU是指运行在交换设备上的（三层交换机也包括)，二层EOU认证是靠ARP 和DHCP 触发认证的，所以在客户端和认证网络设备之间Authenticator System(设备端）之间必须可以让ARP 和 DHCP包能够通过；三层的EOU L3IP_EOU，是工作在路由器上的，他是靠包转发来触发认证，所以支持各种接入环境。二层EOU和三层EOU除了认证触发和运行设备有区别外其他无区别。如果环境允许推荐使用EOU技术.

2.3.DHCP准入控制

终端设备接入，分配一个临时IP然后后台检测你的合法性，如果合法则给你重新分配一个合法的IP地址供正常办公。 DHCP的准入控制的优点是兼容老旧交换机。缺点是不如802.1x协议的控制力度强.