Cisco资格认证:思科NAC架构不简单[1]

【网络综合 - Cisco认证】
Cisco的NAC Framework是设计用来如何让多种硬件和软件组件协同工作，共同保护用户网络免受不良客户端侵害的一种架构。这些不良的客户端可能是没有及时打补丁的个人电脑，没有安装杀毒软件或者没有安装防火墙的电脑。ZDNet Solution的目的在于尽可能将复杂的NAC Framework架构浅显的介绍给大家。
　　什么是Cisco NAC Framework的组件?
　　Cisco的NAC Framework试图解决一个复杂的问题，因此它必然也是一个复杂的解决方案。充分实施NAC Framework并不是一个简单的任务，因为整个架构中有太多来自Cisco和其它厂商的不同组件了，比如架构中包含了NAC策略管理器，多网络系统，认证服务器，补丁修补服务器，以及第三方安全软件验证服务器等。图A显示了整个框架的组件工作方式：

　　图A NAC架构工作方式

　　关于Cisco NAC Framework
　　不论是对于安全管理人员还是网络管理人员来说，让上图中的所有组件都和谐的工作，确实不是一件易事。不过没关系，思科的NAC架构已经被大多数主流终端安全公司，安全接入网关以及补丁修复服务器所支持。
　　Cisco NAC Framework如何工作
　　说了这么多，Cisco NAC Framework到底能做什么呢？以下是它的工作内容：
　　1.如果一台PC试图接入网络，首先必须经过验证，并且审核它的策略是否与规定相符。PC试图登录的行为会触发NAC过程。
　　2.PC主机运行思科可信代理Cisco Trust Agent (CTA).
　　3.网络接入设备Network Access Device (NAD) 即以太网交换机试图建立到PC机的连接。
　　4.可扩展认证协议Extensible Authentication Protocol (EAP)启用，PC电脑上的凭据被发送到思科安全接入控制服务器上Cisco Secure Access Control Server (ACS)。
　　5.直到这整个过程完成，PC主机（潜在的不良终端）只是将来自可信代理Cisco Trust Agent的凭证发送到了网络上。PC机本身还不能与网络进行通信。
　　6.可信代理Cisco Trust Agent是通过一个安全通道传达凭证的，因此NAD看不到它们。
　　7.安全接入控制服务器ACS Server可以将凭证传递给其它的服务器。比如，现在大部分此类凭证都会发送给Windows AD服务器。当然，凭证也会发送给其它服务器，比如LDAP或一次性密码服务器。
　　8.根据一个或多个验证服务器反馈的信息，ACS服务器可以允许，拒绝或者隔离请求接入网络的PC。另外，ACS服务器可以设定不同的网络接入等级。
　　9.在校验安全策略一致性方面，Cisco NAC Framework采用的是网络和基于代理的扫描方式。
　　10.Cisco NAC Framework可以实施针对各类设备的一致性检测。
　　11.Cisco NAC Framework可以通知用户的连接状态，如果其中出现任何问题，它可以通过升级PC机的补丁，防火墙或其它设置等方式纠正所出现的问题。另外，也可以通过弹出窗口或类似功能通知PC机是否获得了网络访问权。比如用户可能会看到一个弹出窗口，其中标注为：“ 由于你的电脑缺少必要的升级补丁，因此没有获得网络访问权限。为了获得网络访问权限，请先访问以下地址[URL]获取电脑升级补丁。” 图B可以帮助我们更好的理解这个过程：

　　图B连接过程

　　可能你注意到了，通常都是使用802.1X网络验证协议来验证试图接入网络的设备。因此NAD连接的交换机必须支持802.1X，否则该设备在验证和扫描前无法真正被隔离。
　　Cisco NAC Framework的组件都是什么?
　　知道了架构的大致工作方式，我们接下来逐一了解NAC框架的组件。以下就是组件和他们的功能介绍:
　　1.属性集Posture:这是试图接入网络的电脑所拥有的一系列凭证和属性的集合。包含了用户电脑的状态或健康程度，以及电脑上安装的程序信息。
　　2.思科可信代理Cisco TrustedCisco认证