UniaccessV3_NAC.pptVIP

网络准入控制技术介绍 祝青柳 CCIE#6913 深圳联软科技有限公司 * Agenda 一、准入控制技术概述 二、802.1x准入控制技术介绍 三、Cisco NAC准入控制简介 四、DHCP准入控制技术简介 五、ARP干扰技术简介 六、UniAccess准入控制解决方案 为什么需要网络准入 病毒的爆发周期越来越短 网络承载的业务越来越多，可靠性要求越来越高 网上的机密信息越来越多，信息的价值越来越高 使用网络的人员越来越多，网络接入的接口越来越多 网络的接入方式越来越多，无线、远程、VPN…… NAC系统架构 网络准入控制 网络准入 网络准入建立如下机制: 终端注册 安全检测 安全隔离 安全通知 安全修复 网络准入的意义 防止病毒/蠕虫/间谍件/木马泛滥 不符合安全要求的终端不能直接访问 未符合安全要求的终端将被自动隔离 对接入的设备进行验证，防止非法接入 防止非法无线Access Point接入 没有合法账户无法接入 不是单位内的合法终端也无法接入 让接入网络的终端都安装代理 除非你为其单独设置例外…… 其它更多好处…… ARP spoofing，IP spoofing…… 常见的网络准入控制技术 Network Device Enforcement 802.1x，多网络厂商支持，网络交换机和无线AP上实现 Cisco NAC，NAC支持多种准入技术，包括802.1x准入 DHCP Enforcement/IPSec Enforement Microsoft vista，还有美国的一些小厂商 Gateway Enforcement 主要是防火墙厂商采用该方法 ARP干扰 许多中国国内厂商采用该方法 Agenda 一、准入控制技术概述 二、802.1x准入控制技术介绍 三、Cisco NAC准入控制简介 四、DHCP准入控制技术简介 五、ARP干扰技术简介 六、UniAccess准入控制解决方案 IEEE 802.1x IEEE 802.1x 的3个组件 802.1x 工作原理 802.1x网络准入控制技术 外来电脑（无Agent） 进入Guest VLAN 不符合安全的桌面电脑 进入修复区进行自我修复 合法且符合安全要求的 进入工作区 通过在网络设备上限制VLAN的访问权限，从而实现终端的访问控制 802.1x准入控制接入过程示例 802.1x交换机端口认证模式 802.1x 基于Port的准入控制组网(1) 802.1x Multi-Auth认证组网方案(2) 802.1x准入控制优缺点 优势 802.1x是一个国际标准，多个厂商支持 通过动态VLAN切换，实现对不安全终端的隔离 不会影响网络的性能 缺陷 一个交换机端口下面只能接一台终端 只有通过LAN接入才能做准入控制，VPN/Wirelesss不行 许多网络交换机、HUB不支持802.1x协议 许多无线AP支持802.1x，但是不支持动态VLAN切换 不同厂商在802.1x协议实现上有差别，存在兼容性问题 Agenda 一、准入控制技术概述 二、802.1x准入控制技术介绍 三、Cisco NAC准入控制简介 四、DHCP准入控制技术简介 五、ARP干扰技术简介 六、UniAccess准入控制解决方案 Cisco NAC系统架构 Cisco NAC NAC实现准入控制的三种方式 NAC-L2-802.1x NAC-L2-IP(EAP over UDP) NAC-L3-IP(EAP over UDP) NAC-L2-802.1x 与其它网络设备厂商的方式一致 NAC-L2/3-IP Cisco设备专有 NAC三种部署技术特性对比 NAC L3 IP ? EAP over UDP 安全状态检查(Routers and VPN) NAC L2 IP ? EAP over UDP 安全状态检查(L2交换机端口) NAC L2 802.1x ? EAP over 802.1x(L2交换机端口) NAC-L2-802.1x 完全符合IEEE 802.1x标准 主要特性 终端身份和安全状态的认证检查 交换机端口动态VLAN设置 动态下载ACL 交换机端口支持两种模式 Single Host / Multi-host 支持的设备 Catalyst 6500系列(Sup2/32/720), Native IOS暂时不支持 Catalyst 4000/4500系列(Sup2+,3-5), IOS版支持 Catalyst 3550/3560/3750系列 Catalyst 2940/2950/2955/2970系列 NAC L3 IP 简介 适合于有多个L3路由器跳数的环境: Cisco路由器和VPN集中器 仅提供安全状态检查认证 不做身份认