所属分类: 网络技术 整理: FengNet.Com 更新日期:2008/1/9 9:14:11 阅读次数:4226

NAC网络准入--整个初始化过程


Cisco网络准入控制(NAC)之前名为Cisco Clean Access,主要用于在网络基础架构中强化安全策略。

网络准入控制(NAC)是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成的危害。借助NAC,客户可以只允许合法的、值得信任的端点设备(例如PC、服务器、PDA)接入网络,而不允许其他设备接入。在初始阶段,当端点设备进入网络时,NAC能够帮助思科路由器实施访问权限。NAC决策可以根据端点设备的信息制定,例如设备的当前防病毒状况以及操作系统补丁等。网络将按照客户制定的策略实行相应的准入控制决策:允许、拒绝、隔离或限制。

初始化阶段

1)主机接入到Switch

2)Switch立即送SNMP给CAM(这个trap包含了Client的MAC地址和Switch端口号)。

3)CAM首先要看是否这个Mac address已经被Posture assessment过(CAM看是否Mac地址在已经认证的表里面。换句话说,check这台机器是不是曾经从网络里面logged off的),如果是曾经logged off的机器,则只需直接放到access vlan 或者让它重新认证,如果重新认证的话,一般我们不会再次做Postrue assessment,只需要authentication就可以。这个可以在CAM上定义。
4)如果这是一台新的Client,CAM会送一个SNMP write给Switch,让Switch的这个接口处于authentication VLAN(比如vlan 200)。
5)CAM同时会把这个Client的信息添加到自己的OOB Discovered list 列表里面。这个信息是从Switch上发过来的SNMP Mac trap 或Switch link up down traps。
6)到了这里,Client 已经被放到了Untrasted Vlan里面vlan 200,所有的从Client过来的traffic都被强迫通过CAS。当然CAS上面已经被配置允许DHCP 和DNS queries信息通过,缺省情况下,是不允许通过任何流量的。
7)这个时候,Client要开始从DHCP server 上Request 一个IP 地址了。
8)Client的IP Address request被CAS的untrusted 口(Vlan 200)接收,在CAS上,request packet的VLAN ID 被改成CAS trusted 口的VLAN ID比如VLAN 100(如何更改vlan其实使我们在CAM上已经预定义好的),反向同时也需要在CAS上更改包的vlan。
9)Okey,当DHCP server收到这个request后,它会分配给client 一个VLAN 100 的地址,因为这个DHCP server是在VLAN 100 里面
10)CAS 把从DHCP返回来的packet送给Client,这里其实CAS又做了一次更改VLAN ID的工作。

11)此时,这个Client已经拥有了Access vlan 100 里面的地址,但它又处在authentication VLAN里面。注意这种方式只能用在Virtual gateway 模式,如果是Router模式,CAS两端需要不同的地址。

CAA 需要做的工作

1)Okey,到了此时,这台Client处于未认证的角色里面,而且有了IP address,除了DHCP和DNS queries,其他的任何流量都不可以通过CAS(我们可以定义允许通过的流量)。CAA该开始工作了。
2)网络一旦连通,则CAA开始送SWISS discovery packets 给Default gateway。
3)CAS的Swiss 端口一直在监听,一旦收到CAA发过来的信息,它马上会给一个Feedback。
4)CAS回送的信息同时会促使CAA弹出 Login 窗口。用户名和passwrd将被NAC server 转发到CAM。

如果CAS通过了authentication 则开始进行Posture assessment。当Posture 失败时,CAM会把Client放入Temporary 角色,这些工作都是在CAM上来定义,由CAS来执行。Client升级的traffic会通过CAS到达Trast一边,这些过程其实流量又向之前一样在CAS上被改过VLAN ID.因此,如果你出不来结果,可能是CAM配置问题。

如果用户身份认证通过,则进入Posture检测状态,注意这里Client身份可以由CAM完成,但建议使用RADIUS等server来做。到底检测Client上的那些posture也是在CAM上定义的。我们可以根据Client的不同角色来定义检测什么。

CAM 首先通过CAS告诉CAA要检测哪些内容,CAA负责收集Client上的信息。

CAA收集Client上的信息然后通过CAS送给CAM。

CAM会把CAA发过来的信息与已知的病毒版本、主机patch信息进行比较,如果不match,则CAM指引Client 上的CAA弹出修复对话框,该对话框中会告诉用户发现的问题,如何修复。

这个时候,CAM会把Client的角色从Unauthenticated 移到Temporary。

所有的update 信息要在这里通过CAS,Traffic通过CAS时VLAN ID被修改再次上演。

其实二层的OOB配置还是比较简单的,三层的OOB比较复杂一点,中间链路需要做PBR或者ACC-LIST

--------------------------------------------------------------------------------

相关文章
从攻到防,深入浅出DDoS 2014/4/23 10:15:26
Nginx配置文件优化中的比较 2013/3/15 16:52:08
怎样使用NetFlow分析网络异常流量 2009/3/13 21:13:48
Cisco 2621 端口限速配置实例 2008/1/10 17:47:51
基于ARP欺骗的TCP伪连接D.o.S 2008/1/10 8:49:43
Cisco IOS Cookbook 中文精简版第十九章 访问列表 2007/4/2 10:00:57
Cisco IOS Cookbook 中文精简版第十七章 SNMP 2007/4/2 9:22:27
NE40/NE80在VRP3.10上的防病毒控制列表 2007/3/22 13:46:57
iptables防火墙配置工具ShoreWall的安装和使用实例 2/2 2007/3/22 10:33:22
VLAN之间ACL和VACL的区别 2007/1/24 8:43:59
用Linux系统防火墙功能抵御网络攻击 2006/12/14 17:28:02
新一代网络安全接入技术对比分析 2006/12/4 16:40:41
Cisco 路由器语句汇总 2006/11/28 9:12:36
帧中继故障的诊断与排除 2006/10/16 11:12:00
关闭常见木马和未授权控制软件 2006/8/31 8:51:54
用ACL构建防火墙体系 2006/8/2 14:43:20
ASA 5520配置例子 2006/7/14 9:47:04
NetFlow交换及其在网络管理中的应用 2006/5/28 17:22:00
Solaris基本安全配置规范 2006/5/24 11:14:30
RFC2328 OSPF V2 中文版 2006/4/27 20:40:32
命令行IPSEC封锁端口(转) 2006/4/22 19:53:12
边界网关协议版本4(BGP-4) RFC1771 2006/3/30 22:30:28
MPLS标记栈编码(RFC3032) 2006/3/30 21:54:27
IP VPN的框架体系(RFC2764) 2006/3/30 21:52:32
BGP团体属性(RFC1997) 2006/3/30 21:51:35
BGP MPLS VPNs(RFC2547) 2006/3/30 21:50:22
802.1x:老根发新芽 2006/3/8 10:55:52
配置示例:Catalyst与 CatOS 交换机之间的 ISL/802.1q 中继 2006/3/7 9:32:13
GSP命令参考 2006/1/6 15:15:46
LVM使用手册 2005/11/25 9:55:01
思科IOS 12.3新特性 2005/11/21 9:32:14
用ACL构建防火墙体系 2005/11/4 11:16:35
邮件发送退信分析大全 2005/9/1 17:29:35
在思科交换机上防范典型的欺骗和二层攻击 2005/8/4 12:50:32
流量检测的几种方案 2005/6/17 14:59:54
Windows常见非法操作详解 2005/6/10 20:38:55
GRUB安装,配置及使用汇总 2005/4/20 12:19:49
Solaris 系统管理命令及相关技术中英文对照 2005/4/13 10:36:48
CCNA考试命令集 2004/11/9 10:47:49
用MDaemon搭建邮件服务器 2004/9/1 11:11:24
常见的CatcOs错误消息在Cisco Catalyst 交换机 2004/8/29 12:29:00
使用Mrtg监控网络流量(Linux版本) 2004/8/21 10:06:06
Cisco 路由配置语句汇总 2004/8/10 12:26:42
Windows 非法操作详解 2004/7/9 9:10:20
Top Ten Tips for Secure Testing 2004/5/13 7:59:22
使用路由器作流量检测的几个手段 2004/4/9 13:17:44
CCNP课堂---交换(Switch)篇 2003/12/2 10:45:32
续(二)Solaris高级系统管理员指南!(公司内部培训教材) 2003/11/26 10:37:19
Grub配置杂谈(转载) 2003/11/23 10:03:05
华为s系列手册(连载6) 2003/9/8 16:45:07
Cisco 路由配置语句汇总 2003/7/31 9:08:50
Solaris 问答集 2003/7/19 19:06:09
Cisco 路由配置语句汇总 2003/7/14 16:59:32
使用Mrtg监控网络流量 2003/7/14 9:36:09
Linux 学习手册--linux命令大全 2003/5/14 10:04:59
注册码大全 2002/11/9 12:41:10


感性空间
设计&运维
网络技术
休闲娱乐
NetFilter
linux&Unix
网络安全
程序空间
软件考试
RFC&ISO
规划&规范
虚拟&存储
Apple技巧
云计算&大数据



文章搜索



站内搜索