Cisco NAC初始化过程说明文档
Cisco NAC初始化过程说明文档.rar
在你在自己的网络上实施网络准入控制(Network Admission Control,简称NAC)之前;你首先需要清楚你要进行什么操作;
在多数情况下,NAC可能是一个大型的复杂项目,而不管你要实施哪家厂商的产品。
笔者将以思科的NAC产品为例,将其实施步骤分解为五步,并讨论一些你需要关注的问题。
Cisco NAC初始化过程说明文档.rar 全册下载 [hide][/hide]
第一步:实施之前首先需要定义目标
现在几乎人人都在谈论NAC,不过千万不可贸然行事。首先, 在投入时间和金钱之前,先问自己如下几个问题,只有这样你才能更好地定义自己的目标:
需要保障安全的是什么对象?
我们在什么地方缺乏安全性,思科的NAC如何帮助我们解决这些问题?
实施一个思科NAC解决方案的总体影响是什么?除了保障PC(或其它的任何目标)的安全,对帮助台的工作人员、终端用户、在外的销售人员、远程访问用户会有什么影响?
实施思科的NAC方案的益处与由此引起的影响孰轻孰重?
在这个时点上你真得需要采用NAC吗?对于任何专家来说,何时实施NAC都是一个难以回答的问题。当然,NAC目前提供了一些重要特性,而且它毫无疑问地会使你的网络更安全。然而,NAC的技术性能与特性仍处于初期阶段。
你需要审视是什么驱使你决定实施NAC.不要因为这是一种趋势而采用它,要确信这项技术适合你公司的需要,并且能够解决安全问题,而不会给用户或管理员带来太多的负担。
此外,还要记住,你可能没有足够的信息来获知实施这样一种大型方案所带来的影响。例如,可能你并不知道定期外出的销售人员会从副总裁的办公室连接到你的网络中。如果你实施了思科的NAC,而副总裁却大发雷霆,因为你实施了这种新的安全措施,结果他最喜欢的销售人员无法访问互联网,你该怎么办?这些问题总是令人难堪,因此要在其发生这前尽力阻止其发生。
第二步:定义NAC项目的实施范围
在将任何资金投到一个思科NAC项目之前,你的思科销售商应能够为你提供某个工作范围,它应该一步一步地告诉你思科的NAC项目将包含哪些东西。
将工作范围与它可能为企业带来的利益、需要和弊端相比较。考虑这个范围适合你的需要吗?你正在进行的工作能够真得能为你解决问题吗?
第三步:你的NAC系统将如何设计?
一旦你认为自己不是为了赶时髦而购买这种最新的最流行的方案,就要问一下自己,应该如何设计NAC的实施。因为思科NAC可在网络中的不同点上实施,所以公司提前知道其执行点应该在什么地方是很重要的。一般说来,NAC可被部署在三个点上:内联(inline)、带外(out-of-band)、软件代理。
实际上,执行点的问题是伴随着NAC实施的最重大的设计问题之一。例如,如果一家公司将其NAC系统设计为“内联式”,而NAC设备失效,那么此设备后面的所有计算机将再也不能访问网络了。IT管理人员应该准备好相关的文件材料和人员培训,要知道一旦发生这种情况应采取哪些措施。
最后,要考虑哪种类型的NAC设计能够满足你的安全需要,并且尽可能地不打扰终端用户。例如,你可以采用思科、Nevis、Vernier等厂商提供的“内联式”方案,或者采用ForeScout提供的“带外”方案。另外一方面,你还可以用来自思科、InfoExpress、Elemental等公司的软件代理来部署NAC.笔者以为,思科的内联式设计目前更为流行,因为其相对而言部署和管理起来都不太复杂。
第四步:分析和测试你的NAC选择
除非你过去实施过NAC,与仅仅自己动手摸索、操作相比,观察分析和分析白皮书的帮助作用可能并不太大。因此,在你将其在自己的网络上测试之前,你不应该购买一个NAC方案。你的思科产品销售商应在这方面提供帮助。
一旦你已经测试了一个NAC方案,就需要确定它会执行你要求的任何事情。例如,NAC解决方案应该能够运行一次预准入检查、后准入检查、主机地位检查。此外,一个NAC方案还应该能够用现有的架构确认你的网络资源。例如,一个NAC解决方案应该能够用Windows的活动目录来确认用户和计算机。
要问一下自己实施一个NAC方案对你的真正含义。任何一种在全公司实施的产品(它可能要涉及到每一个设备)将会相当昂贵。实施的成本将依赖于你作出的设计选择,因此一定要确保你用所实施的方法衡量自己的设计选择。例如,部署软件代理可能要比基于硬件的方法花费更少。
另一方面,在网络中插入一个独立的NAC设备可能不会花费太多时间,但其配置成本却可能很高,因此需要准备一个备份单元,以应对主要单元失效的问题。
小型测试的例子可能有:
为来宾网络设置一个NAC解决方案:对于临时来访的销售人员等,需要访问一个用思科NAC设备保障其安全的网络。因此,其计算机就可以用最新的反病毒定义、操作系统补丁等检查。
为一小组节点设置一个NAC解决方案:用此方法,在将一个NAC方案在整个系统中实施之前,你就可以看出一个插入式NAC是怎样的。
仅为无线用户设置一个NAC:如果你有大量的无线用户,就应当通过这些用户的子集实施测试。
第五步:在网络中实施NAC
在所有的正确计划之后,你决定在你的网络中实施NAC结构,不过还有一些问题需要考虑:
谁来实施?是组织中的拥有NAC经验的任何人吗?或者你要依赖于一个外部的公司来实施?
NAC如何适应你的网络安全策略?为强化安全,NAC的实施必须与对网络安全的改变保持一致和统一;你绝对不希望人们想方设法绕过NAC和你设置的安全措施。
你如何展开NAC系统的部署?
这种实施对用户的总体影响是什么?
最后,实施计划看起来是什么样子?实施计划适合你最初的需要吗?谁来评审计划以确保它的简易可行?此计划是基于所执行的动态测试吗?
在任何生产性网络上实施NAC不是一个简单任务,因此你需要保障你的实施计划得到了测试并如计划进行。
结束语
当然,这些措施并不限于思科的NAC,而是几乎可适用于任何NAC解决方案。虽然NAC是一个十分时髦的词,但你要保障不是因为它流行才采用。你需要确信你的网络真得存在安全问题,而这种NAC的实施能够真正地解决这些问题。你不妨问一下自己本文中所提出的问题,并试着用其保障NAC方案的实施获得成功。
Cisco网络准入控制(NA C)之前名为Cisco Clean Access,主要用于在网络基础架构中强化安全策略。
网络准入控制(NAC)是一项由思科发起、多家厂商参加的计划,其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成的危害。借助NAC,客户可以只允许合法的、值得信任的端点设备(例如PC、服务器、PDA)接入网络,而不允许其他设备接入。在初始阶段,当端点设备进入网络时,NAC能够帮助思科路由器实施访问权限。NAC决策可以根据端点设备的信息制定,例如设备的当前防病毒状况以及操作系统补丁等。网络将按照客户制定的策略实行相应的准入控制决策:允许、拒绝、隔离或限制。
初始化阶段
1)主机接入到Switch
2)Switch立即送SNMP给CAM(这个trap包含了Client的MAC地址和Switch端口号)。
3)CAM首先要看是否这个Mac address已经被Posture assessment过(CAM看是否Mac地址在已经认证的表里面。换句话说,check这台机器是不是曾经从网络里面logged off的),如果是曾经logged off的机器,则只需直接放到access vlan 或者让它重新认证,如果重新认证的话,一般我们不会再次做Postrue assessment,只需要authentication就可以。这个可以在CAM上定义。
4)如果这是一台新的Client,CAM会送一个SNMP write给Switch,让Switch的这个接口处于authentication VLAN(比如vlan 200)。
5)CAM同时会把这个Client的信息添加到自己的OOB Discovered list 列表里面。这个信息是从Switch上发过来的SNMP Mac trap 或Switch link up down traps。
6)到了这里,Client 已经被放到了Untrasted Vlan里面vlan 200,所有的从Client过来的traffic都被强迫通过CAS。当然CAS上面已经被配置允许DHCP 和DNS queries信息通过,缺省情况下,是不允许通过任何流量的。
7)这个时候,Client要开始从DHCP server 上Request 一个IP 地址了。
8)Client的IP Address request被CAS的untrusted 口(Vlan 200)接收,在CAS上,request packet的VLAN ID 被改成CAS trusted 口的VLAN ID比如VLAN 100(如何更改vlan其实使我们在CAM上已经预定义好的),反向同时也需要在CAS上更改包的vlan。
9)Okey,当DHCP server收到这个request后,它会分配给client 一个VLAN 100 的地址,因为这个DHCP server是在VLAN 100 里面
10)CAS 把从DHCP返回来的packet送给Client,这里其实CAS又做了一次更改VLAN ID的工作。
11)此时,这个Client已经拥有了Access vlan 100 里面的地址,但它又处在authentication VLAN里面。注意这种方式只能用在Virtual gateway 模式,如果是Router模式,CAS两端需要不同的地址。
CAA 需要做的工作
1)Okey,到了此时,这台Client处于未认证的角色里面,而且有了IP address,除了DHCP和DNS queries,其他的任何流量都不可以通过CAS(我们可以定义允许通过的流量)。CAA该开始工作了。
2)网络一旦连通,则CAA开始送SWISS discovery packets 给Default gateway。
3)CAS的Swiss 端口一直在监听,一旦收到CAA发过来的信息,它马上会给一个Feedback。
4)CAS回送的信息同时会促使CAA弹出 Login 窗口。用户名和passwrd将被NAC server 转发到CAM。
如果CAS通过了authentication 则开始进行Posture assessment。当Posture 失败时,CAM会把Client放入Temporary 角色,这些工作都是在CAM上来定义,由CAS来执行。Client升级的traffic会通过CAS到达Trast一边,这些过程其实流量又向之前一样在CAS上被改过VLAN ID.因此,如果你出不来结果,可能是CAM配置问题。
如果用户身份认证通过,则进入Posture检测状态,注意这里Client身份可以由CAM完成,但建议使用RADIUS等server来做。到底检测Client上的那些posture也是在CAM上定义的。我们可以根据Client的不同角色来定义检测什么。
CAM 首先通过CAS告诉CAA要检测哪些内容,CAA负责收集Client上的信息。
CAA收集Client上的信息然后通过CAS送给CAM。
CAM会把CAA发过来的信息与已知的病毒版本、主机patch信息进行比较,如果不match,则CAM指引Client 上的CAA弹出修复对话框,该对话框中会告诉用户发现的问题,如何修复。
这个时候,CAM会把Client的角色从Unauthenticated 移到Temporary。
所有的update 信息要在这里通过CAS,Traffic通过CAS时VLAN ID被修改再次上演。
其实二层的OOB配置还是比较简单的,三层的OOB比较复杂一点,中间链路需要做PBR或者ACC-LIST
附件: 您所在的用户组无法下载或查看附件
搜索更多相关主题的帖子:
NAC
![誉天CISCO、RHCE认证论坛[武汉CCNA.CCNP.CCSP.CCIE.RHCE认证社区]](./images/Beijing2008/logo.gif){kind=logo}
