网络准入控制(NAC)目录1.网络准入概述12.准入方式12.1.802.1x准入控制22.1.1.802.1X的工作过程22.2.CISCOEOU准入控制32.3.DHCP准入控制32.4.ARP准入控制42.5.网关型准入控制42.6.H3CPortal准入控制42.6.1.Portal系统组成42.6.2.Portal原理53.准入技术的比较5---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---1.网络准入概述网络准入控制是指对网络的边界进行保护，对接入网络的终端和终端的使用人进行合规性检查。借助NAC，客户可以只允许合法的、值得信任的终端设备接入网络，而不允许其它设备接入。NAC系统组件：终端安全检查软件；网络接入设备（接入交换机和无线访问点）；策略/AAA服务器。NAC系统基本工作原理：当终端接入网络时，首先由终端设备和网络接入设备（如：交换机、无线AP、VPN等）进行交互通讯。然后，网络接入设备将终端信息发给策略/AAA服务器对接入终端和终端使用者进行检查。当终端及使用者符合策略/AAA服务器上定义的策略后，策略/AAA服务器会通知网络接入设备，对终端进行授权和访问控制。通过网络准入一般可以实现以下功能：用户身份认证从接入层对访问的用户进行最小授权控制，根据用户身份严格控制用户对内部网络访问范围，确保企业内网资源安全。终端完整性检查通过身份认证的用户还必须通过终端完整性检查，查看连入系统的补丁、防病毒等功能是否已及时升级，是否具有潜在安全隐患。终端安全隔离与修补对通过身份认证但不满足安全检查的终端不予以网络接入，并强制引导移至隔离修复区，提示用户安装有关补丁、杀毒软件、配置操作系统有关安全设置等。非法终端网络阻断能及时发现并阻止未授权终端对内网资源的访问，降低非法终端对内网进行攻击、窃密等安全威胁，从而确保内部网络的安全。2.准入方式目前常用的准入控制：---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---802.1x准入控制CISCOEOU准入控制DHCP准入控制ARP准入控制网关型准入控制H3CPortal准入控制2.1.802.1x准入控制802.1x准入控制：802.1x协议是基于Client/Server的访问控制和认证协议。它可以限制未经授权的用户/设备通过接入端口(accessport)访问LAN/WLAN。在获得交换机或LAN提供的各种业务之前，802.1x对连接到交换机端口上的用户/设备进行认证。在认证通过之前，802.1x只允许EAPoL（基于局域网的扩展认证协议）数据通过设备连接的交换机端口；认证通过以后，正常的数据可以顺利地通过以太网端口。802.1x是一个二层协议，需要以太网交换机支持。802.1x的每个物理端口被分为受控和不受控的两个逻辑端口，物理端口收到的每个帧都被送到受控和不受控端口。其中，不受控端口始终处于双向联通状态，主要用于传输认证信息。而受控端口的联通或断开是由该端口的授权状态决定的。认证者的EAP根据认证服务器认证过程的结果，控制"受控端口"的授权/未授权状态。处在未授权状态的控制端口将拒绝用户/设备的访问。受控端口与不受控端口的划分，分离了认证数据和业务数据，提高了系统的接入管理和接入服务提供的工作效率。802.1x主要采用VLAN动态切换的方式授权客户端，近几年部分厂商开始支持通过下发ACL方式授权客户端。802.1x目前的不足指出在于：由于是二层协议，同时802.1x在交换机上基本是端口插线加电即启动认证，所以在大多场合不支持，如VPN、WLAN、专线等环境,无法穿透三层网络环境。而且在HUB的情况下VLAN无法切换和存在访问控制漏洞。2.1.1.802.1X的工作过程802.1X工作过程：（1.当用户有上网需求时打开802.1X客户端程序，输入已经申请、登记过---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给交换机，开始启动一次认证过程。（2.交换机收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将输入的用户名送上来。（3.客户端程序响应交换机发出的请求，将用户名信息通过数据帧送给交换机。交换机将客户端送上来的数据帧经过封包处理后送给认证服务器进行处理。（4.认证服务器收到交换机转发...