HCIE Datacom培训高质量学习笔记什么是NAC（网络准入控制）？

欢迎关注WOLFLAB（沃尔夫）网络实验室：讲师崔志鹏、杨广成，联系WOLFLAB预约华为认证HCIE Datacom培训课程免费试听学习！

网络准入的产生背景：

随着园区网络的应用和发展，病毒、木马、间谍软件、网络攻击等各种信息安全威胁也在不断增加。在传统的园区网络建设思路中，一般认为园区内网是安全的，安全威胁主要来自外界。但是研究证明，80%的网络安全漏洞都存在于网络内部，它们导致的网络故障对网络的破坏程度和影响范围在持续扩大，经常引起业务系统崩溃、网络瘫痪。

网络准入控制（Network Admission Control，NAC）从对接入网络的终端安全控制入手，将终端安全状况和网络准入控制结合在一起， 通过检查、隔离、加固和审计等手段，加强网络用户终端的主动防御能力，保证园区中每个终端的安全性，进而保护园区网络的安全性。

①需要识别用户身份，防止非法的主机接入网络；（想要上网需要提供用户名和密码）；

②需要针对该用户做终端访问控制，限制访问的网络资源；

③接入终端的状态也需要进行检查，确保主机安装了防病毒软件、补丁文件等，防止终端带毒；

HCIE Datacom培训NAC系统架构：

①用户终端：手机、PC、打印机、摄像头等终端设备；

②网络准入设备：交换机、路由器；

③准入服务器：radius----imaster-nce-campus（安装增值服务）；

网络准入的基本工作原理：

①管理员预先在准入设备和控制器上填写彼此的信息完成对接；

②在控制器上预先创建用于终端认证的用户名密码和认证成功后获取的授权信息；

③用户终端事先安装与厂商配套的身份认证软件，输入用户名密码；

华为的身份认证软件：

anyoffice：前身是easyaccess

④如果用户提供的用户名密码，与控制器的用户名密码匹配，就认为其为合法的用户，并且将授权结果下发至准入设备，授权信息包括（vlan、acl等），acl就是用来控制主机访问的网络权限的。如果你输入的用户是WOLF-讲师你就可以访问1.1.1.1，如果你输入的用户是WOLF-顾问你就可以访问2.2.2.2；

网络准入的策略授权：

①认证前域：完成身份认证前你能够访问的区域，例如：radius server、DHCP server（如果针对用户执行的是WEB认证，那么通过认证之前需要要用户获取到IP地址才能够完成WEB认证）；----认证前能够访问的资源都是可以在准入设备上进行配置的

②隔离域：如果用户的终端设备因为终端的状态没有认证成功，此时用户可以访问隔离域，完成终端的防病毒检测，补丁的更新等；

③如果用户认证成功，此时该用户就可以访问internet；

欢迎关注【WOLFLAB网络实验室】，了解更多关于HCIE Datacom培训相关技术！

讲师：杨广成、崔志鹏