思科岗前实训基地NAC网络准入控制的部署及实现

徐龙泉

摘要：该文从广东科学技术职业学院思科岗前实训基地实际建设入手，介绍思科岗前实训基地NAC网络准入控制的部署及实现，并从实际应用提出一个完整思科岗前实训基地NAC网络准入控制建设方案。为构建可信的网络环境， 应对身份认证及权限控制等安全问题，基于CISCO NAC技术在实际建设中实现了完备、高性能及高安全的网络准入控制系统。

关键词：网络准入控制；岗前实训基地；NAC

中图分类号：TP311 文献标识码：A 文章编号：1009-3044（2013）09-2253-02

1 思科岗前实训基地简介

2010年，我校成为首批全国20所 “思科校企合作岗前实训基地” 建设院校之一和广东省高职类院校两所入选院校之一。思科岗前实训基地投资近600万元，于2012年建设完毕且已正常投入教学使用。思科校企合作岗前实训基地由“思科网真空中课堂”和“思科网络技术实训室”两部分组成，思科校企合作岗前实训基地不仅要服务本校师生和认证考试，同时要与时俱进，服务兄弟院校的师资培训，承担服务社会的责任，扩展社会培训的职能，把基地建成服务师生的基地、省内师资培训的基地及社会服务和社会培训的基地等。该文主要从怎样结合思科校企合作岗前培训基地的良好硬件来整合出完备的实训方案。

2 NAC网络准入控制简介

思科NAC网络准入控制是一项由思科发起、多家厂商参加的计划，其宗旨是防止病毒和蠕虫等新兴黑客技术对企业安全造成危害。借助NAC，客户可以只允许合法的、值得信任的端点设备（例如PC、手机、服务器、PDA）接入网络，而不允许其它设备接入。

3 部署拓扑图及说明

如图1所示，思科推荐的NAC网络准入控制解决方案，Manage-pc不能与CAS处于同一网段，须经过三层路由来间接控制。接入PC一旦接入交换机SW2950，该交换机即利用SNMP发出TRAP信息给CAM，告诉CAM那个端口PC的MAC地址，CAM也通过SNMP的写操作通知交换机将该PC划分到Untrust的Vlan。当接入PC一旦想要上网，在上网之前，接入PC通过Untrust Vlan发送流量经过CAS，CAS就给接入PC安装一个软件，该软件审核接入PC的补丁，病毒之类，通过后，CAS告诉CAM该接入PC安全。CAM利用SNMP信息的写操作告诉交换机SW2950，让交换机将接入PC的接入的接口从Untrust转为Trust。

4 NAC网络准入控制部署及具体实现关键步骤

4.1 CAM的初始化配置

安装完Linux系统后，重启后选择安装选项1-cca manager安装直到结束，就可以用web登录https：//10.10.30.100/admin，用默认账号名为root，之后就可以进行配置了。在配置过程中需要加载许可证书（可以购买或者思科网申请一个使用licence），选择选项Install License即可，有的license是不能做out-of-band的，即web页面上没有OOB Management的选项。

4.2 CAS的初始化配置

安装完Linux系统后，重启后选择安装选项2-cca server安装直到结束，重启后用用默认账号名为root就可以进行配置了，主要配置有指定按入管理vlan 100、Eth1—和eth0一样的ip地址和网关、vlan id 、passthrough和management vlan tagging都选择no。

4.3 CAM关联CAS

（1）各自导出证书，具体实现为：Cam—Administration→CCA Manager→SSL→X509 Certificate→选中→export。Cas—Administration→SSL→X509 Certificate→选中→export

（2）互相导入证书，具体实现为：Cam—Administration→CCA Manager→SSL→Trusted Certificate Authorities→浏览→加载对方的证书→import。Cas—Administration→SSL→ Trusted Certificate Authorities→浏览→加载对方的证书→import

（3）Cam→Device Management→CCA Services→New Server→Server IP Address，将Server IP Addres设为CAS IP，Server Location处填写CAS name，Server Type：Out-of-Band Virtual Gateway→Add Cleam Access Server

（4）Cam→CCA Services→List of Servers→Manage，看是否管理成功。

4.4 管理CAS

（1）CAM→Device Management→CCA Server→点击添加的cas上的manage→network→IP（命令行上CAS已经配好）→DHCP→DHCP Passthrough（如果在交换机SW3560已经做好vlan 101的dhcp，则默认passthrough）→Advanced→Managed Subnet→IP Address：10.10.31.250（是trust的dhcp网段中的一个没被使用的ip）→Subnet Mask：255.255.255.0→vlan（untrust vlan）→Add Managed Subnet

（2）在SW2950上做SNMP的配置如下：

Snmp-server community RO ro

Snmp-server community RW rw

Snmp-server enable traps snmp linkdown linkup

Snmp-server enable traps mac-notification

Snmp-server host 10.1.30.10 rack_02_sw1（该IP为CAM的接口地址）

4.5 添加交换机

（1） OOB Management→Devices→Devices→New→Device Profile：rack_02_sw1→Device Group：Device Group→Default Port Profile→保持默认→IP Address：10.10.30.20（rack_02_sw1的管理IP）

（2） OOB Management→Devices→Devices→List→Ports→Profile→调用指定的Port_Profile（仅在接入pc的接口上调用）→Update→Advanted→Save

（3） 查看交换机rack_02_sw1的接口，会被推送一些配置为：snmp trap mac-notification added。

4.6 测试

在rack_02_sw1接上PC先确保地址可以自动获取地址，获取后如果需要正常的接入internet，则会需要键入创建的角色的用户名和密码，通过认证后接入PC的交换机的接口则收到推送过来的Trust Vlan的配置，即Vlan 301这时的Vlan和IP都匹配正确，就可以正常上网了，就表明NAC 网络准入控制部署成功了。

5 结束语

虽然大多数机构都使用 3A 机制来验证用户，给合法用户分配网络访问的权限，但是这些对验证用户终端设备的安全状况几乎起不到任何作用，而NAC网络准入控制使用的是网络基础设施对试图访问网络计算资源的所有设备执行安全策略检查，从而可以让病毒、木马、蠕虫及间谍软件等新兴安全威胁损害网络安全性大大降低，大大提高了网络的安全性，网络的可用性。

本文给出了基于高职学校思科校企合作岗前实训基地建设过程当中的一些实际部署和实现方案，对高职学校建设网络安全实验室具有一定的实际意义，能更好的指导岗前实训基地的建设和实现。

参考文献：

[1] Denise Helfrich，Paul Forbes.Cisco Network Admission Control[M].America：Cisco Press，2006.

[2] 聂元铭，董建锋，周小平.网络准入控制概论[M].北京：科学出版社，2012.