nac 学习贴

network

nac 学习贴

在学习nac，发一些问题与在学习的各位一起讨论


1.: Virtual Gateway & Real IP Gateway

虚拟网关即并不真实存在，但在中心部署的模式下，通过什么方式让数据流都流向cas ？是通过公布cas的arp地址给各接入设备，让各接入设备以其为网关？然后cas进行相关监测，监测通过后，cas再进行vlan map后再对数据进行转发到真正的网关。


另外，引用一张论坛兄弟的图，按照这张图学习，很有帮助。




CAS的工作模式：IB、OOB模式（单台cas的工作模式只能二选一，多台设备可以混合组合）；L2 IP模式，L3 IP 模式（单台cas的工作模式只能二选一，多台设备可以混合组合）；；Virtual Gateway模式，Real IP Gateway模式（单台cas的工作模式只能二选一，多台设备可以混合组合）；
部署的位置包括集中部署和边界部署。


在考虑是用IB和OOB模式时候，主要考虑接入交换机的品牌。OOB需要最终接入交换机的支持，限于cisco的产品，具体型号论坛里有很多弟兄总结，OOB是通过CAS对接入交换机的端口vlan进行修改来实现用户的正常访问和接入认证的。接入PC先是在一个需要认证的vlan（例如vlan 110），该vlan的用户仅仅能和cas等安全设备通讯，经过监测无误后，cas对接入交换机通过snmp下达指令，将该用户接入的交换机端口划入到正常的vlan（例如vlan 10），用户此时通讯，即和没有cas时完全一样，数据流向不受任何影响。
从通讯原理可以了解到，最接近用户端的接入交换机需要支持nac。
但oob的好处也是显而易见的。就是用户一旦通过认证，数据流将不再通过cas，这对网络性能有着较大的帮助。
（接入交换机基本上不用做什么配置更改，预设值都可以在cam上配置好。由cam根据情况对交换机进行自动配置更改)



In bound模式即在数据的走向上，cas是串在数据流向中间的，就象防火墙的工作模式（防火墙工作模式分为透明模式，route模式和nat模式，而咱们的cas也正好有这几种模式，后面介绍）。IB模式下，cas是数据的必经之地，所以没有一个新的用户加入网络通讯，cas就可以将这些数据截获，并强制进行状态监测，对于监测通过的，可以正常通讯。对与没有通过监测的数据，cas将通过acl或者带宽限制等方式，对该用户进行限制，并对用户的http请求进行url的重定向到安全区域设备。 IB模式下，对接入设备没有什么要求，普通交换机，HUB，AP等等都支持。
IB模式下，还可以对每个用户进行更加细致的颗粒度管理，例如支持RBAC（Role Based Access Control），可以对不同用户进行区分对待。



二层工作模式：CAS工作在二层工作模式下，一般都比较接近接入设备，客户端设备必须能在不路由的情况下就可以和cas通讯。二层工作模式下，用户的mac地址是重要的认证信息。二层工作模式，可以支持虚拟网关模式和真实网关模式，具体优势随后在说模式组合的时候比较能体现。二层模式也支持IB和OOB两种组合。所以，上面的图是画的很清晰。


三层工作模式，即客户端通过路由或多跳路由和cas通讯。

kuangye