话说在很久很久以前,在江湖中是没有门卫的。然而随着网络的迅速发展,江湖中出现了越来越多偷鸡摸狗的现象,社会秩序一度混乱不堪。于是各路英雄好汉齐聚一堂,呕心沥血培养出了一代超级高手,他的名字叫门卫,官方称他为NACNetwork Admission Control

          随着时间的流逝,NAC的作用越来越大,应用也越来越广泛。于是就流传了越来越多关于NAC的八卦事儿。譬如NACAAA那些扯不清楚的关系到底是啥情况?NAC的用户为啥一定都要划分到一个个的域中呢?

     本文即讲述了江湖中关于门卫NAC流传最为广泛的那些八卦事儿……

 

故事一:NAC到底是啥,有啥NB之处?

 话说每次提到这个话题,NAC都会吐血三升,想我NAC纵横江湖这么多年,竟然还有人不知道我的大名?!顾名思义,NAC就是网络接入控制!啥?不懂什么叫网络接入控制?好吧,看到那老头没?

     某天,老李要到档案局查看自己的档案……

      情形一:

      :哎,哎,老头,站住!

:我要到你们档案室查我的档案。

:你是谁? 谁让你来的?

:我是老李,我自己想来的。

:不给进!

      情形二:

:站住!

:你好,我要到你们档案室查我的档案。

:你是谁? 谁让你来的?

:我是老李,我是张局长同学,他让我来的。

:稍等,我问下张局长。

 

:张局长,门口有个叫老李的要进档案室,说是您让来的。

:老李?不认识!

:好的。

 

:你忽悠我啊,不给进!

 

 情形三

:站住!

:你好,我要到你们档案室查我的档案。

:你是谁? 谁让你来的?

:我是老李,我是张局长同学,他让我来的。

:稍等,我问下张局长。

 

:张局长,门口有个叫老李的要进档案室,说是您让来的。

:老李?哦,是我同学,让他去吧。

:好的。

 

:请进!一直向前走,到路口左拐再右拐就到档案室了。其他地方不允许乱跑。

:谢谢!

          从上面能够看到,门卫控制着大门的关和开,任何一个用户如果想要进入,必须要经过门卫的身份检查才可以,只有合法的用户才允许通过大门,这也就是网络接入控制的精髓所在。在网络的世界中,NAC将保护着企业内网资源的安全性,只有通过认证的用户才允许其访问网络资源

 

故事二:据说NAC有三个私生子?

  对于这个事,真有点冤枉NAC了。现在正式为NAC澄清下,NAC并没有三个私生子,而是在遇到不同的人时,它会有三种不同的接入控制方式。我们称之为802.1x认证、MAC认证和Portal认证。那么为啥NAC要有这三种认证方式呢?

     我们再看上面老李的遭遇,在门卫问老李是谁时,老李是能够用嘴来回答的。如果有一天,老李嗓子发炎,无法说话了怎么办呢?

        :站住!你是谁?

        :……

        :咦,你咋不说话?

        :啊,啊……

        :汗,原来是一哑巴。等会,我问问领导认识你不。

 

        :张局长,外面有个人,不会说话,我拍个照微信传给您,您看看认不认识啊?

        :好……这不是老李吗?让他进来吧

        :好的。

        ……

 我们可以看到,当老李无法说话,门卫为了判断是否允许老李进入时,就不能靠老李来回答他自己是谁,这时门卫就需要考虑用老李其他的身份标记来让张局长判断。

 同样的,在网络的世界中,为了对不同类别的用户(譬如哑终端、访客)进行接入控制,NAC就有了802.1x认证、MAC认证和Portal认证三种方式。

 这三种方式的优缺点简单归纳如下。

 

对比项

802.1x认证

MAC认证

Portal认证

客户端需求

需要

不需要

不需要

优点

安全性高

无需安装客户端

部署灵活

缺点

需要安装客户端,部署不灵活

需登记MAC地址,管理复杂

安全性不高

适合场景

新建网络、用户集中、信息安全要求严格的场景

打印机、传真机等哑终端接入认证的场景

用户分散、用户流动性大(如访客)的场景

 

 

故事三:NACAAA那些说不清的关系

     提到NAC就不得不提到AAANAC只有在AAA配置完成后,才能达到控制用户接入的目的。那么NACAAA到底又有何区别呢?

      我们还看上面老李的遭遇,能够发现门卫控制大门的开关,但真正决定老李能否进入的是张局长同样的,NAC控制用户接入网络接口的开或关,而AAA则真正控制着是否允许用户有权利接入网络。这里我们可以将老李看做用户,门卫看做部署NAC接入设备,张局长看做AAA服务器,那么老李和门卫的交互就是NAC过程,而门卫和张局长的交互就可以理解为AAA

  这样,我们也应该很容易理解为何使用NAC之前,AAA是必不可少的。试想如果张局长不在,门卫又根据什么来判定老李是一个合法的用户呢?或者说张局长稀里糊涂,大脑里都不记得认识谁?不认识谁?那门卫肯定也不会让老李通过大门。所以AAA是必须的,同时AAA服务器要在用户认证之前就已部署有用户的信息,这样NAC才能有用武之地,合法的用户才能通过认证。

 

故事四:NAC用户为啥一定都要划分到一个个的域中呢?

         站住!

         :你好,我要到你们档案室查我的档案。

         :你是谁? 谁让你来的?

         :我是老李,我是王书记的亲戚,他让我来的。

         :稍等,我问下王书记。

         ……

         :你忽悠我啊,王书记根本就没你这号亲戚,不给进!

         :啊?哦,对对,我搞错了,是张局长让我来的,我是张局长的同学。

         ……

  我们看到,老李为了进入大门,会向门卫说他是“张局长的同学”或是“王书记的亲戚”。这里“张局长的同学”、“王书记的亲戚”就是老李的关系,而门卫在听到老李所属的关系后,自然会找到对应的人去询问。试想,如果老李没有这些关系,门卫又向谁来验证老李的身份呢。

  类似的,NAC用户也要划分到一个个的域中,并在域中会部署用户的认证方式、认证服务器等等信息,通过域中的信息,接入控制设备才能够为用户选择相应的AAA服务器以及认证方式等。

  那接入控制设备又是怎么识别用户所在的域呢?答案当然是通过“用户名”。

  由下图能够看到,如果用户输入的用户名携带有域名,接入控制设备会将其在指定的域中进行认证;如果用户输入的用户名不带有域名,那么接入控制设备会将其在缺省域中进行认证。

  总之,用户一定是在域中进行认证的,并且为了保证用户的顺利认证,用户输入的用户名中携带的域名一定要和用户实际所属的域保持一致。

 

故事五: 为啥远端授权优先级要高于本地授权呢?

         :站住!

         :你好,我要到你们档案室查我的档案。

         :你是谁? 谁让你来的?

         :我是老李,我是张局长同学,他让我来的。

         :稍等,我问下张局长。

 

         :张局长,门口有个叫老李的要进档案室,说是您让来的。

         :老李?哦,是我同学,让他去吧。对了,档案室那栋楼在装修,让他到食堂旁边的那栋二层小楼,档案室暂时搬到那里了。

         :好的

 

         :请进!一直向前走,到路口向右拐,然后直走,看到前面的二层小楼就到了。其他地方可不允许乱跑。

 :谢谢!

 

用户认证成功后,就能够具有一定的访问网络权限。而用户获得的网络访问权限到底有哪些,可以由本地授权和远端授权决定。在老李认证成功后,从第一个故事能够看到,门卫让老李“一直向前走,到路口左拐再右拐就到档案室了。其他地方不允许乱跑。”这就是门卫在本地为老李授予的权限。

这时问题来了,如果本地授权和远端授权同时存在,那以哪个为准呢?当然是远端授权优先级更高!这个太容易理解了,看上面的故事就知道,张局长已经说了“档案室那栋楼在装修,让他到食堂旁边的那栋二层小楼,档案室暂时搬到那里了”,这就是张局长在远端为老李授予的权限。在这种情况下如果门卫犯傻,还让老李走原来的路,那估计他离失业也不远了。

 

故事六:Portal认证用户必须是先获取到IP地址才能够进行认证

    :乡亲们,大家站好了,别挤别挤!喂!那个Portal认证的,唉,这不是老李吗?你需要先去领个IP地址再来认证。

         :凭啥就我要先去领个IP地址再来认证。我打听过了,802.1xMAC认证用户都是认证通过后才去领IP地址的。    

         :哎呦喂!竟然还给我犟嘴了。听好了,你是在我发给你的WEB页面上填你的个人信息,然后进行认证的,在这之前你不先领个IP地址,我给你怎么玩!

         :哦!sorrysorry,我忘了这一茬。我这就去领个IP地址去。

         …… 

         :大兄弟,不行啊,发IP地址的DHCP大哥,还有那个DNS大哥现在都在院子里面,你不放我进去,我没办法领啊。

         :行了行了,知道了,我给你开个小门,你到里面拿到IP地址就赶快出来。

         :唉,好嘞!

 

  对于NACPortal认证方式,用户必须首先获取到IP地址之后,才能够进行认证。但这里就存了一个问题,就像上面老李说的,DHCPDNS大哥在院子里面,他都进不去还怎么获取IP地址呢?

  针对这种情况,在NAC网络中,为了保证用户的正常认证,就需要将DHCP服务器和DNS服务器加入到免认证网络(即不通过认证就能够访问的网络资源)中,保证用户不需要通过认证就能够访问这些服务器。

 

  通过上面几个故事,应该能够暂时缓解大家对NAC的八卦之心吧。好了,NAC的故事实在太多太多了,如果要一直讲下去,真要讲个三天三夜啦。

  这次就为大家讲到这里,如果后续大家听到了NAC的啥八卦事或者想听NAC的啥八卦事儿,一定给俺说啊。

  OK,现在真的要和大家说再见了,当然我们后续还有第二集。第二集讲门卫的啥事儿呢?下周二即将揭晓,大家敬请期待!

大家对NAC应该有了一定的了解吧?当然了,故事毕竟是故事,光听一些八卦事儿而不能近距离接触故事的主角,大家心中肯定会意犹未尽!OK,今天就让我们以NAC中的802.1x为例,来一起瞅一瞅NAC到底是咋一步一步奠定自己的江湖地位!

话说在N年之前,档案局刚刚建立。此时由于没有安排门卫,因此人来人往,好不热闹,我们能够看到老李想进档案局就可以进去,全无阻拦。

图一:未部署NAC的档案局环境

    

图二:未部署NAC情况下老李访问档案室资源

    

    长此以往,档案局内混乱不堪,为了扭转局面,保证档案局内各类资源的安全。档案局决定在大门处(SwitchA)部署NAC802.1x认证功能。下面就让我们一起看看部署过程中的各个重要步骤。

图三:部署NAC的档案局环境  

步骤一:在AAA服务器上配置对接的接入设备(SwitchA)各参数。

步骤二:在服务器上添加账号(保证老李在访问档案局时,张局长能够认识他)

步骤三:在SwitchA部署NAC802.1x功能。

K,到这里NAC部署就完成了。这时NAC即刻走马上任门卫的工作,此后如果用户没有认证成功,将无法访问网络喽。

       

在部署完成NAC功能后,如果用户需要访问档案局中的资源,则必须通过认证才可以。下面以华为公司NAC Agent客户端软件为例介绍启动802.1x认证过程。

老李在进行认证时,首先需要启动客户端软件,之后输入已在认证服务器上添加的用户名和密码,然后点击“认证”启动认证即可。

              

如果输入的用户名和密码正确,则老李即能够通过认证。这时,我们在SwitchA上能够看到老李认证成功的信息。

     

     

 

这样,老李就能够访问档案局中的网络资源了啊!

  

看到这里,大家对NAC的部署流程有一定了解了吗?说实话,NAC的门卫工作真的是博大精深,他会遇到各种各样的人,会遇到各种各样的紧急情况、特殊情况。为了应对这些人、这些事儿,NAC的门卫工作也在不断的扩展、细化,而他身上发生的故事也在不断的增加……

本文到这里仅仅为大家讲述了NAC流传较为广泛的故事,以及他最常见的工作方式。如果大家对NAC产生了强烈的兴趣,想更深入的了解NAC的故事,那就请访问华为公司网站吧,那里有更多的精彩在等着你!