交换机江湖故事之一个门卫NAC的故事（第二篇）

交换机江湖故事之一个门卫NAC的故事（第二篇）

上一集我们介绍了NAC在江湖中流传最为广泛的那些事儿,大家对NAC应该有了一定的了解吧?当然了，故事毕竟是故事，光听一些八卦事儿而不能近距离接触故事的主角，大家心中肯定会意犹未尽！OK，今天就让我们以NAC中的802.1x为例，来一起瞅一瞅NAC到底是咋一步一步奠定自己的江湖地位的！

话说在N年之前，档案局刚刚建立。此时由于没有安排门卫，因此人来人往，好不热闹，我们能够看到老李想进档案局就可以进去，全无阻拦。

图一：未部署NAC的档案局环境

图二：未部署NAC情况下老李访问档案室资源

长此以往，档案局内混乱不堪,为了扭转局面,保证档案局内各类资源的安全。档案局决定在大门处（SwitchA）部署NAC的802.1x认证功能。下面就让我们一起看看部署过程中的各个重要步骤。

图三：部署NAC的档案局环境

步骤一：在AAA服务器上配置对接的接入设备（SwitchA）各参数。（AAA服务器以华为公司Policy Center为例进行说明）

• 登陆Policy Certer后首先在其上添加接入设备。（保证张局长能够联系上门卫）
• 选择“接入控制策略 > 接入设备 > 接入设备 > 设备”。
• 单击“增加”。
• 设置设备的连接参数。
• 
• 增加授权结果。
• 选择“接入控制策略 >认证授权 >授权结果”。
• 单击，修改缺省授权规则。（此处直接使用缺省授权规则，也可以创建新的授权规则）
• 

步骤二：在服务器上添加账号（保证老李在访问档案局时，张局长能够认识他）

首先上张全景图，然后在做详细介绍。



• 创建部门
• 选择“用户与终端 > 部门用户 > 部门用户管理”。
• 在右侧操作区域选择“部门”页签。
• 在部门导航树选择待创建部门的上级部门。
• 待创建部门隶属于所选择的上级部门。
• 在“部门”页签下方单击“增加”。
• 输入部门的参数。
• 
• 创建用户
• 选择“用户与终端 > 部门用户 > 部门用户管理”。
• 在右侧操作区域选择“用户”页签。
• 在部门导航树选择需要创建终端用户的目标部门，即“档案局”。
• 在“用户”页签下方单击“增加”。
• 输入用户的相关参数。
• 
• 创建账号
• 选择“用户与终端 > 部门用户 > 部门用户管理”。
• 在右侧操作区域选择“用户”页签。
• 在“部门用户管理”界面左侧的部门导航树选择需要创建账号的目标部门，即“档案局”。
• 在需要创建账号的用户（即：老李）右侧单击。
• 单击“增加”，输入账号的相关参数。
• 

步骤三：在SwitchA部署NAC的802.1x功能。

• 在SwitchA上配置RADIUS方案。
• # 创建RADIUS服务器模板。配置RADIUS认证服务器、共享密钥。
• 
• # 配置认证方案。
• 
• # 配置域，在域下应用认证方案auth、 RADIUS服务器模板rad 。
• 
• # 配置全局默认域为“zhangjuzhang”。
• 
• 在SwitchB上使能802.1x报文透传功能 （如果门卫和老李之间不存在二层交换机设备，则无需配置本步骤。）
• 
• 
• 在SwitchA上使能802.1x认证。
• # NAC配置模式切换成统一模式。（在交换机SV200R005C00及其之后版本，NAC支持统一配置模式与传统配置模式。推荐使用NAC统一配置模式进行配置。）



• # 使能802.1x认证。






OK，到这里，NAC部署就完成了。这时NAC即刻走马上任门卫的工作，此后如果用户没有认证成功，将无法访问网络喽。

• 




在部署完成NAC功能后，如果用户需要访问档案局中的资源，则必须通过认证才可以。下面以华为公司NAC Agent客户端软件为例介绍启动802.1x认证过程。

老李在进行认证时，启动认证即可。









如果输入的用户名和密码正确，则老李即能够通过认证。这时，我们在SwitchA上能够看到老李认证成功的信息。





这样，老李就能够访问档案局中的网络资源了啊！






看到这里，大家对NAC的部署流程有一定了解了吗？说实话，NAC的门卫工作真的是博大精深，他会遇到各种各样的人，会遇到各种各样的紧急情况、特殊情况。为了应对这些人、这些事儿，NAC的门卫工作也在不断的扩展、细化，而他身上发生的故事也在不断的增加……

本文到这里仅仅为大家讲述了NAC流传较为广泛的故事，以及他最常见的工作方式。如果大家对NAC产生了强烈的兴趣，想更深入的了解NAC的故事，那就请访问华为公司网站吧，那里有更多的精彩在等着你！