EqLlyHJ5w6,694hQRgLWm

交换机江湖故事之一个门卫NAC的故事(第一篇)

来源:济南磐龙笔记本交换机维修作者:济南磐龙维修网址:http://www.pldtwx.com

交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修



话说在很久很久以前,在江湖中是没有门卫的。然而随着网络的迅速发展,江湖中出现了越来越多偷鸡摸狗的现象,社会秩序一度混乱不堪。于是各路英雄好汉齐聚一堂,呕心沥血培养出了一代超级高手,他的名字叫门卫,官方称他为NAC(Network Admission Control)交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修

随着时间的流逝,NAC的作用越来越大,应用也越来越广泛。于是就流传了越来越多关于NAC的八卦。譬如NAC和AAA那些扯不清楚的关系到底是啥情况?NAC的用户为啥一定都要划分到一个个的域中呢? ……

本文即讲述了江湖中关于门卫NAC流传最为广泛的那些八卦……

  • 故事:NAC到底是啥,有啥NB之处?
  • 话说每次提到这个话题,NAC都会吐血三升,想我NAC纵横江湖这么多年,竟然还有人不知道我的大名?!顾名思义,NAC就是网络接入控制!啥?不懂什么叫网络接入控制?好吧,看到那老头没?

    某天老李交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修要到档案局查看自己的档案……

  • 情形
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:哎,哎,老头,站住!
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:我要到你们档案室查我的档案。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:你是谁? 谁让你来的?
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:我是老李,我自己想来的。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:不给进!

  • 情形二:
  •  :站住!
  •  :你好,我要到你们档案室查我的档案。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:你是谁? 谁让你来的?
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:我是老李,我是张局长同学,他让我来的。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:稍等,我问下张局长。

  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:张局长,门口有个叫老李的要进档案室,说是您让来的。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:老李?不认识!
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:好的。

  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:你忽悠我啊,不给进!

  • 情形三:
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:站住!
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:你好,我要到你们档案室查我的档案。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:你是谁? 谁让你来的?
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:我是老李,我是张局长同学,他让我来的。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:稍等,我问下张局长。

  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:张局长,门口有个叫老李的要进档案室,说是您让来的。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:老李?哦,是我同学,让他去吧。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:好的。

  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:请进!一直向前走,到路口左拐再右拐就到档案室了。其他地方不允许乱跑。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:谢谢!

    从上面能够,门卫控制着大门的关和开,任何一个用户如果想要进入,必须要经过门卫的身份检查才可以,只有合法的用户才允许通过大门,这也就是网络接入控制的精髓所在。在网络的世界中,NAC将保护着企业内网资源的安全性,只有通过认证的用户才允许其访问网络资源。

    看到这里大家应该比较清楚什么是NAC了吧。

  • 故事二:据说NAC有三个私生子?
  • 对于这个事,真有点冤枉NAC了。现在正式为NAC澄清下,NAC并没有三个私生子,而是在遇到不同的人时,它会有三种不同的接入控制方式。我们称之为802.1x认证、MAC认证Portal认证那么为啥NAC要有这三种认证方式呢?

    我们看上面老李的遭遇,在门卫问老李是谁时,老李是能够用嘴来回答的。如果有一天,老李嗓子发炎,无法说话了怎么办呢?

  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:站住!你是谁?
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修……
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修咦,你咋不说话?
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修啊,啊……
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修汗,原来是一哑巴。等会,我问问领导认识你不。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修张局长,外面有个人,不会说话,我拍个照微信传给您,您看看认不认识啊?
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:好……这不是老李吗?让他进来吧
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:好的。
  •         ……

    我们可以看到,当老李无法说话,门卫为了判断是否允许老李进入时,就不能靠老李来回答他自己是谁?这时门卫就需要考虑用老李其他的身份标记来让张局长判断。

    同样的,在网络的世界中,为了对不同类别的用户(譬如哑终端、访客)进行接入控制NAC就有了802.1x认证、MAC认证和Portal认证三种方式。

    这三种方式的优缺点简单归纳如下


    对比项
    802.1x认证
    MAC认证
    Portal认证
    客户端需求
    需要
    不需要
    不需要
    优点
    安全性高
    无需安装客户端
    部署灵活
    缺点
    需要安装客户端,部署不灵活
    需登记MAC地址,管理复杂
    安全性不高
    适合场景
    新建网络、用户集中、信息安全要求严格的场景
    打印机、传真机等哑终端接入认证的场景
    用户分散、用户流动性大(如访客)的场景



  • 故事:NAC和AAA那些说不清的关系
  • 提到NAC就不得不提到AAA,NAC只有AAA配置完成后,才能达到控制用户接入的目的。那么NAC和AAA到底又有何区别呢?

    我们上面老李的遭遇,能够发现门卫控制大门的开关,但真正决定老李能否进入的是张局长交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修。同样的,NAC控制用户接入网络接口的开或关,而AAA则真正控制着是否允许用户有权利接入网络。这里我们可以将老李看做用户,门卫看做部署NAC的接入设备,张局长看做AAA服务器,那么老李和门卫的交互就是NAC过程,而门卫和张局长的交互就可以理解为AAA。

     同样的,我们也应该很容易理解为何使用NAC之前,AAA是必不可少的。试想如果张局长不在,门卫又根据什么来判定老李是一个合法的用户呢?或者说张局长稀里糊涂,大脑里都不记得认识谁?不认识谁?那门卫肯定也不会让老李通过大门。所以AAA是必须的,同时AAA服务器要在用户认证之前就已部署用户的信息,这样NAC才能有用武之地,合法的用户才能通过认证。

  • 故事NAC用户为啥一定都要划分到一个个的域中呢?
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:站住!
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:你好,我要到你们档案室查我的档案。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:你是谁? 谁让你来的?
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:我是老李,我是王书记的亲戚,他让我来的。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:稍等,我问下王书记
  • ……
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:你忽悠我啊,王书记根本就没你这号亲戚,不给进!
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:啊?哦,对对,我搞错了,是张局长让我来的,我是张局长的同学
  • ……
  • 我们看到,老李为了进入大门,会向门卫说他是“张局长的同学”或是“王书记的亲戚”。这里“张局长的同学”、“王书记的亲戚”就是老李的关系,而门卫在听到老李所属的关系后,自然会找到对应的人去询问。试想,如果老李没有这些关系,门卫又向谁验证老李的身份呢。

    类似的,NAC用户也要划分到一个个的域中,在域中部署用户的认证方式、认证服务器等等信息,通过域中信息,接入控制设备才能够为用户选择相应的AAA服务器以及认证方式等。

    那接入控制设备又是怎么识别用户所在的域呢?答案当然是通过“用户名”。

    由下图能够看到,如果用户输入的用户名携带有域名,接入控制设备会将其在指定的域中进行认证;如果用户输入的用户名不带有域名,那么接入控制设备会将其在缺省域中进行认证。

    总之,用户一定是在域中进行认证的,并且为了保证用户的顺利认证,用户输入的用户名中携带的域名一定要和用户实际所属的域保持一致。

    交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修


  • 故事五: 为啥远端授权优先级要高于本地授权呢?
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:站住!
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:你好,我要到你们档案室查我的档案。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:你是谁? 谁让你来的?
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:我是老李,我是张局长同学,他让我来的。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:稍等,我问下张局长。

  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:张局长,门口有个叫老李的要进档案室,说是您让来的。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:老李?哦,是我同学,让他去吧。对了,档案室那栋楼在装修,让他到食堂旁边的那栋二层小楼,档案室暂时搬到里了。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修好的

  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:请进!一直向前走,到路口向右拐,然后直走,看到前面的二层小楼就到了。其他地方不允许乱跑。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:谢谢!

      用户认证成功后,就能够具有一定的访问网络权限。而用户获得的网络访问权限到底有哪些,可由本地授权和远端授权决定。在老李认证成功后,从第一个故事能够看到,门卫让老李一直向前走,到路口左拐再右拐就到档案室了。其他地方不允许乱跑。”这就是门卫在本地为老李授予的权限。

    这时问题来了,如果本地授权和远端授权同时存在,以哪个为准呢?当然远端授权优先级更高!这个太容易理解了,看上面的故事就知道,张局长已经说了“档案室那栋楼在装修,让他到食堂旁边的那栋二层小楼,档案室暂时搬到里了”,这就是张局长在远端为老李授予的权限。在这种情况下如果门卫犯傻,还让老李走原来的路,那估计他离失业也不远了。

  • 故事六:Portal认证用户必须是先获取到IP地址才能够进行认证
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:乡亲们,大家站好了,别挤别挤!喂!那个Portal认证的,唉,这不是老李吗?你需要先去领个IP地址再来认证。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修凭啥就我要先去领个IP地址再来认证。我打听过了,802.1xMAC认证用户都是认证通过后才去领IP地址的。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修喂!竟然还给我犟嘴了。听好了,你是在我发给你的WEB页面填你的个人信息,然后进行认证的,在这之前你不先领个IP地址,我给你怎么玩!
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:哦!sorrysorry,我忘了这一茬。我这就去领个IP地址去。
  • ……
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:大兄弟,不行啊,发IP地址的DHCP大哥,还有那个DNS大哥现在都在院子里面,你不放我进去,我没办法领啊。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:行了行了,知道了,我给你开个小门,你到里面拿到IP地址就赶快出来。
  • 交换机江湖故事之一个门卫NAC的故事(第一篇)!济南磐龙维修:唉,好嘞!
  • 对于NACPortal认证方式,用户必须首先获取到IP地址之后,才能够进行认证。但这里就存了一个问题,就像上面老李说的,DHCPDNS大哥在院子里面,他都不去还怎么获取IP地址呢?

    针对这种情况,NAC网络中,为了保证用户的正常认证,就需要将DHCP服务器和DNS服务器加入到免认证网络(即不通过认证就能够访问的网络资源)中,保证用户不需要通过认证就能够访问这些服务器。



    通过上面几个故事,应该能够暂时缓解大家对NAC八卦之心吧好了NAC的故事实在太多太多 如果要一直讲下去,真要讲个三天三夜啦。

    这次就为大家讲述到这里,如果后续大家听到了NAC的啥八卦事或者想听NAC的啥八卦事儿,一定给俺说啊。

    OK,现在真的要和大家说再见了,当然我们后续还有第二集。第二集讲门卫的啥事呢?下周二即将揭晓,大家敬请期待!








EqLlyHJ5w6