网络准入控制产品架构
NAC由多个关键组件构成(见图1),包括:
通信代理 —思科可信代理软件工具从终端的安全软件解决方案收集安全状态信息并使用EAPoUDP 或802.1x上的可扩展验证协议 (EAPoL)将此类信息传输给网络访问设备。思科可信代理同时安装在TCP/IP堆栈的上方或802.1x上。
网络访问设备 — 试图访问网络的每个设备最初都要联系网络访问设备(路由器、交换机、VPN集中器或防火墙)。这些设备需要思科可信代理提供终端安全“凭证”并将此类信息传输给策略服务器以便作出准入决策。
策略服务器 — 思科安全访问控制服务器(ACS) 和第三方供应商的策略服务器将评估网络访问设备转发的终端安全凭证并决定适当的访问策略(准许、拒绝、隔离或限制)。
图1. 思科可信代理 架构概图
试图访问网络的主机网络访问设备思科策略服务器第三方策略服务器
思科安全代理
支持NAC的应用 思科可信代理
安全策略的执行安全策略的创建第三方凭证评估
思科可信代理 允许NAC利用现有的基础设施投资,从而扩展了思科网络设备、思科安全代理软件和第三方安全软件的价值,包括防病毒和其他第三方终端安全及补丁管理技术投资。
更多内容请看PCdog.com--代理服务器技术 数字化校园网解决方案 思科专题
