什么是 802.1X 网络接入控制 (NAC)?

什么是 802.1X 网络接入控制 (NAC)?

802.1X 网络接入控制 (NAC) 使管理员能够跨有线和无线网络提供统一访问控制。它广泛部署在园区和分支机构企业网络上,由两个主要元素组成:

  • 802.1X 协议 — 有线和无线接入点上基于端口的网络接入控制 (PNAC) 的 IEEE 标准。802.1X 定义尝试访问 LAN 或 WLAN 的任何用户或设备的身份验证控制。
  • NAC — 通过控制对网络的访问识别用户和设备的成熟网络概念。NAC 使用授权和策略实施来控制对企业资源的访问。

802.1X 网络接入控制解决的问题

无线网络访问、移动性、自带设备 (BYOD)、社交媒体和云计算对企业网络资源的的影响是巨大的。这种扩展的移动性增加了遭受网络威胁和数字漏洞的风险,如下图所示。使用 802.1x 可帮助您提高这种环境中的入口安全,同时降低总拥有成本。

“802.1X 网络接入控制解决的问题”图表

802.1X 网络接入控制有何作用?

部署 NAC 的方式有许多,但主要方式包括:

  • 准入前控制 — 阻止未经过身份验证的信息。
  • 设备和用户检测 — 使用预定义凭据或机器 ID 识别用户和设备。
  • 身份验证和授权 — 验证并提供访问权限。
  • 入网服务 — 为设备配置安全、管理或主机检查软件。
  • 分析 — 扫描端点设备。
  • 策略实施 — 应用基于角色和许可的访问。
  • 准入后控制 — 实施会话终止和清理。

802.1X 通过验证试图访问物理端口的用户或设备,提供 L2 访问控制。

802.1X 网络接入控制的工作原理是什么?

802.1X NAC 操作序列如下所示:

1. 初始化 — 验证方(通常为交换机)或请求方(客户端设备)发送会话初始化请求。请求方向验证方发送一则 EAP 响应信息,后者封装此信息并转发至身份验证服务器。

2.身份验证 — 通过验证方在身份验证服务器和请求方之间传递消息,以验证多条信息。

3.授权 — 如果凭据有效,身份验证服务器会通知验证方为请求方提供端口访问权限。

4.核算 — RADIUS 核算会保留会话记录,包括用户和设备详细信息、会话类型和服务详细信息。

5.终止 — 通过断开端点设备的连接或使用管理软件终止会话。

瞻博网络实施

EX 系列以太网交换机系列是瞻博网络针对园区和分支机构企业网络提供的网关。EX 系列提供广泛的 802.1X 和 RADIUS 支持以及多个 802.1x 增强功能。它通过简化网络接入控制的大规模部署扩展了处理传入访问请求的方式。此外,由瞻博网络精选供应商提供的解决方案 — Aruba Networks ClearPass Policy Management Platform and Pulse Secure — 提供对网络接入控制的全面管理。