11、网络访问设备中第 3 层 NAC 配置全解析

网络访问设备中第 3 层 NAC 配置全解析

1. 第 3 层 NAC 解决方案概述

第 3 层 NAC 解决方案可确保在数据包通过 Cisco IOS 网络访问设备（NAD）之前进行状态验证。众多 Cisco IOS 路由器都支持此解决方案，当终端主机尝试访问网络资源时，NAD 会根据终端主机的状态（如杀毒软件信息和签名定义）应用相应的访问限制。该解决方案在以下网络部署场景中非常实用：
- 拥有不支持 NAC 的第 2 层设备。
- 希望在中央路由设备上实施 NAC，而非在所有第 2 层和无线设备上启用。
- 使用站点到站点 VPN 隧道连接合作伙伴，需要在允许访问网络之前检查合作伙伴机器的状态。
- 拥有 NAC 不支持的基于 SSL 或 IPSec 的远程访问 VPN 隧道。

2. 第 3 层设备上 NAC 的架构概述

当终端主机请求访问网络时，第 3 层设备上的状态验证过程便会启动。以下是主机尝试访问网络时，终端主机、Cisco IOS 路由器和 Cisco Secure ACS 服务器所经历的流程：
1. 终端主机通过发送流量尝试访问网络。当 NAD 看到未在其表中注册的主机 IP 地址时，会识别出这是一台新主机。
2. NAD 检查其例外列表，以确定设备是否可免予状态验证过程：
- 若设备身份（IP 地址、MAC 地址、IP 电话）在例外列表中，该设备无需进行 NAC 验证，NAD 可选择应用访问列表（ACL）来限制这些豁免主机的流量。
- 若不在例外列表中，主机需进行状态验证，NAC 过程继续。
3. NAD 创建可扩展认证协议（EAP）会话，并应用默认访问列表，直至主机完