11、网络访问设备中第3层NAC配置全解析

网络访问设备中第3层NAC配置全解析

1. 第3层NAC解决方案概述

第3层NAC解决方案能够确保在数据包通过Cisco IOS网络访问设备（NAD）之前进行状态验证。众多Cisco IOS路由器都支持该解决方案，当终端主机尝试访问网络资源时，NAD会根据终端主机的状态，如杀毒软件信息和签名定义等，应用相应的访问限制。该解决方案在以下网络部署场景中十分有用：
- 拥有不支持NAC的第2层设备。
- 希望在中央路由设备上实施NAC，而非在所有第2层和无线设备上启用。
- 使用站点到站点VPN隧道连接合作伙伴，需要在允许其访问网络之前检查其机器状态。
- 存在NAC不支持的基于SSL或IPSec的远程访问VPN隧道。

2. 第3层设备上NAC的架构概述

当终端主机请求访问网络时，第3层设备上的状态验证过程便会启动。以下是终端主机、Cisco IOS路由器和Cisco Secure ACS服务器在主机尝试访问网络时所经历的流程：
1. 终端主机通过发送流量尝试访问网络。当NAD看到未在其表中注册的主机IP地址时，会识别出这是一台新主机。
2. NAD检查其例外列表，以确定设备是否可免予状态验证过程：
- 若设备身份（IP地址、MAC地址、IP电话）在例外列表中，则该设备无需进行NAC验证。NAD可选择应用访问列表（ACL）来限制这些豁免主机的流量。
- 若不在例外列表中，主机则需进行状态验证，NAC过程继续。
3. NAD创建可扩展认证协议（EAP）会话，并应用默认访问列表，直至主机完全验证通过。NAD向主机发送基于用户数据报协议的可扩展认证协议（EAPoUDP）问候包：
- 若收到