徐龍泉

摘要：該文從廣東科學(xué)技術(shù)職業(yè)學(xué)院思科崗前實訓(xùn)基地實際建設(shè)入手，介紹思科崗前實訓(xùn)基地NAC網(wǎng)絡(luò)準(zhǔn)入控制的部署及實現(xiàn)，并從實際應(yīng)用提出一個完整思科崗前實訓(xùn)基地NAC網(wǎng)絡(luò)準(zhǔn)入控制建設(shè)方案。為構(gòu)建可信的網(wǎng)絡(luò)環(huán)境， 應(yīng)對身份認(rèn)證及權(quán)限控制等安全問題，基于CISCO NAC技術(shù)在實際建設(shè)中實現(xiàn)了完備、高性能及高安全的網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)。

關(guān)鍵詞：網(wǎng)絡(luò)準(zhǔn)入控制；崗前實訓(xùn)基地；NAC

中圖分類號：TP311 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2013）09-2253-02

1 思科崗前實訓(xùn)基地簡介

2010年，我校成為首批全國20所 “思科校企合作崗前實訓(xùn)基地” 建設(shè)院校之一和廣東省高職類院校兩所入選院校之一。思科崗前實訓(xùn)基地投資近600萬元，于2012年建設(shè)完畢且已正常投入教學(xué)使用。思科校企合作崗前實訓(xùn)基地由“思科網(wǎng)真空中課堂”和“思科網(wǎng)絡(luò)技術(shù)實訓(xùn)室”兩部分組成，思科校企合作崗前實訓(xùn)基地不僅要服務(wù)本校師生和認(rèn)證考試，同時要與時俱進(jìn)，服務(wù)兄弟院校的師資培訓(xùn)，承擔(dān)服務(wù)社會的責(zé)任，擴(kuò)展社會培訓(xùn)的職能，把基地建成服務(wù)師生的基地、省內(nèi)師資培訓(xùn)的基地及社會服務(wù)和社會培訓(xùn)的基地等。該文主要從怎樣結(jié)合思科校企合作崗前培訓(xùn)基地的良好硬件來整合出完備的實訓(xùn)方案。

2 NAC網(wǎng)絡(luò)準(zhǔn)入控制簡介

思科NAC網(wǎng)絡(luò)準(zhǔn)入控制是一項由思科發(fā)起、多家廠商參加的計劃，其宗旨是防止病毒和蠕蟲等新興黑客技術(shù)對企業(yè)安全造成危害。借助NAC，客戶可以只允許合法的、值得信任的端點設(shè)備（例如PC、手機(jī)、服務(wù)器、PDA）接入網(wǎng)絡(luò)，而不允許其它設(shè)備接入。

3 部署拓?fù)鋱D及說明

如圖1所示，思科推薦的NAC網(wǎng)絡(luò)準(zhǔn)入控制解決方案，Manage-pc不能與CAS處于同一網(wǎng)段，須經(jīng)過三層路由來間接控制。接入PC一旦接入交換機(jī)SW2950，該交換機(jī)即利用SNMP發(fā)出TRAP信息給CAM，告訴CAM那個端口PC的MAC地址，CAM也通過SNMP的寫操作通知交換機(jī)將該P(yáng)C劃分到Untrust的Vlan。當(dāng)接入PC一旦想要上網(wǎng)，在上網(wǎng)之前，接入PC通過Untrust Vlan發(fā)送流量經(jīng)過CAS，CAS就給接入PC安裝一個軟件，該軟件審核接入PC的補(bǔ)丁，病毒之類，通過后，CAS告訴CAM該接入PC安全。CAM利用SNMP信息的寫操作告訴交換機(jī)SW2950，讓交換機(jī)將接入PC的接入的接口從Untrust轉(zhuǎn)為Trust。

4 NAC網(wǎng)絡(luò)準(zhǔn)入控制部署及具體實現(xiàn)關(guān)鍵步驟

4.1 CAM的初始化配置

安裝完Linux系統(tǒng)后，重啟后選擇安裝選項1-cca manager安裝直到結(jié)束，就可以用web登錄https：//10.10.30.100/admin，用默認(rèn)賬號名為root，之后就可以進(jìn)行配置了。在配置過程中需要加載許可證書（可以購買或者思科網(wǎng)申請一個使用licence），選擇選項Install License即可，有的license是不能做out-of-band的，即web頁面上沒有OOB Management的選項。

4.2 CAS的初始化配置

安裝完Linux系統(tǒng)后，重啟后選擇安裝選項2-cca server安裝直到結(jié)束，重啟后用用默認(rèn)賬號名為root就可以進(jìn)行配置了，主要配置有指定按入管理vlan 100、Eth1—和eth0一樣的ip地址和網(wǎng)關(guān)、vlan id 、passthrough和management vlan tagging都選擇no。

4.3 CAM關(guān)聯(lián)CAS

（1）各自導(dǎo)出證書，具體實現(xiàn)為：Cam—Administration→CCA Manager→SSL→X509 Certificate→選中→export。Cas—Administration→SSL→X509 Certificate→選中→export

（2）互相導(dǎo)入證書，具體實現(xiàn)為：Cam—Administration→CCA Manager→SSL→Trusted Certificate Authorities→瀏覽→加載對方的證書→import。Cas—Administration→SSL→ Trusted Certificate Authorities→瀏覽→加載對方的證書→import

（3）Cam→Device Management→CCA Services→New Server→Server IP Address，將Server IP Addres設(shè)為CAS IP，Server Location處填寫CAS name，Server Type：Out-of-Band Virtual Gateway→Add Cleam Access Server

（4）Cam→CCA Services→List of Servers→Manage，看是否管理成功。

4.4 管理CAS

（1）CAM→Device Management→CCA Server→點擊添加的cas上的manage→network→IP（命令行上CAS已經(jīng)配好）→DHCP→DHCP Passthrough（如果在交換機(jī)SW3560已經(jīng)做好vlan 101的dhcp，則默認(rèn)passthrough）→Advanced→Managed Subnet→IP Address：10.10.31.250（是trust的dhcp網(wǎng)段中的一個沒被使用的ip）→Subnet Mask：255.255.255.0→vlan（untrust vlan）→Add Managed Subnet

（2）在SW2950上做SNMP的配置如下：

Snmp-server community RO ro

Snmp-server community RW rw

Snmp-server enable traps snmp linkdown linkup

Snmp-server enable traps mac-notification

Snmp-server host 10.1.30.10 rack_02_sw1（該IP為CAM的接口地址）

4.5 添加交換機(jī)

（1） OOB Management→Devices→Devices→New→Device Profile：rack_02_sw1→Device Group：Device Group→Default Port Profile→保持默認(rèn)→IP Address：10.10.30.20（rack_02_sw1的管理IP）

（2） OOB Management→Devices→Devices→List→Ports→Profile→調(diào)用指定的Port_Profile（僅在接入pc的接口上調(diào)用）→Update→Advanted→Save

（3） 查看交換機(jī)rack_02_sw1的接口，會被推送一些配置為：snmp trap mac-notification added。

4.6 測試

在rack_02_sw1接上PC先確保地址可以自動獲取地址，獲取后如果需要正常的接入internet，則會需要鍵入創(chuàng)建的角色的用戶名和密碼，通過認(rèn)證后接入PC的交換機(jī)的接口則收到推送過來的Trust Vlan的配置，即Vlan 301這時的Vlan和IP都匹配正確，就可以正常上網(wǎng)了，就表明NAC 網(wǎng)絡(luò)準(zhǔn)入控制部署成功了。

5 結(jié)束語

雖然大多數(shù)機(jī)構(gòu)都使用 3A 機(jī)制來驗證用戶，給合法用戶分配網(wǎng)絡(luò)訪問的權(quán)限，但是這些對驗證用戶終端設(shè)備的安全狀況幾乎起不到任何作用，而NAC網(wǎng)絡(luò)準(zhǔn)入控制使用的是網(wǎng)絡(luò)基礎(chǔ)設(shè)施對試圖訪問網(wǎng)絡(luò)計算資源的所有設(shè)備執(zhí)行安全策略檢查，從而可以讓病毒、木馬、蠕蟲及間諜軟件等新興安全威脅損害網(wǎng)絡(luò)安全性大大降低，大大提高了網(wǎng)絡(luò)的安全性，網(wǎng)絡(luò)的可用性。

本文給出了基于高職學(xué)校思科校企合作崗前實訓(xùn)基地建設(shè)過程當(dāng)中的一些實際部署和實現(xiàn)方案，對高職學(xué)校建設(shè)網(wǎng)絡(luò)安全實驗室具有一定的實際意義，能更好的指導(dǎo)崗前實訓(xùn)基地的建設(shè)和實現(xiàn)。

參考文獻(xiàn)：

[1] Denise Helfrich，Paul Forbes.Cisco Network Admission Control[M].America：Cisco Press，2006.

[2] 聶元銘，董建鋒，周小平.網(wǎng)絡(luò)準(zhǔn)入控制概論[M].北京：科學(xué)出版社，2012.