公司准备部署 NAC ,今天 NAC 设备公司过来测试,把我们的信息中心作为测试点。因为我对这里的网络比较熟悉,所以我一直协助他们完成部
署。这次测试 NAC 的网络拓扑图如下:
 
 
 
NAC 有两个接口,分别属于不同的网络,这里我把 NAC 的内网口的网段设成与本地一致,当然也可以不一致,只要 PC PING 通就可以,因为这个地址要在策略中应用到。外网口是用来转发上行流量的。
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

 
1 .定义 ACL   2. 定义 route map  3. 应用 route map 到接口

 
1 ip access-list extended policy-route-acl
 permit ip host 192.168.18.26 any
 permit ip host 192.168.18.10 any

 
2. route-map policy-route permit 10
 match ip address policy-route-acl
 set ip next-hop 192.168.17.100

 
( 上面的 10 是序列号,如果有多条语句,应该为 10 20 30 40)

 
3 interface FastEthernet0/1.18
ip policy route-map policy-route

 
这里是用到了子接口,如果有三层交换机的话,可以由些推出。。

 
原理是这样的:如果匹配 ACL 就把 ACL 中的主机的下一跳设为 NAC 的内网口,把数据发到内网口。发到内网口后, NAC 进行检测,通过 IE 安装 ACTVIEX 控制检查 NAC 系统中设置的关键项与非关键项是否满足,并给出提示做出相应处理。如果设置关键项的话,不匹配,网络上行流量就不会放行。

 
NAC 的流过的流量只是一些上传流量,下行流量仍会按原路返回(这个得做做实验,现在还想不明白)

 
当第一次匹配的主机连网时,通常是打开 IE ,会重定向到 NAC 进行检查,检查通过,网络就放行,不通过,网络就阻止。