NAC

包含三个关键组件：通信代理、网络访问控制设备和策略服务器。

通信代理也就是安全客户端，是安装在用户终端系统上的软件，是对用户终端进行身份认证、安全状态评估以及安全策略实施的主体。

网络访问控制设备是企业网络中安全策略的实施点，起到强制用户准入认证、隔离不合格终端、为合法用户提供网络服务的作用。安全联动设备可以采用不同认证方式（如802.1x、MAC认证和Portal等）的端点准入控制。

策略服务器也就是管理服务器，NAC方案的核心是整合与联动，其中的安全策略服务器是NAC方案中的管理与控制中心，兼具用户管理、安全策略管理、安全状态评估、安全联动控制以及安全事件审计等功能。

华为公司的S系列交换机支持802.1X、Portal、MAC等认证控制技术，能够作为网络访问控制设备配合主流通信代理和策略服务器共同完成NAC控制，为企业网、园区网等提供安全可靠的访问控制。

802.1x工作原理：

交换机检测到新的MAC上线后发起EAP认证请求。

若客户端没有响应：

达到一定次数后认为未安装客户端软件，此时开放用户权限，仅允许用户访问隔离区。

过一段时间（可配置）后再次发起探测。

若客户端已安装，则进行802.1x认证。认证通过后，PC和ACS之间建立HTTP链接，由ACS对PC机进行安全检查，检查通过后更新ACL，PC可访问工作区。

若客户端没有安装，但配置了MAC旁路认证功能，则将用户MAC作为用户名和密码进行认证。如果认证失败则使用户下线，并保持一段时间内不再发起认证和探测，超时后重新开始探测过程。此时如果用户下载了客户端，重新进行EAP认证，那么收到请求后，会先让该用户下线，再响应EAP的认证请求。

如果中间检测到PC感染了病毒，则下发ACL，使用户只能访问隔离区，并通过重定向URL要求用户更新病毒库或者打上相应补丁。

用户更新后，ACS检测到用户已经安全，则可通过RADIUS COA接口更新ACL，允许用户访问工作区。

GUEST VLAN的使用需要规划好，尽量不和其他专用VLAN冲突，以保证用户在无访问权限时，只能访问病毒库/客户端下载/宣传页面/DHCP服务器等有限资源。

配置GUEST VLAN时请注意：

配置的Guest VLAN必须已经创建，且不能是接口的缺省VLAN。

接口下配置Guest VLAN以后，不能再配置将该接口加入该VLAN，也不能直接删除该VLAN。

不同的接口可以配置不同的Guest VLAN。

在同一视图下重复执行dot1x guest-vlan命令，新配置覆盖旧配置。

Guest VLAN的功能开启后：

交换机将在所有开启 802.1x功能的端口发送多播触发报文；

如果达到最大发送次数后，仍有端口尚未返回响应报文，则交换机将该端口加入到 Guest VLAN中；

之后属于该Guest VLAN中的用户访问该 Guest VLAN中的资源时，不需要进行 802.1x认证，但访问外部的资源时仍需要进行认证。