NAC播放器在实验显示网上的互操作性证明

你不常看到思科、Juniper和微软合作。但是上个月发生了这样的事情，NAC的超级明星们聚集在加州贝尔蒙特的一个工业仓库里，为InteropLabs（iLabs）做准备，InteropLabs是InteropShowNetwork的实验部分，本周在拉斯维加斯投入运行：5月21日/cb。

总的来说，iLabs-NAC测试显示了三点：

•Cisco CNAC、Microsoft NAP和TCG/TNC都已经足够成熟，可以使可互操作的NAC成为任何网络的候选者。

•强制级别，包括通过VLAN、ACL、筛选器甚至防火墙，很容易获得，并且-至少在某种程度上-可以跨不同的供应商.

•有很多特殊的客户端问题，例如网络电话试图通过单个交换机端口建立安全连接的电话和多个系统，IT经理需要了解这些端口，以便将它们干净、安全地集成到NAC部署中。

今年iLabs NAC测试的重点是802.1倍-基于身份验证，为来宾用户提供专属门户。尽管Cisco CNAC和Microsoft NAP都支持许多其他类型的身份验证和访问控制方案，但互操作性问题主要出现在使用802.1X进行身份验证和访问控制时。

网络的核心是NAC策略引擎，包括思科的ACS、ID引擎的点火、Juniper的UAC、微软的NPS和OSC的散热器。这些系统连接到单个身份验证数据库，一个具有用户身份验证信息的共享活动目录服务器。为了让一切都能一起工作半径服务器（OSC的散热器）位于所有NAC策略实施点（交换机和无线接入点）。此组合用作RADIUS交换机，根据用户名在强制和策略引擎之间路由NAC身份验证信息。

尽管没有一个企业会实际规划一个具有多个竞争架构的NAC部署，但是RADIUS交换机允许测试团队集中精力解决网络管理人员在推出NAC时遇到的常见问题，而不必将所有内容重复三次。

设置好半径开关后，演示的NAC框架就是用于登录的用户名的函数。例如，你可以将一台装有思科NAC客户端的笔记本电脑连接到思科、Enterasys、Extreme、惠普或iLabs网络中的任何交换机或无线接入点，这些交换机或无线接入点都指向中心的RADIUS交换机。

通过使用特定于Cisco的用户名，RADIUS交换机将请求路由到Cisco ACS策略服务器。同样，您可以使用一台装载了Juniper TNC NAC客户机并使用Juniper特定用户名的不同笔记本电脑，连接到同一交换机并参与TNC框架。作为第三种选择，您可以尝试一台运行Vista的笔记本电脑，使用正确的用户名，您将使用Microsoft NAP框架。

该团队的“NAC简介”测试（很快被昵称为“芭比娃娃NAC”）提供了一个场景，展示了完美的NAC条件：窗户在笔记本电脑上运行，端点安全态势评估和VLAN分配以执行策略。

测试显示大部分半径服务器可以与大多数交换机通信并向交换机发送VLAN访问控制信息。然而，该团队确实遇到了与去年测试中的问题类似的问题，包括对RADIUS标准的不同解释导致一些交换机（即极端交换机）无法与散热器服务器一起工作。

芭比娃娃NAC包括一层端点姿势检查工具。在这种情况下，并不是每个姿态检查器都声称与每个框架兼容：Trend Micro是一个例外，它声称自己的产品可以与Microsoft NAP和Cisco CNAC一起工作。在姿态检查器声称有效的地方，团队没有互操作性问题。

兰德斯克、趋势科技和思科的两家代理商都曾在中航集团的案件中工作过。Q1 Labs, Wave, Juniper和Patchlink都在TCG/TNC的案例中工作。趋势科技公司和微软公司的代理商就像微软NAP广告中宣传的那样发挥作用。

芭比娃娃NAC场景的最终测试评估了访客用户如何分流到适当的VLAN。由于没有人期望来宾用户在其笔记本电脑上预先配置802.1X NAC客户端，因此通常的假设是，NAC部署将需要检测来宾用户并将其发送到捕获门户以进行任何所需的身份验证或姿态评估。

iLabs团队建立了三个附带的门户场景，包括Cisco的Cisco Clean Access、Juniper基于ScreenOS的防火墙和Lockdown Networks的执行器。然后，测试表明，测试中“NAC简介”部分的设备，包括Cisco、Enterasys、Extreme、HP和梯形交换机，可以检测到非802.1X用户，并将其正确路由到来宾VLAN。

该团队还在其基础设施NAC测试区域评估了NAC组件如何与现有网络基础设施元素（如交换机）交互，路由器以及防火墙，将提供一系列的强制措施。例如，企业级局域网交换机通常能够接受访问控制列表或筛选器，这反过来会比VLAN分配提供更精细的粒度。iLabs团队构建了一组不同品牌和型号的交换机，以显示NAC策略引擎可以向下发送acl并过滤信息给它们。

这里的成功结果有助于平息一些行业分析公司关于不同基础设施元素和不同NAC框架之间不兼容的广泛说法。现在，客户机和服务器被牢牢地绑定到一个或另一个框架上，但是当使用vlan来执行时，基础设施元素都是广泛互操作的。是的，思科CNAC在别人的交换机上运行良好，如果你想的话。TCG/TNC在思科的交换机和大多数其他厂商的设备上都能正常工作。

但效果不太好的是，在每台设备上都采用了先进的强制控制。该团队发现，它测试的每个设备都支持NAC中的细粒度强制功能，但每个供应商都选择了稍微不同的方式将这些度量从策略服务器传递到交换机。

不同的解释意味着该团队无法设计出适用于所有设备的NAC策略服务器的单一配置，但必须为每个不同的交换机或无线接入点制定单独的规则。定义更多的颗粒控制就像制作奶酪：每次都是相同的原料，但是对于可能非常不同或者非常相似的结果却采取了非常不同的方法。

在其端点NAC测试中，团队将重点放在不同的客户端场景上。在这种情况下，团队并没有努力证明互操作性，而是花了大部分时间展示不同类型的异常客户机情况。例如，一个真实的NAC部署可能需要处理VoIP电话、恶意设备、打印机和摄像头。该团队安装了一个来自GreatBay软件的Beacon设备，并将其链接到Cisco ACS，作为一个例子，展示了VoIP电话等设备基于MAC的身份验证将如何工作。

该团队还评估了在单个802.1X控制的交换机端口上出现多个设备的问题。例如，在只有一个交换机端口的会议室中，多个用户可能希望使用房间中的集线器进行连接，该集线器使用该交换机端口进行上行链路—这是802.1X标准不允许的参数。交换机供应商已经开发出一种功能，通常称为multi-auth，它扩展了802.1X标准，允许多个设备共享一个端口。该团队演示了使用集线器，思科、Extreme、Enterasys和惠普的交换机如何支持多重身份验证，并可以成为所有三个NAC框架的一部分。

Snyder还是网络世界实验室联盟的成员，该联盟是网络行业最优足球竞猜app软件秀的评审员的合作组织，每次评审都会带来多年的实践经验。要了解更多实验室联盟信息，包括成为成员需要什么，请转到m.banksfrench.com/alliance网站.

---

<返回iLabs测试介绍