2010网络准入控制NAC选型白皮书

www.net130.com     日期:2010-12-21    浏览次数:
作者:子鉃    出处:赛迪网

通观整个NAC领域,有四种商业级别的准入方式:

(1)边界(Edge-based Enforcement)
(2)混合(hybrid Enforcement)
(3)在线(in-line Enforcement)
(4)协议(protocol-based Enforcement)。

边界准入在网络边界使用设备,典型的是使用交换机,来实施接入控制。

在线与边界不同的是实施接入控制的设备不在网络边界,而是在网络的纵深处,并且往往是串接的方式。

混合综合了边界和在线的技术。

协议准入使用基于网络的协议,通过改变Layer 3的一些服务来限制接入。

NAC选型分析与指导

Edge Enforcement NAC

802.1x

纵观以上四种实现方式,目前在国内较为传统的准入方式是边界准入(Edge Enforcement),其中较普遍的是采用802.1x方式结合radius服务器来实现。这种方式要求接入层交换机必须支持802.1x协议,而目前各品牌交换机对于802.1x具体的配置和实现细节各不相同,这就要求NAC产品与交换机之间的兼容性和联动性要好;另外,如果交换机下接了hub,则容易造成hub端所有设备被置于相同状态进行处理的尴尬。

从与多品牌交换机之间兼容性和联动性能上考虑,目前市场上典型性的产品代表之一是盈高科技(infogo)推出的ASM准入控制平台,该平台与国际大厂如Cisco、H3C或二流厂商如D-link、港湾的联动都有成熟的案例,适于各种复杂混合网络下的802.1x准入控制。并且ASM对于hub方式也有较佳的解决方案,推荐结合H3C的交换机进行基于mac的802.1x认证,这样就可以确定根据不同接入设备的网络硬件进行go/no-go的判断。

802.1x示意图

 

本新闻共2页,当前在第1页  1  2  

分享道
相关新闻