跨越有線(xiàn)與無(wú)線(xiàn)網(wǎng)絡(luò )的NAC解決方案

標簽：有線(xiàn)網(wǎng)絡(luò ) 無(wú)線(xiàn)網(wǎng)絡(luò ) NAC

克里郡位于愛(ài)爾蘭西南部，該郡議會(huì )的網(wǎng)絡(luò )可通過(guò)60個(gè)站點(diǎn)為800名用戶(hù)提供服務(wù)，但是議會(huì )對在任意指定時(shí)刻有誰(shuí)或有什么接入網(wǎng)絡(luò )卻無(wú)從得知。因此當一臺筆記本電腦攜帶病毒導致網(wǎng)絡(luò )癱瘓時(shí)，議會(huì )被迫立即尋找一種可以覆蓋地理位置，分散的有線(xiàn)與無(wú)線(xiàn)網(wǎng)絡(luò )的網(wǎng)絡(luò )訪(fǎng)問(wèn)控制(NAC)解決方案。

克里郡議會(huì )的網(wǎng)絡(luò )分析專(zhuān)家Padraig Daughton說(shuō)：“站點(diǎn)的數量和分散的地理位置是我們面臨的大問(wèn)題。我們考慮過(guò)端口安全方法，但是它很難實(shí)現。我們還考慮或許可以架設一臺DHCP中央服務(wù)器為所有站點(diǎn)服務(wù)，并捆綁MAC地址，但這種方法也難以實(shí)現，它所導致的問(wèn)題比其所能解決的問(wèn)題還要多。唯一的解決方法就是網(wǎng)絡(luò )訪(fǎng)問(wèn)控制。”

由于網(wǎng)絡(luò )大部分由思科承建，克里郡議會(huì )首先考慮了思科的解決方案，但是結果卻證明其成本高昂。之后議會(huì )評估了五家供應商，最終選擇了Bradford Networks與其合作伙伴Khipu。

Bradford的自適應網(wǎng)絡(luò )安全(Adaptive Network Security)架構和他的網(wǎng)絡(luò )哨兵(Network Sentry)網(wǎng)絡(luò )訪(fǎng)問(wèn)控制解決方案承諾可以基于預設策略安全地提供網(wǎng)絡(luò )資源。

Daughton說(shuō)：“Bradford的解決方案是最便宜的，它非常適合我們的網(wǎng)絡(luò )。我們不用去升級任何思科的設備組件。某些解決方案需要在網(wǎng)絡(luò )中添加四、五臺設備，然而B(niǎo)radford的解決方案只需將其組件安放在網(wǎng)絡(luò )中間，就可以同時(shí)應付有線(xiàn)、無(wú)線(xiàn)和VPN用戶(hù)。”

克里郡議會(huì )網(wǎng)絡(luò )結構分析

鑒于克里郡網(wǎng)絡(luò )的復雜性，分析其結構是個(gè)不小的壯舉。議會(huì )廣域網(wǎng)(WAN)的骨干網(wǎng)采用思科增強型內部網(wǎng)關(guān)路由協(xié)議的高容量許可無(wú)線(xiàn)網(wǎng)絡(luò )。Daughton 指出：“兩個(gè)200Mb無(wú)線(xiàn)鏈接從HQ站點(diǎn)到主站點(diǎn)，80Mb的許可無(wú)線(xiàn)鏈接作為骨干網(wǎng)從它們擴展到全郡，其中到一些站點(diǎn)的最后一跳使用10或15M的無(wú)線(xiàn)鏈接。”為了獲取額外帶寬，議會(huì )將CAMP消防因特網(wǎng)鏈接也利用上了。廣域網(wǎng)的其他部分是MPLS網(wǎng)絡(luò )，采用混合無(wú)線(xiàn)和DSL運營(yíng)商的方式來(lái)給無(wú)線(xiàn)網(wǎng)絡(luò )提供彈性和故障轉移能力。

反觀(guān)基于光纖連接的HQ局域網(wǎng)，它使用三個(gè)思科3750堆疊交換機和3560交換機。而VPN則使用集成RSA令牌的高可用性思科ASA防火墻。

克里郡如何實(shí)施網(wǎng)絡(luò )訪(fǎng)問(wèn)控制解決方案

因為大多數用戶(hù)都接入有線(xiàn)網(wǎng)絡(luò )，所以有線(xiàn)網(wǎng)絡(luò )是重中之重。Daughton 說(shuō)：“我們將Khipu網(wǎng)絡(luò )訪(fǎng)問(wèn)控制的配置生效，并在有線(xiàn)網(wǎng)絡(luò )上進(jìn)行一些測試，一旦測試通過(guò)就將該解決方案推廣到整個(gè)網(wǎng)絡(luò )。為證明該方案的有效性，我們不得不派遣人員到各個(gè)站點(diǎn)去進(jìn)行驗證，因此，60個(gè)站點(diǎn)耗費了我們大量時(shí)間。”

“當時(shí)，我們在HQ網(wǎng)絡(luò )中采用了Khipu解決方案，其他一些站點(diǎn)沒(méi)有立刻跟進(jìn)，而是等待了幾個(gè)月。當對解決方案感到滿(mǎn)意后，我們才在接下來(lái)的幾個(gè)月里著(zhù)手開(kāi)始進(jìn)行其他站點(diǎn)的方案實(shí)施工作。

沒(méi)過(guò)多久就發(fā)現該解決方案有一兩個(gè)網(wǎng)絡(luò )訪(fǎng)問(wèn)控制策略需要調整。這些策略確保PC可以訪(fǎng)問(wèn)網(wǎng)絡(luò )并且解決任何諸如殺毒軟件過(guò)期之類(lèi)的問(wèn)題，但是在PC啟動(dòng)時(shí)，這樣的修復過(guò)于頻繁，桌面用戶(hù)期望對此可以做些修正。

Daughton解釋說(shuō)：“那些一直在線(xiàn)的用戶(hù)應該有99%的病毒庫都是最新的，因此我們制定信任桌面系統的策略，不掃描你的連接，但是每天上午11點(diǎn)會(huì )在后臺確保你的病毒庫是最新的。這樣，用戶(hù)體驗大大改善。”

現在即便是無(wú)線(xiàn)用戶(hù)也可以通過(guò)無(wú)縫身份認證的方式訪(fǎng)問(wèn)網(wǎng)絡(luò )。Daughton描述說(shuō)：“我們擁有一臺思科的無(wú)線(xiàn)控制器，當一個(gè)用戶(hù)訪(fǎng)問(wèn)它時(shí)緊接著(zhù)就會(huì )訪(fǎng)問(wèn)Bradford。如果他是一個(gè)有效用戶(hù)，那他將進(jìn)一步訪(fǎng)問(wèn)我們的ACS。ACS可以告知Active Directory并且進(jìn)行掃描。因此，你不需要為WEP或WPA密鑰浪費時(shí)間。”

如今，網(wǎng)絡(luò )訪(fǎng)問(wèn)控制解決方案已經(jīng)在無(wú)線(xiàn)與有線(xiàn)網(wǎng)絡(luò )上實(shí)施幾個(gè)月了。Daughton正在為VPN的實(shí)施作最后的工作：“我們已經(jīng)搭建和測試了VPN，等防火墻代碼升級后立刻將其上線(xiàn)使用。”