NAC玩家在实验秀网上验证互操作

你不会经常看到思科，Juniper，和微软一起工作。But that’s what happened last month as the superstars of NAC gathered in an industrial warehouse in Belmont, Calif., to prepare for InteropLabs (iLabs), the experimental portion of the Interop show network which is up and running in Las Vegas this weekNOTE: May 21st/cb.

总的来说，iLabs的NAC测试显示了三件事:

•思科CNAC、微软NAP和TCG/TNC都已经足够成熟，可互操作的NAC可以应用于任何网络。

•执行级别，包括通过vlan、acl、过滤器甚至的go/no-go通道防火墙，很容易获得，并且——至少在某种程度上——可以跨不同的对象互操作供应商。

•有广泛的特殊客户端问题——比如MAC认证网络电话电话和多个系统试图通过建立一个单一的交换机端口，IT经理需要以干净的理解和安全地将它们集成到一个NAC部署的安全连接。

今年的iLabs NAC测试的重点是802.1X的身份验证，与来宾用户强制网络门户。虽然思科和中航NAP微软都支持许多其他类型的身份验证和访问控制的情况下，互用性显示出来，主要使用802.1X身份验证和访问控制时的问题。

网络的核心是NAC政策引擎，包括思科的ACS, ID引擎的点火，Juniper的UAC，微软的NPS和OSC的散热器。这些系统连接到单个身份验证数据库，具有用户身份验证信息的共享activedirectory服务器。为了让它们一起工作，一个额外的半径服务器(OSC的辐射器)位于所有NAC策略实施点(开关和)之间无线访问点)。这个组合用作半径开关，根据用户名在实施和策略引擎之间路由NAC身份验证信息。

虽然没有企业实际上规划NAC部署与地方相互竞争的架构中，RADIUS开关允许测试团队专注于通过常见问题的工作是网络管理员将不得不推出NAC，不必复制一切三次。

就位后RADIUS开关，展示了NAC框架是用户名的函数用于登录。例如，你可以将装填有思科NAC客户端一台笔记本电脑，并连接到任何来自Cisco，Enterasys公司，至尊，HP或飞人贸易博览会上iLabs网络在中心分别对准了RADIUS交换机，交换机或无线接入点。

通过使用思科特定的用户名，在RADIUS交换机路由请求到Cisco ACS策略服务器。同样，你可以将装填有瞻博TNC NAC客户端和使用瞻博网络特定的用户名不同的笔记本电脑，连接到同一台交换机，并参与TNC架构。作为第三种选择，你可以尝试一台笔记本电脑上运行Vista，并用正确的用户名，你会使用Microsoft NAP架构。

球队的“介绍NAC”测试 - 这迅速被戏称为“芭比NAC” - 提供了完美的展示条件NAC的情景：窗户在笔记本电脑上运行，终端安全态势评估和VLAN分配以执行策略。

这次测试表明，大部分半径服务器可以跟大多数交换机和发送VLAN访问控制信息的开关。团队没有，不过，碰上呼应的问题，从去年的测试，包括改变RADIUS标准的解释引起了一些开关问题 - 即那些极端 - 不要与散热器服务器的工作。

芭比NAC包括了端点状态检查工具层。在这种情况下，不是每个姿势检查声称兼容所有的框架：趋势科技是一个例外，声称其产品的工作原理与Microsoft NAP和Cisco CNAC。凡姿势跳棋声称工作，球队没有互操作性问题。

兰德思克、趋势科技和两名思科代理都在中航集团的案件中工作。Q1 Labs、Wave、Juniper和Patchlink都在TCG/TNC中工作。趋势科技和微软代理在微软NAP的广告中发挥了作用。

的芭比NAC方案中的最终测试评估访客是如何分流到正确的VLAN。因为没有人希望访客有802.1X NAC客户在他们的笔记本电脑预配置，共同的假设是，NAC部署将需要检测访客用户，并将它们发送到一个强制网络门户为任何需要身份验证或姿势评估。

iLabs团队设置了三个专用门户场景，包括Cisco的Cisco Clean Access、Juniper的基于屏幕的防火墙和Lockdown Networks的Enforcer。然后，测试表明，在“NAC Introduction”部分测试的设备，包括来自Cisco、Enterasys、Extreme、HP、Trapeze的交换机，可以检测到非802.1 x用户，并将其正确路由到一个guest VLAN。

该小组还评估了其基础设施NAC试验区NAC组件将如何与现有网络基础架构元素，如交换机交互，路由器和防火墙，并会提供执法的频谱。例如，企业级局域网开关通常能够接受访问控制列表或过滤器，这反过来会提供比VLAN分配更细的粒度。iLabs团队构建了一组不同类型的开关和模型，以显示NAC策略引擎可以向下发送acl并对它们进行信息过滤。

成功的结果在这里帮助平息由不同的基础架构元素和不同的NAC框架之间不兼容的几个行业分析机构普遍要求。眼下，客户端和服务器被牢牢地拴在一个框架或其他，而是使用VLAN强制执行时，基础设施元素都是广泛的互操作性。是的，思科航工作得很好别人的开关，如果这就是你想要的。和TCG / TNC的作品一样好Cisco的交换机以及大多数其他厂商的设备。

什么没有工作这么好推着先进的执法控制到每个设备。研究小组发现，每当测试它有细粒度的强制支撑装置内NAC功能，但每个厂商选择了一个稍微不同的方式，从策略服务器到交换机通信的那些措施。

意味着团队中不同的解释无法拿出，对所有设备工作的NAC策略服务器的配置单，但有手艺单独的规则为每个不同的交换机或无线接入点。定义更精细的控制就像制作奶酪：每一次相同的原始成分，但采取非常不同的路径，这可能是非常不同的 - 或非常相似的 - 结果。

在其端点NAC测试中，团队重点关注不同的客户场景。在这种情况下，团队并没有努力去证明互操作性，而是花了大部分时间来展示不同种类的不寻常的客户机情况。例如，一个真实的NAC部署可能必须处理VoIP电话、恶意设备、打印机和照相机。该团队安装了来自Great Bay软件公司的一个信标设备，并将其与思科公司(Cisco ACS)进行了连接，以演示基于mac的VoIP电话等设备的认证是如何工作的。

该团队还评估了在一个802.1 x控制的开关端口上显示多个设备的问题。例如，在只有一个交换机端口的会议室中，多个用户可能希望使用使用该交换机端口上行连接的房间中的集线器进行连接——802.1X标准不允许使用这个参数。交换机供应商已经提出了一种通常被称为多认证的特性，它扩展了802.1X标准，允许多个设备共享一个端口。该团队使用集线器演示了思科、Extreme、Enterasys和惠普的交换机如何支持多认证，并可以成为所有三个NAC框架的一部分。

斯奈德还是网络世界实验室联盟(Network World La有个足球雷竞技appb Alliance)的成员，该联盟由网络行业一流的评论家组成，每一位评论家都在每次评论中积累了多年的实践经验。欲了解更多实验室联盟信息，包括成为会员需要什么条件，请访问m.amiribrahem.com/alliance。

---

<回到iLabs测试介绍