2024年5月6日发(作者：青旭彬)

E600 教育网系列交换机

配置指南-用户接入与认证2 NAC配置（统一模式）

2

关于本章

背景信息

说明

NAC配置（统一模式）

l设备支持NAC功能，该功能主要用于用户认证和控制用户的网络访问权限，可能涉及使用个人用

户某些通信内容。建议您只有在所适用法律法规允许的目的和范围内方可启用相应的功能。在使

用、存储用户通信内容的过程中，您应采取足够的措施以确保用户的通信内容受到严格保护。

l在NAC网络中若管理员关闭了NAC认证功能，则任何用户不经过接入控制即能够访问网络。因

此，为保护网络安全，建议开启NAC认证，保证用户经过认证后才可以接入网络。

2.1 NAC简介

2.2 NAC原理描述

2.3 NAC应用场景

2.4 NAC统一模式配置注意事项

介绍NAC统一模式的配置注意事项。

2.5 NAC缺省配置

2.6 NAC配置流程

2.7 配置NAC模式为统一模式

2.8 配置接入模板

2.9 配置认证模板

2.10 应用NAC

2.11 （可选）配置NAC扩展功能

2.12 维护NAC

2.13 NAC配置举例

2.14 NAC参考协议和标准

文档版本 05 (2018-11-01)版权所有 © 华为技术有限公司134

E600 教育网系列交换机

配置指南-用户接入与认证2 NAC配置（统一模式）

2.1 NAC简介

定义

NAC（Network Admission Control）称为网络接入控制，是一种“端到端”的安全结

构，包括802.1X认证、MAC认证与Portal认证。

随着企业网络的应用和发展，病毒、木马、间谍软件、网络攻击等各种信息安全威胁

也在不断增加。在传统的企业网络建设思路中，一般认为企业内网是安全的，安全威

胁主要来自外界。但是研究证明，80%的网络安全漏洞都存在于网络内部，它们对网

络的破坏程度和范围持续扩大，经常引起系统崩溃、网络瘫痪。另外，内部员工在浏

览某些网站时，一些间谍软件、木马程序等恶意软件也会不知不觉地被下载到电脑

中，并且在企业内网传播，产生严重的安全隐患。

因此，随着安全挑战的不断升级，仅通过传统的安全措施已经远远不够，安全模型需

要由被动模式向主动模式转变，从根源（终端）彻底解决网络安全问题，提高整个企

业的信息安全水平。

NAC安全解决方案从接入网络的终端安全控制入手，将终端安全状况和网络准入控制

结合在一起，通过检查、隔离、加固和审计等手段，加强网络用户终端的主动防御能

力，保证企业中每个终端的安全性，进而保护企业整网的安全性。

如图2-1所示，NAC安全构架包括三个关键组件：NAC终端、网络准入设备和准入服务

器。

图2-1 NAC典型组网图

NAC终端

网络准入设备准入服务器

Intranet

l

l

NAC终端：作为NAC客户端的各种终端设备，与网络接入设备交互完成用户的接

入认证功能。如果采用802.1X认证，用户还需要安装客户端软件。

网络准入设备：网络准入设备是终端访问网络的网络控制点，是企业安全策略的

实施者，负责按照客户网络制定的安全策略，实施相应的准入控制（允许、拒

绝、隔离或限制）。

准入服务器：准入服务器包括准入控制服务器、管理服务器、病毒库服务器和补

丁服务器，主要进行用户身份认证、终端安全检查、系统修复升级，终端行为监

控审计等工作。

版权所有 © 华为技术有限公司135

l

文档版本 05 (2018-11-01)

2024年5月6日发(作者：青旭彬)

E600 教育网系列交换机

配置指南-用户接入与认证2 NAC配置（统一模式）

2

关于本章

背景信息

说明

NAC配置（统一模式）

l设备支持NAC功能，该功能主要用于用户认证和控制用户的网络访问权限，可能涉及使用个人用

户某些通信内容。建议您只有在所适用法律法规允许的目的和范围内方可启用相应的功能。在使

用、存储用户通信内容的过程中，您应采取足够的措施以确保用户的通信内容受到严格保护。

l在NAC网络中若管理员关闭了NAC认证功能，则任何用户不经过接入控制即能够访问网络。因

此，为保护网络安全，建议开启NAC认证，保证用户经过认证后才可以接入网络。

2.1 NAC简介

2.2 NAC原理描述

2.3 NAC应用场景

2.4 NAC统一模式配置注意事项

介绍NAC统一模式的配置注意事项。

2.5 NAC缺省配置

2.6 NAC配置流程

2.7 配置NAC模式为统一模式

2.8 配置接入模板

2.9 配置认证模板

2.10 应用NAC

2.11 （可选）配置NAC扩展功能

2.12 维护NAC

2.13 NAC配置举例

2.14 NAC参考协议和标准

文档版本 05 (2018-11-01)版权所有 © 华为技术有限公司134

E600 教育网系列交换机

配置指南-用户接入与认证2 NAC配置（统一模式）

2.1 NAC简介

定义

NAC（Network Admission Control）称为网络接入控制，是一种“端到端”的安全结

构，包括802.1X认证、MAC认证与Portal认证。

随着企业网络的应用和发展，病毒、木马、间谍软件、网络攻击等各种信息安全威胁

也在不断增加。在传统的企业网络建设思路中，一般认为企业内网是安全的，安全威

胁主要来自外界。但是研究证明，80%的网络安全漏洞都存在于网络内部，它们对网

络的破坏程度和范围持续扩大，经常引起系统崩溃、网络瘫痪。另外，内部员工在浏

览某些网站时，一些间谍软件、木马程序等恶意软件也会不知不觉地被下载到电脑

中，并且在企业内网传播，产生严重的安全隐患。

因此，随着安全挑战的不断升级，仅通过传统的安全措施已经远远不够，安全模型需

要由被动模式向主动模式转变，从根源（终端）彻底解决网络安全问题，提高整个企

业的信息安全水平。

NAC安全解决方案从接入网络的终端安全控制入手，将终端安全状况和网络准入控制

结合在一起，通过检查、隔离、加固和审计等手段，加强网络用户终端的主动防御能

力，保证企业中每个终端的安全性，进而保护企业整网的安全性。

如图2-1所示，NAC安全构架包括三个关键组件：NAC终端、网络准入设备和准入服务

器。

图2-1 NAC典型组网图

NAC终端

网络准入设备准入服务器

Intranet

l

l

NAC终端：作为NAC客户端的各种终端设备，与网络接入设备交互完成用户的接

入认证功能。如果采用802.1X认证，用户还需要安装客户端软件。

网络准入设备：网络准入设备是终端访问网络的网络控制点，是企业安全策略的

实施者，负责按照客户网络制定的安全策略，实施相应的准入控制（允许、拒

绝、隔离或限制）。

准入服务器：准入服务器包括准入控制服务器、管理服务器、病毒库服务器和补

丁服务器，主要进行用户身份认证、终端安全检查、系统修复升级，终端行为监

控审计等工作。

版权所有 © 华为技术有限公司135

l

文档版本 05 (2018-11-01)