本文是于对NAP for DHCP802.1xIPSec这几种测试的总结,并不是配置手册,个人意见,仅供参考。如有不足之处,欢迎指出

 

NAP,他提供了一种网络访问的准入机制,利用NPS在定制你的健康策略,比如你的防火墙是否启用,是否启用了自动更新等等,只有客户端符合你的策略,才可以访问你的网络资源,你可以基于DHCP802.1xIPSec等等方法来定制你的策略。对于每一种方法的实现原理我在这里就先不和大家讨论了,这方面我也还要继续的学习。

 

下面我就对DHCP802.1xIPSec这击中方法做个总结

1、  DHCP

这是最简单的一种方式,易于实现,在DHCP服务器上进行简单的配置,DHCP客户端在访问网络之前就会进行系统健康验证,但只能对DHCP客户端有效,使用静态地址的计算机就没有用了。

2802.1x

         这种方法需要你的网络交换机支持NAP,如果网络交换机支持NAP,那么你可以实现基于端口的控制,这种方法最大的问题在于你可能要更换很多交换机,目前支持NAP的好像都是三层交换机,不过有些资料是说是二层交换机也可以。我试过,但没有完全成功

3、  IPSec

这种方法比其他几种方法更加的强大和稳健,提供了更加全面的网络访问保护,不需要升级你的网络设备,但是这种方法配置起来也比较的麻烦,需要证书服务器,需要建立防火墙的连接规则

 

我曾想在公司里部署NAP的,但是有一个问题让我放弃了,就是我的网络中有很多Windows 2003 R2的服务器,但Windows 2003 R2好像不支持NAP,我想过Windows 2003是支持IPSec的,是不是可以配置IPSec来客NAP兼容,最后觉得还是太麻烦了,还是放弃了

 

建议和资源

建议

在这里给一些想部署NAP的朋友们一些建议,就是在你部署的时候要根据你的实际情况选择用什么的的方法,并且要对这种方法的实现过程要了解,做好规划,否则在你部署后会有很多的问题。

资源

http://www.microsoft.com/windowsserver2008/en/us/nap-technical-resources.aspx

上面的链接中包含了全面的NAP资源,包括NAP的架构,实验手册,虚拟实验室等等,但都是英文的。

http://technet.microsoft.com/zh-cn/magazine/2008.04.cableguy.aspx

http://technet.microsoft.com/en-us/network/bb545879.aspx

http://blogs.technet.com/b/nap/