摘要：克里郡議會網絡選用Bradford供應商，實施一個跨越有線與無線網絡的網絡準入控制方案，有效解決了安全問題。

克里郡位于愛爾蘭西南部，該郡議會的網絡可通過60個站點為800名用戶提供服務，但是議會對在任意指定時刻有誰或有什么接入網絡卻無從得知。因此當一臺筆記本電腦攜帶病毒導致網絡癱瘓時，議會被迫立即尋找一種可以覆蓋地理位置，分散的有線與無線網絡的網絡訪問控制（NAC）解決方案。

克里郡議會的網絡分析專家Padraig Daughton說：“站點的數量和分散的地理位置是我們面臨的大問題。我們考慮過端口安全方法，但是它很難實現。我們還考慮或許可以架設一臺DHCP中央服務器為所有站點服務，并捆綁MAC地址，但這種方法也難以實現，它所導致的問題比其所能解決的問題還要多。唯一的解決方法就是網絡訪問控制。”

由于網絡大部分由思科承建，克里郡議會首先考慮了思科的解決方案，但是結果卻證明其成本高昂。之后議會評估了五家供應商，最終選擇了Bradford Networks與其合作伙伴Khipu。

Bradford的自適應網絡安全（Adaptive Network Security）架構和他的網絡哨兵（Network Sentry）網絡訪問控制解決方案承諾可以基于預設策略安全地提供網絡資源。

Daughton說：“Bradford的解決方案是最便宜的，它非常適合我們的網絡。我們不用去升級任何思科的設備組件。某些解決方案需要在網絡中添加四、五臺設備，然而Bradford的解決方案只需將其組件安放在網絡中間，就可以同時應付有線、無線和VPN用戶。”

克里郡議會網絡結構分析

鑒于克里郡網絡的復雜性，分析其結構是個不小的壯舉。議會廣域網（WAN）的骨干網采用思科增強型內部網關路由協議的高容量許可無線網絡。Daughton 指出：“兩個200Mb無線鏈接從HQ站點到主站點，80Mb的許可無線鏈接作為骨干網從它們擴展到全郡，其中到一些站點的最后一跳使用10或15M的無線鏈接。”為了獲取額外帶寬，議會將CAMP消防因特網鏈接也利用上了。廣域網的其他部分是MPLS網絡，采用混合無線和DSL運營商的方式來給無線網絡提供彈性和故障轉移能力。

反觀基于光纖連接的HQ局域網，它使用三個思科3750堆疊交換機和3560交換機。而VPN則使用集成RSA令牌的高可用性思科ASA防火墻。

克里郡如何實施網絡訪問控制解決方案

因為大多數用戶都接入有線網絡，所以有線網絡是重中之重。Daughton 說：“我們將Khipu網絡訪問控制的配置生效，并在有線網絡上進行一些測試，一旦測試通過就將該解決方案推廣到整個網絡。為證明該方案的有效性，我們不得不派遣人員到各個站點去進行驗證，因此，60個站點耗費了我們大量時間。”

“當時，我們在HQ網絡中采用了Khipu解決方案，其他一些站點沒有立刻跟進，而是等待了幾個月。當對解決方案感到滿意后，我們才在接下來的幾個月里著手開始進行其他站點的方案實施工作。

沒過多久就發現該解決方案有一兩個網絡訪問控制策略需要調整。這些策略確保PC可以訪問網絡并且解決任何諸如殺毒軟件過期之類的問題，但是在PC啟動時，這樣的修復過于頻繁，桌面用戶期望對此可以做些修正。

Daughton解釋說：“那些一直在線的用戶應該有99%的病毒庫都是最新的，因此我們制定信任桌面系統的策略，不掃描你的連接，但是每天上午11點會在后臺確保你的病毒庫是最新的。這樣，用戶體驗大大改善。”

現在即便是無線用戶也可以通過無縫身份認證的方式訪問網絡。Daughton描述說：“我們擁有一臺思科的無線控制器，當一個用戶訪問它時緊接著就會訪問Bradford。如果他是一個有效用戶，那他將進一步訪問我們的ACS。ACS可以告知Active Directory并且進行掃描。因此，你不需要為WEP或WPA密鑰浪費時間。”

如今，網絡訪問控制解決方案已經在無線與有線網絡上實施幾個月了。Daughton正在為VPN的實施作最后的工作：“我們已經搭建和測試了VPN，等防火墻代碼升級后立刻將其上線使用。”