网络安全

Cisco NAC Profiler

Cisco NAC Profiler使网络管理员能够实时查看网络中所有设备的状态。该设备能够检测并跟踪所有局域网端点的位置和类型,包括那些不能验证的端点,因此大大改进了思科网络准入控制(NAC)系统的部署和管理。Cisco NAC Profiler还能利用与设备有关的信息决定NAC应该使用什么策略。

产品概述

Cisco NAC Profiler简化了Cisco NAC的部署和思科NAC网络中的多种管理任务,包括添加、移动和更改;违规设备的定位;非管理型端点的检测以及在发生帮助台呼叫、安全事件、策略违反和资产跟踪时迅速定位端点。

Cisco NAC Profiler的工作方式是从多种来源收集信息,包括:

  • 基于推断的发现
  • 网络流量分析
  • 网络拓扑分析
  • 网络基础设施通信
  • NetFlow数据分析

在识别出每个网络相连设备类型之后,系统将其与设备的位置关联,然后可提供关于设备的全方位信息。由于Cisco NAC Profiler熟悉验证流程,因此还能够提供关于获准进入网络的设备和人员的信息、他们的位置及其网络使用历史。

利用这种关于端点的概况信息,Cisco NAC Profiler还能帮助管理员监控并管理与验证相关的异常操作,如端口变换、MAC地址欺骗和概况文件更改。

特性与优势

在Cisco NAC部署中采用了Cisco NAC Profiler的机构将获得以下优势:

  • 节省部署和管理成本。利用Cisco NAC Profiler,管理员无需再花费几个月的时间检测所有网络相连端点的类型和位置,同时还减少了将设备信息输入系统的时间和工作量。
  • 降低了部署风险。人工流程的自动化减少了人为错误,提高了部署的成功率。
  • 增强了更改控制。在网络中添加、移动或更改端点时,Cisco NAC Profiler能够实时发现这些端点并对其进行分类,从而大幅度减少了人工干预。
  • 保护所有的公司端点。一个典型的企业网络通常包含几百到几千个与用户无关联的网络设备。Cisco NAC Profiler使管理员能够保护公司所有资产的安全性。

设备盘点与分类

Cisco NAC Profiler能够自动盘点所有端点设备,包括非响应主机,并自动将这些设备的地址发送到NAC Appliance Manager的过滤器列表。除端点的MAC地址外,Cisco NAC Profiler还将指明设备类型(如网络打印机、IP电话、UPS、HVAC传感器、无线接入点等),这些信息有助于为该端点分配合理的访问级别。

持续的实时端点监控

Cisco NAC Profiler能够持续执行其功能,因此提供了关于端点活动的实时和历史数据库信息。每个端点的历史信息将被保存,因此系统能够提供一份总结,列出针对每个端点所记录的设备类型、使用的地址以及在什么位置与网络连接。

设备自动重新设置

Cisco NAC系统中的 Cisco NAC Profiler能够实时发现端点环境中的变化并自动在过滤器列表中进行相应的更改。例如,如果打印机被移动并连接到一个新的端口,过滤器列表将自动更新。该特性还提高了安全性:例如,如果设备在网络中的操作与其设备类型描述文件不符,Cisco NAC Profiler将通知Cisco NAC Appliance将可疑端点从过滤器列表中删除,或重新为该端点设置一个合适的角色。

与Cisco NAC Appliance Manager紧密集成

Cisco NAC Profiler通过Appliance Manager API直接将其数据提供给Cisco NAC Appliance Manager,其中包括端点的地址、位置、活动和历史信息等,从而使NAC管理员能够更深入地了解端点的当前状态,同时极大地减轻了管理负担。

产品架构

Cisco NAC Profiler包含两个组件:NAC Profiler Server 和NAC Profiler Collector应用。Profiler Server内含数据库,能够提供对管理员用户界面的访问,同时与Cisco NAC Appliance Manager连接。NAC Profiler Collector应用位于每个NAC Appliance Server上。

NAC Profiler Collector应用由以下模块组成:

  • NetWatch: NetWatch是Cisco NAC Profiler系统的“嗅探器”组件,用于收集尽可能多的描述性信息,以提供给建模设备。
  • NetMap: NetMap通过简单网络管理协议(SNMP)与每个网络设备进行交互,以确定网络拓扑信息。作为Collector应用的一部分,NetMap使用Cisco NAC Appliance Server的主机地址与网络设备进行通信。
  • NetInquiry: NetInquiry是活跃的分析组件,用于与网络端点直接交互,以获得关于终端系统的信息。
  • NetTrap: NetTrap是Cisco NAC Profiler系统的一个组件,用于从网络访问设备收集链路状态和新MAC陷阱信息,以获得进入和离开网络的所有端点的实时视图。

图1 是显示Cisco NAC Profiler Server和NAC Profiler Collector应用如何与Cisco NAC Appliance系统协同运行的逻辑图。

图1. Cisco NAC Appliance系统中的Cisco NAC Profiler

  • Profiler Collector应用收集相关数据,将其整合起来发送给Profiler Server。
  • Profiler Server汇集所有来自Profiler Collectors的信息并建立一个所有网络相连端点(如电话、打印机、胸卡读取器、设备等)的数据库。
  • Profiler Server利用NAC API持续更新过滤器列表,并设置合适的访问策略(许可、拒绝、检查、“角色”或忽视)。
  • 4. Profiler Collector应用持续监控已分析设备的活动(以防止欺骗)并更新Profiler Server。

产品规格

表1 列出了Cisco NAC Profiler Server的产品规格。

表1.Cisco NAC Profiler Server的硬件规格
特性 规格
组件
处理器 双核Intel Xeon 3.0-GHz
内存 2 GB PC2-5300 (2 x 1 GB)
内存总线时钟 1333-MHz FSB
控制器 Smart Array E200i控制器
硬盘 2 x 72-GB SFF SAS RAID驱动器
可拆卸介质 CD/DVD-ROM驱动器
网络连接
以太网接口卡(NIC)
  • 2 个集成Broadcom 10/100/1000 5708 NIC
  • 2 个Intel e1000 千兆NIC (PCI-X)
10BASE-T电缆支持 Cat3, 4或 5 UTP,最长328 ft (100m)
Cat3, 4或 5 UTP,最长328 ft (100m) Cat5 UTP,最长328 ft (100m)
接口
串行端口 1
USB 2.0端口 4 个(1个在前,1个在内部,两个在后)
键盘端口 1
视频端口 1
鼠标端口 1
外部SCSI端口
系统元件
外型 1RU机架
重量 完全配置:35 lb (15.87 kg)
尺寸 1.70 x 16.78 x 27.75 in. (4.32 x 42.62 x 70.49 cm)
电源 两个700W(冗余)
散热风扇 9个,冗余
BTU 每小时2910 BTU(120 VAC); 2870 (240 VAC)

服务与支持

为了帮助客户更快地获得成功,思科提供了多种服务计划。这些创新的服务计划通过一个由人员、流程、工具和合作伙伴构成的独特网络提供,可以实现很高的客户满意度。思科服务可以帮助您保护您的网络投资,优化网络运营,让您的网络为新的应用做好充分的准备,从而拓展网络智能并增强您的业务优势。如需了解更多关于思科服务的信息,请访问思科技术支持服务或者思科高级服务。

了解更多信息

如需了解更多关于Cisco NAC Guest Server的信息,请访问http://www.cisco.com/go/nac/appliance 或联系您当地的客户代表。

联系我们