网络访问保护（NAP）心得分享

本文是于对NAP for DHCP、802.1x、IPSec这几种测试的总结，并不是配置手册，个人意见，仅供参考。如有不足之处，欢迎指出

 

NAP，他提供了一种网络访问的准入机制，利用NPS在定制你的健康策略，比如你的防火墙是否启用，是否启用了自动更新等等，只有客户端符合你的策略，才可以访问你的网络资源，你可以基于DHCP、802.1x、IPSec等等方法来定制你的策略。对于每一种方法的实现原理我在这里就先不和大家讨论了，这方面我也还要继续的学习。

 

下面我就对DHCP、802.1x和IPSec这击中方法做个总结

1、  DHCP

这是最简单的一种方式，易于实现，在DHCP服务器上进行简单的配置，DHCP客户端在访问网络之前就会进行系统健康验证，但只能对DHCP客户端有效，使用静态地址的计算机就没有用了。

2、802.1x

         这种方法需要你的网络交换机支持NAP，如果网络交换机支持NAP，那么你可以实现基于端口的控制，这种方法最大的问题在于你可能要更换很多交换机，目前支持NAP的好像都是三层交换机，不过有些资料是说是二层交换机也可以。我试过，但没有完全成功

3、  IPSec

这种方法比其他几种方法更加的强大和稳健，提供了更加全面的网络访问保护，不需要升级你的网络设备，但是这种方法配置起来也比较的麻烦，需要证书服务器，需要建立防火墙的连接规则

 

我曾想在公司里部署NAP的，但是有一个问题让我放弃了，就是我的网络中有很多Windows 2003 R2的服务器，但Windows 2003 R2好像不支持NAP，我想过Windows 2003是支持IPSec的，是不是可以配置IPSec来客NAP兼容，最后觉得还是太麻烦了，还是放弃了

 

建议和资源

建议

在这里给一些想部署NAP的朋友们一些建议，就是在你部署的时候要根据你的实际情况选择用什么的的方法，并且要对这种方法的实现过程要了解，做好规划，否则在你部署后会有很多的问题。

资源

http://www.microsoft.com/windowsserver2008/en/us/nap-technical-resources.aspx

上面的链接中包含了全面的NAP资源，包括NAP的架构，实验手册，虚拟实验室等等，但都是英文的。

http://technet.microsoft.com/zh-cn/magazine/2008.04.cableguy.aspx

http://technet.microsoft.com/en-us/network/bb545879.aspx

http://blogs.technet.com/b/nap/