L2-IP适应多种应用场景

　　相比较NAC over 802.1x，L2-IP可以适应更多的应用场景和用户终端。比如说有些企业并不希望部署802.1x或一些计算机可能无法安装CTA软件，有些网络中仍旧存在HUB或不支持802.1x协议交换机的接入设备。还有就是部署过802.1x，并不想因NAC有改变的用户。

　　L2-IP方案实施时，仍旧需要CTA软件支持(应对特殊平台的在下面专门讨论)。工作流程、系统组成与NAC over 802.1x相似，区别在于:在L2-IP CTA传递主机健康信息依赖UDP协议告知交换机。L2-IP只担当主机健康性的检查工作。对被认证计算机通信控制，主要靠ACS向交换机下发的L3/L4层ACL。

　　L2-IP对于健康性问题的计算机处理有一个独到之处，就是在限制其绝大多数通信的同时，ACS还会给交换机下发一个Web浏览重定向的ACL，只要用户打开浏览器，不论输入任何一个网址，交换机都会把通信重定向到一个专有网页，提示用户计算机存在安全隐患，需要下载相关补丁、打开防病毒软件……由于这一重定向工作由接入交换机完成，实现全网的分布式处理，系统有着非常好的可扩展性，避免出现所有的问题计算机由网络内一台设备集中处理浏览重定向请求带来的性能瓶颈。

　　我们重复了类似NAC over 802.1x中的测试项目，交换机成功重定向了为通过验证计算机的网页访问行为。

　　思科的工程师介绍说，部署L2-IP的时候，交换机必须启用DHCP Snooping、IP Source Guard(这些功能的测试见网站《智能升级受益更多—Catalyst 4500 SUPERVISORENGINE V-10GE》)，这样可以保证使用L2-IP时,其他计算机不会通过模拟其IP地址侵入网络。

　　细节二:应对多平台挑战

　　部署NAC的时候必须要尽可能避免老旧系统成为安全漏洞。

　　在采用L2-IP方案时，思科的ACS可以和第三方的漏洞管理软件厂商Qualys或者自己的Clean Access系统互动，对不能安装CTA的计算机进行健康检查、加以控制。

　　思科针对打印机和IP电话机等无法安装CTA的联网设备进行了细心的设计。对于打印机等设备，思科的交换机支持一种MAC Authe bypass的解决方案。对于IP电话机，交换机上设置专门用于IP电话的Voice VLAN。交换机会识别连接设备是否为打印机、电话机，如果不是会自动启用NAC，检查健康性，决定计算机是否可以联网。