Cisco Cisco NAC Appliance 4.1.0

 details the Clean Access client assessment process (with or without network scanning) when 

a user authenticates via Clean Access Agent.

The following user roles are used for Clean Access and must be configured with traffic policies and 
session timeout: 

The Unauthenticated role applies to unauthenticated users behind a Clean Access Server and is 
assigned to users performing web login/network scanning. 

The Clean Access Agent Temporary Role is assigned to users performing Clean Access Agent login. 

The Quarantine role is assigned to a user when network scanning determines that the client machine 
has vulnerabilities. 

If a user meets Clean Access Agent requirement and/or has no network scanning vulnerabilities, the user 
is allowed access to the network in the normal login user role. See 

 for 

additional details.