Cisco Cisco NAC Appliance 4.1.0

The Clean Access Server can be deployed either centrally or at the edge of your network. A central 
deployment reduces the number of Clean Access Servers you need to deploy, facilitating management 
and scalability. In a central deployment, the Clean Access Server can be configured to perform either 
routing or bridging for the untrusted network. 

Cisco NAC Appliance allows you to achieve multi-hop L3 deployment if you want to move the CAS 
several hops away from users. 

In a routed central deployment, the Clean Access Server is configured to act as the Real-IP Gateway for 
each of the subnets that you wish to manage. 

The specific steps to deploy a centrally routed Clean Access Server in a typical network include:

Turn off routing on your existing Layer 3 switch or router for the subnets that you wish to manage 
through the CAS. 

Configure the untrusted interface of the CAS to be the gateway for the managed subnets. 

Configure the default gateway of the CAS’s trusted interface to be the L3 switch or the router. 

Add static routes on the L3 switch or router to route traffic for the managed subnets to the CAS's 
trusted interface. 

If using your own DHCP server, modify its configuration so that the default gateway address that 
the DHCP server passes to clients with the lease is the address of the CAS’s untrusted interface.

In a VLAN-enabled environment, multiple VLANs are trunked through a single Clean Access Server. 
Aggregating multiple VLANs—organized by location, wiring, or shared needs of users—through a 
single CAS (by VLAN trunking) can help to simplify your deployment. 

 shows a 

centrally-routed deployment: