Cisco Cisco NAC Appliance 4.1.0

 summarizes the features and advantages for each operating mode. 

CAS acts like a bridge for the managed network 

CAS acts as a DHCP passthrough.

CAS acts in an unobtrusive manner.

Good if you do not want to modify the existing 
network. 

There is no need to define static routes on the 
main router.

CAS acts as a gateway for the managed subnet. 

CAS is designated as a static route for the 
managed subnet. 

CAS can perform DHCP services, or act as a 
DHCP relay. 

Good for situations in which a new subnet can be 
used for the managed network.

Clients are assigned real IP addresses.

Takes advantage of the CAS’s advanced DHCP 
services.

 CAS performs NAT (Network Address 
Translation) or PAT (Port Address Translation) 
services, so that clients can use private addresses

Performs DHCP address allocation for managed 
clients.

All traffic originating from managed clients 
appears on the trusted side as originating from the 
Clean Access Server.

Allows the use of a private address range for 
managed clients.

Setup is easy: does not involve setting up routes or 
creating subnets.

Only requires two IP addresses.

 CAS acts like a bridge for the managed network 
only during the authentication, posture 
assessment and remediation process. 

CAS acts as a DHCP passthrough for 
Authentication VLAN.

Once successfully logged on, user traffic bypasses 
the CAS and traverses the switch ports directly.

User can be logged out via role-based session 
timer or link-down SNMP traps.

Can be deployed in Edge or Core (central) 
switches.

No need to bounce client ports.

Recommended configuration if sharing ports 
between IP phones and PCs.