?說到NAC網絡訪問控制，浮現在我們腦海中的應該就是軟件+硬件的構成方式，即用軟件作為核心的策略決策點，硬件作為策略執行點，這也是標準的NAC構成方式，縱觀業界的主流產品，無論Cisco的C-NAC、Juniper的UAC，還是國內的銳捷GSN、H3C的EAD等等，均是如此架構。

提到這種架構，讓人最為頭大的莫過于部署，這里的部署，不是指整套解決方案的部署，而是對于核心軟件系統的部署，其難點來自于幾個方面：

1，TCO即總體擁有成本。凡NAC類產品，其技術含量較高，價格當然也不菲，但對于一個用戶來說，該軟件的價格還不只是擁有它的TCO，既然是軟件架構，那么一定需要一臺服務器嘍，動輒幾萬塊的預算，不是小數目。有了服務器還不行，還要操作系統和數據庫，目前很多NAC軟件都是基于Windows Server和SQL Server的，這兩個東西也不便宜，微軟零售價最便宜的Windows Server版本要6000塊左右，而SQL Server更是達到了可怕的15萬之巨。這樣算來，一套NAC軟件的TCO就已達到了二三十萬了，遠不是僅僅該軟件本身所體現出來的那十幾萬元。

2，部署實施復雜度。裝這個軟件跟裝一般的軟件區別不大，面對一個空服務器，你少不了安裝操作系統、數據庫和調試的時間，不要小看這些時間，基本上2個小時是少不了的，前提還是不要出什么問題，例如驅動問題之類的。然后才是裝NAC管理軟件，這樣算來，基本上一天時間還是要的。

3，維護復雜。對于NAC軟件系統的維護，由于其構建在服務器、操作系統和數據庫之上，因此也變得繁復了很多，大部分問題都不是軟件本身的，而是由操作系統或者數據庫配置不當，或者漏洞之類導致的，所以維護變成了一個龐大的工程。

4，安全堪憂。說起來NAC本身是做安全的，但NAC軟件本身的安全又怎么負責呢，一個開放的服務器，如果有多名管理員的話，那風險就太大了，隨便誰對服務器做了什么不當的配置，都會導致NAC服務器的宕機，其后果就是全部無法上網，影響巨大啊。

上述四條，其實也是很多用戶畏懼NAC，不敢上NAC的原因，也是NAC在中國叫好不叫座的一個重要因素。

其實，想要解決上述問題，沒有想象那么難，思路很簡單——硬件化，而硬件化的過程也很簡單：

1，將NAC軟件切換到開源數據庫和操作系統

2，將全套軟件連同操作系統和數據庫灌入工控機/服務器中，打包交付給客戶

經過以上兩步，NAC軟件瞬間完成了硬件化，上述四個問題得到了有效的解決，部署速度大幅提升，難度大幅下降，TCO大幅降低。

當然，硬件化的產品也有其局限性，那就是性能局限，所以一個硬件平臺，只能適用于一定數量的用戶范圍，當然，基于802.1X協議的認證體系，其本身對于服務器的壓力還是很小的，所以現在主流的平臺，帶機數都能達到上千的水準。

以上就是NAC硬件化的思路，歡迎大家討論

總結

以上是生活随笔為你收集整理的安全也要“易”，谈NAC的硬件化的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。