在你在自己的網絡上實施網絡準入控制（Network Admission Control，簡稱NAC）之前，你首先需要清楚你要進行什么操作；在多數情況下，NAC可能是一個大型的復雜項目，而不管你要實施哪家廠商的產品。筆者將以思科的NAC產品為例，將其實施步驟分解為五步，并討論一些你需要關注的問題。
　
第一步：實施之前首先需要定義目標
　
現在幾乎人人都在談論NAC，不過千萬不可貿然行事。首先，在投入時間和金錢之前，先問自己如下幾個問題，只有這樣你才能更好地定義自己的目標：
　
需要保障安全的是什么對象？
　
我們在什么地方缺乏安全性，思科的NAC如何幫助我們解決這些問題？
　
實施一個思科NAC解決方案的總體影響是什么？除了保障PC（或其它的任何目標）的安全，對幫助臺的工作人員、終端用戶、在外的銷售人員、遠程訪問用戶會有什么影響？
　
實施思科的NAC方案的益處與由此引起的影響孰輕孰重？
　
在這個時點上你真得需要采用NAC嗎？對于任何專家來說，何時實施NAC都是一個難以回答的問題。當然，NAC目前提供了一些重要特性，而且它毫無疑問地會使你的網絡更安全。然而，NAC的技術性能與特性仍處于初期階段。
　
你需要審視是什么驅使你決定實施NAC.不要因為這是一種趨勢而采用它，要確信這項技術適合你公司的需要，并且能夠解決安全問題，而不會給用戶或管理員帶來太多的負擔。
　
此外，還要記住，你可能沒有足夠的信息來獲知實施這樣一種大型方案所帶來的影響。例如，可能你并不知道定期外出的銷售人員會從副總裁的辦公室連接到你的網絡中。如果你實施了思科的NAC，而副總裁卻大發雷霆，因為你實施了這種新的安全措施，結果他最喜歡的銷售人員無法訪問互聯網，你該怎么辦？這些問題總是令人難堪，因此要在其發生這前盡力阻止其發生。
　
第二步：定義NAC項目的實施范圍
　
在將任何資金投到一個思科NAC項目之前，你的思科銷售商應能夠為你提供某個工作范圍，它應該一步一步地告訴你思科的NAC項目將包含哪些東西。
　
將工作范圍與它可能為企業帶來的利益、需要和弊端相比較�？紤]這個范圍適合你的需要嗎？你正在進行的工作能夠真得能為你解決問題嗎？
　
第三步：你的NAC系統將如何設計？
　
一旦你認為自己不是為了趕時髦而購買這種最新的最流行的方案，就要問一下自己，應該如何設計NAC的實施。因為思科NAC可在網絡中的不同點上實施，所以公司提前知道其執行點應該在什么地方是很重要的。一般說來，NAC可被部署在三個點上：內聯（inline）、帶外（out-of-band）、軟件代理。
　
實際上，執行點的問題是伴隨著NAC實施的最重大的設計問題之一。例如，如果一家公司將其NAC系統設計為“內聯式”，而NAC設備失效，那么此設備后面的所有計算機將再也不能訪問網絡了。IT管理人員應該準備好相關的文件材料和人員培訓，要知道一旦發生這種情況應采取哪些措施。
　
最后，要考慮哪種類型的NAC設計能夠滿足你的安全需要，并且盡可能地不打擾終端用戶。例如，你可以采用思科、Nevis、Vernier等廠商提供的“內聯式”方案，或者采用ForeScout提供的“帶外”方案。另外一方面，你還可以用來自思科、InfoExpress、Elemental等公司的軟件代理來部署NAC.筆者以為，思科的內聯式設計目前更為流行，因為其相對而言部署和管理起來都不太復雜�！�

第四步：分析和測試你的NAC選擇
　
除非你過去實施過NAC，與僅僅自己動手摸索、操作相比，觀察分析和分析白皮書的幫助作用可能并不太大。因此，在你將其在自己的網絡上測試之前，你不應該購買一個NAC方案。你的思科產品銷售商應在這方面提供幫助。
　
一旦你已經測試了一個NAC方案，就需要確定它會執行你要求的任何事情。例如，NAC解決方案應該能夠運行一次預準入檢查、后準入檢查、主機地位檢查。此外，一個NAC方案還應該能夠用現有的架構確認你的網絡資源。例如，一個NAC解決方案應該能夠用Windows的活動目錄來確認用戶和計算機。
　
要問一下自己實施一個NAC方案對你的真正含義。任何一種在全公司實施的產品（它可能要涉及到每一個設備）將會相當昂貴。實施的成本將依賴于你作出的設計選擇，因此一定要確保你用所實施的方法衡量自己的設計選擇。例如，部署軟件代理可能要比基于硬件的方法花費更少。
　
另一方面，在網絡中插入一個獨立的NAC設備可能不會花費太多時間，但其配置成本卻可能很高，因此需要準備一個備份單元，以應對主要單元失效的問題。
　
小型測試的例子可能有：
　
為來賓網絡設置一個NAC解決方案：對于臨時來訪的銷售人員等，需要訪問一個用思科NAC設備保障其安全的網絡。因此，其計算機就可以用最新的反病毒定義、操作系統補丁等檢查。
　
為一小組節點設置一個NAC解決方案：用此方法，在將一個NAC方案在整個系統中實施之前，你就可以看出一個插入式NAC是怎樣的。
　
僅為無線用戶設置一個NAC：如果你有大量的無線用戶，就應當通過這些用戶的子集實施測試。
　
第五步：在網絡中實施NAC
　
在所有的正確計劃之后，你決定在你的網絡中實施NAC結構，不過還有一些問題需要考慮：
　
誰來實施？是組織中的擁有NAC經驗的任何人嗎？或者你要依賴于一個外部的公司來實施？
　
NAC如何適應你的網絡安全策略？為強化安全，NAC的實施必須與對網絡安全的改變保持一致和統一；你絕對不希望人們想方設法繞過NAC和你設置的安全措施。
　
你如何展開NAC系統的部署？
　
這種實施對用戶的總體影響是什么？
　
最后，實施計劃看起來是什么樣子？實施計劃適合你最初的需要嗎？誰來評審計劃以確保它的簡易可行？此計劃是基于所執行的動態測試嗎？
　
在任何生產性網絡上實施NAC不是一個簡單任務，因此你需要保障你的實施計劃得到了測試并如計劃進行。
　
結束語
　
當然，這些措施并不限于思科的NAC，而是幾乎可適用于任何NAC解決方案。雖然NAC是一個十分時髦的詞，但你要保障不是因為它流行才采用。你需要確信你的網絡真得存在安全問題，而這種NAC的實施能夠真正地解決這些問題。你不妨問一下自己本文中所提出的問題，并試著用其保障NAC方案的實施獲得成功。