NAC（網絡接入控制）已經是當前相當重要的控制網絡接入的一種手段，它一般通過網絡編程來實現，技術含量高，這已經成為思科、H3C、微軟等企業的又一商業利潤來源。但是，如果能夠有一種開源的工具來實現NAC，那又將是怎樣的情形呢？

你為什么要考慮開源選擇呢?

網絡接入控制(NAC)在當今的網絡世界中可謂如日中天，雖然其產品仍處于早期階段。大型的商業類NAC產品可能價格不菲。

我們需要注意的一點是,NAC是一套基于網絡交換機的網絡接入控制平臺，它需要通過網絡編程來實現，技術含量高，這已經成為思科、H3C、微軟等企業的又一商業利潤來源。

開源的NAC產品對市場造成的影響是巨大的，因為它使商業類的NAC廠商不能洋洋自得。廠商們必須知道，總會有一些免費的方案存在，而且正被穩健地改進著;這對于商業類廠商增強其產品性能和調整價格方面是一個重要的驅動因素。

此外，開源NAC推動著整個NAC市場形成更多的NAC標準并鼓勵革新。開源產品允許你訪問開源代碼。也許有一種你需要但卻不存在的特性，用開源NAC，你就能夠定制軟件使其適合你的喜好。

幾年來，開源產品已經顯示出他們能夠以零成本(或極低的成本)提供可靠的功能強大的產品。我們可以看一下Linux OS、 Asterisk VoIP 電話系統、Snort、 Nmap、Nessus等產品，所有的這些都是商業產品成功的替代產品。

如果一個產品有很好的團體支持，那么其特性將能夠很快地被確認并加以發展。這個過程與商業類產品相比會更加快捷。

成本當然是管理員們經常轉向開源產品的一個最重要的原因;許多人選擇一個產品僅僅因為它價格便宜。與一個免費的產品相比，證明一個貼著高昂價格標簽的商業產品的可行性的難度要大得多。

選擇開源NAC產品有什么弊端嗎?

當然，“免費”產品并非十全十美�？傮w而言，開源軟件可能易于缺乏其開發者的技術支持，缺乏升級，甚至缺乏互操作性。如果你要求Windows操作系統的支持，并告訴他們你正在運行開源的NAC，你不可能得到任何的支持。對技術支持的潛在缺乏將使許多開源軟件用戶轉而成為程序員和開發人員，他們有可能會花費大量的時間來修正問題。

此外，可能會存在著對你的開源方案實施的一些支持。換句話說，在具體實施時你并沒有太多的外援，可以說主要依靠自力更生。對于那些喜歡DIY的用戶來說，這可能是不錯的。不過這并不是每一個管理人員所需要的。

開源的NAC選擇方案哪些?

在當今的市場上，并不缺乏開源的NAC參與者。因為NAC是一個熱點問題，它成為開源開發者們要為其編寫程序的題目。下面是筆者所發現的開源NAC廠商，而且筆者認為比較不錯：

PacketFence Zero Effort NAC (ZEN)：這是一個虛擬設備操作系統，它運行在Windows或Linux系統內。它可以在設備連接到網絡上時執行策略檢查。ZEN基于Fedora Linux、LAMP、Perl和Snort。根據其Web站點的介紹，它被用于全世界的大學中。它并不需要任何種類的思科硬件，并且在任何網絡中都可以正常運作。PacketFence ZEN由哈佛的兩位IT人員開發，擁有一個Web的圖形用戶管理界面，并且是免費的。

FreeNAC：它由瑞士的Swisscom所開發，是一個開源的軟件項目，不過近來也提供商業版本。其商業版本提供了免費版本所沒有提供的一些額外特性，而且你可以獲取其安裝和支持。它使用802.1x或思科的VMPS。 此外，FreeNAC還可以提供VLAN和交換機的端口管理、文檔編制、端口電纜信息、設備發現等功能 。

更多的開源NAC：根據Network World一篇文章的介紹，現在有許多大學正在開發開源的NAC項目。如美國的卡內基梅隆大學和堪薩斯州大學的開發人員已經開發了自己內部的NAC方案。在卡內基梅隆大學，這個產品稱為NetReg，其使用還擴展到其它大學。在堪薩斯州大學，其定制的產品稱為Rings。這個產品將一個用戶與一個MAC地址聯結起來，并勝使用一個Java 代理來檢查客戶端試圖連接到網絡的PC。在KU，這種Rings產品擁有其自身的服務器，這也是使它成為一個專門產品的一個方面。

那么，思科是怎樣做的呢?思科屬于開源的NAC提供者嗎?現在不是，不過未來的產品可能是。思科宣稱它們將停止增強目前由其NAC框架所使用的思科安全代理(CTA)。它們起初宣稱下一代NAC客戶端將交給開源團體，不過它們后來又收回了那個決定。

另外一個NAC廠商StillSecure確實以開源軟件的形式發布了一個免費的NAC產品版本。StillSecure的免費NAC產品也稱為Safe Access Lite。

此外，賽門鐵克和其它的五個廠商已經宣告他們將聯合起來構建一個開源的NAC客戶端。賽門鐵克、TippingPoint、 Trapeze Networks、 Extreme Networks、 Identity Engines、Infoblox等公司已經形成了一個稱為Open Secure Edge Access Alliance的組織來開發這個客戶端。這個客戶端從技術上可稱為一個NAC的請求者。這個請求者運行在你的設備上，并要求獲得準許從一個訪問控制服務器連接到網絡。這個訪問控制服務器可以增強你的NAC安全策略，如反病毒定義的文件版本、操作系統補丁的水平，以及防火墻的設置等等。

不要“閉關鎖國”

既然NAC市場和產品尚處于成長階段，筆者相信對于一些開源NAC產品來說，要想大行其道還有很大的拓展空間，而且這也能夠給商業類的產品激烈競爭的機會。在這一點上，NAC商場確實比較熱，不過以筆者的觀點，市場上并沒有真正的領軍人物，而且在選擇這些方案之前，你應該告誡自己需要保持清醒的頭腦。

開源的NAC方案能夠在許可證上為你節省大量的金錢，而且還可以給你所需要的靈活性。不過，要使用開源的NAC，你必須愿意將更多的精力投往這個產品，因為它們是為那些愿意自己動手的管理人員所設計的。還有，將商業類產品的評估與開源產品的評估進行比較是一個非常聰明的舉動。