在你在自己的网络上实施网络准入控制（Network Admission Control，简称NAC）之前，你首先需要清楚你要进行什么操作；在多数情况下，NAC可能是一个大型的复杂项目，而不管你要实施哪家厂商的产品。笔者将以思科的NAC产品为例，将其实施步骤分解为五步，并讨论一些你需要关注的问题。
　
　　第一步：实施之前首先需要定义目标
　
　　现在几乎人人都在谈论NAC，不过千万不可贸然行事。首先，在投入时间和金钱之前，先问自己如下几个问题，只有这样你才能更好地定义自己的目标：
　
　　需要保障的是什么对象？
　
　　我们在什么地方缺乏性，思科的NAC如何帮助我们解决这些问题？
　
　　实施一个思科NAC解决方案的总体影响是什么？除了保障PC（或其它的任何目标）的安全，对帮助台的工作人员、终端用户、在外的销售人员、远程访问用户会有什么影响？
　
　　实施思科的NAC方案的益处与由此引起的影响孰轻孰重？
　
　　在这个时点上你真得需要采用NAC吗？对于任何专家来说，何时实施NAC都是一个难以回答的问题。当然，NAC目前提供了一些重要特性，而且它毫无疑问地会使你的网络更安全。然而，NAC的技术性能与特性仍处于初期阶段。
　
　　你需要审视是什么驱使你决定实施NAC.不要因为这是一种趋势而采用它，要确信这项技术适合你公司的需要，并且能够解决安全问题，而不会给用户或管理员带来太多的负担。
　
　　此外，还要记住，你可能没有足够的信息来获知实施这样一种大型方案所带来的影响。例如，可能你并不知道定期外出的销售人员会从副总裁的办公室连接到你的网络中。如果你实施了思科的NAC，而副总裁却大发雷霆，因为你实施了这种新的安全措施，结果他最喜欢的销售人员无法访问，你该怎么办？这些问题总是令人难堪，因此要在其发生这前尽力阻止其发生。
　
　　第二步：定义NAC项目的实施范围
　
　　在将任何资金投到一个思科NAC项目之前，你的思科销售商应能够为你提供某个工作范围，它应该一步一步地告诉你思科的NAC项目将包含哪些东西。
　
　　将工作范围与它可能为企业带来的利益、需要和弊端相比较。考虑这个范围适合你的需要吗？你正在进行的工作能够真得能为你解决问题吗？
　
　　第三步：你的NAC系统将如何设计？
　
　　一旦你认为自己不是为了赶时髦而购买这种最新的最流行的方案，就要问一下自己，应该如何设计NAC的实施。因为思科NAC可在网络中的不同点上实施，所以公司提前知道其执行点应该在什么地方是很重要的。一般说来，NAC可被部署在三个点上：内联（inline）、带外（out-of-band）、软件代理。
　
　　实际上，执行点的问题是伴随着NAC实施的最重大的设计问题之一。例如，如果一家公司将其NAC系统设计为“内联式”，而NAC设备失效，那么此设备后面的所有计算机将再也不能访问网络了。IT管理人员应该准备好相关的文件材料和人员培训，要知道一旦发生这种情况应采取哪些措施。
　
　　最后，要考虑哪种类型的NAC设计能够满足你的安全需要，并且尽可能地不打扰终端用户。例如，你可以采用思科、Nevis、Vernier等厂商提供的“内联式”方案，或者采用ForeScout提供的“带外”方案。另外一方面，你还可以用来自思科、InfoExpress、Elemental等公司的软件代理来部署NAC.笔者以为，思科的内联式设计目前更为流行，因为其相对而言部署和管理起来都不太复杂。
　

[1]