谈起网络访问控制（NAC），人们都认为它是一个复杂的、不断演变的并且有争议的技术。这要取决于你是听从哪家公司的了，一般情况是，Gartner公司已经拥有并推出NAC三年了；Forrester研究公司认为这项技术是良好的网络安全架构的一个关键组成部分。很可能正如你听到的那样，它是一个形状转换器，没有一个主要的标准。

　　为了能够得到一些明确的思路，我们采访了三位已经部署了网络访问控制的用户。他们每个人都选择了一个不同的方法。第一种方法就是，NAC配置，走出大学里网络的安全遵从配置的主要动机。随着Central Michigan University (CMU)大学的IT人员更加倾向使用NAC，它们能够使大部分人能够访问网络，将一小部分局限在外。

　　一个或两个蠕虫病毒

　　当2003年，学校考虑为27000名大学生部署网络访问控制系统时，这个普通的大学确实有过真实的本地化的痛处。它并不想最终像 Michigan State一样，Blaster和Nachi两个蠕虫病毒摧毁了这个地区的网络。它同时也没有保护好自己的防护线，阻止这个讨厌的蠕虫，必须要依赖有经验的志愿者。

　　“我们关闭了所有宿舍的网络访问，然后集中学生避开，一次性进行学生系统修补，我们共有26个学生宿舍和公寓，” CMU大学主要校区的网络管理者 Ryan Laus说。

　　为了防止入侵病毒，网络、帮助台和宿舍员工毁掉了携带最新Windows补丁和学校许可的杀毒软件包的1600多个CD。在不到三天的时间里，大约就有6000多个使用未打补丁系统及过时的防病毒程序的用户出现。另外还有800多个与病毒相关事件发生。因为并不知道是谁的系统被感染了，所以IT关闭了所有的网络，这引起了一部分同学的不满。

　　这个大学希望有一个自动的流程能够在学生接入到CMU网络前检查他们的设备，如果发现哪个同学的系统被感染了，就要尽快隔离。来自 Bradford Networks公司的一个基于配置的，或者“带外的”的NAC解决方案正好满足了这种需求。这家提供商针对这家大学制定了专门的校园管理解决方案，但是对于CMU来说， 最大的优势是，这个配置不必要放在inline。

　　“我们有入侵防御系统，我相信我们还会有（WAN优化）Packeteer系统，所以没有必要增加其他的内嵌装置，” Laus说。“我们不希望在我们的网络上再增加新的链接。”如果带外系统毁坏了，那么它只能影响到在那个时候注册的人。在大学网络里的其他用户将不会受到影响。

　　校园管理者需要管理、保护和控制大约17000个进入CMU网络的设备，学校在会议上已经加强了大学的网络认证和注册政策，其中包括快速认证、定位和追踪网络客户端、隔离危险用户和设备到检疫区。你可以在供应商的网站上案例研究部分阅读到CMU的故事。

　　“这是一个非常容易的销售。你必须确保你的网络安全，” Laus提醒道。初步的开支大约是100000美元，这个大学使用了四个配置，并支持22000个许可。