实现高效安全的网络访问控制的解决方案

    选择RADIUS服务器

　　远程身份验证拨入用户服务(RADIUS)是一个工业标准协议，可以提供身份验证、授权和账户服务;它用在提供用户网络访问的设备与对进入的用户进行身份验证的设备之间。RADIUS定义了三种公共的部件：

　　●访问客户

　　●网络接入（访问）服务器

　　●RADIUS服务器

　　即使你有多种多样的应用环境，你也只能在网络中使用一种类型的RADIUS服务器（例如，你可以使用微软的IAS服务器或者FreeRADIUS）。在这方面，你应该根据网络中的所用的应用环境选择自己的RADIUS服务器。这也是对一个中央用户数据库进行投资（LDAP或者活动目录）的时机。

　　选择EAP方法（如果使用802.1x的话）

　　只有在你使用802.1x访问控制方法时，可扩展身份验证协议（EAP）的方法才具有重要意义。你需要考虑两个因素：客户对网络的验证和网络对客户的验证。

　　布置并安排网络分段

　　你要设计网络分段，这些分段应适合于你网络的各种各样的应用环境。我们强烈建议你在网络中的一个有限区域内引入访问控制（例如，如从会议室开始）。你会获得经验并由此全面铺开。

　　集成所有的网络段

　　一旦你部署了网络中各种不同的分段，你就可以通过将所有的分段集成到一个统一的总体中来实施优化。

　　考虑采用身份驱动管理

　　身份驱动管理（IDM）提供了基于用户身份而不是网络设备的网络访问控制，它允许你在网络的中心设置一个网络访问策略的实施，并将它动态地运用于网络的边缘。

　　通过上述的措施你应该已经部署了一个比较健全的NAC方案。