说到NAC网络访问控制,浮现在我们脑海中的应该就是软件+硬件的构成方式,即用软件作为核心的策略决策点,硬件作为策略执行点,这也是标准的NAC构成方式,纵观业界的主流产品,无论Cisco的C-NAC、Juniper的UAC,还是国内的锐捷GSN、H3C的EAD等等,均是如此架构。

提到这种架构,让人最为头大的莫过于部署,这里的部署,不是指整套解决方案的部署,而是对于核心软件系统的部署,其难点来自于几个方面:

1,TCO即总体拥有成本。凡NAC类产品,其技术含量较高,价格当然也不菲,但对于一个用户来说,该软件的价格还不只是拥有它的TCO,既然是软件架构,那么一定需要一台服务器喽,动辄几万块的预算,不是小数目。有了服务器还不行,还要操作系统和数据库,目前很多NAC软件都是基于Windows Server和SQL Server的,这两个东西也不便宜,微软零售价最便宜的Windows Server版本要6000块左右,而SQL Server更是达到了可怕的15万之巨。这样算来,一套NAC软件的TCO就已达到了二三十万了,远不是仅仅该软件本身所体现出来的那十几万元。

2,部署实施复杂度。装这个软件跟装一般的软件区别不大,面对一个空服务器,你少不了安装操作系统、数据库和调试的时间,不要小看这些时间,基本上2个小时是少不了的,前提还是不要出什么问题,例如驱动问题之类的。然后才是装NAC管理软件,这样算来,基本上一天时间还是要的。

3,维护复杂。对于NAC软件系统的维护,由于其构建在服务器、操作系统和数据库之上,因此也变得繁复了很多,大部分问题都不是软件本身的,而是由操作系统或者数据库配置不当,或者漏洞之类导致的,所以维护变成了一个庞大的工程。

4,安全堪忧。说起来NAC本身是做安全的,但NAC软件本身的安全又怎么负责呢,一个开放的服务器,如果有多名管理员的话,那风险就太大了,随便谁对服务器做了什么不当的配置,都会导致NAC服务器的宕机,其后果就是全部无法上网,影响巨大啊。

上述四条,其实也是很多用户畏惧NAC,不敢上NAC的原因,也是NAC在中国叫好不叫座的一个重要因素。

其实,想要解决上述问题,没有想象那么难,思路很简单——硬件化,而硬件化的过程也很简单:

1,将NAC软件切换到开源数据库和操作系统

2,将全套软件连同操作系统和数据库灌入工控机/服务器中,打包交付给客户

经过以上两步,NAC软件瞬间完成了硬件化,上述四个问题得到了有效的解决,部署速度大幅提升,难度大幅下降,TCO大幅降低。

当然,硬件化的产品也有其局限性,那就是性能局限,所以一个硬件平台,只能适用于一定数量的用户范围,当然,基于802.1X协议的认证体系,其本身对于服务器的压力还是很小的,所以现在主流的平台,带机数都能达到上千的水准。

以上就是NAC硬件化的思路,欢迎大家讨论