在本系列关于 LAN 边缘交换机安全功能的第一部分，我们讨论了过滤端口流量和使用 LAN 边缘交换机 ACL。(阅读：《LAN 边缘交换机安全特性》)在第二部分，我们阐述使用边缘交换机进行网络访问认证。(阅读：《配置 LAN 边缘交换机的网络访问认证》)在最后一篇文章中，我们将讨论整合边缘交换机与网络访问控制（NAC）。

　　认证的访问能保证用户必须提供身份信息才能访问企业 LAN。但这并不能保证用户的计算机在连接网络后的行为是良好的。也不保证计算机没有被盗用，被病毒网络控制或被蠕虫侵入。

　　所以，认证控制会在一些位置增加一些功能以便更全面的进行健康检查，这通常就是所谓的网络访问控制（NAC）。NAC 系统不仅能验证用户或主机身份，还能确定系统的初始良好状态。在其他方面，NAC 检查能够保证存在反病毒程序运行，系统已经通过一个扫描，以及它的操作系统已经是最新更新的。当前系统会进行更多的行为分析，观察系统曾经在网络上执行过什么操作，然后在它出问题时执行修复操作。

　　LAN 边缘交换机安全性功能和 NAC

　　深度防御要求网络团队将边缘交换机作为安全基础架构的一部分使用。ACL、VLAN 和认证构成了基本的边缘安全性；NAC 在此基础上更进一步地减少了风险。它通常由数据中心或网络核心的智能驱动，如从一个中央管理点或允许使用网络的用户目录定义和传输的策略。

　　然而，有一些供应商，如ConSentry、Napera 和 Fortinet，将所有的智能以及执行放到边缘设备上，这样的部署理论上是更简单了，特别是在小型网络中。但如果确实要保护网络， NAC 要求至少有边缘交换机参与。边缘访问的认证是第一个也是最重要的防御，系统必须清楚大多数的 NAC 安装。除此之外，测试失败要求使用边缘设备 VLAN 或端口禁用来控制“坏”系统。

　　不管 NAC 是边缘驱动或直接边缘实施的，初始健康检查要求在终端上安装防破坏的代理，它可以验证运行特定的软件（例如，反病毒软件）而不运行其它软件（例如，各种流氓软件）。在 Windows 上，有一些 NAC 解决方案使用 Microsoft 的 Network Access Protection 客户端进行健康检查。而其它系统也有各自的代理。

　　在 LAN 边缘实现健康检查

　　健康检查的具体实现根据系统的不同而有显著的区别（不只是 ACL 或者甚至要进行认证配置）。理论上，它们类似于 ACL：

Vlan-hosts fail antivirus-check isolate

Vlan-guests fail antivirus-check allow remediate-vlan

Wlan fail OS-check allow remediate-vlan

　　增加健康检查可以降低受攻击的主机在 LAN 上使用的偶然性。ACL 和 VLAN 能够保护边缘交换机不受其它交换机影响，同时能限制对数据中心可能的攻击目标的范围，但是它们无法看到更隐密的攻击。如果这些攻击在网络上进行一个用户正常情况下不会执行的操作，增加行为分析能够发现隐密的攻击。

　　所以，在存在一定数量临时用户的网络上（像有许多合同方的公司，或者大学里）或者计算机缺少 IT 控制的网络上，NAC可能是一个非常不错的预防手段。NAC 在存在临时用户或许多笔记本电脑定期离开的无线 LAN 上是最有用的。在一个具有固定用户数的较小型组织中，这几乎是没有必要的。在决定部署 NAC 和增加设备前，所有组织都应该利用他们现有的边缘交换机安全性；如果他们是 Windows 用户，他们应该考虑使用 NAP。