在使用思科的升级的网络访问控制系统（NAC）的一学期里，美国旧金山大学(USF)IT主管Leo Pereira一直都是非常激动的。“我通常都不会这么说，”他表示，要充分地注意到思科的一些产品“确实令人恼怒，它们也同样一直令我苦恼。”同时也要适当地注意到他并没有从这个网络巨头这里得到任何资金或者特殊的待遇。

　　“但是，天哪！它仍然在继续工作，” Oracle公司前任IT网络和安全架构主管Pereira说。他大约在一年前进入USF。“我们已经部署了它，我们打算在适当的时候进行讨论。”

　　每个学期新生开学的时候，同学们带到学校的电脑或许已经被病毒感染了，USF需要一个工具了解学生电脑的状态如何，并帮助他们使电脑系统更加安全。

　　18个月以前，USF在学生宿舍部署了思科公司的网上NAC解决方案。由于系统运行的比较好，所以，去年夏天，Pereira的团队决定扩大NAC的使用。USF为学生宿舍部署了一个带外系统——特别是追踪到的那些网络流量最大并且最容易被感染的计算机，同时，还在无线网络上使用原来的在线系统。

　　“现实情况是，你从来都不希望NAC在线，” Pereira说。“这就意味着，所有在互联网上传递的信息以及所有的计算机用户都要通过这个应用。不管你多么迅速地创建它，它都是个瓶颈。”

　　宿舍系统的升级需要工程师大量的工作，要对所有的交换机进行配置，确保它们能够与NAC系统协调一致。但是，除了一些“小麻烦”，整个过程还是波澜不惊的。“很多人都很惊讶它为什么能够进行的如此顺利，我不会，因为我了解这个产品。”

　　Pereira认为部署网络访问控制的主要动机是要为学生们创造一个安全的网络环境。成立于1855年的Jesuit大学为了保护8000多名大学生的人身安全，必须要部署自己的警察巡逻队。同样，IT部门必须保护好学校的虚拟环境。大学里的“珠宝”——也就是学校的服务器和生产系统——受到防火墙的保护。

　　“只不过我们的主要客户是学生。我们希望确保学生们的计算机网络环境要与他们的穴位一样受到同等重视，” Pereira说。

　　使用了现在的NAC解决方案以后，学生第一次试图连接校园网，NAC系统会确定这台机器是否有网络访问控制客户端。如果没有，该学生会自己进入到一个虚拟的局域网LAN（VLAN）中，然后被告知他是一名新人，他的计算机还没有达到学校的安全要求。然后，他被要求下载恰当的杀毒软件。一旦这个软件在系统上运行了，NAC将会得到通知这台计算机是安全的，并允许该学生进入一个新的VLAN，由此在进入到校园网以及其他网络内。

　　这个流程是至关重要的，因为，自从实施了第一个NAC解决方案以来，病毒已经以惊人的速度在18个月里进行了扩散，Pereira说。“如果你现在让我远离NAC，台式机工程团队将会反抗的。”

　　在部署NAC的测试阶段，Pereira的工程师们会在计算机上下载一些工具测试能发生什么。“我们会说‘好的，我现在在这个IP地址上——这个地址的空间有多大？’只有我以及上游的网关——NAC系统能够进入。你不能和其他人进行交谈。如果你试图进行攻击，你的数据包将不会到大其他人那里。一旦你被验证，你将能看到它进行快速运转；随后你会看到网络接口再进行运转，旧的DHCP地址将被丢弃，同时会有一个新的DHCP地址，”他说。

　　确实如此，“过去的计算机工程师不能确切地指出它是如何这么顺利地进行工作的。”“他们对此的第一个反应是，它根本行不通的，”他说。

　　USF现在有六个NAC设备：两个管理设备——所有的配置在此发生；两个带内服务器以及两个带外服务器。下一步，他希望将NAC扩大覆盖至整个大学的教工和员工。那么，他该如何让其他的CIO们对部署NAC感兴趣呢？

　　NAC使他拥有了对学校个人设备的“更大的安全控制权。” 在90年代末，Pereira曾经在Oracle公司负责IT安全六年之久。“我们的边界是安全的：我们有防火墙，没有人能通过它。”学校的唯一一次病毒侵害是一个人将电脑带离出学校，受了感染又拿了回来。

　　“通过使用NAC，你可以将这种情况发生的可能性变为零，因为当你带着受到感染的电脑回来的时候，之前你已经将NAC部署到了你的交换机上，一旦你登录进入，NAC服务器将会给出通知，‘你好，你已经离开过一段时间了，你的电脑是否安全？’”他说。

　　该工具作为一个遵从工具，政策是可以设置的，例如，每五天进行反病毒软件更新。管理员可以为那些计算机没被感染的人们设置一些灵活的选择多一点时间进行下载。

　　在大学校园内，宽限期很重要，人们往往在被告知怎么做的时候有些犹豫。事实上，在他看来，NAC的Big Brother方面是CIO们最可能遇到的障碍。“这需要多点习惯，”他说。NAC最初的部署是强烈的，因为很多同学不得不将受到严重感染的电脑拿到帮助台那里。

　　最终，用户都把接受NAC检查作为登录的一部分，他说。至于“从不要低估NAC部署的复杂性”这个观点抑制住了行业专家，Pereira认为厂商夸大的市场营销策略造成了这一点。

　　“他们会向你销售所有的部分和关键的部分，”他说。潜在的粒度如此之大，如果他想的话，他就能够将NAC配置成少数人受限的访问。

　　“我可以提出一个计划并花费两年半的时间区实施，结果是，所有的事情都会控制在一英尺的范围中，”他说。“但是问题是，你是否真想这么做？对于大多数企业来说，还没有这么做的必要。”