我国的网络准入行业发展历史不过10余年，虽然发展时间较短，但是我国的网络准入产品、技术正在经历快速的更新、迭代，目前，市场上已经出现了多种网络准入技术，但不同的技术优劣势不同，且运用场景也不同，那么到底这些技术有何好坏，当我们要做网络准入的时候，又应该怎么去选择这些技术呢，下文就是详细介绍。

（一）802.1x准入技术

802.1x准入技术中，主要使用了802.1x协议和Radius协议。当终端通过网线接入到交换机端口的时候，终端并不能正常访问网络；终端上的802.1x客户端负责跟交换机协商，并将用户输入的账号密码发送给交换机，然后交换机再通过Radius协议将账户密码发送给Radius服务器（独立服务器或集成在策略服务器中）；在得到Radius服务器的应答确认通过认证后，交换机切换端口状态，允许终端正常访问网络。

这项技术非常符合网络准入的理念，能落实到每一个交换机端口，控制力度也很强；在未通过认证之前，还可以赋予端口隔离VLAN，允许终端在隔离VLAN内完成必要的漏洞修复、补丁更新的操作；既有安全性，又有方便性。

但这个方案略显高冷，因为这个方案要求网络中的所有接入层交换机都必须支持802.1x功能，而多数企业网络中是存在老旧交换机的，要做到这一点，意味着用户需要大批量的更新升级网络中的交换机，意味着繁重的网络改造工作和一大笔费用，尤其是在建网较早的企业中。

那是不是在全网部署了高端交换机的网络就可以发挥实力了呢？也还不是。由于整个社会经济技术都发展的很快，几年前规划建设的网络，在今天可能就不能满足实际需要，最常见的就是办公工位上的网口不够用。于是HUB在企业内网中大行其道。由于802.1x方案是控制到交换机每一个端口的，假如在一个端口下通过HUB接入了多个终端呢？第一个终端完全合法的通过了校验检查成功入网，同时交换机端口也变为开放状态，此时第二个、第三个终端就可以不受任何约束的自由接入了。再加上802.1x客户端较为复杂、实施难度大、故障恢复困难等原因，这个方案就有些镜花水月了。

（二）DHCP准入技术

既然网络基础设施不能一夜之间实现现代化，那能不能不依赖已有的硬件呢？自然是有的，于是轮到DHCP准入技术登场了。跟802.1x相比，DHCP准入技术也是采用了标准协议（DHCP），但对现有网络基础设施没有特别要求。具体方法是，在终端接入网络的第一时间，给终端分配一个租约比较短的隔离IP，通过适当的路由设置，确保此隔离IP无法访问网络内的邮件、文件服务器、数据库、OA系统等各种资源，也不能与已经入网的合法终端通讯，但又能够访问到必要的资源来安装杀毒软件、更新病毒库和打补丁；在终端通过webportal或客户端通过了策略服务器的身份认证和策略检查之后，由于隔离租约到期，终端自动再次请求地址时，策略服务器（此时也是DHCP服务器）就可以给终端分配办公IP正常访问网络了。

DHCP准入技术成功的解决了802.1x准入技术依赖交换机功能以及无法控制HUB的缺陷，依靠标准的DHCP协议，控制能力触及到了每一个MAC；在管理好企业的终端资源的同时，也为访客、外协人员携带的终端（管理员无法提前预知其软硬件配置）接入网络但又不允许访问企业重要资源提供了很好的解决方案。业内人士很快就会发现，DHCP准入技术并不那么完善，因为其发挥作用的前提是每个终端都采用DHCP方式获取IP，如果有人手设固定IP呢？

当然，就这一点，也可以借助交换机的DHCPSnooping和DAI功能来限制手设IP的终端收发报文，但这跟802.1x技术一样，也要依赖网络基础设施的先进程度。准入厂家从一开始就准备了ARP准入技术作为补充。

（三）ARP准入技术

ARP准入技术，简单来说，就是策略服务器通过监听网络中的DHCP报文和ARP报文来发现网络中的IP-MAC对应关系，剔除经策略服务器认证检验后分配的办公IP，其它的均为非法，然后就可以采用ARP阻断技术让非法终端不能正常访问网络。

为了解决多VLAN、跨路由的问题，厂家发展出了VLANTrunk连接、代理探针等多种可落地、容易扩容、分布式管理的实施方法。

在与ARP防火墙的斗法中，厂家也不断更新阻断方法，虽然不能物理上将违规终端隔离起来，但阻断之下，一方面让违规终端难以进行破坏和窃取，一方面让管理员知道后能及时处理，总体效果也还是不错的。

当然，ARP准入技术虽然是为了使以DHCP准入技术为基础的方案更完美而产生的，但它并不依赖DHCP准入技术，ARP准入技术是可以独立实施的，只需要在可信IP-MAC的来源里增加管理员的审批这一途径即可，而不需要关心用户网络中终端IP获取方式，DHCP的、静态手设的、二者兼而有之的，统统兼容。

（四）SNMP准入技术

DHCP+ARP的技术方案虽然好用，但不免有所缺憾，那就是没有充分利用交换机的价值。不少单位的网管在交换机端口上手工建IP-MAC-Port的绑定，确保只有指定的MAC使用指定的IP从指定的交换机端口接入才能访问网络。这个控制力度非常强，但完全依靠手工操作，新设备采购、旧设备淘汰、人员离职、设备变更用途等日常维护，只能让管理员且痛且不快乐了，人工操作不可避免带来的错漏、遗忘，也是不小的风险。准入厂家很快将注意力重又放到交换机上了，只不过这次不是802.1x，而是SNMP协议。

相比较而言，交换机对SNMP协议的支持，要比802.1x普遍的多。通过综合使用SNMP协议扫描和snmptrap机制，准入策略服务器可以很方便的获取到交换机上每一个端口的信息以及端口上连接的是哪些MAC以及使用了什么IP。

与DHCP+ARP准入技术相同，剔除合法接入网络的终端后，准入策略服务器就可以通过SNMP协议关闭交换机端口的方法将非法终端彻底清除出网络了，这就是SNMP准入技术了。

（五）MVG技术

MVG（虚拟网关)技术是基于应用系统的端口级准入控制技术，简单来说MVG技术是通过和网络设备联动，掌握全网设备动态，通过切换终端所接交换机接口vlan，实现准入效果。

主要配置的流程如下：

（1）基本网络配置，配置好ETH2口IP 地址，确保正常情况下能访问ETH2口，按照要求连接网络准入控制设备

（2）确定每个正常VLAN所对应的隔离VLAN，并在所有上行trunk中放行正常和隔离VLAN

（3）在网络准入控制设备中配置VLAN映射关系

（4）将终端所接端口手动切换到隔离VLAN ，并测试终端和ETH2口的连通性。

（5）在网络准入控制设备上通过telnet/ssh/snmp方式添加交换机，并测试是否能正常显示交换机面板以及是否能正常切换vlan

（6）测试是否能完成正常的准入流程

以MVG技术为代表的基于应用系统架构的安全准入技术，是NAC行业的一线核心技术，这类核心技术的专利一般是掌握在厂商自己手中，专用于企业自身的网络准入控制产品之中，实用性和稳定性相对来说是比较有保障。