随着园区网络的应用和发展，病毒、木马、间谍软件、网络攻击等各种信息安全威胁也在不断增加。在传统的园区网络建设思路中，一般认为园区内网是安全的，安全威胁主要来自外界。但是研究证明，80%的网络安全漏洞都存在于网络内部，它们导致的网络故障对网络的破坏程度和影响范围在持续扩大，经常引起业务系统崩溃、网络瘫痪。

网络准入控制（Network Admission Control，NAC）从对接入网络的终端安全控制入手，将终端安全状况和网络准入控制结合在一起，通过检查、隔离、加固和审计等手段，加强网络用户终端的主动防御能力，保证园区中每个终端的安全性，进而保护园区网络的安全性。

网络准入控制的技术背景

网络准入控制的策略授权

802.1X认证概述

802.1X认证是一种基于端口的网络接入控制协议，即在接入设备的端口这一级验证用户身份并控制其访问权限。802.1X认证使用EAPoL（Extensible Authentication Protocol over LAN，局域网可扩展认证协议），实现客户端、设备端和认证服务器之间认证信息的交换。802.1X客户端一般为用户终端设备，用户可以通过启动客户端软件发起802.1X认证。

网络接入设备通常为支持802.1X认证的网络设备，它为客户端提供接入局域网的端口，该端口可以是物理端口，也可以是逻辑端口。

认证服务器用于实现对用户进行认证、授权和计费，通常为RADIUS服务器，根据接入设备对802.1X客户端发送的EAPoL报文处理机制的不同，可将认证方式分为EAP中继方式和EAP终结方式。