Każdy z producentów kładzie jednak nacisk na inny element. Jedni stawiają na etap weryfikacji i profilowania końcówki, inni na tzw. granularność procesu uwierzytelniania lub na możliwie kompletne wsparcie infrastruktury sieciowej w heterogenicznych środowiskach, a jeszcze inni na automatyzację działań naprawczych lub raportowanie.

Rozwiązania NAC mogą być wdrażane przynajmniej w kilku trybach, z czego najpopularniejsze to in-line i out of band. Różnice pomiędzy nimi uwidaczniają się w szczególności podczas podejmowania działań ograniczających lub blokujących dostęp. W trybie in-line to na urządzeniu NAC spoczywa ciężar prowadzenia inspekcji ruchu i sterowanie w locie dostępem do określonych zasobów. W przypadku dużej infrastruktury koszt wdrożenia rozwiązania tego typu będzie dość wysoki – muszą być też dostępne mechanizmy fail-open w razie awarii urządzenia. Sieciowcy mają też kwaśne miny, jeśli muszą wpiąć kolejne urządzenie w łańcuszek. W przypadku wdrożenia out of band NAC jest mniej widoczny w infrastrukturze, może być wdrożony nieco szybciej. Tutaj stosowane są inne techniki manipulacyjne, takie jak wstrzykiwanie odpowiednich pakietów w ruch, i w ten sposób przekierowywanie go czy też przesyłanie poleceń do przełączników, routerów i zapór za pomocą SNMP. Tryb out of band jest teoretycznie bezpieczniejszy – nie wprowadza na przykład niepotrzebnych opóźnień w sieci. Warto jednak zwrócić uwagę na to, jakie techniki stosuje rozwiązanie kontrolując dostęp. Im bardziej wyrafinowane (zwłaszcza modyfikowanie parametrów ruchu sieciowego), tym trudniejsza może okazać się analiza w razie wystąpienia problemów. Wiedząc o tym, jak łatwo „położyć” sieć niewłaściwą konfiguracją NAC, producenci znacznie poszerzyli katalog podejmowanych akcji – wspomniane zamknięcie portu to ostateczność. NAC może np. obudować urządzenie wirtualnym firewallem bez konieczności wprowadzania głębokich zmian w infrastrukturze, blokować nieautoryzowane aplikacje, wyłączać konta dostępowe itp. W przypadku mniejszych przewinień czasami wystarcza przechwycić sesję http i wyświetlić odpowiedni monit w przeglądarce, wysłać powiadomienie, a w razie problemów automatycznie otworzyć zgłoszenie w systemie Service Desk.

W przypadku wykrywania i identyfikacji urządzeń kiedyś, aby uzyskać pełnię funkcjonalności, musieliśmy najpierw zainstalować agenta. Nie zawsze i wszędzie było to możliwe, a niewiele rozwiązań proponowało opcję bezagentową. Obecnie większość producentów oferuje obydwa warianty. Warto jednak się upewnić, że wszystko to, co oferuje agent możemy uzyskać bezagentowo, a jeśli nie, to jakie są różnice. Ważna jest również umiejętność profilowania podłączanego urządzenia i przeprowadzenia swoistej analizy ryzyka. Chodzi nie tylko weryfikację, czy urządzenie jest nasze lub czy użytkownik został uwierzytelniony, ale o możliwie kompletne zbadanie wartości wskazanych parametrów systemu, a następnie oszacowanie poziomu bezpieczeństwa. To z kolei pozwoli automatycznie podjąć odpowiednią decyzję, np. o skierowaniu do odpowiedniego VLAN-u. W przypadku Cisco ciekawe jest, że wraz z upgrade’em oprogramowania przełączników / access pointów uzyskujemy funkcje profilowania bezpośrednio na tych urządzeniach (analiza ruchu) bez konieczności stawiania dodatkowych pudełek. Coraz ciekawsze są również funkcje weryfikacji zarówno w fazie pre-, jak i post-admission. Możemy tutaj zauważyć takie mechanizmy, jak wykrywanie połączenia „na dwie nogi” (np. jednocześnie LAN i 4G), prób ARP spoofingu, podszywania pod urządzenie dopuszczone (klasyczny przykład to podszywanie pod drukarkę sieciową) czy aktywności świadczącej o kompromitacji urządzenia przez malware.

Widać też, że producenci stawiają na coraz bliższą integrację z innymi rozwiązaniami, np. MDM, NGFW, analizy zagrożeń APT, IPS, SIEM, zarządzanie konfiguracją, skanerami podatności. Dla przykładu ForeScout ma moduł Data Exchange, dzięki któremu możliwe jest wykonanie zapytania na wskazanej bazie danych i wykorzystanie rezultatów jako uzupełnienia wiedzy o zasobach w organizacji.