NAC: bezpośrednio w sieci czy w paśmie wydzielonym?
- Józef Muszyński,
- 26.09.2007, godz. 12:08
Problem, czy urządzenia NAC mają być wpinane bezpośrednio w sieć roboczą czy poza nią, ciągle istnieje i jest wykorzystywany przez dostawców do promowania własnych rozwiązań.
Odpowiedź nie jest jednoznaczna i wszystko zależy od sytuacji poszczególnych użytkowników. Urządzenia 'inline' umiejscawiane są w środku przepływu ruchu, zazwyczaj przed przełącznikiem dostępowym, i decydują czy dopuścić lub ograniczyć ruch z każdego punktu końcowego, który loguje się do sieci. Jest to więc zarówno punkt decyzyjny jak i egzekwujący reguły polityki NAC.
Urządzenie 'out-of-band' oddziela funkcje decyzyjne od wykonawczych i może wykorzystywać całą gamę innych urządzeń do egzekwowania reguł polityki, w tym przełączniki, bramy czy zapory ogniowe.
Cechą ujemną urządzeń inline jest to, że w momencie przeciążenia mogą zakłócić normalny przepływ ruchu sieciowego i generalnie stanowią potencjalne wąskie gardło. Z kolei rozwiązania out-of-band wnoszą dużo większe zaburzenia do konfiguracji sieci.
W opinii specjalistów, problem 'konfliktu' pomiędzy tymi dwoma podejściami jest rozdmuchiwany przez dostawców, którzy bronią własnej opcji, deprecjonując zalety przeciwnej. Jednak problem polega na właściwym zaprojektowaniu systemu kontroli dostępu i wyborze opcji najlepiej do tego pasującej.
Urządzenie wpinane bezpośrednio do sieci często napotykają problem skalowania w dużych wdrożeniach, użytkownicy powinni jednak korzystać z opcji, która przede wszystkim spełnia ich potrzeby. Oba modele są bowiem tak samo efektywne w działaniu.