Home » Network Access Control (NAC): ควบคุมการเข้าถึง Network ขององค์กร
ไม่มีหมวดหมู่

Network Access Control (NAC): ควบคุมการเข้าถึง Network ขององค์กร

bom
March 8, 2026
2 Views
Network Access Control (NAC): ควบคุมการเข้าถึง Network ขององค์กร

Network Access Control (NAC): ควบคุมการเข้าถึง Network ขององค์กร

Network Access Control (NAC) คือ solution ที่ควบคุมว่าอุปกรณ์ไหนสามารถเชื่อมต่อเข้า network ขององค์กรได้ โดยตรวจสอบ identity ของ user/device, compliance status (antivirus updated, OS patched) และ authorization level ก่อนอนุญาตให้เข้าถึง network resources

ในยุคที่ BYOD (Bring Your Own Device) และ IoT devices เพิ่มขึ้นอย่างมาก NAC เป็นสิ่งจำเป็นสำหรับทุกองค์กร อุปกรณ์ที่ไม่ได้รับอนุญาตหรือไม่ผ่าน compliance check อาจนำ malware เข้า network หรือเข้าถึงข้อมูลที่ไม่ควรเข้าถึง บทความนี้จะอธิบาย NAC, วิธีทำงาน และการ implement

ทำไมต้อง NAC

ไม่มี NAC มี NAC
ใครก็เสียบสาย LAN เข้า network ได้ ต้องยืนยันตัวตนก่อนเข้า network
อุปกรณ์ที่มี virus เข้า network ได้ ตรวจ compliance ก่อนอนุญาต
ไม่รู้ว่ามีอุปกรณ์อะไรเชื่อมต่ออยู่ เห็น inventory ทุกอุปกรณ์ real-time
Guest เข้า internal network ได้ Guest ถูกแยกไป Guest VLAN อัตโนมัติ
IoT devices ไม่ถูก control IoT ถูกจัดกลุ่มและ isolate อัตโนมัติ

NAC ทำงานอย่างไร

กระบวนการ

Step 1 – Authentication: อุปกรณ์เชื่อมต่อ network → switch ส่ง authentication request ไป NAC server ผ่าน 802.1X/RADIUS Step 2 – Assessment: NAC ตรวจสอบ identity (user/device) + compliance (antivirus, OS patch, encryption) Step 3 – Authorization: NAC กำหนด network access level ตาม policy: Full access (corporate device + compliant) Limited access (BYOD → Guest VLAN) Quarantine (non-compliant → remediation VLAN) Deny (unauthorized → block) Step 4 – Monitoring: NAC monitor อุปกรณ์ตลอดเวลา ถ้า compliance เปลี่ยน (เช่น antivirus หมดอายุ) อาจถูกย้ายไป quarantine

NAC Components

Component หน้าที่ ตัวอย่าง
NAC Server Policy engine, authentication, authorization Cisco ISE, Aruba ClearPass, FortiNAC
RADIUS Server Authentication protocol Built-in NAC หรือ FreeRADIUS
Supplicant Software บน client ที่ส่ง credentials Windows built-in, AnyConnect
Authenticator Network device ที่ enforce access Switch (802.1X), WiFi Controller
Agent Software บน client ตรวจ compliance Persistent/Dissolvable agent

Authentication Methods

802.1X

802.1X เป็น standard สำหรับ port-based network access control: Switch port เริ่มต้นเป็น “closed” (block ทุกอย่าง ยกเว้น 802.1X traffic) Client ส่ง EAP credentials (username/password, certificate) ผ่าน switch ไป RADIUS/NAC server NAC ตรวจสอบ → อนุญาต → switch เปิด port + assign VLAN

MAC Authentication Bypass (MAB)

MAB สำหรับอุปกรณ์ที่ไม่รองรับ 802.1X (printers, IP phones, IoT): Switch ส่ง MAC address ไป NAC server NAC ตรวจสอบ MAC ใน database → assign VLAN ตาม device type ไม่ปลอดภัยเท่า 802.1X (MAC spoofing ได้) แต่ดีกว่าไม่มี control

NAC Policies

Device Type Authentication VLAN Assignment Access Level
Corporate Laptop (compliant) 802.1X + certificate Corporate VLAN Full access
Corporate Laptop (non-compliant) 802.1X + certificate Remediation VLAN Update server only
BYOD 802.1X + username/password BYOD VLAN Internet + limited internal
Guest Guest portal (captive portal) Guest VLAN Internet only
IP Phone MAB + CDP/LLDP Voice VLAN Voice traffic only
Printer MAB Printer VLAN Print services only
Unknown Fail Quarantine/Block No access

NAC Solutions

Solution ราคา จุดเด่น
Cisco ISE แพงมาก Enterprise-grade, ทำงานร่วมกับ Cisco ecosystem ดีที่สุด
Aruba ClearPass แพง Multi-vendor, BYOD ดีมาก
FortiNAC ปานกลาง คุ้มค่า, Fortinet ecosystem
PacketFence ฟรี (open-source) Full-featured NAC, community support

Implementation Best Practices

Phased Approach

Phase 1 – Monitor Mode: เปิด 802.1X แบบ monitor only (ไม่ block) เก็บข้อมูลว่ามีอุปกรณ์อะไรบ้าง สร้าง device inventory Phase 2 – Low-Impact Mode: เริ่ม enforce บาง VLAN (เช่น Guest VLAN) อุปกรณ์ที่ fail authentication ยังเข้า network ได้ แต่ถูก log Phase 3 – Closed Mode: Full enforcement อุปกรณ์ที่ fail authentication ถูก block หรือไปอยู่ quarantine VLAN

ทิ้งท้าย: NAC เป็น Zero Trust Foundation

NAC เป็นพื้นฐานของ Zero Trust Network Architecture “Never trust, always verify” ทุกอุปกรณ์ต้องพิสูจน์ตัวตนก่อนเข้า network เริ่มจาก monitor mode เก็บ inventory แล้วค่อยๆ enforce

อ่านเพิ่มเติมเกี่ยวกับ RADIUS 802.1X Authentication และ DHCP Snooping DAI ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com

บทความที่เกี่ยวข้อง

SiamCafe.net — ชุมชน IT ที่ใหญ่ที่สุด · Siam2R.com — Portfolio งาน IT

Related Articles
จัดส่งรวดเร็วส่งด่วนทั่วประเทศ
รับประกันสินค้าเคลมง่าย มีใบรับประกัน
ผ่อนชำระได้บัตรเครดิต 0% สูงสุด 10 เดือน
สะสมแต้ม รับส่วนลดส่วนลดและคะแนนสะสม

ติดต่อเรา | LINE: @siamlancard

Facebook | YouTube | LINE OA

เว็บในเครือ: SiamCafe.net | iCafeForex.com | Siam2R.com | XMSignal.com

© 2026 SiamLancard — จำหน่ายการ์ดแลน อุปกรณ์ Server และเครื่องพิมพ์ใบเสร็จ

SiamLancard
Logo
Free Forex EA Download — XM Signal · EA Forex ฟรี
iCafeForex.com - สอนเทรด Forex | SiamCafe.net
Shopping cart