NAC（Network Admission Control）网络许可控制，是一套从用户终端角度考内部网络安全的端到端的网络准入解决方案。在华为S交换机中NAC包括802.1x认证、MAC认证和portal（web）认证，整个NAC体系包括用户（user）、网络接入设备（NAD,如交换机）和接入控制服务器（ACS,如Radius服务器）。
        802.1x是由IEEE制定，基于接口的网络接入控制，必须在端口上进行配置，对端口 上接入的用户设备用过认证来控制对网络资源的访问，是一种C/S构架，包括三个部分：客户端、设备端、认证服务器，与NAC模型一一对应。
一、802.1x认证的端口状态
1、授权端口：通过802.1x认证，可以合法访问网络资源，收发所有数据包。
2、非授权端口：只能收发802.1x认证数据包，在通过认证之前无法收发任何其他的数据包，默认。
二、802.1x的触发方式
1、由客户端主动触发
客户端通过802.1x软件主动发起EAPOL报文（802.1x的协议报文）进行触发认证，输入用户名、密码等。
2、由认证设备端主动发起（用于不能主动发送EAPOL报文的终端，如windowsxp自带的802.1x客户端、打印机、手机等）
1）、dhcp报文触发：
设备在收到终端发送的dhcp-request广播报文后主动触发802.1x认证，适用于客户端通过dhcp获取ip地址。
2）、源MAC地址未知报文触发（MAC旁路认证）：
当设备收到源MAC地址未知的报文时主动触发802.1x认证，适用于客户端为打印机等情况。
三、802.1x的认证方式
1、EAP报文中继认证：
        来自客户端的EAP报文到达设备端后，直接使用EAPOR（EAP over Radius）格式封装在Radius报文中，再发送给Radius服务器，则Radius服务器从封装的EAP报文中获取客户端认证信息，然后对客户端进行认证。
2、EAP报文终结认证：
        来自客户端的EAP报文在设备端进行终结，然后由设备端将从EAP报文中提取的客户端认证信息封装在标准的Radius报文（不再是EAPOR格式）中与Radius服务器之间采用PAP或CHAP方式对客户端进行认证。

图解：