准入控制是实名制ID网络准入控制（NAC）的简称。准入控制是手机在向无线接入网络请求建立无线链路的时候，无线接入网络根据网络的负荷水平对是否允许其接入网络进行的判断和控制，对网络的边界进行保护，对接入网络的终端和终端的使用人进行合规性检查。

类比：孩子从小学升初中的时候，家长都希望孩子能进入附近声誉比较好的学校。这些学校的招生名额有限（容量受限），实行了严格的准入制度。不但要求学生小学毕业考试成绩优秀，而且要求在各种市级竞赛中取得过名次，最重要的是孩子的家长层次要高，能够掏得起赞助费。

准入控制是手机在向无线接入网络请求建立无线链路的时候，无线接入网络根据网络目前的负荷水平对是否允许其接入网络进行的判断和控制，就像重点中学根据已经招生的情况对要转入的小学毕业生的资格进行审核一样。

在网络空闲的时候，接入新的用户是没有问题的；但是当网络越来越拥挤，空中接口负荷不断增长，网络干扰水平不断上升，已经建立无线链路的用户通信质量就得不到保证了。这个时候，RNC就获取它属下各个小区上下行链路两个方向的负荷信息，对其进行评估判断。当上下行链路均可接受新链路时，新链路才被接纳；否则为了防患于未然，直接拒绝。

1.不安装客户端、不改变网络结构就对接入网络边界的人进行认证和授权。

2.旁路接入，兼容各品牌交换机，支持HUB、傻瓜交换机，防止私接路由器、防止非法外联。

3.划分安全域、防止私改IP、根除ARP、非法IP/MAC监测并阻断，对接入网络的终端进行策略性检查。

4.支持DHCP准入控制、网络边界维护，全网可视可控，符合等保要求。

网络准入控制技术通常包括：802.1x准入控制、DHCP准入控制、网关型准入控制、ARP型准入控制、portal型准入。

802.1x准入控制的设计强调对交换机端口的控制。但与网络兼容性较差。在用户使用终端接入前，会将终端隔离在隔离VLAN中。只有在进行完身份认证后，才将终端改放在应属的VLAN中。当802.1x准入技术要求交换机必须支持802.1x。当端口下挂Hub或普通交换机的情况下，则无法实现对非法人和终端的VLAN隔离。

DHCP准入控制与现有网络兼容性较好。但一般厂家的DHCP准入控制采用DHCP服务器与DHCP准入控制装置分离的控制方法，实施较难。一些厂家采用一体化DHCP准入控制，如Leagsoft，能够很好地解决802.1x和普通DHCP准入控制的问题。

网关型准入控制实际上不是一种真正意义上的准入控制。因为网关型准入控制只控制了网络的出口，没有控制内网的边界接入。

ARP型准入控制是用ARP欺骗和ARP攻击对不合规的终端进行攻击，达到对网络边界进行保护的目的。但ARP的欺骗和攻击对装有ARP防火墙的终端没有作用。另外，ARP的攻击会造成网络堵塞，不利于大型网络。

portal型准入控制是兼容性相对比较好的一种控制手段，最利用交换机端口重定向（既：http重定向）的手段进行身份认证。这种方式不需要考虑客户网络的情况进行部署的，只要下面的终端能与设备进行通讯就没有问题。