现今存在问题

随着网络规模不断扩大，内部网络缺乏用户和终端的识别、准入机制，造成严重的网络安全威胁。

A 网络环境多样化

传统的企业园区主要是有线网络，PC等终端设备通过交换机、路由器接入网路中。现在企业组网环境趋于多样化，除了有线网络，还有WLAN等混合接入环境，对于从不同网络接入的用户缺乏统一的认证准入。

B 用户身份多样化

用户角色多样，除了企业正式员工，还有外协员工、合作方员工、访客、VIP等多种用户角色。用户分布在不同的组织机构中，每种角色都要求不一样的网络授权且需要统一管理。

C 接入终端类型复杂化

除了传统的PC（包括Windows、Linux、MacOS多种操作系统）、服务器，还有手机、PAD等移动终端。以及摄像头、打印机、门禁卡等哑终端，缺少网络权限的划分，尤其是不同类型的终端需要授予不同的权限，不同终端设备全部接入到网络中。

D 业务逻辑丰富化

网络上承载的业务越来越丰富，不仅有传统固定园区网络的办公，还有BYOD环境下复杂用户和终端的接入，都需要对内网资源进行精准的授权，以及远程移动办公业务。在很多场景下。就可以访问相关的应用数据，任何外来人员或客户只要将计算机插入网线，就可以进入内部网络各个区域，如知道相关应用系统的帐号及密码，其中没有任何身份的认证和安全措施，对整个网络和应用造成很大的安全威胁。网络的终端全部都是基于工作组的模式，没有进行网络域的集中管理模式和相关的策略性的定义。

接入控制需求

1）内网准入认证：能通过802.1x协议，配合支持准入控制功能的网络交换机，实现用户身份认证，对于认证失败的用户，断开其网络连接；对于认证通过的主机，按照策略设定完成相应网络权限设置；

2）网关准入控制：针对无线用户、VPN用户和来访客人，应配合支持准入控制功能的安全网关设备，只有身份认证通过的用户，才能允许其访问内部网络；

3）访客管理：对于访客用户，提供多种灵活的网络接入方式，如微信认证、短信认证，实现用户留存、快速上网和营销推广。

4）现网认证终端数要求：现网络中实现200人固定员工认证，认证服务器中需部署800个认证账号及密码主要用于访客来进行使用。

方案介绍

典型组网

EIA典型组网图

如图所示，在华米科技公司现要求一套EIA终端准入认证系统，EIA专注于网络接入控制、终端智能识别，可以为华米科技提供全面、完善的端到端网络接入解决方案。 

准入方面，对局域网用户采用接入层802.1x部署方案。EIA直接与H3C 交换机配合，实现终端准入控制功能。H3C交换机支持标准的802.1x功能，不仅可以实现单端口单用户的准入控制，也可以实现单端口多用户的准入控制，从而实现对HUB及小交换机用户的管理。特定情况下，可以将HUB下挂到H3C交换机下面，EIA可以区分HUB下面的多个用户，并根据不同用户下发不同策略。

对于无线用户，EIA可以与胖AP、AC无线控制器等配合，通过Portal方式进行准入控制。由于瘦AP＋AC无线控制器的组网方式给大部分用户所采用，因此一般情况下无线EIA方案主要是与AC无线控制器配合。无线用户接入时，会弹出页面对用户进行认证和检查。

EIA也支持无线环境下的802.1x用户接入，802.1x是二层认证方式。因此安全控制更严格，用户从连接无线开始就需要做身份认证。同时，相对于Portal的私有协议实现方式，802.1x作为通用的网络接入认证协议，被绝大部分厂商的设备所支持，所以在多种厂商的无线设备混合使用的场景下，建议使用802.1x的认证方式，适用性更强。

EIA可以不仅可以支持常见的准入认证功能，也支持ACL下发、认证元素绑定、多场景授权、微信短信二维码认证等创新功能。另外，EIA支持与H3C UBAS行为审计系统、NTA流量分析系统联动，结合EIA强大的用户身份、权限的管理，为管理员提供行之有效的网络管理和用户管理策略，可以帮助管理员分析网络中的异常流量，高效地管理网络用户的同时，追查恶意的上网行为。

 网络准入认证

通过与不同网络接入设备的联动，EIA解决方案可在多种应用场景中实现用户终端安全准入认证、终端安全准入认证的需要，满足不同网络环境下。

 802.1x准入认证

802.1x将接入层设备作为准入认证的控制点。防止非法用户和终端接入网络，对试图接入网络的用户终端进行身份认证，降低各种安全威胁在企业扩散的风险。

方案组网

接入层EIA解决方案组网应用

方案说明

用户终端需要安装iNode客户端（若操作系统支持也可以不安装客户端），在上网前首先进行802.1x认证，否则将不能接入网络。802.1x认证要求用户名密码信息准确，并且满足管理员设置的接入条件（接入的时间、地点等）和绑定检查信息（终端的IP、MAC等），才能被授予相应的网络权限。

在接入交换机（H3C或者主流厂商的交换机设备）端口上要启用802.1x认证，强制进行基于用户的802.1x认证和动态ACL、VLAN控制。

EIA做802.1x认证，提高身份验证的安全性，除了用户名密码验证，还支持多种双因子认证方式（如证书认证、动态密码认证等）。同时，EIA还提供多种信息绑定检查，如终端IP地址、终端MAC地址、接入设备IP地址、接入设备端口号、VLAN、SSID等，如根据接入时段、接入位置、终端类型、终端厂商等条件设置不同的场景，只有匹配成功并且绑定检查也通过的用户才允许接入到网络中，用户接入时按照优先级匹配，并且还支持基于场景的策略授权。