終端智能接入

方案簡介

H3C iMC EIA終端智能接入組件是一款全面的企業(yè)終端網(wǎng)絡(luò)接入策略管理解決方案。它提供企業(yè)統(tǒng)一的網(wǎng)絡(luò)接入策略，實現(xiàn)企業(yè)網(wǎng)絡(luò)（有線、無線和VPN網(wǎng)絡(luò)）的統(tǒng)一接入管理，并提供對員工、訪客、設(shè)備管理員基于角色、設(shè)備類型、接入時間、接入地點的網(wǎng)絡(luò)訪問控制，滿足企業(yè)多種網(wǎng)絡(luò)接入、多種終端接入的統(tǒng)一運維管理需求，確保終端安全策略在整個網(wǎng)絡(luò)無縫地執(zhí)行。

方案特點

集中化的設(shè)備資源和用戶資源管理

除對網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理外，iMC也對用戶基本信息進行集中維護，包括用戶姓名、證件號碼、通訊地址、電話、電子郵件、用戶分組；并提供用戶附加信息管理功能，管理員可根據(jù)網(wǎng)絡(luò)運營的習(xí)慣進行用戶信息定制，如學(xué)�？梢远ㄖ茖W(xué)號、年級等信息，企業(yè)可以定制部門、職務(wù)等信息。

設(shè)備和用戶的統(tǒng)一分組管理

支持設(shè)備和用戶分組功能，通過對設(shè)備資源和用戶進行分組管理，系統(tǒng)管理員方便的分配其他管理員的管理權(quán)限，便于職責(zé)分離。

接入業(yè)務(wù)服務(wù)和用戶分組可靈活對應(yīng)，使得特定分組用戶才能配置對應(yīng)的特定服務(wù)，便于管理員進行接入業(yè)務(wù)管理。

用戶管理與網(wǎng)絡(luò)設(shè)備管理相融合，用戶管理操作更簡單

接入設(shè)備列表中可以直接看到用戶相關(guān)信息，提高了操作員日常維護的效率。

設(shè)備選定后可直接對其進行用戶操作，比如，針對某個接入設(shè)備，將其所掛的用戶全部下線處理等。

在線用戶列表中提供接入設(shè)備查看入口，可查看當(dāng)前在線用戶所對應(yīng)的接入設(shè)備的詳細(xì)信息，比如，對應(yīng)的基本信息、告警、性能狀況等。

網(wǎng)絡(luò)設(shè)備管理和用戶管理的全面融和，使得操作更友好，全面提升操作員操作體驗。

支持多種接入及認(rèn)證方式，適合多種接入組網(wǎng)場景及應(yīng)用場景

支持802.1x、VPN接入等多種認(rèn)證接入方式。

支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多種身份驗證方式，適應(yīng)不同安全要求的應(yīng)用場景。

支持用戶與設(shè)備IP地址、接入端口、VLAN、用戶IP地址和MAC地址等硬件信息的綁定認(rèn)證，增強用戶認(rèn)證的安全性，防止帳號盜用和非法接入。

支持與Windows域管理器、第三方郵件系統(tǒng)（必須支持LDAP協(xié)議）的統(tǒng)一認(rèn)證，避免用戶記憶多個用戶名和密碼。

支持終端準(zhǔn)入控制（EAD）解決方案，確保所有接入網(wǎng)絡(luò)的用戶終端符合企業(yè)的安全策略

嚴(yán)格的權(quán)限控制手段，強化用戶接入控制管理

基于用戶的權(quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問權(quán)限。

可以控制用戶的上網(wǎng)帶寬（QoS；802.1x認(rèn)證支持）、限制用戶同時在線數(shù)、禁止用戶設(shè)置和使用代理服務(wù)器，有效防止個別用戶對網(wǎng)絡(luò)資源的過度占用。

支持最大閑置時長限制。

可以實現(xiàn)對用戶ACL、VLAN的控制，限制用戶對內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的訪問（802.1x認(rèn)證支持）。

可以限制用戶IP地址分配策略，防止IP地址盜用和沖突。

可以限制用戶的接入時段和接入?yún)^(qū)域，用戶只能在允許的時間和地點上網(wǎng)。

可以限制終端用戶使用多網(wǎng)卡和撥號網(wǎng)絡(luò)，防止內(nèi)部信息泄露。

可以限制用戶必須使用專用安全客戶端，并強制自動升級，確保認(rèn)證客戶端的安全性。

詳盡的用戶監(jiān)控，強化對終端用戶的監(jiān)視控制

iMC用戶管理組件提供強大的“黑名單”管理，可以將惡意猜測密碼的用戶加入黑名單，并可按MAC、IP地址跟蹤非法行為的來源。

管理員可以實時監(jiān)控在線用戶，強制非法用戶下線。

支持消息下發(fā)，管理員可以向上網(wǎng)用戶發(fā)布通知消息，如“系統(tǒng)升級，網(wǎng)絡(luò)將在10分中后切斷”、“您的密碼遭惡意試探，請注意保護密碼安全”等。

iMC用戶管理組件記錄認(rèn)證失敗日志，便于方便定位用戶無法認(rèn)證通過的原因。

集中方便的接入業(yè)務(wù)用戶管理，簡化管理員維護操作

基于服務(wù)的用戶分類管理，用戶的認(rèn)證綁定策略、安全策略、訪問權(quán)限均封裝于服務(wù)中，簡化管理員的操作，保證網(wǎng)絡(luò)管理模式的統(tǒng)一。

接入用戶相關(guān)的管理動作集中化，界面對操作員來說更友好、更美觀易用。

接入用戶可使用自助服務(wù)，帳號申請、查詢、修改都通過自助服務(wù)頁面完成，既提高效率，又減輕管理員的工作量。

靈活的訪客賬號創(chuàng)建流程

根據(jù)不同的應(yīng)用場景，EIA訪客管理提供不同的訪客賬號創(chuàng)建模式：

1、 公共領(lǐng)域訪客短信認(rèn)證模式

在公共領(lǐng)域（如商場、酒店、連鎖、展館、景區(qū)、營業(yè)廳、交通候客廳等），訪客需要能通過手機號碼注冊賬號并通過短信獲取賬號密碼信息，快速接入公眾無線網(wǎng)絡(luò)，具體流程如下：

1) 訪客管理員在iMC EIA服務(wù)器上配置訪客接入控制策略、賬號失效天數(shù)等參數(shù)；

2) 訪客連接 “訪客SSID”；

3) 訪客在推送的Web認(rèn)證頁面中輸入個人手機號碼，點擊“獲取密碼”按鈕；

4) iMC EIA服務(wù)器為該手機號自動注冊訪客賬號并分配已配置的訪客接入控制策略及賬號有效時間；

5) iMC EIA服務(wù)器通過短信貓或短信網(wǎng)關(guān)將帳號及密碼信息通過短信方式發(fā)送給訪客；

6) 訪客手機接收短信，在Web認(rèn)證頁面中輸入獲取到的密碼；

7) 訪客身份驗證成功后，根據(jù)訪客接入控制策略控制訪問Internet及特定網(wǎng)絡(luò)資源；

8) EIA服務(wù)器定期自動刪除失效訪客賬號；

2、 企業(yè)訪客接待員開戶模式

企業(yè)訪客賬號需專人（保安、前臺或員工）管理的情況下，訪客接待員可以通過登錄自助系統(tǒng)為來訪人員直接創(chuàng)建賬號并分配接入策略，開戶成功后通過郵件，具體流程如下：

1) 訪客接待登錄iMC EIA服務(wù)器自助平臺，創(chuàng)建訪客帳號并分配訪客接入控制策略及有效時長；

2) iMC EIA服務(wù)器通過Email、短信方式將帳號及密碼信息發(fā)送給訪客；

3) 訪客連接“訪客SSID”；

4) 訪客在推送的Web認(rèn)證頁面中輸入其訪客賬號和密碼；

5) 訪客身份驗證成功后，根據(jù)訪客接入控制策略控制訪問Internet及特定網(wǎng)絡(luò)資源；；

6) EIA服務(wù)器定期自動刪除失效訪客賬號

3、 企業(yè)訪客自助開戶模式

企業(yè)訪客自助模式是指賬號由訪客自行申請，但需要企業(yè)訪客接待員統(tǒng)一審批的管理模式，具體流程如下：

1) 訪客連接“訪客SSID”；

2) 訪客在推送的Web認(rèn)證頁面中點擊“訪客預(yù)注冊”，在預(yù)注冊頁面中輸入賬號申請信息并選擇訪客接待員；

3) 訪客接待員登錄iMC EIA服務(wù)器自助平臺，為已預(yù)注冊的訪客分配網(wǎng)絡(luò)接入策略及有效時長；

4) 訪客帳號生效后，可通過Email或者短信方式發(fā)送給該訪客；

5) 訪客重新連接“訪客SSID”，并在推送的Web認(rèn)證頁面中輸入其訪客賬號和密碼；

6) 訪客身份驗證成功后，根據(jù)訪客接入控制策略控制訪問Internet及特定網(wǎng)絡(luò)資源；；

7) EIA服務(wù)器定期自動刪除失效訪客賬號

4、 其它訪客開戶模式

訪客可以通過智能終端掃描二維碼方便快捷地實現(xiàn)開戶、接入，節(jié)省傳統(tǒng)訪客賬號審批流程。通過EIA 豐富的SDK接口可與企業(yè)微信公眾平臺對接，實現(xiàn)訪客通過關(guān)注企業(yè)微信公眾號，一鍵快捷接入企業(yè)無線網(wǎng)絡(luò)。

支持通過多種短信環(huán)境發(fā)送訪客賬號信息

 支持通過主流短信貓接口發(fā)送短信通知，如WaveCom、萬象、金笛等。

 支持通過Web接口訪問第三方短信網(wǎng)關(guān)，快速、高效地發(fā)送賬號信息短信。

 封裝統(tǒng)一短信通知接口，支持與客戶自有短信平臺通過定制開發(fā)對接。

融合的接入設(shè)備管理，操作簡單、管理方便

接入設(shè)備配置與iMC ACL Manager解決方案的協(xié)同，選定接入設(shè)備后，可直接為此設(shè)備進行ACL配置；同時，在接入設(shè)備列表中，可查看其對應(yīng)的ACL部署信息，便于快速部署及開通業(yè)務(wù)接入業(yè)務(wù)。

為接入設(shè)備提供查詢設(shè)備明細(xì)信息的鏈接，可通過簡單的鼠標(biāo)點擊看到接入設(shè)備的詳細(xì)信息，比如對應(yīng)的基本信息、告警、性能狀況等。

接入設(shè)備管理與拓?fù)涔芾淼娜诤希�拓�(fù)渲锌梢郧逦�的顯示出接入設(shè)備，查看接入設(shè)備相關(guān)信息，并可通過鼠標(biāo)點擊方式，將此接入設(shè)備設(shè)置為非接入設(shè)備。

基于場景的授權(quán)策略，強化設(shè)備管理用戶授權(quán)管理

支持按場景分配授權(quán)策略，場景是設(shè)備位置區(qū)域、設(shè)備類型和接入時段的組合，可定義在不同場景下設(shè)備管理用戶所使用的Shell Profile和操作命令集。

支持按固定時段、年/月/周/日為周期的接入時段配置，控制設(shè)備管理用戶的登錄設(shè)備各時間段的權(quán)限。

支持Shell Profile精細(xì)化配置，定義設(shè)備管理用戶登錄設(shè)備時的全局屬性，包括權(quán)限級別、接入ACL、限制時長等。

支持命令集精細(xì)化配置，定義設(shè)備管理用戶登錄設(shè)備時的可執(zhí)行的命令集合。

詳盡的日志審計，詳細(xì)記錄設(shè)備管理用戶行為

提供認(rèn)證日志監(jiān)控，記錄設(shè)備管理用戶登錄設(shè)備成功或失敗信息，包括登錄名、登錄結(jié)果（失敗原因）、認(rèn)證時間、登錄設(shè)備IP、終端用戶IP、權(quán)限級別、登錄動作、認(rèn)證類型、服務(wù)類型等。

提供授權(quán)日志監(jiān)控。授權(quán)行為包括登錄授權(quán)和命令行授權(quán)：若設(shè)備啟用登錄授權(quán)，TAM服務(wù)器會對登錄成功的用戶進行登錄級別授權(quán)，并記錄登錄授權(quán)日志；若設(shè)備啟用命令行授權(quán)，TAM服務(wù)器會在設(shè)備管理用戶執(zhí)行每一條命令時判斷該用戶是否擁有執(zhí)行命令的權(quán)限，并記錄命令行授權(quán)日志。

提供設(shè)備管理用戶行為審計日志監(jiān)控。TAM服務(wù)器記錄用戶登錄、登出設(shè)備以及各種行為日志，審計日志內(nèi)容包括：登錄名、審計類型、審計時間、設(shè)備IP、終端用戶IP、命令行等。

智能的廣告推送，適應(yīng)不同網(wǎng)絡(luò)運營方需求

iMC EIA組件可以配合iMC管理平臺，針對不同用戶身份/接入位置進行不同的廣告推送業(yè)務(wù)，協(xié)助接入用戶最快獲取最需要的信息，從而可與第三方廣告平臺配合，適應(yīng)不同網(wǎng)絡(luò)運營方需求，達(dá)成廣告平臺、網(wǎng)絡(luò)運營方以及接入用戶的三贏。

運行環(huán)境