終端智能接入

方案簡(jiǎn)介

H3C iMC EIA終端智能接入組件是一款全面的企業(yè)終端網(wǎng)絡(luò)接入策略管理解決方案。它提供企業(yè)統(tǒng)一的網(wǎng)絡(luò)接入策略，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)（有線、無(wú)線和VPN網(wǎng)絡(luò)）的統(tǒng)一接入管理，并提供對(duì)員工、訪客、設(shè)備管理員基于角色、設(shè)備類型、接入時(shí)間、接入地點(diǎn)的網(wǎng)絡(luò)訪問(wèn)控制，滿足企業(yè)多種網(wǎng)絡(luò)接入、多種終端接入的統(tǒng)一運(yùn)維管理需求，確保終端安全策略在整個(gè)網(wǎng)絡(luò)無(wú)縫地執(zhí)行。

方案特點(diǎn)

集中化的設(shè)備資源和用戶資源管理

除對(duì)網(wǎng)絡(luò)設(shè)備的統(tǒng)一管理外，iMC也對(duì)用戶基本信息進(jìn)行集中維護(hù)，包括用戶姓名、證件號(hào)碼、通訊地址、電話、電子郵件、用戶分組；并提供用戶附加信息管理功能，管理員可根據(jù)網(wǎng)絡(luò)運(yùn)營(yíng)的習(xí)慣進(jìn)行用戶信息定制，如學(xué)�？梢远ㄖ茖W(xué)號(hào)、年級(jí)等信息，企業(yè)可以定制部門、職務(wù)等信息。

設(shè)備和用戶的統(tǒng)一分組管理

支持設(shè)備和用戶分組功能，通過(guò)對(duì)設(shè)備資源和用戶進(jìn)行分組管理，系統(tǒng)管理員方便的分配其他管理員的管理權(quán)限，便于職責(zé)分離。

接入業(yè)務(wù)服務(wù)和用戶分組可靈活對(duì)應(yīng)，使得特定分組用戶才能配置對(duì)應(yīng)的特定服務(wù)，便于管理員進(jìn)行接入業(yè)務(wù)管理。

用戶管理與網(wǎng)絡(luò)設(shè)備管理相融合，用戶管理操作更簡(jiǎn)單

接入設(shè)備列表中可以直接看到用戶相關(guān)信息，提高了操作員日常維護(hù)的效率。

設(shè)備選定后可直接對(duì)其進(jìn)行用戶操作，比如，針對(duì)某個(gè)接入設(shè)備，將其所掛的用戶全部下線處理等。

在線用戶列表中提供接入設(shè)備查看入口，可查看當(dāng)前在線用戶所對(duì)應(yīng)的接入設(shè)備的詳細(xì)信息，比如，對(duì)應(yīng)的基本信息、告警、性能狀況等。

網(wǎng)絡(luò)設(shè)備管理和用戶管理的全面融和，使得操作更友好，全面提升操作員操作體驗(yàn)。

支持多種接入及認(rèn)證方式，適合多種接入組網(wǎng)場(chǎng)景及應(yīng)用場(chǎng)景

支持802.1x、VPN接入等多種認(rèn)證接入方式。

支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多種身份驗(yàn)證方式，適應(yīng)不同安全要求的應(yīng)用場(chǎng)景。

支持用戶與設(shè)備IP地址、接入端口、VLAN、用戶IP地址和MAC地址等硬件信息的綁定認(rèn)證，增強(qiáng)用戶認(rèn)證的安全性，防止帳號(hào)盜用和非法接入。

支持與Windows域管理器、第三方郵件系統(tǒng)（必須支持LDAP協(xié)議）的統(tǒng)一認(rèn)證，避免用戶記憶多個(gè)用戶名和密碼。

支持終端準(zhǔn)入控制（EAD）解決方案，確保所有接入網(wǎng)絡(luò)的用戶終端符合企業(yè)的安全策略

嚴(yán)格的權(quán)限控制手段，強(qiáng)化用戶接入控制管理

基于用戶的權(quán)限控制策略，可以為不同用戶定制不同網(wǎng)絡(luò)訪問(wèn)權(quán)限。

可以控制用戶的上網(wǎng)帶寬（QoS；802.1x認(rèn)證支持）、限制用戶同時(shí)在線數(shù)、禁止用戶設(shè)置和使用代理服務(wù)器，有效防止個(gè)別用戶對(duì)網(wǎng)絡(luò)資源的過(guò)度占用。

支持最大閑置時(shí)長(zhǎng)限制。

可以實(shí)現(xiàn)對(duì)用戶ACL、VLAN的控制，限制用戶對(duì)內(nèi)部敏感服務(wù)器和外部非法網(wǎng)站的訪問(wèn)（802.1x認(rèn)證支持）。

可以限制用戶IP地址分配策略，防止IP地址盜用和沖突。

可以限制用戶的接入時(shí)段和接入?yún)^(qū)域，用戶只能在允許的時(shí)間和地點(diǎn)上網(wǎng)。

可以限制終端用戶使用多網(wǎng)卡和撥號(hào)網(wǎng)絡(luò)，防止內(nèi)部信息泄露。

可以限制用戶必須使用專用安全客戶端，并強(qiáng)制自動(dòng)升級(jí)，確保認(rèn)證客戶端的安全性。

詳盡的用戶監(jiān)控，強(qiáng)化對(duì)終端用戶的監(jiān)視控制

iMC用戶管理組件提供強(qiáng)大的“黑名單”管理，可以將惡意猜測(cè)密碼的用戶加入黑名單，并可按MAC、IP地址跟蹤非法行為的來(lái)源。

管理員可以實(shí)時(shí)監(jiān)控在線用戶，強(qiáng)制非法用戶下線。

支持消息下發(fā)，管理員可以向上網(wǎng)用戶發(fā)布通知消息，如“系統(tǒng)升級(jí)，網(wǎng)絡(luò)將在10分中后切斷”、“您的密碼遭惡意試探，請(qǐng)注意保護(hù)密碼安全”等。

iMC用戶管理組件記錄認(rèn)證失敗日志，便于方便定位用戶無(wú)法認(rèn)證通過(guò)的原因。

集中方便的接入業(yè)務(wù)用戶管理，簡(jiǎn)化管理員維護(hù)操作

基于服務(wù)的用戶分類管理，用戶的認(rèn)證綁定策略、安全策略、訪問(wèn)權(quán)限均封裝于服務(wù)中，簡(jiǎn)化管理員的操作，保證網(wǎng)絡(luò)管理模式的統(tǒng)一。

接入用戶相關(guān)的管理動(dòng)作集中化，界面對(duì)操作員來(lái)說(shuō)更友好、更美觀易用。

接入用戶可使用自助服務(wù)，帳號(hào)申請(qǐng)、查詢、修改都通過(guò)自助服務(wù)頁(yè)面完成，既提高效率，又減輕管理員的工作量。

靈活的訪客賬號(hào)創(chuàng)建流程

根據(jù)不同的應(yīng)用場(chǎng)景，EIA訪客管理提供不同的訪客賬號(hào)創(chuàng)建模式：

1、 公共領(lǐng)域訪客短信認(rèn)證模式

在公共領(lǐng)域（如商場(chǎng)、酒店、連鎖、展館、景區(qū)、營(yíng)業(yè)廳、交通候客廳等），訪客需要能通過(guò)手機(jī)號(hào)碼注冊(cè)賬號(hào)并通過(guò)短信獲取賬號(hào)密碼信息，快速接入公眾無(wú)線網(wǎng)絡(luò)，具體流程如下：

1) 訪客管理員在iMC EIA服務(wù)器上配置訪客接入控制策略、賬號(hào)失效天數(shù)等參數(shù)；

2) 訪客連接 “訪客SSID”；

3) 訪客在推送的Web認(rèn)證頁(yè)面中輸入個(gè)人手機(jī)號(hào)碼，點(diǎn)擊“獲取密碼”按鈕；

4) iMC EIA服務(wù)器為該手機(jī)號(hào)自動(dòng)注冊(cè)訪客賬號(hào)并分配已配置的訪客接入控制策略及賬號(hào)有效時(shí)間；

5) iMC EIA服務(wù)器通過(guò)短信貓或短信網(wǎng)關(guān)將帳號(hào)及密碼信息通過(guò)短信方式發(fā)送給訪客；

6) 訪客手機(jī)接收短信，在Web認(rèn)證頁(yè)面中輸入獲取到的密碼；

7) 訪客身份驗(yàn)證成功后，根據(jù)訪客接入控制策略控制訪問(wèn)Internet及特定網(wǎng)絡(luò)資源；

8) EIA服務(wù)器定期自動(dòng)刪除失效訪客賬號(hào)；

2、 企業(yè)訪客接待員開戶模式

企業(yè)訪客賬號(hào)需專人（保安、前臺(tái)或員工）管理的情況下，訪客接待員可以通過(guò)登錄自助系統(tǒng)為來(lái)訪人員直接創(chuàng)建賬號(hào)并分配接入策略，開戶成功后通過(guò)郵件，具體流程如下：

1) 訪客接待登錄iMC EIA服務(wù)器自助平臺(tái)，創(chuàng)建訪客帳號(hào)并分配訪客接入控制策略及有效時(shí)長(zhǎng)；

2) iMC EIA服務(wù)器通過(guò)Email、短信方式將帳號(hào)及密碼信息發(fā)送給訪客；

3) 訪客連接“訪客SSID”；

4) 訪客在推送的Web認(rèn)證頁(yè)面中輸入其訪客賬號(hào)和密碼；

5) 訪客身份驗(yàn)證成功后，根據(jù)訪客接入控制策略控制訪問(wèn)Internet及特定網(wǎng)絡(luò)資源；；

6) EIA服務(wù)器定期自動(dòng)刪除失效訪客賬號(hào)

3、 企業(yè)訪客自助開戶模式

企業(yè)訪客自助模式是指賬號(hào)由訪客自行申請(qǐng)，但需要企業(yè)訪客接待員統(tǒng)一審批的管理模式，具體流程如下：

1) 訪客連接“訪客SSID”；

2) 訪客在推送的Web認(rèn)證頁(yè)面中點(diǎn)擊“訪客預(yù)注冊(cè)”，在預(yù)注冊(cè)頁(yè)面中輸入賬號(hào)申請(qǐng)信息并選擇訪客接待員；

3) 訪客接待員登錄iMC EIA服務(wù)器自助平臺(tái)，為已預(yù)注冊(cè)的訪客分配網(wǎng)絡(luò)接入策略及有效時(shí)長(zhǎng)；

4) 訪客帳號(hào)生效后，可通過(guò)Email或者短信方式發(fā)送給該訪客；

5) 訪客重新連接“訪客SSID”，并在推送的Web認(rèn)證頁(yè)面中輸入其訪客賬號(hào)和密碼；

6) 訪客身份驗(yàn)證成功后，根據(jù)訪客接入控制策略控制訪問(wèn)Internet及特定網(wǎng)絡(luò)資源；；

7) EIA服務(wù)器定期自動(dòng)刪除失效訪客賬號(hào)

4、 其它訪客開戶模式

訪客可以通過(guò)智能終端掃描二維碼方便快捷地實(shí)現(xiàn)開戶、接入，節(jié)省傳統(tǒng)訪客賬號(hào)審批流程。通過(guò)EIA 豐富的SDK接口可與企業(yè)微信公眾平臺(tái)對(duì)接，實(shí)現(xiàn)訪客通過(guò)關(guān)注企業(yè)微信公眾號(hào)，一鍵快捷接入企業(yè)無(wú)線網(wǎng)絡(luò)。

支持通過(guò)多種短信環(huán)境發(fā)送訪客賬號(hào)信息

 支持通過(guò)主流短信貓接口發(fā)送短信通知，如WaveCom、萬(wàn)象、金笛等。

 支持通過(guò)Web接口訪問(wèn)第三方短信網(wǎng)關(guān)，快速、高效地發(fā)送賬號(hào)信息短信。

 封裝統(tǒng)一短信通知接口，支持與客戶自有短信平臺(tái)通過(guò)定制開發(fā)對(duì)接。

融合的接入設(shè)備管理，操作簡(jiǎn)單、管理方便

接入設(shè)備配置與iMC ACL Manager解決方案的協(xié)同，選定接入設(shè)備后，可直接為此設(shè)備進(jìn)行ACL配置；同時(shí)，在接入設(shè)備列表中，可查看其對(duì)應(yīng)的ACL部署信息，便于快速部署及開通業(yè)務(wù)接入業(yè)務(wù)。

為接入設(shè)備提供查詢?cè)O(shè)備明細(xì)信息的鏈接，可通過(guò)簡(jiǎn)單的鼠標(biāo)點(diǎn)擊看到接入設(shè)備的詳細(xì)信息，比如對(duì)應(yīng)的基本信息、告警、性能狀況等。

接入設(shè)備管理與拓?fù)涔芾淼娜诤�，拓�(fù)渲锌梢郧逦�的顯示出接入設(shè)備，查看接入設(shè)備相關(guān)信息，并可通過(guò)鼠標(biāo)點(diǎn)擊方式，將此接入設(shè)備設(shè)置為非接入設(shè)備。

基于場(chǎng)景的授權(quán)策略，強(qiáng)化設(shè)備管理用戶授權(quán)管理

支持按場(chǎng)景分配授權(quán)策略，場(chǎng)景是設(shè)備位置區(qū)域、設(shè)備類型和接入時(shí)段的組合，可定義在不同場(chǎng)景下設(shè)備管理用戶所使用的Shell Profile和操作命令集。

支持按固定時(shí)段、年/月/周/日為周期的接入時(shí)段配置，控制設(shè)備管理用戶的登錄設(shè)備各時(shí)間段的權(quán)限。

支持Shell Profile精細(xì)化配置，定義設(shè)備管理用戶登錄設(shè)備時(shí)的全局屬性，包括權(quán)限級(jí)別、接入ACL、限制時(shí)長(zhǎng)等。

支持命令集精細(xì)化配置，定義設(shè)備管理用戶登錄設(shè)備時(shí)的可執(zhí)行的命令集合。

詳盡的日志審計(jì)，詳細(xì)記錄設(shè)備管理用戶行為

提供認(rèn)證日志監(jiān)控，記錄設(shè)備管理用戶登錄設(shè)備成功或失敗信息，包括登錄名、登錄結(jié)果（失敗原因）、認(rèn)證時(shí)間、登錄設(shè)備IP、終端用戶IP、權(quán)限級(jí)別、登錄動(dòng)作、認(rèn)證類型、服務(wù)類型等。

提供授權(quán)日志監(jiān)控。授權(quán)行為包括登錄授權(quán)和命令行授權(quán)：若設(shè)備啟用登錄授權(quán)，TAM服務(wù)器會(huì)對(duì)登錄成功的用戶進(jìn)行登錄級(jí)別授權(quán)，并記錄登錄授權(quán)日志；若設(shè)備啟用命令行授權(quán)，TAM服務(wù)器會(huì)在設(shè)備管理用戶執(zhí)行每一條命令時(shí)判斷該用戶是否擁有執(zhí)行命令的權(quán)限，并記錄命令行授權(quán)日志。

提供設(shè)備管理用戶行為審計(jì)日志監(jiān)控。TAM服務(wù)器記錄用戶登錄、登出設(shè)備以及各種行為日志，審計(jì)日志內(nèi)容包括：登錄名、審計(jì)類型、審計(jì)時(shí)間、設(shè)備IP、終端用戶IP、命令行等。

智能的廣告推送，適應(yīng)不同網(wǎng)絡(luò)運(yùn)營(yíng)方需求

iMC EIA組件可以配合iMC管理平臺(tái)，針對(duì)不同用戶身份/接入位置進(jìn)行不同的廣告推送業(yè)務(wù)，協(xié)助接入用戶最快獲取最需要的信息，從而可與第三方廣告平臺(tái)配合，適應(yīng)不同網(wǎng)絡(luò)運(yùn)營(yíng)方需求，達(dá)成廣告平臺(tái)、網(wǎng)絡(luò)運(yùn)營(yíng)方以及接入用戶的三贏。

運(yùn)行環(huán)境