前沿拓展：

校園wlan登陸

如果校園內(nèi)有建設(shè)移動(dòng)e隨行。那么就可以手機(jī)連接cmcc，進(jìn)入wlan網(wǎng)頁(yè)界面，通過(guò)手機(jī)號(hào)碼和驗(yàn)證碼登錄就可以具娘映處層及過(guò)燒上網(wǎng)。

（1）802.1x準(zhǔn)入認(rèn)證

802.1x將接入層設(shè)備作為準(zhǔn)入認(rèn)證的控制點(diǎn)，對(duì)試圖接入網(wǎng)絡(luò)的用戶終端進(jìn)行身份認(rèn)證，防止非法用戶和終端接入網(wǎng)絡(luò)，降低各種安全威脅在校園擴(kuò)散的風(fēng)險(xiǎn)。

接入層EIA解決方案組網(wǎng)應(yīng)用

方案說(shuō)明

用戶終端需要安裝客戶端（若**作系統(tǒng)支持也可以不安裝客戶端），在上網(wǎng)前第一進(jìn)行802.1x認(rèn)證，否則將不能接入網(wǎng)絡(luò)。

802.1x認(rèn)證要求用戶名密碼信息準(zhǔn)確，并且滿足管理員設(shè)置的接入條件（接入的時(shí)間、地點(diǎn)等）和綁定檢查信息（終端的IP、MAC等），才能被授予相應(yīng)的網(wǎng)絡(luò)權(quán)限。

802.1x方案優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：因?yàn)樵诮尤雽幼鰷?zhǔn)入認(rèn)證，對(duì)于網(wǎng)絡(luò)準(zhǔn)入的控制最嚴(yán)格，保證在未通過(guò)認(rèn)證的情況下，終端無(wú)法訪問(wèn)任何未被授權(quán)的網(wǎng)絡(luò)，最大程度保障了整個(gè)網(wǎng)絡(luò)的準(zhǔn)入安全。

缺點(diǎn)：需要在每一臺(tái)接入設(shè)備上配置認(rèn)證，部署實(shí)施工作量巨大，尤其對(duì)于分支結(jié)構(gòu)較多、組網(wǎng)復(fù)雜的場(chǎng)景，實(shí)施難度很大，且難以維護(hù)。

（2）Portal準(zhǔn)入認(rèn)證

Portal一般將匯聚層及以上設(shè)備作為安全準(zhǔn)入控制點(diǎn)，實(shí)施EIA解決方案，這樣可簡(jiǎn)化EIA解決方案的應(yīng)用部署。尤其是在對(duì)用戶原有企業(yè)網(wǎng)絡(luò)進(jìn)行改造，實(shí)施EIA解決方案時(shí)，可以將原有匯聚層設(shè)備替換為支持EIA解決方案的匯聚層設(shè)備，或者通過(guò)簡(jiǎn)單旁掛的方式，實(shí)現(xiàn)EIA解決方案的應(yīng)用部署。

分支機(jī)構(gòu)出口方式組網(wǎng)應(yīng)用方案說(shuō)明

這種組網(wǎng)結(jié)構(gòu)中，將Portal認(rèn)證設(shè)備部署在園區(qū)網(wǎng)匯聚層或者分支機(jī)構(gòu)出口位置，EIA認(rèn)證服務(wù)器部署在總部核心位置，用戶的每一次接入認(rèn)證請(qǐng)求都需要發(fā)送到總部的EIA上進(jìn)行身份驗(yàn)證，只有驗(yàn)證通過(guò)的用戶才允許接入到總網(wǎng)絡(luò)中，可以有效阻止來(lái)自分支機(jī)構(gòu)的安全威脅。

總部入口路由器方式組網(wǎng)應(yīng)用

方案說(shuō)明

將Portal認(rèn)證設(shè)備部署在園區(qū)網(wǎng)核心或者總?cè)肟?，這種部署方式只能控制分支機(jī)構(gòu)的用戶訪問(wèn)總部網(wǎng)絡(luò)的情況，分支機(jī)構(gòu)內(nèi)部互訪無(wú)法進(jìn)行認(rèn)證準(zhǔn)入控制。

部署最簡(jiǎn)單，工作量小，可以直接將總部入口路由器換成支持Portal協(xié)議的認(rèn)證設(shè)備，或者在入口路由器旁掛Portal設(shè)備，簡(jiǎn)單部署即可實(shí)現(xiàn)Portal準(zhǔn)入認(rèn)證。

比較適用于流量集中轉(zhuǎn)發(fā)的場(chǎng)景，如果是本地轉(zhuǎn)發(fā)的情況，由于控制點(diǎn)太高，無(wú)法對(duì)本地流量做認(rèn)證準(zhǔn)入控制。

Portal方案優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：Portal設(shè)備一般部署位置較高（如匯聚層或核心層），部署更簡(jiǎn)單方便。同時(shí)，Portal可不依賴于客戶端，通過(guò)網(wǎng)頁(yè)即可以實(shí)現(xiàn)簡(jiǎn)單認(rèn)證，易用性更好。最后，Portal擴(kuò)展性好，可以擴(kuò)展為微信認(rèn)證、短信認(rèn)證和二維碼認(rèn)證，適用于內(nèi)網(wǎng)、訪客、營(yíng)銷等多種場(chǎng)景，應(yīng)用更廣泛。

缺點(diǎn)：Portal控制點(diǎn)位置較高，對(duì)接入層設(shè)備的控制力度不足，Portal是私有協(xié)議，都會(huì)自己的實(shí)現(xiàn)方式，通用性不夠，設(shè)備混合使用的場(chǎng)景下會(huì)有難以適配的問(wèn)題，需要通過(guò)旁掛Portal**的方式解決。

（3）WLAN準(zhǔn)入認(rèn)證

**局域網(wǎng)的安全問(wèn)題主要體現(xiàn)在訪問(wèn)控制和數(shù)據(jù)傳輸兩個(gè)層面。在訪問(wèn)控制層面上，非授權(quán)或者非安全的客戶一旦接入網(wǎng)絡(luò)后，將會(huì)直接面對(duì)校園的核心服務(wù)器，威脅校園的核心業(yè)務(wù)，因此能對(duì)**接入用戶進(jìn)行身份識(shí)別、安全檢查和網(wǎng)絡(luò)授權(quán)的訪問(wèn)控制系統(tǒng)必不可少。在**網(wǎng)絡(luò)中，結(jié)合使用EIA解決方案，可以有效的滿足園區(qū)網(wǎng)的**安全準(zhǔn)入的需求。

組**點(diǎn)介紹

物理組網(wǎng)方式與802.1x接入方式相同。

FIT AP與**控制器之間的連接可以使用二層連接，也可以使用三層連接。

用戶接入時(shí)需要第一通過(guò)客戶端認(rèn)證接入**網(wǎng)絡(luò)，第二進(jìn)行Portal接入?；蛘咧苯舆B接802.1x的SSID，安全接入**網(wǎng)絡(luò)。

在組網(wǎng)中，用戶IP地址不發(fā)生變化的情況下，可以在AP之間漫游。

基于用戶身份的控制信息在AC上下發(fā)。

拓展知識(shí)：

校園wlan登陸

建議你放短信重置你的校園WLAN密碼，可以編輯短信“CZEDUMM”發(fā)到10086既可。

校園wlan登陸

OMG！介是啥東東?。。?/p>

前沿拓展：

校園wlan登陸

如果校園內(nèi)有建設(shè)移動(dòng)e隨行。那么就可以手機(jī)連接cmcc，進(jìn)入wlan網(wǎng)頁(yè)界面，通過(guò)手機(jī)號(hào)碼和驗(yàn)證碼登錄就可以具娘映處層及過(guò)燒上網(wǎng)。

（1）802.1x準(zhǔn)入認(rèn)證

802.1x將接入層設(shè)備作為準(zhǔn)入認(rèn)證的控制點(diǎn)，對(duì)試圖接入網(wǎng)絡(luò)的用戶終端進(jìn)行身份認(rèn)證，防止非法用戶和終端接入網(wǎng)絡(luò)，降低各種安全威脅在校園擴(kuò)散的風(fēng)險(xiǎn)。

接入層EIA解決方案組網(wǎng)應(yīng)用

方案說(shuō)明

用戶終端需要安裝客戶端（若**作系統(tǒng)支持也可以不安裝客戶端），在上網(wǎng)前第一進(jìn)行802.1x認(rèn)證，否則將不能接入網(wǎng)絡(luò)。

802.1x認(rèn)證要求用戶名密碼信息準(zhǔn)確，并且滿足管理員設(shè)置的接入條件（接入的時(shí)間、地點(diǎn)等）和綁定檢查信息（終端的IP、MAC等），才能被授予相應(yīng)的網(wǎng)絡(luò)權(quán)限。

802.1x方案優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：因?yàn)樵诮尤雽幼鰷?zhǔn)入認(rèn)證，對(duì)于網(wǎng)絡(luò)準(zhǔn)入的控制最嚴(yán)格，保證在未通過(guò)認(rèn)證的情況下，終端無(wú)法訪問(wèn)任何未被授權(quán)的網(wǎng)絡(luò)，最大程度保障了整個(gè)網(wǎng)絡(luò)的準(zhǔn)入安全。

缺點(diǎn)：需要在每一臺(tái)接入設(shè)備上配置認(rèn)證，部署實(shí)施工作量巨大，尤其對(duì)于分支結(jié)構(gòu)較多、組網(wǎng)復(fù)雜的場(chǎng)景，實(shí)施難度很大，且難以維護(hù)。

（2）Portal準(zhǔn)入認(rèn)證

Portal一般將匯聚層及以上設(shè)備作為安全準(zhǔn)入控制點(diǎn)，實(shí)施EIA解決方案，這樣可簡(jiǎn)化EIA解決方案的應(yīng)用部署。尤其是在對(duì)用戶原有企業(yè)網(wǎng)絡(luò)進(jìn)行改造，實(shí)施EIA解決方案時(shí)，可以將原有匯聚層設(shè)備替換為支持EIA解決方案的匯聚層設(shè)備，或者通過(guò)簡(jiǎn)單旁掛的方式，實(shí)現(xiàn)EIA解決方案的應(yīng)用部署。

分支機(jī)構(gòu)出口方式組網(wǎng)應(yīng)用方案說(shuō)明

這種組網(wǎng)結(jié)構(gòu)中，將Portal認(rèn)證設(shè)備部署在園區(qū)網(wǎng)匯聚層或者分支機(jī)構(gòu)出口位置，EIA認(rèn)證服務(wù)器部署在總部核心位置，用戶的每一次接入認(rèn)證請(qǐng)求都需要發(fā)送到總部的EIA上進(jìn)行身份驗(yàn)證，只有驗(yàn)證通過(guò)的用戶才允許接入到總網(wǎng)絡(luò)中，可以有效阻止來(lái)自分支機(jī)構(gòu)的安全威脅。

總部入口路由器方式組網(wǎng)應(yīng)用

方案說(shuō)明

將Portal認(rèn)證設(shè)備部署在園區(qū)網(wǎng)核心或者總?cè)肟冢@種部署方式只能控制分支機(jī)構(gòu)的用戶訪問(wèn)總部網(wǎng)絡(luò)的情況，分支機(jī)構(gòu)內(nèi)部互訪無(wú)法進(jìn)行認(rèn)證準(zhǔn)入控制。

部署最簡(jiǎn)單，工作量小，可以直接將總部入口路由器換成支持Portal協(xié)議的認(rèn)證設(shè)備，或者在入口路由器旁掛Portal設(shè)備，簡(jiǎn)單部署即可實(shí)現(xiàn)Portal準(zhǔn)入認(rèn)證。

比較適用于流量集中轉(zhuǎn)發(fā)的場(chǎng)景，如果是本地轉(zhuǎn)發(fā)的情況，由于控制點(diǎn)太高，無(wú)法對(duì)本地流量做認(rèn)證準(zhǔn)入控制。

Portal方案優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：Portal設(shè)備一般部署位置較高（如匯聚層或核心層），部署更簡(jiǎn)單方便。同時(shí)，Portal可不依賴于客戶端，通過(guò)網(wǎng)頁(yè)即可以實(shí)現(xiàn)簡(jiǎn)單認(rèn)證，易用性更好。最后，Portal擴(kuò)展性好，可以擴(kuò)展為微信認(rèn)證、短信認(rèn)證和二維碼認(rèn)證，適用于內(nèi)網(wǎng)、訪客、營(yíng)銷等多種場(chǎng)景，應(yīng)用更廣泛。

缺點(diǎn)：Portal控制點(diǎn)位置較高，對(duì)接入層設(shè)備的控制力度不足，Portal是私有協(xié)議，都會(huì)自己的實(shí)現(xiàn)方式，通用性不夠，設(shè)備混合使用的場(chǎng)景下會(huì)有難以適配的問(wèn)題，需要通過(guò)旁掛Portal**的方式解決。

（3）WLAN準(zhǔn)入認(rèn)證

**局域網(wǎng)的安全問(wèn)題主要體現(xiàn)在訪問(wèn)控制和數(shù)據(jù)傳輸兩個(gè)層面。在訪問(wèn)控制層面上，非授權(quán)或者非安全的客戶一旦接入網(wǎng)絡(luò)后，將會(huì)直接面對(duì)校園的核心服務(wù)器，威脅校園的核心業(yè)務(wù)，因此能對(duì)**接入用戶進(jìn)行身份識(shí)別、安全檢查和網(wǎng)絡(luò)授權(quán)的訪問(wèn)控制系統(tǒng)必不可少。在**網(wǎng)絡(luò)中，結(jié)合使用EIA解決方案，可以有效的滿足園區(qū)網(wǎng)的**安全準(zhǔn)入的需求。

組**點(diǎn)介紹

物理組網(wǎng)方式與802.1x接入方式相同。

FIT AP與**控制器之間的連接可以使用二層連接，也可以使用三層連接。

用戶接入時(shí)需要第一通過(guò)客戶端認(rèn)證接入**網(wǎng)絡(luò)，第二進(jìn)行Portal接入?；蛘咧苯舆B接802.1x的SSID，安全接入**網(wǎng)絡(luò)。

在組網(wǎng)中，用戶IP地址不發(fā)生變化的情況下，可以在AP之間漫游。

基于用戶身份的控制信息在AC上下發(fā)。

拓展知識(shí)：

校園wlan登陸

建議你放短信重置你的校園WLAN密碼，可以編輯短信“CZEDUMM”發(fā)到10086既可。

校園wlan登陸

OMG！介是啥東東?。?！

前沿拓展：

校園wlan登陸

如果校園內(nèi)有建設(shè)移動(dòng)e隨行。那么就可以手機(jī)連接cmcc，進(jìn)入wlan網(wǎng)頁(yè)界面，通過(guò)手機(jī)號(hào)碼和驗(yàn)證碼登錄就可以具娘映處層及過(guò)燒上網(wǎng)。

（1）802.1x準(zhǔn)入認(rèn)證

802.1x將接入層設(shè)備作為準(zhǔn)入認(rèn)證的控制點(diǎn)，對(duì)試圖接入網(wǎng)絡(luò)的用戶終端進(jìn)行身份認(rèn)證，防止非法用戶和終端接入網(wǎng)絡(luò)，降低各種安全威脅在校園擴(kuò)散的風(fēng)險(xiǎn)。

接入層EIA解決方案組網(wǎng)應(yīng)用

方案說(shuō)明

用戶終端需要安裝客戶端（若**作系統(tǒng)支持也可以不安裝客戶端），在上網(wǎng)前第一進(jìn)行802.1x認(rèn)證，否則將不能接入網(wǎng)絡(luò)。

802.1x認(rèn)證要求用戶名密碼信息準(zhǔn)確，并且滿足管理員設(shè)置的接入條件（接入的時(shí)間、地點(diǎn)等）和綁定檢查信息（終端的IP、MAC等），才能被授予相應(yīng)的網(wǎng)絡(luò)權(quán)限。

802.1x方案優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：因?yàn)樵诮尤雽幼鰷?zhǔn)入認(rèn)證，對(duì)于網(wǎng)絡(luò)準(zhǔn)入的控制最嚴(yán)格，保證在未通過(guò)認(rèn)證的情況下，終端無(wú)法訪問(wèn)任何未被授權(quán)的網(wǎng)絡(luò)，最大程度保障了整個(gè)網(wǎng)絡(luò)的準(zhǔn)入安全。

缺點(diǎn)：需要在每一臺(tái)接入設(shè)備上配置認(rèn)證，部署實(shí)施工作量巨大，尤其對(duì)于分支結(jié)構(gòu)較多、組網(wǎng)復(fù)雜的場(chǎng)景，實(shí)施難度很大，且難以維護(hù)。

（2）Portal準(zhǔn)入認(rèn)證

Portal一般將匯聚層及以上設(shè)備作為安全準(zhǔn)入控制點(diǎn)，實(shí)施EIA解決方案，這樣可簡(jiǎn)化EIA解決方案的應(yīng)用部署。尤其是在對(duì)用戶原有企業(yè)網(wǎng)絡(luò)進(jìn)行改造，實(shí)施EIA解決方案時(shí)，可以將原有匯聚層設(shè)備替換為支持EIA解決方案的匯聚層設(shè)備，或者通過(guò)簡(jiǎn)單旁掛的方式，實(shí)現(xiàn)EIA解決方案的應(yīng)用部署。

分支機(jī)構(gòu)出口方式組網(wǎng)應(yīng)用方案說(shuō)明

這種組網(wǎng)結(jié)構(gòu)中，將Portal認(rèn)證設(shè)備部署在園區(qū)網(wǎng)匯聚層或者分支機(jī)構(gòu)出口位置，EIA認(rèn)證服務(wù)器部署在總部核心位置，用戶的每一次接入認(rèn)證請(qǐng)求都需要發(fā)送到總部的EIA上進(jìn)行身份驗(yàn)證，只有驗(yàn)證通過(guò)的用戶才允許接入到總網(wǎng)絡(luò)中，可以有效阻止來(lái)自分支機(jī)構(gòu)的安全威脅。

總部入口路由器方式組網(wǎng)應(yīng)用

方案說(shuō)明

將Portal認(rèn)證設(shè)備部署在園區(qū)網(wǎng)核心或者總?cè)肟冢@種部署方式只能控制分支機(jī)構(gòu)的用戶訪問(wèn)總部網(wǎng)絡(luò)的情況，分支機(jī)構(gòu)內(nèi)部互訪無(wú)法進(jìn)行認(rèn)證準(zhǔn)入控制。

部署最簡(jiǎn)單，工作量小，可以直接將總部入口路由器換成支持Portal協(xié)議的認(rèn)證設(shè)備，或者在入口路由器旁掛Portal設(shè)備，簡(jiǎn)單部署即可實(shí)現(xiàn)Portal準(zhǔn)入認(rèn)證。

比較適用于流量集中轉(zhuǎn)發(fā)的場(chǎng)景，如果是本地轉(zhuǎn)發(fā)的情況，由于控制點(diǎn)太高，無(wú)法對(duì)本地流量做認(rèn)證準(zhǔn)入控制。

Portal方案優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：Portal設(shè)備一般部署位置較高（如匯聚層或核心層），部署更簡(jiǎn)單方便。同時(shí)，Portal可不依賴于客戶端，通過(guò)網(wǎng)頁(yè)即可以實(shí)現(xiàn)簡(jiǎn)單認(rèn)證，易用性更好。最后，Portal擴(kuò)展性好，可以擴(kuò)展為微信認(rèn)證、短信認(rèn)證和二維碼認(rèn)證，適用于內(nèi)網(wǎng)、訪客、營(yíng)銷等多種場(chǎng)景，應(yīng)用更廣泛。

缺點(diǎn)：Portal控制點(diǎn)位置較高，對(duì)接入層設(shè)備的控制力度不足，Portal是私有協(xié)議，都會(huì)自己的實(shí)現(xiàn)方式，通用性不夠，設(shè)備混合使用的場(chǎng)景下會(huì)有難以適配的問(wèn)題，需要通過(guò)旁掛Portal**的方式解決。

（3）WLAN準(zhǔn)入認(rèn)證

**局域網(wǎng)的安全問(wèn)題主要體現(xiàn)在訪問(wèn)控制和數(shù)據(jù)傳輸兩個(gè)層面。在訪問(wèn)控制層面上，非授權(quán)或者非安全的客戶一旦接入網(wǎng)絡(luò)后，將會(huì)直接面對(duì)校園的核心服務(wù)器，威脅校園的核心業(yè)務(wù)，因此能對(duì)**接入用戶進(jìn)行身份識(shí)別、安全檢查和網(wǎng)絡(luò)授權(quán)的訪問(wèn)控制系統(tǒng)必不可少。在**網(wǎng)絡(luò)中，結(jié)合使用EIA解決方案，可以有效的滿足園區(qū)網(wǎng)的**安全準(zhǔn)入的需求。

組**點(diǎn)介紹

物理組網(wǎng)方式與802.1x接入方式相同。

FIT AP與**控制器之間的連接可以使用二層連接，也可以使用三層連接。

用戶接入時(shí)需要第一通過(guò)客戶端認(rèn)證接入**網(wǎng)絡(luò)，第二進(jìn)行Portal接入?；蛘咧苯舆B接802.1x的SSID，安全接入**網(wǎng)絡(luò)。

在組網(wǎng)中，用戶IP地址不發(fā)生變化的情況下，可以在AP之間漫游。

基于用戶身份的控制信息在AC上下發(fā)。

拓展知識(shí)：

校園wlan登陸

建議你放短信重置你的校園WLAN密碼，可以編輯短信“CZEDUMM”發(fā)到10086既可。

校園wlan登陸

OMG！介是啥東東?。?！

前沿拓展：

校園wlan登陸

如果校園內(nèi)有建設(shè)移動(dòng)e隨行。那么就可以手機(jī)連接cmcc，進(jìn)入wlan網(wǎng)頁(yè)界面，通過(guò)手機(jī)號(hào)碼和驗(yàn)證碼登錄就可以具娘映處層及過(guò)燒上網(wǎng)。

（1）802.1x準(zhǔn)入認(rèn)證

802.1x將接入層設(shè)備作為準(zhǔn)入認(rèn)證的控制點(diǎn)，對(duì)試圖接入網(wǎng)絡(luò)的用戶終端進(jìn)行身份認(rèn)證，防止非法用戶和終端接入網(wǎng)絡(luò)，降低各種安全威脅在校園擴(kuò)散的風(fēng)險(xiǎn)。

接入層EIA解決方案組網(wǎng)應(yīng)用

方案說(shuō)明

用戶終端需要安裝客戶端（若**作系統(tǒng)支持也可以不安裝客戶端），在上網(wǎng)前第一進(jìn)行802.1x認(rèn)證，否則將不能接入網(wǎng)絡(luò)。

802.1x認(rèn)證要求用戶名密碼信息準(zhǔn)確，并且滿足管理員設(shè)置的接入條件（接入的時(shí)間、地點(diǎn)等）和綁定檢查信息（終端的IP、MAC等），才能被授予相應(yīng)的網(wǎng)絡(luò)權(quán)限。

802.1x方案優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：因?yàn)樵诮尤雽幼鰷?zhǔn)入認(rèn)證，對(duì)于網(wǎng)絡(luò)準(zhǔn)入的控制最嚴(yán)格，保證在未通過(guò)認(rèn)證的情況下，終端無(wú)法訪問(wèn)任何未被授權(quán)的網(wǎng)絡(luò)，最大程度保障了整個(gè)網(wǎng)絡(luò)的準(zhǔn)入安全。

缺點(diǎn)：需要在每一臺(tái)接入設(shè)備上配置認(rèn)證，部署實(shí)施工作量巨大，尤其對(duì)于分支結(jié)構(gòu)較多、組網(wǎng)復(fù)雜的場(chǎng)景，實(shí)施難度很大，且難以維護(hù)。

（2）Portal準(zhǔn)入認(rèn)證

Portal一般將匯聚層及以上設(shè)備作為安全準(zhǔn)入控制點(diǎn)，實(shí)施EIA解決方案，這樣可簡(jiǎn)化EIA解決方案的應(yīng)用部署。尤其是在對(duì)用戶原有企業(yè)網(wǎng)絡(luò)進(jìn)行改造，實(shí)施EIA解決方案時(shí)，可以將原有匯聚層設(shè)備替換為支持EIA解決方案的匯聚層設(shè)備，或者通過(guò)簡(jiǎn)單旁掛的方式，實(shí)現(xiàn)EIA解決方案的應(yīng)用部署。

分支機(jī)構(gòu)出口方式組網(wǎng)應(yīng)用方案說(shuō)明

這種組網(wǎng)結(jié)構(gòu)中，將Portal認(rèn)證設(shè)備部署在園區(qū)網(wǎng)匯聚層或者分支機(jī)構(gòu)出口位置，EIA認(rèn)證服務(wù)器部署在總部核心位置，用戶的每一次接入認(rèn)證請(qǐng)求都需要發(fā)送到總部的EIA上進(jìn)行身份驗(yàn)證，只有驗(yàn)證通過(guò)的用戶才允許接入到總網(wǎng)絡(luò)中，可以有效阻止來(lái)自分支機(jī)構(gòu)的安全威脅。

總部入口路由器方式組網(wǎng)應(yīng)用

方案說(shuō)明

將Portal認(rèn)證設(shè)備部署在園區(qū)網(wǎng)核心或者總?cè)肟?，這種部署方式只能控制分支機(jī)構(gòu)的用戶訪問(wèn)總部網(wǎng)絡(luò)的情況，分支機(jī)構(gòu)內(nèi)部互訪無(wú)法進(jìn)行認(rèn)證準(zhǔn)入控制。

部署最簡(jiǎn)單，工作量小，可以直接將總部入口路由器換成支持Portal協(xié)議的認(rèn)證設(shè)備，或者在入口路由器旁掛Portal設(shè)備，簡(jiǎn)單部署即可實(shí)現(xiàn)Portal準(zhǔn)入認(rèn)證。

比較適用于流量集中轉(zhuǎn)發(fā)的場(chǎng)景，如果是本地轉(zhuǎn)發(fā)的情況，由于控制點(diǎn)太高，無(wú)法對(duì)本地流量做認(rèn)證準(zhǔn)入控制。

Portal方案優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：Portal設(shè)備一般部署位置較高（如匯聚層或核心層），部署更簡(jiǎn)單方便。同時(shí)，Portal可不依賴于客戶端，通過(guò)網(wǎng)頁(yè)即可以實(shí)現(xiàn)簡(jiǎn)單認(rèn)證，易用性更好。最后，Portal擴(kuò)展性好，可以擴(kuò)展為微信認(rèn)證、短信認(rèn)證和二維碼認(rèn)證，適用于內(nèi)網(wǎng)、訪客、營(yíng)銷等多種場(chǎng)景，應(yīng)用更廣泛。

缺點(diǎn)：Portal控制點(diǎn)位置較高，對(duì)接入層設(shè)備的控制力度不足，Portal是私有協(xié)議，都會(huì)自己的實(shí)現(xiàn)方式，通用性不夠，設(shè)備混合使用的場(chǎng)景下會(huì)有難以適配的問(wèn)題，需要通過(guò)旁掛Portal**的方式解決。

（3）WLAN準(zhǔn)入認(rèn)證

**局域網(wǎng)的安全問(wèn)題主要體現(xiàn)在訪問(wèn)控制和數(shù)據(jù)傳輸兩個(gè)層面。在訪問(wèn)控制層面上，非授權(quán)或者非安全的客戶一旦接入網(wǎng)絡(luò)后，將會(huì)直接面對(duì)校園的核心服務(wù)器，威脅校園的核心業(yè)務(wù)，因此能對(duì)**接入用戶進(jìn)行身份識(shí)別、安全檢查和網(wǎng)絡(luò)授權(quán)的訪問(wèn)控制系統(tǒng)必不可少。在**網(wǎng)絡(luò)中，結(jié)合使用EIA解決方案，可以有效的滿足園區(qū)網(wǎng)的**安全準(zhǔn)入的需求。

組**點(diǎn)介紹

物理組網(wǎng)方式與802.1x接入方式相同。

FIT AP與**控制器之間的連接可以使用二層連接，也可以使用三層連接。

用戶接入時(shí)需要第一通過(guò)客戶端認(rèn)證接入**網(wǎng)絡(luò)，第二進(jìn)行Portal接入。或者直接連接802.1x的SSID，安全接入**網(wǎng)絡(luò)。

在組網(wǎng)中，用戶IP地址不發(fā)生變化的情況下，可以在AP之間漫游。

基于用戶身份的控制信息在AC上下發(fā)。

拓展知識(shí)：

校園wlan登陸

建議你放短信重置你的校園WLAN密碼，可以編輯短信“CZEDUMM”發(fā)到10086既可。

校園wlan登陸

OMG！介是啥東東?。?！