imc eia终端智能接入系列产品介绍v0.3(可编辑版本)

易网络智联接iMC EIA终端智能接入系列产品介绍,BYOD时代的呼唤,从AAA到NAC，再到现在的BYOD时代，每个厂家都会推出全新的产品。针对BYOD时代的挑战，我司推出全新的EIA系列产品形态，以适应新时代的挑战。,iMC BYOD总体解决方案,EIA、EIP、EAD组件License概述,EIA(End user Intelligent Access)终端智能接入组件，是在原有iMC UAM用户接入管理组件的基础上，整合访客管理、TAM设备认证管理组件，而新推出的终端网络接入组件产品，与Cisco ISE、Aruba ClearPass产品结构类似，具备较强的竞争优势；EIP(End user Intelligent Profiling)终端智能识别方案，是基于EIA组件的一个功能授权，实现对网络接入终端的智能识别、网络零配置下发等功能；EAD终端准入控制组件维持原形态不变，在V7版本依赖的基础组件由UAM变更为EIA，此外EAD服务器与iNode客户端License合并报价；EMO终端移动办公组件License形态暂未确定。,组件关系及License说明,EIA终端智能接入组件为EIP、EAD的基础组件，License采用在线并发终端数量计算，License计算方式和Cisco ISE、Aruba ClearPass一致。采购500节点样例如下：H3C iMC-EIA终端智能接入组件H3C iMC-EIA终端智能接入组件-500 License EIP终端智能识别依赖于EIA组件，因此购买EIP需先购买EIA相关License。EIP License采用终端数量计算，采购500节点样例如下：H3C iMC-EIA终端智能接入组件 （依赖关系）H3C iMC-EIA终端智能接入组件-500 License （依赖关系）H3C iMC-EIA终端智能接入组件-终端智能识别功能-500 License EAD终端准入控制组件在V7版本，依赖组件由原UAM组件切换为EIA组件。License策略上保持和V5一致，即购买EAD组件赠送同等数量的EIA License，同时License计算由V5版本的按管理用户数量计算变为按终端数量计算，采购500节点样例如下：H3C iMC-EAD终端准入控制组件H3C iMC-EAD终端准入控制组件-500 License,升级策略,UAM 升级:升级到V7后功能可继续使用，扩容可购买受控销售的UAM扩容授权。UAM不可升级到EIA组件，使用EIA功能的用户需要购买EIA组件。购买EIA后，原有UAM授权作废，以EIA授权优先进行控制；TAM升级：升级到V7版本后，功能可继续使用，原有授权可继续使用并保持原有授权控制模式，但不可扩容；不可升级到EIA组件，使用EIA功能的用户需要购买EIA组件，购买EIA后，原有TAM授权作废，以EIA授权优先进行控制；访客管理升级：访客管理升级到V7版本后，功能可继续使用，原有授权可继续使用并保持原有授权控制模式，但不可扩容；EAD升级：EAD组件升级到新版本EAD后，原有EAD组件赠送的UAM授权将转换为相同数量的EIA授权，同时原有单独采购的UAM组件及授权作废。,目录,EIA三剑客企业用户的认证与授权,适应各种组网环境,局域网接入,无线接入,远程VPN接入,广域网接入,园区网 核心,Internet,Intranet,网关接入,Windows AD,OA办公服务器,证书服务器,邮件服务器,全面的接入认证服务,802.1X 认证支持PAP、CHAP、EAP-MD5、EAP-TLS、EAP-PEAP、EAP-GTC、EAP-TTLS。iNode客户端支持Windows、Linux、MAC OS。智能终端采用系统原生客户端。针对采用终端原生客户端做1X认证，可采用EIP智能部署方案。Web Portal认证支持纯Web、可溶解客户端、iNode客户端等多种方式认证支持IPV6，支持NAT环境下的Portal认证支持Web可视化页面定制，基于位置的页面推送MAC认证支持哑终端（网络打印机、IP电话）认证支持哑终端账户预配置VPN认证支持L2TP、IPSec VPN认证（需iNode客户端，额外报价）支持SSL VPN认证,可扩展的认证方式,iMC EIA服务器,LDAP服务器,第三方RADIUS服务器,证书服务器,RSA服务器,支持与LDAP、Windows AD服务器同步支持按需同步、实时认证,支持标准证书认证，并可配合USB智能卡使用,支持RAS认证，实现双因素动态口令,支持第三方RADIUS认证，提供漫游明细,第三方用户管理系统、数据库,支持第三方用户系统认证,-预注册账号转正- 统一的密码控制策略（AD）基于用户/组的访问策略,- 在线用户控制、消息下发访问明细、认证失败日志与办公系统单点登录,- 批量开户、同步开户- 用户自助管理分组分权管理二次开发接口开户,- 过期账号自动销户- 黑名单隔离机制,健全的身份周期管理,基于身份角色的策略控制,不同组或用户设定不同访问控制策略不同组或用户设定的不同QOS级别 不同用户设定不同的上下行带宽策略 不同用户设定不同的会话数控制策略不同用户设定不同的接入场景控制策略,INTERNET接入服务,访客,打印机策略控制,打印机,市场,财务,领导策略控制，QOS,财务策略控制，QOS,市场策略控制，QOS,iMC EIA服务器,灵活精细的用户接入控制,Internet,身份因素黑名单限制AD域账号绑定会话数限制时长限制,终端因素IP地址绑定MAC地址绑定计算机名绑定AD域绑定硬盘序列号绑定设备序列号绑定客户端版本限制使用代理限制MAC地址池限制IP地址限制（客户端）,网络因素设备IP地址绑定设备端口绑定VLAN绑定无线SSID绑定,位置,用户身份,时间,SSID,终端类型,基于场景的授权模式：根据用户身份、网络位置、SSID、访问时间、终端类型进行网络接入授权,基于场景的接入授权策略,目录,EIA三剑客访客管理,企事业单位：严格控制访客账号及访问权限,公众场合：简易灵活的认证模式，智能的广告页面推送,企业,学校,访客,机关单位,科研机构,酒店,咖啡厅饭店,营业厅,超市商场,体育场展馆,交通候车厅,访客管理应用场景,企业访客接待模式,iMC EIA服务器,1,2,3,4,5,6,访客,访客接待员,Internet,访客接待员批量创建访客帐号并分配网络接入策略；访客接待员通过电子邮件或者短信定时通知访客；企业访客连接 访客网络；推送企业访客门户页面要求输入账号、密码；访客身份验证成功，访问受限的网络资源；iMC EIA服务器定期自动删除失效的访客账号,访客网络,企业访客自助模式,访客连接 访客网络；访客通过访客预注册页面填写访客信息；访客管理员登录自助平台审批并分配网络接入策略；审批后，通过电子邮件、短信方式发送给访问账号、密码；访客连接访客网络，在登录页面输入收到的账号、密码；访客身份验证成功后，访问受限的网络资源；iMC EIA服务器定期自动删除失效的访客账号,iMC EIA服务器,1,2,3,4,5,6,7,访客,访客接待员,Internet,访客网络,无线SSID,iMC EIA服务器,1,3,5,7,访客,公众访客认证模式（短信）,6,短信猫或短信网关,4,Internet,访客连接 无线 SSID；访客在Web登录页面中输入个人手机号码、验证码或授权码，点击“获取密码”按钮；iMC EIA服务器对该手机号自动注册并分配密码及网络访问时限；iMC EIA通过短信猫或短信网关通知访客所分配的密码；访客手机接收短信，在登录页面中输入获取到的密码；访客身份验证成功后，开始访问互联网至访问截止时间；iMC EIA服务器定期自动删除失效的访客账号；,2,适用场景：严禁内网iMC服务器访问互联网且企业访客并发规模较小iMC EIA服务器通过USB、串口连接短信猫（无需访问互联网），通过短信猫发送访客账号和密码；需购买短信猫以及手机SIM卡，并承担相应短信费用。,iMC EIA服务器,短信猫,适用于小型访客环境（50并发）以内规模,短信发送方式（短信猫）,企业内网,若客户已经有短信平台/网关（也称为MAS，常为运营商提供），通过定制中间件与iMC EIA服务器对接实现短信发送；企业短信平台通过专线连接运营商网关，企业各类系统通过网内的短信平台对外实现短信发送。客户通过运营商购买短信套餐，而运营商赠送短信平台服务器。,iMC EIA服务器,企业短信平台,短信发送方式（企业短信平台）,企业内网,iMC EIA服务器内置Web短信平台接口，通过Web调用实现短信发送： EIA服务器通过互联网端口访问Web短信平台接口（开放特定网络端口或使用代理服务器），通过Web API方式调用Web短信平台进行短信发送；客户无需购买任何硬件设施，只需要购买短信平台短信套餐，获取序列号，即买即用。,iMC EIA服务器,Web短信平台(SP),短信发送方式（内置短信平台）,企业内网,Internet,中国移动,中国电信,中国联通,Web短信平台接口,短信发送方式对比,公众访客认证模式（数据源集成及免认证）,与客户数据源集成与客户数据源集成（支持数据库、WebAPI等方式），使访客直接输入会员账号、卡号等直接认证上网。,免认证方式直接推送广告、公告页面，访客接入无需输入用户名、密码，浏览广告页面后直接访问互联网。,公众访客认证模式（刷卡模式）,无线SSID,iMC EIA服务器,1,3,4,6,客户,5,Internet,2,客户在银行排队机刷银行卡（或通过刷卡机刷身份证），以获取WiFi上网账号及密码；银行排队机（或身份证刷卡机）通过定制中间件与iMC EIA通信进行注册开户；银行排队机（或身份证刷卡机） 自动打印上网账号和密码；客户访问无线网络，在登录页面中输入打印凭条中的账号和密码；客户身份验证成功后，开始访问互联网；iMC EIA服务器定期自动删除失效的访客账号。,银行排队机/身份证刷卡机,基于不同的SSID和接入区域（设备端口、VLAN等）或不同终端类型（PC、手机、平板）推送不同的认证页面，用户上网时，将会看到有针对性的特色页面。通过认证后，基于用户身份信息推送不同的通知、促销广告页面 ，十分适合进行品牌定向推广。,基于SSID、接入位置的页面推送,基于终端类型的页面推送,灵活的页面推送,多套风格模板，支持自定义按终端类型提供不同种类模板支持嵌入第三方页面,全流程覆盖：支持登录页面、上线页面、心跳页面、密码修改页面的模板化定制,全流程的模板化页面定制,支持图文排版、增加超链接、层级设置、透明度设置、框架设置,自由拖拽、类似Word风格的图文编辑、支持恢复、撤销历史操作,所见即所得，几乎零出错率，30分钟创建个性化页面,可视化页面设计,自注册页面输入项可定制，收集访客信息，增加法律条款和验证码。访客短信认证，短信内容支持自定义，企业可自行定义广告信息。,自定义属性,灵活的访问限制手段,上网时长限制：可限制访客有效访问时长（支持天、时、分）。密码有效时长限制：可限制访客密码的有效时长（支持天、时、分），过期后必须重新获取密码。*注：EIA只能控制访客固定使用时长（2点接入，允许使用2小时，4点后不得接入），配合CAMS组件可以控制累积时长（每天允许使用2小时，无论何时使用，累积超过2小时后下线）,验证码：支持随机验证码（防止恶意注册和密码尝试）和固定验证码（客户自定义，防止随意通过手机注册接入网络，限制消费类客户使用）访客二维码接入,智能终端认证方式对比,H3C无感知认证方案,iMC EIA服务器,不在MAC认证白名单，推送Portal认证页面，要求输入用户名和密码,H3C 无线控制器,EIA MAC认证模块,发现HTTP流量获取终端MAC地址，查询是否在iMC EIA MAC认证白名单中,EIA服务器验证用户账号密码正确后，用户上线。EIA通过User Agent判断该终端为智能终端，则将账号、MAC地址放入MAC认证白名单中,智能终端第二次接入无线网络,发现接入终端MAC地址在白名单中，通过反查用户账号密码，自动完成认证,H3C无感知认证方案在Portal认证的基础上，通过无线控制器和iMC EIA服务器配合实现的“一次接入，多次使用”的智能终端无感知认证方案，解决了传统Peap、Portal认证的终端兼容性和易用性难题，是企业智能终端接入认证的理想方式。,目录,EIA三剑客设备管理员认证与审计,理想的网络设备运维模式,操作了什么？Audit审计,是否有权操作？Authorization授权,你要去哪？是否符合要求？Authentication认证,你是谁？Account 帐号,访问控制管理,账号授权管理,账号身份集中管理,安全审计管理,统一控制授权平台,Telnet、SSH、Console、FTP,EIA服务器,网络设备,设备管理员,用户请求登录网络设备,网络设备请求认证,检查接入时段、接入区域、设备类型，完成身份认证,根据用户授权策略，下发Shell Profile,用户输入命令行，根