iMCEIA终端智能接入系列产品介绍V03

iMCEIA终端智能接入系列产品介绍V032024/3/28iMCEIA终端智能接入系列产品介绍V03AAA时代UAMACS(SecureAccessControlServer)AmigopodNAC时代EADNACApplianceECS（EndpointComplianceSystem

)BYOD时代EIAISE(IdentityServicesEngine)ClearPassBYOD时代的呼唤 从AAA到NAC，再到现在的BYOD时代，每个厂家都会推出全新的产品。针对BYOD时代的挑战，我司推出全新的EIA系列产品形态，以适应新时代的挑战。iMCEIA终端智能接入系列产品介绍V03iMCBYOD总体解决方案iMCEIA终端智能接入系列产品介绍V03EIP终端识别EAD终端准入EMO移动办公终端智能接入管理组件（EIA）EnduserIntelligentAccess终端管理AAA访客管理TACACS+EIA、EIP、EAD组件License概述EIA(EnduserIntelligentAccess)终端智能接入组件，是在原有iMCUAM用户接入管理组件的基础上，整合访客管理、TAM设备认证管理组件，而新推出的终端网络接入组件产品，与CiscoISE、ArubaClearPass产品结构类似，具备较强的竞争优势；EIP(EnduserIntelligentProfiling)终端智能识别方案，是基于EIA组件的一个功能授权，实现对网络接入终端的智能识别、网络零配置下发等功能；EAD终端准入控制组件维持原形态不变，在V7版本依赖的基础组件由UAM变更为EIA，此外EAD服务器与iNode客户端License合并报价；EMO终端移动办公组件License形态暂未确定。iMCEIA终端智能接入系列产品介绍V03组件关系及License说明EIA终端智能接入组件为EIP、EAD的基础组件，License采用在线并发终端数量计算，License计算方式和CiscoISE、ArubaClearPass一致。采购500节点样例如下：H3CiMC-EIA终端智能接入组件H3CiMC-EIA终端智能接入组件-500LicenseEIP终端智能识别依赖于EIA组件，因此购买EIP需先购买EIA相关License。EIPLicense采用终端数量计算，采购500节点样例如下：H3CiMC-EIA终端智能接入组件（依赖关系）H3CiMC-EIA终端智能接入组件-500License（依赖关系）H3CiMC-EIA终端智能接入组件-终端智能识别功能-500LicenseEAD终端准入控制组件在V7版本，依赖组件由原UAM组件切换为EIA组件。License策略上保持和V5一致，即购买EAD组件赠送同等数量的EIALicense，同时License计算由V5版本的按管理用户数量计算变为按终端数量计算，采购500节点样例如下：H3CiMC-EAD终端准入控制组件H3CiMC-EAD终端准入控制组件-500LicenseiMCEIA终端智能接入系列产品介绍V03升级策略UAM升级:升级到V7后功能可继续使用，扩容可购买受控销售的UAM扩容授权。UAM不可升级到EIA组件，使用EIA功能的用户需要购买EIA组件。购买EIA后，原有UAM授权作废，以EIA授权优先进行控制；TAM升级：升级到V7版本后，功能可继续使用，原有授权可继续使用并保持原有授权控制模式，但不可扩容；不可升级到EIA组件，使用EIA功能的用户需要购买EIA组件，购买EIA后，原有TAM授权作废，以EIA授权优先进行控制；访客管理升级：访客管理升级到V7版本后，功能可继续使用，原有授权可继续使用并保持原有授权控制模式，但不可扩容；EAD升级：EAD组件升级到新版本EAD后，原有EAD组件赠送的UAM授权将转换为相同数量的EIA授权，同时原有单独采购的UAM组件及授权作废。iMCEIA终端智能接入系列产品介绍V03目录EIA三剑客企业用户的认证与授权iMCEIA终端智能接入系列产品介绍V03适应各种组网环境局域网接入无线接入远程VPN接入广域网接入园区网核心InternetIntranet网关接入WindowsADOA办公服务器证书服务器邮件服务器iMCEIA终端智能接入系列产品介绍V03全面的接入认证服务802.1X认证支持PAP、CHAP、EAP-MD5、EAP-TLS、EAP-PEAP、EAP-GTC、EAP-TTLS。iNode客户端支持Windows、Linux、MACOS。智能终端采用系统原生客户端。针对采用终端原生客户端做1X认证，可采用EIP智能部署方案。WebPortal认证支持纯Web、可溶解客户端、iNode客户端等多种方式认证支持IPV6，支持NAT环境下的Portal认证支持Web可视化页面定制，基于位置的页面推送MAC认证支持哑终端（网络打印机、IP电话）认证支持哑终端账户预配置VPN认证支持L2TP、IPSecVPN认证（需iNode客户端，额外报价）支持SSLVPN认证iMCEIA终端智能接入系列产品介绍V03可扩展的认证方式iMCEIA服务器LDAP服务器第三方RADIUS服务器证书服务器RSA服务器支持与LDAP、WindowsAD服务器同步支持按需同步、实时认证支持标准证书认证，并可配合USB智能卡使用支持RAS认证，实现双因素动态口令支持第三方RADIUS认证，提供漫游明细第三方用户管理系统、数据库支持第三方用户系统认证iMCEIA终端智能接入系列产品介绍V03身份注册创建账号分配和授权清理和身份终止用户访问和审计身份周期管理-预注册账号转正-统一的密码控制策略（AD）基于用户/组的访问策略-在线用户控制、消息下发访问明细、认证失败日志与办公系统单点登录-批量开户、同步开户-用户自助管理分组分权管理二次开发接口开户-过期账号自动销户-黑名单隔离机制健全的身份周期管理iMCEIA终端智能接入系列产品介绍V03

基于身份角色的策略控制不同组或用户设定不同访问控制策略不同组或用户设定的不同QOS级别不同用户设定不同的上下行带宽策略不同用户设定不同的会话数控制策略不同用户设定不同的接入场景控制策略INTERNET接入服务访客打印机策略控制打印机市场财务领导领导

策略控制，QOS财务

策略控制，QOS市场

策略控制，QOSiMCEIA服务器iMCEIA终端智能接入系列产品介绍V03灵活精细的用户接入控制Internet身份因素黑名单限制AD域账号绑定会话数限制时长限制终端因素IP地址绑定MAC地址绑定计算机名绑定AD域绑定硬盘序列号绑定设备序列号绑定客户端版本限制使用代理限制MAC地址池限制IP地址限制（客户端）网络因素设备IP地址绑定设备端口绑定VLAN绑定无线SSID绑定iMCEIA终端智能接入系列产品介绍V03位置用户身份时间SSID终端类型基于场景的授权模式：根据用户身份、网络位置、SSID、访问时间、终端类型进行网络接入授权基于场景的接入授权策略iMCEIA终端智能接入系列产品介绍V03目录EIA三剑客访客管理iMCEIA终端智能接入系列产品介绍V03企事业单位：严格控制访客账号及访问权限公众场合：简易灵活的认证模式，智能的广告页面推送企业学校访客机关单位科研机构酒店咖啡厅饭店营业厅超市商场体育场展馆交通候车厅访客管理应用场景iMCEIA终端智能接入系列产品介绍V03企业访客接待模式iMCEIA服务器123456访客访客接待员Internet访客网络iMCEIA终端智能接入系列产品介绍V03企业访客自助模式iMCEIA服务器1234567访客访客接待员Internet访客网络iMCEIA终端智能接入系列产品介绍V03无线SSIDiMCEIA服务器1357访客公众访客认证模式（短信）6短信猫或短信网关4Internet2iMCEIA终端智能接入系列产品介绍V03适用场景：严禁内网iMC服务器访问互联网且企业访客并发规模较小iMCEIA服务器通过USB、串口连接短信猫（无需访问互联网），通过短信猫发送访客账号和密码；需购买短信猫以及手机SIM卡，并承担相应短信费用。iMCEIA服务器短信猫适用于小型访客环境（50并发）以内规模短信发送方式（短信猫）企业内网iMCEIA终端智能接入系列产品介绍V03若客户已经有短信平台/网关（也称为MAS，常为运营商提供），通过定制中间件与iMCEIA服务器对接实现短信发送；企业短信平台通过专线连接运营商网关，企业各类系统通过网内的短信平台对外实现短信发送。客户通过运营商购买短信套餐，而运营商赠送短信平台服务器。iMCEIA服务器企业短信平台短信发送方式（企业短信平台）企业内网iMCEIA终端智能接入系列产品介绍V03iMCEIA服务器内置Web短信平台接口，通过Web调用实现短信发送：EIA服务器通过互联网端口访问Web短信平台接口（开放特定网络端口或使用代理服务器），通过WebAPI方式调用Web短信平台进行短信发送；客户无需购买任何硬件设施，只需要购买短信平台短信套餐，获取序列号，即买即用。iMCEIA服务器Web短信平台(SP)短信发送方式（内置短信平台）企业内网Internet中国移动中国电信中国联通Web短信平台接口iMCEIA终端智能接入系列产品介绍V03短信发送方式对比短信猫企业短信平台（运营商）内置短信平台发送速度10条/秒20条/秒（异网）到100条/秒100条/秒稳定性差较好极高硬件设备有，指定型号有无显示号码内置SIM卡号码多运营商号码统一1065号码多运营商兼容性较差，跨网短信速度较慢本网速度快跨网通过卡发，速度慢，到达率差，稳定性差。三网合一通道连接互联网不需要运营商专线需要定制开发不需要需要不需要费用主要是SIM短信费用定制开发费用+企业短信套餐费用短信套餐费用iMCEIA终端智能接入系列产品介绍V03公众访客认证模式（数据源集成及免认证）与客户数据源集成与客户数据源集成（支持数据库、WebAPI等方式），使访客直接输入会员账号、卡号等直接认证上网。免认证方式直接推送广告、公告页面，访客接入无需输入用户名、密码，浏览广告页面后直接访问互联网。iMCEIA终端智能接入系列产品介绍V03公众访客认证模式（刷卡模式）无线SSIDiMCEIA服务器1346客户5Internet2银行排队机/身份证刷卡机iMCEIA终端智能接入系列产品介绍V03基于不同的SSID和接入区域（设备端口、VLAN等）或不同终端类型（PC、手机、平板）推送不同的认证页面，用户上网时，将会看到有针对性的特色页面。通过认证后，基于用户身份信息推送不同的通知、促销广告页面，十分适合进行品牌定向推广。基于SSID、接入位置的页面推送>>基于终端类型的页面推送灵活的页面推送iMCEIA终端智能接入系列产品介绍V03多套风格模板，支持自定义按终端类型提供不同种类模板支持嵌入第三方页面全流程覆盖：支持登录页面、上线页面、心跳页面、密码修改页面的模板化定制全流程的模板化页面定制iMCEIA终端智能接入系列产品介绍V03支持图文排版、增加超链接、层级设置、透明度设置、框架设置自由拖拽、类似Word风格的图文编辑、支持恢复、撤销历史操作自由拖拽快速引用样式设置预览发布图文编辑复用模板所见即所得，几乎零出错率，30分钟创建个性化页面可视化页面设计iMCEIA终端智能接入系列产品介绍V03自注册页面输入项可定制，收集访客信息，增加法律条款和验证码。访客短信认证，短信内容支持自定义，企业可自行定义广告信息。自定义属性iMCEIA终端智能接入系列产品介绍V03灵活的访问限制手段上网时长限制：可限制访客有效访问时长（支持天、时、分）。密码有效时长限制：可限制访客密码的有效时长（支持天、时、分），过期后必须重新获取密码。*注：EIA只能控制访客固定使用时长（2点接入，允许使用2小时，4点后不得接入），配合CAMS组件可以控制累积时长（每天允许使用2小时，无论何时使用，累积超过2小时后下线）验证码：支持随机验证码（防止恶意注册和密码尝试）和固定验证码（客户自定义，防止随意通过手机注册接入网络，限制消费类客户使用）访客二维码接入iMCEIA终端智能接入系列产品介绍V03智能终端认证方式对比认证方式适用场景易用性安全性终端支持综合评价MAC认证企业哑终端管理管理端：较差，需要收集终端MAC地址终端：无需配置较差，无法防止MAC仿冒行为，且无法定位终端对终端无要求★EAP-TLS认证信息安全较高的行业，如金融、科研机构等管理端：需配置根证书终端：需要配置用户名、密码以及证书，智能终端配置很复杂最高，接入层控制终端安全，接入用户双因素实名制管理。主流智能终端都支持，但存在证书兼容性问题，影响用户体验★EAP-PEAP认证必须要1x认证，不接受WebPortal认证管理端：需配置证书终端：第一次需要配置用户名、密码，智能终端配置较复杂高，接入层控制终端安全，接入用户实名制管理。主流智能终端都支持，但存在证书兼容性问题，影响用户体验★★Portal认证较普遍适用，对接入层控制无严格要求的行业管理端：配置Portal服务器；终端：每次接入需输入或确认用户名和密码一般，接入用户实名制管理，无法绑定MAC地址主流智能终端★★iMCEIA终端智能接入系列产品介绍V03H3C无感知认证方案iMCEIA服务器不在MAC认证白名单，推送Portal认证页面，要求输入用户名和密码H3C无线控制器EIAMAC认证模块发现HTTP流量获取终端MAC地址，查询是否在iMCEIAMAC认证白名单中EIA服务器验证用户账号密码正确后，用户上线。EIA通过UserAgent判断该终端为智能终端，则将账号、MAC地址放入MAC认证白名单中智能终端第二次接入无线网络发现接入终端MAC地址在白名单中，通过反查用户账号密码，自动完成认证H3C无感知认证方案在Portal认证的基础上，通过无线控制器和iMCEIA服务器配合实现的“一次接入，多次使用”的智能终端无感知认证方案，解决了传统Peap、Portal认证的终端兼容性和易用性难题，是企业智能终端接入认证的理想方式。iMCEIA终端智能接入系列产品介绍V03目录EIA三剑客设备管理员认证与审计iMCEIA终端智能接入系列产品介绍V03理想的网络设备运维模式操作了什么？Audit审计是否有权操作？Authorization授权你要去哪？是否符合要求？Authentication认证你是谁？Account帐号访问控制管理账号授权管理账号身份集中管理安全审计管理统一控制授权平台？Telnet、SSH、Console、FTPiMCEIA终端智能接入系列产品介绍V03EIA服务器网络设备设备管理员用户请求登录网络设备网络设备请求认证检查接入时段、接入区域、设备类型，完成身份认证根据用户授权策略，下发ShellProfile用户输入命令行，根据授权策略逐条检查命令有效性vlanaclDisplayPortinterface设备认证管理组件是如何工作的记录每次的操作，生成日志iMCEIA终端智能接入系列产品介绍V03支持按场景分配授权策略，场景是设备位置区域、设备类型和接入时段的组