iMCEIA终端智能接入系列产品介绍V03(可编辑版本)

易网络智联接—iMCEIA终端智能接入系列产品介绍AAA时代UAMACS(SecureAccessControlServer)AmigopodNAC时代EADNACApplianceECS（EndpointComplianceSystem)BYOD时代EIAISE(IdentityServicesEngine)ClearPassBYOD时代的呼唤从AAA到NAC，再到现在的BYOD时代，每个厂家都会推出全新的产品。针对BYOD时代的挑战，我司推出全新的EIA系列产品形态，以适应新时代的挑战。iMCBYOD总体解决方案EIP终端识别EAD终端准入EMO移动办公终端智能接入管理组件（EIA）EnduserIntelligentAccess终端管理AAA访客管理TACACS+EIA、EIP、EAD组件License概述EIA(EnduserIntelligentAccess)终端智能接入组件，是在原有iMCUAM用户接入管理组件的基础上，整合访客管理、TAM设备认证管理组件，而新推出的终端网络接入组件产品，与CiscoISE、ArubaClearPass产品结构类似，具备较强的竞争优势；EIP(EnduserIntelligentProfiling)终端智能识别方案，是基于EIA组件的一个功能授权，实现对网络接入终端的智能识别、网络零配置下发等功能；EAD终端准入控制组件维持原形态不变，在V7版本依赖的基础组件由UAM变更为EIA，此外EAD服务器与iNode客户端License合并报价；EMO终端移动办公组件License形态暂未确定。组件关系及License说明EIA终端智能接入组件为EIP、EAD的基础组件，License采用在线并发终端数量计算，License计算方式和CiscoISE、ArubaClearPass一致。采购500节点样例如下：H3CiMC-EIA终端智能接入组件H3CiMC-EIA终端智能接入组件-500LicenseEIP终端智能识别依赖于EIA组件，因此购买EIP需先购买EIA相关License。EIPLicense采用终端数量计算，采购500节点样例如下：H3CiMC-EIA终端智能接入组件（依赖关系）H3CiMC-EIA终端智能接入组件-500License（依赖关系）H3CiMC-EIA终端智能接入组件-终端智能识别功能-500LicenseEAD终端准入控制组件在V7版本，依赖组件由原UAM组件切换为EIA组件。License策略上保持和V5一致，即购买EAD组件赠送同等数量的EIALicense，同时License计算由V5版本的按管理用户数量计算变为按终端数量计算，采购500节点样例如下：H3CiMC-EAD终端准入控制组件H3CiMC-EAD终端准入控制组件-500License升级策略UAM升级:升级到V7后功能可继续使用，扩容可购买受控销售的UAM扩容授权。UAM不可升级到EIA组件，使用EIA功能的用户需要购买EIA组件。购买EIA后，原有UAM授权作废，以EIA授权优先进行控制；TAM升级：升级到V7版本后，功能可继续使用，原有授权可继续使用并保持原有授权控制模式，但不可扩容；不可升级到EIA组件，使用EIA功能的用户需要购买EIA组件，购买EIA后，原有TAM授权作废，以EIA授权优先进行控制；访客管理升级：访客管理升级到V7版本后，功能可继续使用，原有授权可继续使用并保持原有授权控制模式，但不可扩容；EAD升级：EAD组件升级到新版本EAD后，原有EAD组件赠送的UAM授权将转换为相同数量的EIA授权，同时原有单独采购的UAM组件及授权作废。目录EIA三剑客企业用户的认证与授权适应各种组网环境局域网接入无线接入远程VPN接入广域网接入园区网核心InternetIntranet网关接入WindowsADOA办公服务器证书服务器邮件服务器全面的接入认证服务•802.1X认证–支持PAP、CHAP、EAP-MD5、EAP-TLS、EAP-PEAP、EAP-GTC、EAP-TTLS。–iNode客户端支持Windows、Linux、MACOS。智能终端采用系统原生客户端。–针对采用终端原生客户端做1X认证，可采用EIP智能部署方案。•WebPortal认证–支持纯Web、可溶解客户端、iNode客户端等多种方式认证–支持IPV6，支持NAT环境下的Portal认证–支持Web可视化页面定制，基于位置的页面推送•MAC认证–支持哑终端（网络打印机、IP电话）认证–支持哑终端账户预配置•VPN认证–支持L2TP、IPSecVPN认证（需iNode客户端，额外报价）–支持SSLVPN认证可扩展的认证方式iMCEIA服务器LDAP服务器第三方RADIUS服务器证书服务器RSA服务器第三方用户管理系统、数据库身份周期管理-预注册账号转正-统一的密码控制策略（AD）-基于用户/组的访问策略-在线用户控制、消息下发-访问明细、认证失败日志-与办公系统单点登录-批量开户、同步开户-用户自助管理-分组分权管理-二次开发接口开户-过期账号自动销户-黑名单隔离机制健全的身份周期管理基于身份角色的策略控制不同组或用户设定不同访问控制策略不同组或用户设定的不同QOS级别不同用户设定不同的上下行带宽策略不同用户设定不同的会话数控制策略不同用户设定不同的接入场景控制策略INTERNET接入服务访客打印机策略控制打印机市场财务领导领导策略控制，QOS财务策略控制，QOS市场策略控制，QOSiMCEIA服务器灵活精细的用户接入控制Internet身份因素黑名单限制AD域账号绑定会话数限制时长限制终端因素IP地址绑定MAC地址绑定计算机名绑定AD域绑定硬盘序列号绑定设备序列号绑定客户端版本限制使用代理限制MAC地址池限制IP地址限制（客户端）网络因素设备IP地址绑定设备端口绑定VLAN绑定无线SSID绑定位置用户身份时间SSID终端类型基于场景的授权模式：根据用户身份、网络位置、SSID、访问时间、终端类型进行网络接入授权基于场景的接入授权策略目录EIA三剑客访客管理企事业单位：严格控制访客账号及访问权限公众场合：简易灵活的认证模式，智能的广告页面推送企业学校访客机关单位科研机构酒店咖啡厅饭店营业厅超市商场体育场展馆交通候车厅访客管理应用场景企业访客接待模式iMCEIA服务器123456访客访客接待员Internet1.访客接待员批量创建访客帐号并分配网络接入策略；2.访客接待员通过电子邮件或者短信定时通知访客；3.企业访客连接访客网络；4.推送企业访客门户页面要求输入账号、密码；5.访客身份验证成功，访问受限的网络资源；6.iMCEIA服务器定期自动删除失效的访客账号访客网络企业访客自助模式1.访客连接访客网络；2.访客通过访客预注册页面填写访客信息；3.访客管理员登录自助平台审批并分配网络接入策略；4.审批后，通过电子邮件、短信方式发送给访问账号、密码；5.访客连接访客网络，在登录页面输入收到的账号、密码；6.访客身份验证成功后，访问受限的网络资源；7.iMCEIA服务器定期自动删除失效的访客账号iMCEIA服务器1234567访客访客接待员Internet访客网络无线SSIDiMCEIA服务器1357访客公众访客认证模式（短信）6短信猫或短信网关4Internet1.访客连接无线SSID；2.访客在Web登录页面中输入个人手机号码、验证码或授权码，点击“获取密码”按钮；3.iMCEIA服务器对该手机号自动注册并分配密码及网络访问时限；4.iMCEIA通过短信猫或短信网关通知访客所分配的密码；5.访客手机接收短信，在登录页面中输入获取到的密码；6.访客身份验证成功后，开始访问互联网至访问截止时间；7.iMCEIA服务器定期自动删除失效的访客账号；2适用场景：严禁内网iMC服务器访问互联网且企业访客并发规模较小•iMCEIA服务器通过USB、串口连接短信猫（无需访问互联网），通过短信猫发送访客账号和密码；•需购买短信猫以及手机SIM卡，并承担相应短信费用。iMCEIA服务器短信猫适用于小型访客环境（50并发）以内规模短信发送方式（短信猫）企业内网若客户已经有短信平台/网关（也称为MAS，常为运营商提供），通过定制中间件与iMCEIA服务器对接实现短信发送；企业短信平台通过专线连接运营商网关，企业各类系统通过网内的短信平台对外实现短信发送。客户通过运营商购买短信套餐，而运营商赠送短信平台服务器。iMCEIA服务器企业短信平台短信发送方式（企业短信平台）企业内网iMCEIA服务器内置Web短信平台接口，通过Web调用实现短信发送：•EIA服务器通过互联网端口访问Web短信平台接口（开放特定网络端口或使用代理服务器），通过WebAPI方式调用Web短信平台进行短信发送；•客户无需购买任何硬件设施，只需要购买短信平台短信套餐，获取序列号，即买即用。iMCEIA服务器Web短信平台(SP)短信发送方式（内置短信平台）企业内网Internet中国移动中国电信中国联通Web短信平台接口短信发送方式对比短信猫企业短信平台（运营商）内置短信平台发送速度10条/秒20条/秒（异网）到100条/秒100条/秒稳定性差较好极高硬件设备有，指定型号有无显示号码内置SIM卡号码多运营商号码统一1065号码多运营商兼容性较差，跨网短信速度较慢本网速度快跨网通过卡发，速度慢，到达率差，稳定性差。三网合一通道连接互联网不需要运营商专线需要定制开发不需要需要不需要费用主要是SIM短信费用定制开发费用+企业短信套餐费用短信套餐费用公众访客认证模式（数据源集成及免认证）与客户数据源集成与客户数据源集成（支持数据库、WebAPI等方式），使访客直接输入会员账号、卡号等直接认证上网。免认证方式直接推送广告、公告页面，访客接入无需输入用户名、密码，浏览广告页面后直接访问互联网。公众访客认证模式（刷卡模式）无线SSIDiMCEIA服务器1346客户5Internet21.客户在银行排队机刷银行卡（或通过刷卡机刷身份证），以获取WiFi上网账号及密码；2.银行排队机（或身份证刷卡机）通过定制中间件与iMCEIA通信进行注册开户；3.银行排队机（或身份证刷卡机）自动打印上网账号和密码；4.客户访问无线网络，在登录页面中输入打印凭条中的账号和密码；5.客户身份验证成功后，开始访问互联网；6.iMCEIA服务器定期自动删除失效的访客账号。银行排队机/身份证刷卡机基于不同的SSID和接入区域（设备端口、VLAN等）或不同终端类型（PC、手机、平板）推送不同的认证页面，用户上网时，将会看到有针对性的特色页面。通过认证后，基于用户身份信息推送不同的通知、促销广告页面，十分适合进行品牌定向推广。基于SSID、接入位置的页面推送基于终端类型的页面推送灵活的页面推送多套风格模板，支持自定义按终端类型提供不同种类模板支持嵌入第三方页面全流程覆盖：支持登录页面、上线页面、心跳页面、密码修改页面的模板化定制全流程的模板化页面定制支持图文排版、增加超链接、层级设置、透明度设置、框架设置自由拖拽、类似Word风格的图文编辑、支持恢复、撤销历史操作自由拖拽快速引用样式设置预览发布图文编辑复用模板所见即所得，几乎零出错率，30分钟创建个性化页面可视化页面设计自注册页面输入项可定制，收集访客信息，增加法律条款和验证码。访客短信认证，短信内容支持自定义，企业可自行定义广告信息。自定义属性灵活的访问限制手段上网时长限制：可限制访客有效访问时长（支持天、时、分）。密码有效时长限制：可限制访客密码的有效时长（支持天、时、分），过期后必须重新获取密码。*注：EIA只能控制访客固定使用时长（2点接入，允许使用2小时，4点后不得接入），配合CAMS组件可以控制累积时长（每天允许使用2小时，无论何时使用，累积超过2小时后下线）验证码：支持随机验证码（防止恶意注册和密码尝试）和固定验证码（客户自定义，防