802.1x将接入層設備作為準入認證的控制點，對試圖接入網絡的用戶終端進行身份認證，防止非法用戶和終端接入網絡，降低各種安全威脅在校園擴散的風險。

接入層EIA解決方案組網應用

用戶終端需要安裝客戶端（若操作系統支持也可以不安裝客戶端），在上網前首先進行802.1x認證，否則将不能接入網絡。

802.1x認證要求用戶名密碼信息準确，并且滿足管理員設置的接入條件（接入的時間、地點等）和綁定檢查信息（終端的IP、MAC等），才能被授予相應的網絡權限。

優點：因為在接入層做準入認證，對于網絡準入的控制最嚴格，保證在未通過認證的情況下，終端無法訪問任何未被授權的網絡，最大程度保障了整個網絡的準入安全。

缺點：需要在每一台接入設備上配置認證，部署實施工作量巨大，尤其對于分支結構較多、組網複雜的場景，實施難度很大，且難以維護。

Portal一般将彙聚層及以上設備作為安全準入控制點，實施EIA解決方案，這樣可簡化EIA解決方案的應用部署。尤其是在對用戶原有企業網絡進行改造，實施EIA解決方案時，可以将原有彙聚層設備替換為支持EIA解決方案的彙聚層設備，或者通過簡單旁挂的方式，實現EIA解決方案的應用部署。

分支機構出口方式組網應用方案說明

這種組網結構中，将Portal認證設備部署在園區網彙聚層或者分支機構出口位置，EIA認證服務器部署在總部核心位置，用戶的每一次接入認證請求都需要發送到總部的EIA上進行身份驗證，隻有驗證通過的用戶才允許接入到總網絡中，可以有效阻止來自分支機構的安全威脅。

總部入口路由器方式組網應用

将Portal認證設備部署在園區網核心或者總入口，這種部署方式隻能控制分支機構的用戶訪問總部網絡的情況，分支機構内部互訪無法進行認證準入控制。

部署最簡單，工作量小，可以直接将總部入口路由器換成支持Portal協議的認證設備，或者在入口路由器旁挂Portal設備，簡單部署即可實現Portal準入認證。

比較适用于流量集中轉發的場景，如果是本地轉發的情況，由于控制點太高，無法對本地流量做認證準入控制。

優點：Portal設備一般部署位置較高（如彙聚層或核心層），部署更簡單方便。同時，Portal可不依賴于客戶端，通過網頁即可以實現簡單認證，易用性更好。最後，Portal擴展性好，可以擴展為微信認證、短信認證和二維碼認證，适用于内網、訪客、營銷等多種場景，應用更廣泛。

缺點：Portal控制點位置較高，對接入層設備的控制力度不足，Portal是私有協議，都會自己的實現方式，通用性不夠，設備混合使用的場景下會有難以适配的問題，需要通過旁挂Portal網關的方式解決。

無線局域網的安全問題主要體現在訪問控制和數據傳輸兩個層面。在訪問控制層面上，非授權或者非安全的客戶一旦接入網絡後，将會直接面對校園的核心服務器，威脅校園的核心業務，因此能對無線接入用戶進行身份識别、安全檢查和網絡授權的訪問控制系統必不可少。在無線網絡中，結合使用EIA解決方案，可以有效的滿足園區網的無線安全準入的需求。

物理組網方式與802.1x接入方式相同。

FIT AP與無線控制器之間的連接可以使用二層連接，也可以使用三層連接。

用戶接入時需要首先通過客戶端認證接入無線網絡，然後進行Portal接入。或者直接連接802.1x的SSID，安全接入無線網絡。

在組網中，用戶IP地址不發生變化的情況下，可以在AP之間漫遊。

基于用戶身份的控制信息在AC上下發。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!