• xx是世界領先的集成電路芯片代工企業之一，主要業務是根據客戶本身或第三者的集成電路設計為客戶制造集成電路芯片。 為了增強企業內網接入的安全性和可控性，XX希望通過寧盾準入方案，對有線無線終端的接入執行嚴格的控制規則，從而提升內網安全系數。

• a.有線終端：有線只為內部員工提供網絡服務，終端接入進行mac認證，mac認證通過后獲取到初始vlan的地址，在初始vlan下檢測終端狀態是否合規（加域、安裝卡巴斯基）、檢測合規后獲取正常vlan的地址，反之則放到隔離vlan;
• b.員工無線:使用802.1x認證，賬號源同步AD域控，802.1x認證通過后獲取隔離vlan的地址，檢測終端合規后（加域、安裝卡巴斯基）切換正常vlan;
• c.在am認證系統上為訪客創建賬號，綁定訪客終端mac地址，訪客終端mab認證通過，只能上指定網絡。

3.方案拓撲

• 寧盾統一身份認證系統采用軟件加硬件的部署形式，軟件可以采用虛擬化部署，軟件與硬 件旁掛在核心交換機或匯聚交換機旁，無需對現網做任何改動，軟件DKEY AM部署可采用 Windows與Linux系統環境，可以為內部員工與訪客提供全場景認證方式。
• a、 AM系統與各個接入交換機對接，通過在AM認證系統綁定用戶的mac地址，實現有線終端的MAB認證；
• b、 AM系統與無線控制器對接，實現員工802.1x認證，訪客MAB認證；
• c、 準入引擎設備和核心交換機對接，通過旁路流量分析，檢測終端是否合規；
• d、 AM和準入引擎聯動實現終端切vlan.

a.加域的終端接入有線靜默執行mac認證，AM后臺有認證日志及在線信息，查看此時終端ip為隔離vlan的地址；如果終端滿足企業合規準入條件，則自動分配正常vlan；

（隔離VLAN）

（正常vlan）

b.員工無線，使用802.1x認證、成功后獲取隔離vlan的地址

c.訪客無線，事先為訪客創建賬號，綁定mac地址

• a.解決了客戶環境中對于人的終端身份的安全;
• b.全網身份認證使用二層802.1x協議、MAB，相比如三層portal認證更加安全;
• c.可視化終端，方便查看企業網絡環境中的各終端情況,同時實現基于“終端+賬號”的場景化零信任準入。