EIA（Endpoint Intelligent Access，终端智能接入）可为企业提供统一的网络接入策略，实现企业网络（有线、无线和VPN网络）的统一接入管理，并提供对员工、访客、设备管理员基于角色、设备类型、接入时间、接入地点的网络访问控制，满足企业多种网络接入、多种终端接入的统一运维管理需求，确保终端安全策略在整个网络无缝地执行。

1.2 产品特点

1. 丰富的场景化接入控制能力

· 支持多样化设备，如PC终端、哑终端、服务器、虚拟终端等。

· 支持主流接入方式：有线、无线、光、VPN接入。

· 支持主流认证方式：802.1X、Portal、MAC、PPPoE、IPoE、L2TP VPN、SSL VPN、旁路镜像。

· 支持众多第三方用户数据源：动态令牌、证书、LDAP/AD、Radius、数据库、Web Service、自定义插件等。

2. 普通用户接入控制

· 集中化的设备资源和用户资源管理，提高管理效率。

· 支持类型多样化终端、支持多种接入及认证方式，使用多种接入组网场景及应用场景。

· 严格的权限控制手段，强化用户接入控制管理。

· 灵活的访客管理机制。

· 智能的广告推送，适应不同的网络运营方需求。

· 融合IP地址管理能力，提供全生命周期IP地址管理。

· 内嵌动态令牌服务，提供免费、安全的软令牌。

3. 设备管理用户接入管理

提供设备管理员用户认证、授权、审计全套能力，能力优于堡垒机。

4. 开放性

提供标准REST API接口，满足用户二次开发需求。

5. 高性能

支持百万级认证容量。

6. 高可用

支持双机热备、双机冷备、逃生服务器、集群、异地灾备、分级管理等功能。

1.3 准入流程

网络准入控制系统，通常由接入终端、准入设备和网络准入服务器（EIA）组成。

EIA支持有线、无线、VPN等多种接入方式，入网流程基于不同认证协议稍有差异，但总体遵循如下过程：

图1-1 网络准入流程

(2) 入网申请：终端发起接入请求。

(3) 身份认证：准入设备收到入网申请后，与EIA交互用户、终端信息，完成身份验证。

(4) 动态授权：合法用户，EIA将认证结果及授权信息返回给准入设备，准入设备放行终端入网，并进行动态授权；非法用户，返回认证失败，阻断设备入网。

(5) 资源访问：合法用户完成准入，按需访问自身权限内相关资源。

1.4 应用场景

1.4.1 使用场景

1. 公司办公

推荐认证方式：Portal和802.1X。可以支持有线和无线网络，并提供强身份认证，包括证书和令牌等。还支持访客的临时认证。

2. 远程办公

推荐认证方式：SSL VPN。通过SSL VPN确保公网传输的安全性，并允许访问公司内网资源。

3. 公众上网

推荐认证方式：短信、微信、企业微信和钉钉。该方案支持无客户端模式，可以通过手机关注公众号等方式进行上网认证，同时支持营销广告推送。

4. 哑终端管理

推荐认证方式：MAC。适用于摄像头、打印机、取款机等无法主动发起认证的设备，实现统一认证管理。

1.4.2 典型组网

图1-2 典型组网

组网说明：

(1) 应用场景：办公终端、移动终端、生产终端入网管控

(2) 认证技术：

¡ 若设备支持，PC终端首选接入交换机802.1X认证。

¡ 在接入设备能力不足或PC条件较差的局点，PC终端和其他移动终端在核心、汇聚、AC处启用Portal认证。

¡ 外部网络接入PC终端优先推荐SSL VPN认证接入，次选L2TP VPN。

¡ 哑终端选择在接入交换机启用MAC认证。

(3) 身份认证：本地账号/密码、LDAP/AD、数字证书、短信、软硬令牌、第三方数据库、第三方Radius、第三方Web等均可。

(4) 授权方式：通过VLAN、ACL、QoS（User Profile）、用户组（User Group）等技术动态授权用户网络访问权限。

(5) 管理能力：接入认证支持全部主流认证方式，有线/无线、内网/外网全覆盖；提供用户管理、资产管理、IP地址管理、接入拓扑。按需扩展部分能力，如消息分发、旁路镜像阻断、出口探测等。

1.5 相关技术

1.5.1 常见认证技术

根据用户安全规格和现网组网架构，需要选择适当的认证协议。当前常见的认证协议主要有802.1X认证、Portal认证、VPN认证、MAC认证。

表1-1 常见准入技术

认证方案	简介	适用场景
802.1X认证	基于端口/MAC的网络接入控制协议，对端口上接入的用户设备通过认证来控制对网络资源的访问	适用网络准入要求严格场景，可与所有支持802.1X标准的交换机联动
Portal认证	也称为Web认证，用户可以通过Web认证页面，输入用户账号信息，实现对终端用户身份的验证	主要适用于无客户端接入场景，安全性较低
VPN认证	包含SSL VPN、L2TP等VPN接入认证，用户可以通过互联网接入内网办公，输入用户账号信息，实现对终端用户身份的验证和访问资源权限的控制	适用于移动办公场景，实现移动办公统一认证，主要面向智能设备
MAC认证	用户终端以MAC地址作为身份凭据到认证服务器进行认证	主要用于哑终端认证，包括IP电话、打印机等

1.5.2 身份验证方式

EIA支持多种身份验证方式，不同场景和需求，对准入安全性、便捷性、运维管理效率的要求不同，管理员可以按需选择合适的身份验证方式。

表1-2 身份验证方式

用户（终端）身份验证方式	身份信息数据来源	适用场景说明
本地账号	管理员添加：用户名/密码，MAC地址访客自注册：手机，身份证信息	最常见的身份验证方式。适用场景：主要用于员工身份验证、哑终端认证、访客上网场景。
AD/LDAP账号	AD/LDAP平台同步：支持Microsoft AD、Novell Edirectory、IBM Tivoli、Sun One、JIT Galaxy、Open LDAP	企业或单位内部有AD/LDAP平台时，EIA系统可自动从平台同步用户名密码信息。适用场景：主要用于员工身份验证场景，运维管理效率高。
第三方数据库账号	第三方数据库同步：SQL Server数据库、Oracle数据库	用户自建有账户管理系统，数据存在第三方数据库中，EIA系统从数据库获取用户、终端信息用于身份验证。适用场景：主要用于员工身份验证和一些超大园区哑终端认证场景，运维管理效率高。
第三方Radius账号	Radius中继：如联软、天擎、城市热点等认证系统	用户除EIA认证系统外，还部署有其他公司的认证管理系统，为达到一次认证，多系统准入放行，往往采用此身份验证方式。适用场景：主要用于多准入平台环境下员工身份验证，员工体验较好。
Token	动态验证码：RSA SecurID、达芬奇密码动态身份认证系统，微信、邮件动态令牌等	动态生成令牌无固定密码，支持多种加密方式，安全性高。适用场景：对于员工身份验证安全性要求较高的场景。
证书	对接证书服务器：CA证书、X509证书等	一些单位会采用身份证书来标记员工，实现身份信息和信息数据的全方位的标记，安全性高。适用场景：对于员工身份验证安全性要求较高的场景。
生物特征	用户生物特征信息：包括指纹、虹膜、静脉等	生物特征无法仿冒，能确保终端用户使用人和使用场景合规。适用场景：对于员工身份验证安全性要求较高的场景。
社交媒体账号	用户社交媒体账号：微信、Facebook、Twitter、Google+	无需预创建账号，安装认证平台，操作较简便。适用场景：公共环境下访客身份验证，如机场、医院、酒店等场景。

2 概念百科

2.1 认证相关

1. AAA

AAA（Authentication、Authorization、Accounting，认证、授权、计费）是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。

· 认证：确认访问网络的远程用户的身份，判断访问者是否为合法的网络用户。

· 授权：对不同用户赋予不同的权限，限制用户可以使用的服务。例如，管理员授权办公用户才能对服务器中的文件进行访问和打印操作，而其它临时访客不具备此权限。

· 计费：记录用户使用网络服务过程中的所有操作，包括使用的服务类型、起始时间、数据流量等，用于收集和记录用户对网络资源的使用情况，并可以实现针对时间、流量的计费需求，也对网络起到监视作用。

2. 802.1X

802.1X协议是一种基于端口的网络接入控制协议，即在局域网接入设备的端口上对所接入的用户和设备进行认证，以便控制用户设备对网络资源的访问。

802.1X系统中包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Authentication server），如下图所示。

图2-1 802.1X体系结构图

· 客户端是请求接入局域网的用户终端，由局域网中的设备端对其进行认证。客户端上必须安装支持802.1X认证的客户端软件。

· 设备端是局域网中控制客户端接入的网络设备，位于客户端和认证服务器之间，为客户端提供接入局域网的端口（物理端口或逻辑端口），并通过与认证服务器的交互来对所连接的客户端进行认证。

· 认证服务器用于对客户端进行认证、授权和计费，通常为RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）服务器。认证服务器根据设备端发送来的客户端认证信息来验证客户端的合法性，并将验证结果通知给设备端，由设备端决定是否允许客户端接入。在一些规模较小的网络环境中，认证服务器的角色也可以由设备端来代替，即由设备端对客户端进行本地认证、授权和计费。

3. Portal

Portal认证通过Web页面接受用户输入的用户名和密码，对用户进行身份认证，以达到对用户访问进行控制的目的。Portal认证通常部署在接入层以及需要保护的关键数据入口处实施访问控制。在采用了Portal认证的组网环境中，用户可以主动访问已知的Portal Web服务器网站进行Portal认证，也可以访问任意非Portal Web服务器网站时，被强制访问Portal Web服务器网站，继而开始Portal认证。目前，设备支持的Portal版本为Portal 1.0、Portal 2.0和Portal 3.0。

Portal认证具有如下优势：

· 可以不安装客户端软件，直接使用Web页面认证，使用方便。

· 可以为运营商提供方便的管理功能和业务拓展功能，例如运营商可以在认证页面上开展广告、社区服务、信息发布等个性化的业务。

· 支持多种组网型态，例如二次地址分配认证方式可以实现灵活的地址分配策略且能节省公网IP地址，可跨三层认证方式可以跨网段对用户作认证。

4. SSL VPN

SSL VPN以SSL（Secure Sockets Layer，安全套接字层）为基础提供远程的安全连接服务。用户可通过互联网，使用内嵌SSL协议的浏览器与远端的Web服务器建立安全的连接，访问内部资源。企业或机构可通过SSL VPN为移动用户或者外部客户提供访问内部资源的服务并保证安全性。

5. MAC认证

MAC地址认证是一种基于端口和MAC地址对用户的网络访问权限进行控制的认证方法，无需安装客户端软件。设备在启动了MAC地址认证的端口上首次检测到用户的MAC地址后，启动对该用户的认证操作。认证过程中，不需要用户手动输入用户名或密码。若该用户认证成功，则允许其通过端口访问网络资源，否则该用户的MAC地址就被设置为静默MAC。在静默时间内，来自此MAC地址的用户报文到达时，设备直接做丢弃处理，以防止非法MAC短时间内的重复认证。

6. 无感知认证

无感知认证是指在客户端接入的二层接口上开启MAC地址认证功能后，由MAC地址认证授权触发Portal认证。用户完成一次Portal认证后，服务器记录用户MAC信息，用户重新上线时只需通过MAC地址认证，无需再次进行Portal认证即可正常访问网络。

7. RADIUS协议

RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。RADIUS协议合并了认证和授权的过程，它定义了RADIUS的报文格式及其消息传输机制，并规定使用UDP作为封装RADIUS报文的传输层协议，UDP端口1812、1813分别作为认证/授权、计费端口。

8. L2TP

L2TP（Layer 2 Tunneling Protocol，二层隧道协议）通过在公共网络（如Internet）上建立点到点的L2TP隧道，将PPP（Point-to-Point Protocol，点对点协议）数据帧封装，通过EIA认证服务器授权后接入公共网络，使用户能够通过L2TP隧道与企业内部网络通信，访问企业内部网络资源。

9. PPPoE

PPPoE（Point-to-Point Protocol over Ethernet，在以太网上承载PPP协议）是对PPP协议的扩展，它在以太网上建立PPPoE会话，将PPP报文封装在以太网帧之内，在以太网上提供点对点的连接，解决了PPP无法应用于以太网的问题。PPPoE还可以通过远端接入设备对接入的每台主机实现控制、认证、计费功能。由于很好地结合了以太网的经济性及PPP良好的可扩展性与管理控制功能，PPPoE被广泛应用于小区接入组网等环境中。

10. PPPoE代拨

为满足校园网用户对网络出口多样化的需求，提高用户满意度，以及学校自身简化校园网建设和维护的需要，越来越多的高校采用与多家运营商联合运营共建多出口的方式，将网络出口选择权下放给学生，由学生根据自身需要自主选择开通某家运营商的宽带账号。

联合运营场景下，通过在校内BRAS设备或PPPoE代拨网关设备上部署PPPoE代拨功能，不仅可以帮助学校和运营商提高BRAS业务部署效率、简化联合运营模式，还能为校园网用户提供极佳的上网体验。

PPPoE代拨是指对于开通了运营商“代拨”业务的校内用户，由校内BRAS设备或PPPoE代拨网关设备为这类用户向其所属运营商的BRAS设备发起代理拨号认证的一种技术。这里的“代拨”业务一般是指开通运营商宽带账号的上网业务。

2.2 用户业务相关

1. 接入服务

服务是最终用户使用网络的一个途径，它由预先定义的一组网络使用特性组成，其中具体包括基本信息和接入策略信息两部分。服务为用户提供了完善的接入策略，用户申请了特定的服务后，即可按照服务设定的属性访问网络。

2. 接入策略

接入策略是最终用户使用网络必须符合的要求。其中具体包括基本信息、授权信息、认证绑定信息、用户客户端配置等。配置完的接入策略可以被服务引用。用户申请服务并接入网络时，受到服务中接入策略的限制。

3. 接入条件

为了让同一个接入用户在不同接入条件接入网络时使用不同的接入策略，同时对用户的访问权限进行控制，EIA推出了接入条件管理的功能。

· 如果用户接入的条件与服务中的某个接入条件匹配，则用户认证时使用该条件对应的接入策略。

· 如果用户接入的条件与服务中的多个接入条件匹配，则用户认证时使用优先级高的条件对应的接入策略。

· 如果用户接入的条件与服务中的任何接入条件都不匹配，使用缺省的安全策略和下发缺省的私有属性、私有属性下发策略。

4. 接入用户

接入用户中可以快速查询申请了接入账号的用户。管理员查询接入用户时，查询出的用户均为该管理员所能管理/查看的用户。

5. 访客用户

访客用户可以显示已经通过注册的访客。访客的简单查询功能可以让操作员快速找到特定的访客。

6. IP地址管理

IP地址管理提供全生命周期地址管理能力，包括IP地址规划、分配、回收、统计。IP地址管理是对网络资源管理功能的完善，其作用是统一管理认证终端的IP地址，解决人工维护管理成本高以及缺乏有力的IP地址管控手段，造成大量的在网问题。

7. LDAP业务

LDAP服务器是一种以目录树结构存储用户信息的服务器。LDAP服务器中存储的用户称为LDAP用户。

EIA组件可以将本系统中的接入用户和LDAP用户相关联。当接入用户发起认证请求时，本系统确认存在此用户后，根据配置执行本地LDAP用户的验证或将验证工作转交给LDAP服务器。实现此功能后，在相对稳定的网络中引入本系统时，不需要重建用户信息数据库，节省了大量的维护成本。

8. 分级管理

对分级服务的节点进行管理，包含上级节点、下级节点、当前节点。

· 上级节点：包含上级节点的基本信息，并提供对用户同步、全量同步等基本功能。

· 下级节点：包含所有直系下级节点信息，并提供增加下级节点、查看下级节点详细信息、策略同步配置、用户同步配置、查看同步用户、查看用户同步历史、修改下级节点、删除下级节点等功能。

· 当前节点：包含当前节点的基本信息，可进行节点名称和协议类型的配置。

· 如果当前节点拥有上级节点或者下级节点且连接正常，修改当前节点时，当前节点信息也会同步到该节点的上级和下级节点。

· 上级节点有权限修改当前节点的配置项。上级节点添加当前节点为下级节点或者修改当前节点时，当前节点信息会跟随更新。

3 快速入门

3.1 登录系统

(1) 在浏览器中输入统一数字底盘的登录地址“http://ip_address:30000”，其中“ip_address”为统一数字底盘北向业务虚IP，进入如下图所示登录页面。

图3-1 登录界面

(2) 在弹出的登录界面中输入用户名和密码（若未曾修改过密码，则可以使用默认的账号/密码admin/Pwd@12345），单击<登录>按钮跳转至系统首页。

3.2 使用流程

在使用EIA系统时，主要的使用流程包括配置接入设备、接入策略、接入服务和接入用户。

用户可以根据自身需求执行部分操作，并非必须执行全流程操作。

(1) 接入设备配置

接入设备是指那些与系统配合进行认证的交换机、接入服务器等设备，只有在此处配置的接入设备才能与系统进行正常的报文交互，才能完成最终用户的认证流程，具体配置操作请参见4.2.1 1. 增加接入设备。

(2) 接入策略配置

接入策略是最终用户使用网络必须符合的要求。其中具体包括基本信息、授权信息、认证绑定信息、用户客户端配置等。配置完的接入策略可以被服务引用。用户申请服务并接入网络时，受到服务中接入策略的限制，具体配置操作请参见4.3.2 1. 增加接入策略。

(3) 接入服务配置

接入服务是最终用户使用网络的一个途径，它由预先定义的一组网络使用特性组成，其中具体包括基本信息和接入策略信息两部分。服务为用户提供了完善的接入策略，用户申请了特定的服务后，即可按照服务设定的属性访问网络，具体配置操作请参见4.3.1 增加接入服务。

(4) 接入用户配置

终端用户接入网络时，EIA匹配终端用户的接入条件，并使用接入场景中的接入策略控制终端用户，具体配置操作请参见4.4.1 1. 增加接入用户。

4 系统功能介绍

4.1 在线用户

4.1.1 本地在线用户

为了方便对用户接入管理的维护操作及对最终用户的管理工作，系统列出了当前操作员所能管理的所有在线终端用户。只要用户当前使用了任何接入管理的业务，您就能够在本地在线用户中查到其业务使用的相关信息。

进入[自动化>网络准入>准入管理>在线用户>本地在线用户]页面，如下图所示。

图4-1 本地在线用户

1. 消息下发

勾选本地在线用户，单击<消息下发>按钮，可以向指定的在线用户下发消息，如下图所示，具体参数说明请参见产品联机帮助。

图4-2 消息下发

2. 强制下线已选用户

强制下线和清除在线信息两个功能的区别：

· 强制下线：操作员单击强制下线后，配置台会下发报文给接入设备或者iNode客户端，由接入设备或者iNode客户端触发下线请求，RADIUS服务器收到下线请求后将用户下线，是一个完整的上线下线过程。

· 清除在线信息：当终端用户触发下线请求时，若设备向RADIUS服务器转发下线报文时，报文丢失，或者设备断电重启，此时终端用户已经断线，但RADIUS服务器由于没有收到用户的下线请求报文，系统中的该用户的在线记录仍然存在，此时需要操作员清除在线信息，由系统直接删除在线记录，并记录接入明细。

操作员基于某种原因，需要终止用户的本次接入，可以使用强制下线功能，将用户踢下线。强制下线只是中断当前会话，被强制下线的用户可以再次触发认证，重新接入网络。

已勾选本地在线用户，单击<强制下线已选用户>按钮，可以将指定的在线用户强制下线，如下图所示。

图4-3 强制下线

3. 清除在线用户

有几种情况会出现客户端已经断线，但系统仍然存在在线记录（称为吊死用户）：一是接入设备断电重启，此时接入该设备的终端用户都会断线，但RADIUS服务器没有接收到下线请求报文，在线记录会继续存在；二是客户端发起下线请求，但请求报文中途丢失，造成客户端已经下线，但系统中仍然会存在在线记录。

如果用户吊死时间超过一定值，系统会自动清除在线信息。该时长由系统参数“老化时间间隔”控制。

已勾选本地在线用户，单击<强制下线已选用户>按钮，可以将指定的在线用户强制下线，如下图所示。

图4-4 清除在线信息

4. 定制页面

该功能用于定制列表的显示内容。可以启用需要显示的项目、调整项目的优先级。

(1) 单击<定制页面>按钮，进入定制页面页面，选择“可选择项列表”的项目，单击按钮，将选择的项目移动至“输出列表”，如下图所示，则在本地在线用户列表中显示“输出列表”中的所有项目。

图4-5 移动项目

(2) 在“输出列表”中勾选要指定的项目，单击右侧操作按钮，可将选项置顶、上移、下移、置顶、重置，如下图所示。

图4-6 操作

5. 批量导出

该功能用于将系统中的在线用户信息导出为文件并保存到本系统服务器或本地。

(1) 勾选要导出的用户，单击<批量导出>按钮，选择“导出已选”，或者设置查询条件，查询出符合条件的在线用户，单击<批量导出>按钮，选择“按查询条件导出用户”。

(2) 进入批量导出页面，选择文件格式和文件中列分隔符，配置可选列表，如下图所示。

图4-7 导出列表

(3) 配置完成后，单击<确定>按钮，进入在线用户导出结果页面，如下图所示。

图4-8 在线用户导出结果

(4) 单击<下载导出文件>按钮，将文件下载到本地。

6. 重认证

当操作员基于某些原因要断开用户的本次接入并使之重新认证时，可以使用重认证功能。

勾选要重认证的在线用户，单击<更多>按钮，选择“重认证”进行重新认证，如下图所示。

图4-9 重认证

7. 终端日志下载

单击<更多>按钮，选择“终端日志下载”，进入终端日志下载页面可下载终端日志，如下图所示，单击下载日志列的链接可下载终端日志。

图4-10 终端日志下载

8. 按查询条件强制下线用户

设置查询条件，查询出符合条件的在线用户，单击<更多>按钮，选择“按查询条件强制下线用户”，如下图所示。

图4-11 按查询条件强制下线用户

4.1.2 漫游在线用户

为了方便对漫游用户的查询操作，系统列出了漫游到当前用户的登录名、漫游类型等信息。只要用户漫游到当前EIA，管理员就能够在漫游在线用户管理中查到其业务使用的相关信息。同时，管理员可以通过查询条件查询符合条件的漫游在线用户。

进入[自动化>网络准入>准入管理>在线用户>漫游在线用户]页面，可查看漫游在线用户信息，如下图所示，单击<强制下线>可将勾选的用户强制下线，单击<清除在线信息>按钮，可清除用户的在线信息。

图4-12 漫游在线用户

4.1.3 设备在线用户

设备在线用户提供了从接入设备的角度管理在线用户的入口，给出了接入设备上的在线用户统计数，也提供了对一个接入设备上的所有用户的批量操作，比如批量强制下线，批量下发消息等。这些功能都是为了方便操作员的管理。

(1) 进入[自动化>网络准入>准入管理>在线用户>设备在线用户]页面，单击<增加>按钮，进入增加接入设备页面，配置接入设备信息，在设备列表区域，单击<增加IPv4设备>按钮，增加接入设备，如下图所示，具体配置参数请参见产品联机帮助。

图4-13 增加接入设备

(2) 单击设备在线用户操作列的按钮，可进行消息下发操作。

(3) 单击设备在线用户操作列的按钮，可进行强制下线操作。

(4) 单击设备在线用户操作列的按钮，可进行清除在线信息操作。

4.2 接入设备

4.2.1 接入设备

1. 增加接入设备

(1) 进入[自动化>网络准入>准入管理>接入设备>接入设备>设备配置]页面，单击<增加>按钮，进入增加接入设备页面，配置共享密钥，如下图所示，其他参数说明请参见产品联机帮助。

图4-14 接入配置

(2) 在设备列表区域，单击<增加IPv4地址/增加IPv6>按钮，进入增加接入设备页面，如下图所示，填写设备IP地址。

图4-15 增加接入设备

(3) 单击<确定>按钮，返回设备配置页面，提示接入设备成功，如下图所示。

图4-16 增加成功

(4) 增加接入设备成功后，单击操作列的按钮，可查看详细信息，如下图所示。

图4-17 详情

(5) 单击操作列的按钮，可查看设备端口信息，如下图所示。

图4-18 查看设备端口信息

(6) 勾选要删除的设备，单击<删除>按钮，可删除接入设备。

(7) 勾选要修改的设备，单击<修改>按钮，可进入修改接入设备页面修改信息。

2. 批量导入接入设备

(1) 单击<批量导入>按钮，进入批量导入页面，单击“接入设备导入模板”链接，下载导入模板。

(2) 填写导入模板文件，填写完成后保存文件，在批量导入页面，单击<上传文件>按钮，选择刚保存的文件，如下图所示。

图4-19 上传文件

(3) 单击<下一步>按钮，进入设备信息详情页面，如下图所示。

图4-20 详情信息

(4) 单击<预览>按钮，弹出预览导入的设备页面，如下图所示。

图4-21 预览导入的设备

(5) 单击<关闭>按钮，然后单击<确定>按钮，进入批量导入设备结果页面，可查看导入结果，如下图所示。

图4-22 导入结果

(6) 单击“下载错误日志”链接，可下载错误日志并查看错误日志。

3. 缺省配置

该功能应用于存在大量接入设备的网络场景，无需将每一个接入设备加入本系统中进行管理，统一使用缺省配置，可简化管理员操作。即网络中没有纳入本系统管理的接入设备使用缺省配置建立连接关系。

单击<缺省配置>按钮，进入缺省配置页面，勾选启用缺省配置选项，配置共享密钥，如下图所示。

图4-23 缺省配置

4. 导出接入设备

(1) 勾选要导出的接入设备，单击<更多>按钮，选择“导出已选中的接入设备”选项，或者在设备配置页面设置查询条件，查询出符合条件的接入设备，选择“按查询条件导出接入设备”。

(2) 进入导出文件参数页面，选择文件格式和文件中列分隔符，如下图所示。

图4-24 导出文件参数

(3) 配置完成后，单击<确定>按钮，进入接入设备导出结果页面，单击“下载导出文件”链接，如下图所示。

图4-25 下载导出文件

5. 添加至接入位置分组

勾选要加入接入位置分组的接入设备，单击<更多>按钮，选择“添加至接入位置分组”选项，弹出添加至接入位置分组页面，填写接入位置分组名称，选择业务分组，若用户输入的接入位置分组名和数据库中接入位置分组的名称相同，则系统将自动把接入设备添加到接入位置分组上，否则将使用所选“业务分组”新增接入位置分组，如下图所示。

图4-26 添加至接入位置分组

6. 批量启用/取消逃生设备

勾选要启用或取消逃生的接入设备，单击<更多>按钮，选择“批量启用/取消设备逃生”选项，如下图所示。

图4-27 启用/取消逃生

7. 网关配置

(1) 单击操作列的按钮，进入用户网关列表配置网关。

(2) 单击<增加>按钮，弹出增加用户网关页面，配置用户网关IP地址和MAC地址，如下图所示。

图4-28 增加用户网关

8. NAT转换前IP配置

在当前EIA作为漫游目的地的场景下（第三方服务器指向EIA）。增加第三方服务器作为接入设备，需要对这个接入设备增加NAT转换前IP配置，也就是第三方服务器纳管的所有接入设备。

在NAT场景中。例如接入设备的IP为IP(A)，NAT转换后为IP（B），接入设备增加的IP(B)，所以需要在接入设备IP(B)中增加NAT转换前IP，也就是IP(A)。

单击操作列的按钮，进入NAT转换前IP列表，单击<增加>按钮，弹出增加NAT转换前IP页面，填写NAT转换前IP，如下图所示。

图4-29 增加NAT转换前IP

9. 设备分组

(1) 进入[自动化>网络准入>准入管理>接入设备>接入设备>设备分组]页面，单击<增加>按钮，进入增加设备分组页面，填写分组名称，如下图所示。

图4-30 增加设备分组

(2) 配置完成后，单击<确定>按钮，返回设备分组页面，单击分组操作列的按钮增加子分组。

10. 设备类型

设备类型主要用于区分不同厂商的设备。为不同厂商的设备配置不同的RADIUS属性，可以使接入设备更好的与EIA配合。系统预置了H3C、3Com、华为、思科、锐捷、惠普MSM、惠普Comware、微软、Juniper、惠普ProCurve和ARUBA 11种常用的接入设备类型。在增加或修改接入设备时，设备类型下拉框中可以选择系统预置和管理员自定义的接入设备类型。

(1) 进入[自动化>网络准入>准入管理>接入设备>接入设备>设备类型]页面，单击<增加>按钮，进入增加设备类型页面，填写基本信息，具体参数说明请参见产品联机帮助，单击<确定>按钮，完成配置，如下图所示。

图4-31 增加设备类型

(2) 单击设备类型操作列的按钮，进入配置私有属性页面，单击属性列表区域的<增加>按钮，弹出私有属性配置页面，配置属性名称和属性ID，配置完成后，单击<确定>按钮，如下图所示。

图4-32 私有属性配置

11. 私有属性管理

由于接入设备支持的RADIUS属性不同，为了让EIA可以使用这些属性来实现对用户的接入控制，EIA提供了属性下发策略。通过配置属性下发策略后，管理员可以自定义属性及其值，并下发给接入设备，让接入设备根据策略执行对应的操作（比如让用户下线）。

进入[自动化>网络准入>准入管理>接入设备>接入设备>私有属性管理]页面，单击<增加>按钮，进入增加私有属性下发策略页面，配置私有属性下发策略名称，选择业务分组，单击属性列表的<增加>按钮，弹出属性选择页面，选择属性，如下图所示。

图4-33 增加私有属性下发策略

4.2.2 EAC设备

1. 参数配置

EAC参数配置主要涉及心跳检测、数据上报等基本参数以及准入控制相关的全局参数。

(1) 进入[自动化>网络准入>准入管理>接入设备>EAC设备>参数配置]页面，如下图所示。

图4-34 参数配置

(2) EAC设备基本配置区域参数保持默认即可，具体参数说明请参见产品联机帮助。

(3) 勾选终端准入配置区域的“启用例外资源”参数，可单击<增加>按钮，弹出增加例外资源IP段页面，填写起始、终止IP地址，如下图所示。

图4-35 增加例外资源IP段

(4) 配置完成后，单击<确定>按钮，可查看新增的例外资源地址段，如下图所示，终端访问该网段时不进行控制。

图4-36 查看例外资源IP段

2. 设备管理

当修改EAC设备信息或EAC业务参数后下发参数失败，可执行手动下发配置。

(1) 进入[自动化>网络准入>准入管理>接入设备>EAC设备>设备管理]页面，勾选需要手动下发配置的EAC设备，单击<手动下发配置>按钮，选择“选择的设备”选项，如下图所示。

图4-37 手动下发配置

(2) 如果目标为下发失败的所有设备，则无需勾选EAC设备，选择“上次失败的设备”选项即可。

3. 内网外联检测配置

终端不需要安装代理软件的情况下，该方案可以检测到有内网外联风险的终端。通过EAC客户端定期向终端发送ICMP和TCP SYN报文，根据响应情况识别并上报存在外联风险的终端，确保内网安全。EAC客户端检测完成后，会将有风险的内网外联终端及检测时间上报给EAC服务器，在“内网外联风险终端”列表中进行展示。

(1) 进入[自动化>网络准入>准入管理>接入设备>EAC设备>内网外联检测配置]页面，如下图所示。

图4-38 内网外联检测配置

(2) 勾选“启用内网外联联测”配置，配置超时时间和策略间隔时长，如下图所示。

图4-39 主动内网外联检测配置

(3) 单击<增加>按钮，弹出增加外网资源IP段，填写起始、终止IP地址，如下图所示，配置完成后，单击<确定>按钮。

图4-40 增加外网资源IP段

(4) 单击管理范围区域的<增加>按钮，弹出增加管理资源IP段页面，填写起始、终止IP地址，该IP地址范围用于进行内网外联检测，如下图所示，配置完成后，单击<确定>按钮。

图4-41 增加管理资源IP段

(5) 单击例外设置区域的<增加>按钮，弹出增加例外资源IP段页面，填写起始、终止IP地址，不对在该IP地址段的终端进行检测，如下图所示，配置完成后，单击<确定>按钮。

如果管理范围指定了IP地址段，那么下列IP段需要在管理IP地址段涵盖范围内，超出部分的IP不会生效。

图4-42 增加例外资源IP段

(6) EAC客户端检测完成后，会将有风险的内网外联终端及检测时间上报给EAC服务器，在“内网外联风险终端”列表中进行展示，如下图所示。

图4-43 内网外联风险终端

4.3 接入服务

4.3.1 增加接入服务

(1) 进入[自动化>网络准入>准入管理>接入服务>接入服务]页面，单击<增加>按钮，进入增加接入服务页面，在基本信息区域配置服务名、服务后缀，缺省接入策略等信息，如下图所示，具体参数说明请参见产品联机帮助。

图4-44 增加接入服务

(2) 在接入场景列表区域，单击<增加>按钮，进入增加接入场景页面，接入场景信息包括接入条件信息和接入策略信息两部分，如下图所示，具体参数说明请参见产品联机帮助。

图4-45 增加接入场景

(3) 配置完成后，单击<确定>按钮。

4.3.2 接入策略

1. 增加接入策略

接入策略是最终用户使用网络必须符合的要求，配置完的接入策略可以被服务引用。用户申请服务并接入网络时，受到服务中接入策略的限制。

(1) 进入[自动化>网络准入>准入管理>接入服务>接入策略>接入策略]页面，单击<增加>按钮，进入增加接入策略页面，填写接入策略名，如下图所示，其他参数说明参见产品联机帮助。

图4-46 增加接入策略

图4-47 授权信息

图4-48 认证绑定信息

图4-49 用户客户端配置

(2) 配置完成后，单击<确定>按钮。

2. 无线SSID池

无线SSID池通过管理无线SSID列表来限制用户接入网络。当在接入策略中选中"启用无线SSID控制"时，如下图所示，如果列表中的接入控制类型为“禁止接入”，则禁止通过列表中的SSID连接的用户接入网络；如果接入控制类型为“允许接入”，则只允许通过列表中的SSID连接的用户接入网络。该功能必须和iNode PC客户端配合使用，EIA一旦将无线SSID池下发给iNode客户端，iNode就会在终端上保存该配置。后续无论使用iNode客户端还是使用Windows自带客户端，不管是否到EIA中认证，该配置都一直生效。

图4-50 启用无线SSID控制

(1) 进入[自动化>网络准入>准入管理>接入服务>接入策略>无线SSID]页面，单击<增加无线SSID>按钮，弹出增加无线SSID页面，填写SSID名称，如下图所示。

图4-51 增加无线SSID

(2) 配置完成后，单击<确定>按钮。

(3) 当无线SSID池列表为空时，可单击“修改接入控制类型”链接修改接入控制类型，如下图所示。

图4-52 修改接入控制类型

3. 终端硬盘序列号池

终端硬盘序列号池通过管理允许接入的硬盘序列号列表来控制用户对网络的使用。管理员可以配置允许接入硬盘序列号列表。在接入策略中启用终端硬盘序列号控制，如下图所示，接入用户上线时，若用户的硬盘序列号在允许接入的硬盘序列号列表中，则用户成功上线；否则不能上线。

图4-53 启用终端硬盘序列号控制

(1) 进入[自动化>网络准入>准入管理>接入服务>接入策略>终端硬盘序列号池]页面，单击<增加>按钮，弹出增加终端硬盘序列号页面，填写终端硬盘序列号，要求输入十六进制字符0-9和A-F，如下图所示。

图4-54 增加终端硬盘序列号

(2) 配置完成后，单击<确定>按钮。

(3) 单击右上角“无法获取硬盘序列号时的接入控制类型”链接，进入无法获取硬盘序列号时的接入控制类型页面，可修改接入控制类型，如下图所示。

当EIA无法获取到当前接入终端的硬盘序列号时，根据“接入控制类型”设置的“允许接入”和“禁止接入”决定是否允许接入，只有在使用iNode PC客户端认证时该功能才生效。

图4-55 无法获取硬盘序列号时的接入控制类型

4. 终端IP/MAC地址池

终端IP/MAC地址池通过管理允许或禁止接入的IP/MAC地址列表来限制用户对网络的使用。终端IP/MAC地址池和接入策略中“启用终端IP/MAC地址控制”配合使用，如下图所示，只有在接入策略中选中该选项，IP/MAC地址管理才会生效。IP/MAC地址管理只能控制通过策略服务器进行安全检查的认证方式。

图4-56 启用终端IP/MAC地址控制

(1) 进入[自动化>网络准入>准入管理>接入服务>接入策略>终端IP/MAC地址池]页面，单击<增加>按钮，进入增加终端MAC地址页面，填写禁止接入的MAC地址，如下图所示。

图4-57 增加终端MAC地址

(2) 配置完成后，单击<确定>按钮。

(3) 当终端IP/MAC地址池列表为空时，可单击“修改接入控制类型”链接修改接入控制类型，如下图所示。

图4-58 修改接入控制类型

5. 终端BIOS序列号池

终端BIOS序列号池通过管理允许接入的BIOS序列号列表来控制用户对网络的使用。在接入策略启用终端BIOS序列号控制后，如下图所示，接入用户上线时，如果该用户的BIOS序列号在允许接入的BIOS序列号列表中，则用户成功上线；如果不在该列表中，则用户不能上线。当终端BIOS序列号列表为空时，用户接入网络不受该功能限制，所有用户可正常接入网络。

图4-59 启用终端BIOS序列号控制

(1) 进入[自动化>网络准入>准入管理>接入服务>接入策略>终端BIOS序列号池]页面，单击<增加>按钮，进入增加终端BIOS序列号页面，填写终端BIOS序列号，如下图所示。

图4-60 增加终端BIOS序列号

(2) 配置完成后，单击<确定>按钮。

(3) 单击右上角“无法获取BIOS序列号是的接入控制类型”链接，进入无法获取BIOS序列号时的接入控制类型页面，配置接入控制类型，如下图所示。

图4-61 无法获取BIOS序列号时的接入控制类型

当EIA无法获取到当前接入终端的BIOS序列号时，根据“无法获取BIOS序列号时的接入类型”设置为“允许接入”或“禁止接入”决定用户是否允许上线。只有在使用iNode PC客户端认证时该功能才生效。

6. ACL管理

(1) 进入[自动化>网络准入>准入管理>接入服务>接入策略>ACL管理]页面，单击<增加>按钮，进入增加接入ACL策略页面，配置ACL名称、ACL规则默认动作，如下图所示，具体参数说明请参见产品联机帮助。

图4-62 增加接入ACL策略

(2) ACL规则列表类型可选择手工配置或选择接入ACL规则集。

¡ 手工配置：单击<增加>按钮，弹出增加接入ACL规则页面，配置ACL规则，如下图所示。

图4-63 增加接入ACL规则

¡ 选择接入ACL规则集：单击<增加>按钮，弹出选择接入ACL规则集页面，选择7. ACL规则库配置的ACL规则集，如下图所示。

图4-64 选择接入ACL规则集

7. ACL规则库

(1) 进入[自动化>网络准入>准入管理>接入服务>接入策略>ACL规则库]页面，单击<增加>按钮，进入增加接入ACL规则集页面，配置规则集名称，在ACL规则列表区域，单击<增加>按钮，弹出增加接入ACL规则页面，配置参数说明参见产品联机帮助。

(2) 配置完成后，单击<确定>按钮，通过操作ACL规则列表中优先级列的上下箭头可调整规则的优先级，如下图所示。

图4-65 优先级

4.3.3 接入条件

1. 接入位置分组

接入位置分组即用户接入网络时使用的设备。该功能是BYOD的前置功能，其作用是实现接入用户通过不同的接入设备上网时可以使用不同的接入策略。

进入[自动化>网络准入>准入管理>接入服务>接入条件>WHERE>接入位置分组]页面，单击<增加>按钮，进入增加接入位置分组页面，配置接入位置分组名。单击接入设备列表区域的<选择>按钮，弹出选择接入设备页面，选择要增加的接入设备，选择完成后，单击<确定>按钮。单击端口列表区域的<选择端口>按钮，进入设备端口页面，选择端口，配置完成后，如下图所示。

图4-66 增加位置分组

2. SSID分组

SSID分组即用户接入网络时使用的SSID。该功能是BYOD的前置功能，其作用是实现接入用户使用不同的SSID上网时可以使用不同的接入策略。

(1) 进入[自动化>网络准入>准入管理>接入服务>接入条件>WHERE>SSID分组]页面，单击<增加>按钮，进入增加SSID分组页面，填写SSID分组名。

(2) 单击SSID列表的<增加>按钮，弹出增加SSID页面，填写SSID，单击<确定>按钮。

图4-67 增加SSID分组

3. AP分组

AP分组即用户接入网络时使用的AP。该功能是BYOD的前置功能，其作用是实现接入用户使用不同的AP上网时可以使用不同的接入策略。

(1) 进入[自动化>网络准入>准入管理>接入服务>接入条件>WHERE>AP分组]页面，单击<增加>按钮，进入增加AP页面，填写AP分组名。

(2) 单击AP列表区域的<增加>按钮，弹出增加AP页面，填写NAS ID。

图4-68 增加AP分组

4. 终端IP地址分组

终端IP地址分组即用户接入网络时使用的IP地址范围。该功能是BYOD的前置功能，其作用是实现接入用户使用不同的IP地址上网时可以使用不同的接入策略。每个终端IP地址分组只能配置一个IP地址段。

进入[自动化>网络准入>准入管理>接入服务>接入条件>WHOSE>终端IP地址分组]页面，单击<增加>按钮，弹出基本信息页面，填写终端IP地址分组名、起始地址和终止地址，如下图所示，配置完成后单击<确定>按钮。

图4-69 基本信息

5. 终端MAC地址分组

终端MAC地址分组即用户接入网络时使用的MAC地址范围。该功能是BYOD的前置功能，其作用是实现接入用户使用不同的MAC地址上网时可以使用不同的接入策略。

(1) 进入[自动化>网络准入>准入管理>接入服务>接入条件>WHOSE>终端MAC地址分组]页面，单击<增加>按钮，进入增加终端MAC地址分组页面，填写终端MAC地址分组名。

(2) 单击终端MAC地址列表区域的<增加>按钮，弹出增加终端MAC地址页面，填写终端MAC起始地址和终端MAC结束地址，配置完成后，单击<确定>按钮。

图4-70 增加终端MAC地址分组

6. 手机号码分组

手机号码分组即用户接入网络时使用的手机号码范围。该功能是BYOD的前置功能，其作用是实现接入用户使用不同的手机号码上网时可以使用不同的接入策略。

(1) 进入[自动化>网络准入>准入管理>接入服务>接入条件>WHOSE>手机号码分组]页面，单击<增加>按钮，进入增加手机号码分组页面，填写手机号码分组名。

(2) 单击手机号码列表的<增加>按钮，弹出增加手机号码页面，填写手机号码。

图4-71 增加手机号码

7. IMSI号码分组

IMSI号码分组即用户接入网络时使用的IMSI号码范围。该功能是BYOD的前置功能，其作用是实现接入用户使用不同的IMSI号码上网时可以使用不同的接入策略。

(1) 进入[自动化>网络准入>准入管理>接入服务>接入条件>WHOSE>IMSI号码分组]页面，单击<增加>按钮，进入增加IMSI号码分组页面，填写IMSI号码分组名。

(2) 单击IMSI列表区域的<增加>按钮，弹出增加IMSI号码分组页面，填写IMSI号码。

图4-72 增加IMSI号码分组

8. AD分组

AD分组其作用是将一个或多个LDAP的AD组组成一个分组形成接入条件。接入场景中添加“AD分组”条件，后台场景匹配时使用。用户认证上线时后台进行“AD分组”条件匹配，授权相应的接入策略。

(1) 进入[自动化>网络准入>准入管理>接入服务>接入条件>WHOSE>AD分组]页面，单击<增加>按钮，进入增加AD分组页面，填写AD分组名

(2) 单击LDAP组列表区域的<增加>按钮，弹出LDAP组列表页面，选择LDAP服务器。

图4-73 增加AD分组

9. 用户群分组

用户群组即用户接入网络时接入账号的用户分组，实现接入用户上网时根据不同的用户分组可以使用不同的接入策略。

(1) 进入[自动化>网络准入>准入管理>接入服务>接入条件>WHOSE>用户群组]页面，单击<增加>按钮，进入增加用户群组页面，填写用户群组名。

(2) 在用户分组列表区域中，勾选“选择用户分组时自动选中其父分组和子分组”选项，勾选要加入该用户群组的用户分组。

图4-74 增加用户群组

10. 终端厂商分组

终端厂商分组即用户接入网络时使用的终端所属的厂商。该功能是BYOD的前置功能，其作用是实现接入用户使用不同厂商的终端上网时可以使用不同的接入策略。

(1) 进入[自动化>网络准入>准入管理>接入服务>接入条件>WHAT>终端厂商分组]页面，单击<增加>按钮，进入增加终端厂商分组页面，填写厂商分组名。

(2) 单击厂商列表区域的<增加>按钮，弹出厂商查询页面，在厂商列表勾选需要的厂商。

图4-75 增加终端厂商分组

11. 终端操作系统分组

操作系统分组即用户接入网络时所使用终端的操作系统。该功能是BYOD的前置功能，其作用是实现接入用户使用不同操作系统的终端上网时可以使用不同的接入策略。

(1) 进入[自动化>网络准入>准入管理>接入服务>接入条件>WHAT>终端操作系统分组]页面，单击<增加>按钮，进入增加终端操作系统分组页面，填写终端操作系统分组名。

(2) 单击终端操作系统列表区域的<增加>按钮，弹出终端操作系统查询页面，在终端操作系统列表勾选需要的操作系统。

图4-76 增加终端操作系统分组

12. 终端类型分组

终端类型分组即用户接入网络时所使用终端的类型。该功能是BYOD的前置功能，其作用是实现接入用户使用不同类型的终端上网时可以使用不同的接入策略。

(1) 进入[自动化>网络准入>准入管理>接入服务>接入条件>WHAT>终端类型分组]页面，单击<增加>按钮，进入增加终端类型分组页面，填写终端类型分组名。

(2) 单击终端类型列表区域的<增加>按钮，弹出终端类型查询页面，在终端类型列表勾选需要的终端类型，如下图所示，配置完成后，单击<确定>按钮。

图4-77 增加终端类型分组

13. 认证类型

认证类型即用户接入网络时使用的认证类型。该功能是BYOD的前置功能，其作用是实现接入用户使用不同的接入策略上网时可以使用不同认证类型，只有特定型号和特定版本才可实现。

进入[自动化>网络准入>准入管理>接入服务>接入条件>WHAT>认证类型]页面，单击<增加>按钮，弹出基本信息页面，填写认证类型名，选择认证类型，如下图所示。

图4-78 基本信息

14. 接入方式

接入方式即用户接入网络时使用的接入方式。该功能是BYOD的前置功能，其作用是实现接入用户使用不同的接入策略上网时可以使用不同接入方式，只有特定型号和特定版本才可实现。

进入[自动化>网络准入>准入管理>接入服务>接入条件>WHAT>接入方式]页面，单击<增加>按钮，弹出基本信息页面，填写接入方式名，选择接入方式，如下图所示。

图4-79 基本信息

15. 接入时段策略

(1) 进入[自动化>网络准入>准入管理>接入服务>接入条件>WHEN>接入时段策略]页面，单击<增加>按钮，进入增加接入时段策略页面，填写接入时段策略名，配置策略生效时间和策略失效时间，具体参数说明请参见产品联机帮助。

(2) 单击接入时段列表区域的<增加>按钮，弹出增加接入时段列表页面，选择接入时段类型、接入类型/匹配动作、接入开始时间和接入结束时间，如下图所示。

图4-80 增加接入时段策略

(3) 单击接入时段的优先级列的上下箭头可调整优先级，如下图所示。

图4-81 优先级

16. 自定义接入条件

自定义接入条件是接入条件的拓展功能，通过不同的属性、操作符和属性值配置更灵活的接入场景。

(1) 进入[自动化>网络准入>准入管理>接入服务>接入条件>CUSTOM>自定义接入条件]页面，单击<增加>按钮，进入增加自定义接入条件页面，填写名称，选择逻辑关系，具体参数说明请参见产品联机帮助。

(2) 单击属性列表区域的<增加>按钮，弹出属性编辑页面，选择名称、操作符和属性值包含逻辑符，填写属性值，具体参数说明请参见产品联机帮助。

图4-82 增加自定义接入条件

4.3.4 APP认证配置

1. 微信认证

微信认证是通过腾讯的微信平台申请的公众账号，安装微信应用的用户可以通过微信公众号认证上网。

进入[自动化>网络准入>准入管理>接入服务>APP认证配置>微信认证]页面，单击<增加>按钮，进入增加微信公众号页面，填写基本信息，如下图所示，其中AppID、AppSecret需在微信公众平台中启用“开发者中心”后由微信公众平台分配，具体参数说明请参见产品联机帮助。

图4-83 增加微信公众号

2. 微信小程序

微信小程序是通过腾讯的公众平台申请的小程序账号。安装微信应用的用户可以通过微信小程序认证上网。

进入[自动化>网络准入>准入管理>接入服务>APP认证配置>微信小程序]页面，单击<增加>按钮，进入增加小程序页面，填写基本信息，如下图所示，其中AppID、AppSecret是在微信公众平台中启用“开发者中心”后由微信公众平台分配，具体参数说明请参见产品联机帮助。

图4-84 增加小程序

3. 企业微信

企业微信认证是基于腾讯的企业微信实现的网络接入认证方式，安装企业微信APP的企业员工可以通过企业微信认证上网。

进入[自动化>网络准入>准入管理>接入服务>APP认证配置>企业微信]页面，单击<增加>按钮，进入增加企业微信页面，填写基本信息，配置开户信息，勾选接入服务如下图所示，其中CorpID、CorpSecret和AgentID可在企业微信后台中查看，具体参数说明请参见产品联机帮助。

图4-85 增加企业微信

4. 政务微信

政务微信是腾讯公司专门为政府和公共服务机构定制开发的一款办公和对外沟通平台，政务微信认证基于此平台实现了网络接入认证，政府员工通过安装政务微信APP可以进行安全的网络认证和上网。

进入[自动化>网络准入>准入管理>接入服务>APP认证配置>政务微信]页面，单击<增加>按钮，进入增加政务微信应用页面，填写基本信息，如下图所示，其中AgentID可从政务微信管理后台获取，CorpID可从管理后台[我的单位>单位信息]下获取（需要有管理员权限），其他具体参数说明请参见产品联机帮助。

图4-86 增加政务微信应用

5. 钉钉认证

钉钉认证是基于钉钉实现的网络接入认证方式，安装钉钉APP的企业员工可以通过钉钉认证上网。

(1) 进入[自动化>网络准入>准入管理>接入服务>APP认证配置>钉钉认证]页面，单击<增加>按钮，进入增加钉钉应用页面，配置基本信息和开户信息，如下图所示，其中AgentID、CorpID、AppKey和AppSecret可从钉钉开放平台获取，其他具体参数说明请参见产品联机帮助。

图4-87 增加钉钉应用

(2) 在申请接入服务中勾选接入服务，如下图所示。

图4-88 申请接入服务

6. Facebook

进入[自动化>网络准入>准入管理>接入服务>APP认证配置>Facebook]页面，填写应用ID、应用密钥和重定向URL，应用ID为创建Facebook应用时自动生成的唯一标识，应用密钥为创建Facebook应用时自动生成的密钥；“应用密钥”和“应用ID”是一一对应、搭配使用的，重定向URL是用户在Facebook官方登录页中登录成功后，浏览器会自动跳转到此处填写的URL地址；建议输入的URL地址是HTTPS地址。

图4-89 增加Facebook

7. Twitter

进入[自动化>网络准入>准入管理>接入服务>APP认证配置>Twitter]页面，填写应用ID、应用密钥和重定向URL，应用ID为创建Twitter应用时自动生成的唯一标识，应用密钥为创建Twitter应用时自动生成的密钥；“应用密钥”和“应用ID”是一一对应、搭配使用的，重定向URL是用户在Twitter官方登录页中登录成功后，浏览器会自动跳转到此处填写的URL地址；建议输入的URL地址是HTTPS地址。

图4-90 增加Twitter

8. Google

进入[自动化>网络准入>准入管理>接入服务>APP认证配置>Google]页面，填写应用ID、应用密钥和重定向URL，应用ID为创建Goodle应用时自动生成的唯一标识，应用密钥为创建Goodle应用时自动生成的密钥；“应用密钥”和“应用ID”是一一对应、搭配使用的，重定向URL是用户在Goodle官方登录页中登录成功后，浏览器会自动跳转到此处填写的URL地址；建议输入的URL地址是HTTPS地址。

图4-91 增加Google

9. AD&SAML2.0

(1) 进入[自动化>网络准入>准入管理>接入服务>APP认证配置>AD&SAML2.0]页面，单击身份提供方元数据后的上传文件按钮上传XML格式的文件，如下图所示，其他参数说明请参见产品联机帮助。

图4-92 配置AD&SAML2.0

(2) 单击页面右上角“导出服务提供方元数据”链接可下载服务提供方元数据，如下图所示。

图4-93 导出服务提供方元数据

4.3.5 门户配置

对门户中涉及到的网点信息、广告信息进行管理，对广告点击量和浏览量数据来统计分析，依据从接入用户表、在线用户表、接入明细表收集到的客流数据来统计分析。

1. 广告统计

依据从认证页面上收集到的广告点击量和浏览量数据来统计分析。

进入[自动化>网络准入>准入管理>接入服务>门户管理>广告统计]页面，可查看最近24小时趋势图、最近一个月趋势图、广告浏览量和点击量统计表（按广告）和广告浏览量和点击量统计表（按天），如下图所示，具体参数说明请参见产品联机帮助。

图4-94 广告统计1

图4-95 广告统计2

2. 客流统计

依据从接入用户表、在线用户表、接入明细表收集到的客流数据来统计分析。

(1) 进入[自动化>网络准入>准入管理>接入服务>门户管理>客流统计]页面，可查看新老用户饼图和用户来访趋势图，如下图是所示，具体参数说明请参见产品联机帮助。

图4-96 新老用户饼图

图4-97 用户来访趋势图

(2) 单击客流统计页面右上角的“详细信息”链接，可查看每天网点来访的总用户数和新用户数等信息和每天每个接入用户的来访次数、停留时长等信息，如下图所示。

图4-98 网点

图4-99 接入用户

3. 网点列表

网点表示一个具体的门店或者店铺等对象，每个上线用户将从属于一个网点，网点列表页面提供对网点的增加、删除、修改、查看功能。

进入[自动化>网络准入>准入管理>接入服务>门户管理>网点列表]页面，单击<增加>按钮，进入增加网点信息页面，配置网点名称、网点地址等信息，关联AP分组、绑定IP地址组，如下图所示，具体参数说明请参见产品联机帮助。

图4-100 增加网点信息

4. 广告列表

广告信息和PORTAL/MAC Portal定制页面进行绑定，当上线用户浏览或点击了页面上的广告后，后端服务将会记录本次浏览和点击动作，该数据将会被用于统计广告点击率等信息。

进入[自动化>网络准入>准入管理>接入服务>门户管理>广告列表]页面，单击<增加>按钮，进入增加广告页面，配置广告名称和URL链接，如下图所示，具体参数说明请参见产品联机帮助。

图4-101 增加广告

4.3.6 运营商配置

EIA进程在进行准入认证后，需要获取运营商出口信息以执行代拨操作，管理员需要在EIA配置台进行相应配置。

进入[自动化>网络准入>准入管理>接入服务>更多>运营商配置]页面，单击<增加>按钮，进入运营商信息页面，配置运营商信息，如下图所示，具体参数说明请参见产品联机帮助。

图4-102 运营商信息

4.4 接入用户

4.4.1 接入用户

1. 增加接入用户

(1) 进入[自动化>网络准入>准入管理>接入用户>接入用户]页面，单击<增加>按钮，进入增加接入用户页面，配置用户姓名、证件号码和电话，如下图所示。

图4-103 增加接入用户

(2) 在接入信息区域填写账号名，如下图所示，其他参数说明请参见产品联机帮助。

图4-104 接入信息

(3) 在接入服务区域选择接入服务，如下图所示。

图4-105 接入服务

(4) 配置接入设备绑定信息，如下图所示，具体参数说明请参见产品联机帮助。

图4-106 接入设备绑定信息

(5) 配置终端绑定信息，如下图所示，具体参数说明请参见产品联机帮助。

图4-107 终端绑定信息

(6) 单击运营商列表的绑定/修改列的按钮，弹出绑定运营商账号页面，配置账号和密码，如下图所示。

图4-108 绑定运营商账号

(7) 配置完成后，单击<确定>按钮。

2. 批量导入用户

(1) 单击<批量导入>按钮，进入批量导入页面，单击“账号导入文件模板”链接。下载导入模板后填写。

(2) 在批量导入页面单击<上传文件>按钮，选择上一步填写的模板文件，具体参数说明请参见产品联机帮助，如下图所示。

图4-109 上传文件

(3) 单击<下一步>按钮，填写用户电话，选择用户分组，配置接入信息密码。

(4) 然后单击<预览>按钮，弹出预览导入的用户页面，如下图所示。

图4-110 预览导入的用户

3. 批量修改用户

勾选要修改的接入用户，单击<批量修改>按钮，进入批量修改页面，勾选要修改的参数，可批量修改用户信息，如下图所示。

图4-111 批量修改

4. 加入黑名单

勾选要加入黑名单的接入用户，单击<加入黑名单>按钮，弹出操作页面，填写加入原因描述，单击<确定>按钮。

图4-112 加入黑名单

5. 注销账号

勾选要注销的接入用户，单击<注销账号>按钮，弹出注销账号页面，默认勾选强制下线如下图所示。

图4-113 注销账号

6. 转移用户分组

(1) 勾选要转移用户分组的接入用户，单击<更多>按钮，选择“转移用户分组”选项。

(2) 弹出选择用户分组页面，单击要转移到的用户分组操作列的<选择>按钮。

图4-114 选择用户分组

7. 预开户转正

勾选要转正的预开户用户，单击<更多>按钮，选择“预开户转正”选项，如下图所示。

图4-115 转移用户分组

8. 批量激活用户

勾选未激活用户，单击<更多>按钮，选择“批量激活”选项，如下图所示。

图4-116 转移用户分组

9. 冻结/解冻用户

勾选要冻结或解冻的用户，单击<更多>按钮，选择“冻结”或“解冻”选项，如下图所示。

图4-117 冻结

10. 发送密码通知电子邮箱/短信

勾选要发送密码的用户，单击<更多>按钮，选择“发送密码通知电子邮箱”或“发送密码通知短信”选项，本例以发送密码通知电子邮箱为例，如下图所示。

图4-118 发送密码通知电子邮箱

11. 批量账号维护（文件方式）

(1) 单击<更多>按钮，选择“批量账号维护（文件方式）”选项，弹出批量操作页面，单击“账号批量操作文件模板”链接，如下图所示。

图4-119 批量操作

(2) 下载批量操作文件模板，填写后上传，选择对账号的操作，包括：修改账号、注销账号、申请服务、注销服务、加入黑名单和解除黑名单操作，本例选择“申请服务”，如下图所示。

图4-120 上传文件

(3) 单击<下一步>按钮，在申请接入服务列表为用户申请服务，如下图所示。

图4-121 申请服务

12. 批量账号维护（查询方式）

单击<更多>按钮，选择“批量账号维护（查询方式）”选项，进入批量操作页面，可配置查询条件，筛选出符合条件的账号，可进行批量修改、加入黑名单、注销账号、申请服务、注销服务、预开户转正、预注销和恢复预注销操作，如下图所示，具体操作说明请参见产品联机帮助。

图4-122 批量操作

13. 批量注册动态令牌

(1) 进入[自动化>网络准入>准入管理>接入用户>接入用户]页面，勾选要注册动态令牌的用户，单击<更多>按钮，选择“批量注册动态令牌”选项。

(2) 弹出提示页面，单击<确定>按钮，弹出动态令牌二维码页面，如下图所示。

图4-123 动态令牌

14. 定制页面

(1) 单击<更多>按钮，选择“定制页面”选项，进入定制页面，如下图所示，具体操作可参考4.1.1 4. 定制页面。

图4-124 定制页面

15. 批量导出（导出已选）/(按查询条件导出)

(1) 进入[自动化>网络准入>准入管理>接入用户>接入用户]页面，勾选要导出的用户，单击<更多>按钮，选择“批量导出（导出已选）”选项，或者配置查询条件，筛选出符合条件的用户，单击<更多>按钮，选择“批量导出（按查询条件导出）”选项。

(2) 进入批量导出页面，选择文件格式和文件中列分隔符，配置定制导出列，如下图所示。

图4-125 批量导出

(3) 单击<确定>按钮，进入接入用户导出结果页面，单击“下载导出文件”下载文件，如下图所示。

图4-126 下载导出文件

16. 申请服务

进入[自动化>网络准入>准入管理>接入用户>接入用户]页面，勾选要申请服务的用户，单击<更多>按钮，选择“申请服务”选项，弹出申请服务页面，单击要绑定的服务操作列的<选择>按钮，如下图所示。

图4-127 申请服务

17. 注销服务

进入[自动化>网络准入>准入管理>接入用户>接入用户]页面，勾选要注销服务的用户，单击<更多>按钮，选择“注销服务”选项，进入注销服务页面，单击该用户已绑定的服务操作列的<选择>按钮，如下图所示。

图4-128 注销服务

4.4.2 LDAP用户

配置完4.8.1 服务器配置和4.8.2 同步策略配置，可在[自动化>网络准入>准入管理>接入用户>LDAP用户]页面查看同步的接入用户，如下图所示。

图4-129 LDAP用户

4.4.3 预注册用户

通过自助服务平台进行预注册操作，可生成预注册用户。在[自动化>网络准入>准入管理>接入用户>预注册用户]页面可对这些预注册用户进行正式注册。

进入[自动化>网络准入>准入管理>接入用户>预注册用户]页面，勾选预注册用户，单击<批量注册>按钮，进入批量注册页面，配置接入信息，选择接入服务，配置绑定信息，如下图所示，具体配置参数请参见产品联机帮助。

图4-130 接入信息

图4-131 绑定信息

4.4.4 哑终端用户配置

1. 增加哑终端用户

(1) 进入[自动化>网络准入>准入管理>接入用户>哑终端用户配置]页面，如下图所示。

图4-132 哑终端用户配置

(2) 单击<增加>按钮，可选择“基于MAC段”、“基于IP段”和“基于终端识别”，本文选择基于MAC段为例进行配置，进入增加哑终端用户配置页面，配置配置名称和用户姓名前缀，单击MAC地址段的<增加>按钮，弹出增加MAC地址段页面，填写起始MAC地址和终止MAC地址，然后选择接入服务，如下图所示，具体参数说明请参见产品联机帮助。

图4-133 增加哑终端用户配置

(3) 配置完成后，单击<确定>按钮，返回哑终端用户配置页面，单击新增哑终端用户配置列的按钮，弹出增加MAC地址段，如下图所示，可继续增加MAC地址段。

图4-134 增加MAC地址段

2. 批量导出

(1) 勾选要导出的哑终端用户，单击<批量导出>按钮，进入导出文件格式页面，如下图所示，选择文件格式和文件中列分隔符。

图4-135 导出文件格式

(2) 单击<确定>按钮，进入操作结果页面，如下图所示，单击<下载导出文件>按钮。

图4-136 操作结果

3. 批量导入

(1) 单击<批量导入>按钮，可选择“基于MAC段”、“基于IP段”和“基于终端识别”，本文以选择基于MAC段为例。

(2) 进入批量导入哑终端用户配置页面，可选择“导入基本信息文件”和“导入MAC地址段信息文件”，本文以选择“导入基本信息文件”为例进行介绍，单击“哑终端用户配置基本信息导入模板”链接，下载模板后填写。

(3) 在批量导入哑终端用户配置页面，单击<上传文件>按钮，上传上一步填写的导入模板，如下图所示。

图4-137 上传文件

(4) 单击<下一步>按钮，选择接入服务，单击<确定>按钮，进入批量导入结果页面。

(5) 单击<返回>按钮，可返回哑终端用户配置页面，查看导入的哑终端用户，如下图所示。

图4-138 哑终端用户

4.4.5 用户分组

1. 增加用户分组

进入[自动化>网络准入>准入管理>接入用户>用户分组]页面，单击<增加>按钮，进入增加用户分组页面，填写分组名称，单击资源分组的“选择”链接，弹出资源分组页面，选择资源分组。

图4-139 增加用户分组

2. 增加子分组

进入[自动化>网络准入>准入管理>接入用户>用户分组]页面，单击分组操作列的按钮可增加子分组，如下图所示，具体配置步骤可参考1. 增加用户分组。

图4-140 增加子分组

3. 导入/导出用户分组

单击<导入/导出>按钮，可导入/导出用户分组。

4.4.6 附加信息

为了能够更加灵活地对用户进行管理，系统提供了用户附加信息的配置及管理功能。用户附加信息是指除了用户基本信息（用户姓名、证件号码、通信地址、电话、电子邮件和用户分组）以外的其他用户信息，可以自行定义并进行管理维护。

系统中存在LDAP同步策略后，请不要在“附加信息”页面进行增加、删除、修改用户附加信息的操作，否则将导致系统中已存在的LDAP同步策略变为无效状态。一旦发生该情况，需要管理员手工修改LDAP同步策略，重新设置附加信息，并将同步策略改为有效状态。

(1) 进入[自动化>网络准入>准入管理>接入用户>附加信息]页面，如下图所示。

图4-141 附加信息

(2) 单击<增加>按钮，进入增加附加信息页面，配置附加信息，如下图所示，具体参数说明请参见产品联机帮助。

图4-142 增加附加信息

4.4.7 消息下发

1. 客户端消息

(1) 进入[自动化>网络准入>准入管理>接入用户>更多>消息下发>客户端消息]页面，单击<增加>按钮，进入消息下发页面，填写基本信息，单击<选择接入用户>按钮，弹出选择接入用户页面，选择要发送消息的用户，如下图所示，具体参数说明请参见产品联机帮助。

图4-143 消息下发

(2) 配置完成后，单击<确定>按钮，返回客户端消息页面，单击<立即生效>按钮，如下图所示。

图4-144 立即生效

2. 邮件配置

(1) 进入[自动化>网络准入>准入管理>接入用户>更多>消息下发>邮件配置]页面，单击<增加>按钮，进入增加邮件配置页面，配置邮件名称、邮件主题和邮件内容等信息，具体参数说明请参见产品联机帮助，如下图所示。

图4-145 增加邮件配置

(2) 当收件人选择“按用户分组”时，还需在用户分组列表选择用户分组，如下图所示。

图4-146 用户分组列表

3. 短信通知

(1) 进入[自动化>网络准入>准入管理>接入用户>更多>消息下发>短信通知]页面，单击<增加>按钮，进入增加短信通知页面，配置名称、用户短信通知内容和类型等信息，具体参数说明请参见产品联机帮助，如下图所示。

图4-147 增加短信通知

(2) 当收件人选择“指定用户分组中的用户”时，还需在用户分组列表选择用户分组，如下图所示。

图4-148 用户分组列表

(3) 单击短信通知页面右上角的“短信功能配置”链接，进入短信功能配置页面，如下图所示，配置短信功能，具体参数说明请参见产品联机帮助。

图4-149 短信功能配置

4.4.8 密码管理

1. 密码策略

只有在[自动化>网络准入>准入管理>接入用户>接入用户]页面增加的用户信息中勾选了“启用密码控制策略”选项，如下图所示，用户密码才受密码控制策略限制。

图4-150 启用用户密码控制策略

(1) 进入[自动化>网络准入>准入管理>接入用户>更多>密码管理>密码策略]页面，如下图所示。

图4-151 密码策略

(2) 可勾选以下参数用来配置密码：

¡ 密码长度

¡ 包含小写字母

¡ 包含大写字母

¡ 包含数字

¡ 包含其他字符

¡ 账号名和密码不能相同

¡ 密码有效期

¡ 历史密码重复限制

2. 密保问题

进入[自动化>网络准入>准入管理>接入用户>更多>密码管理>密保问题]页面，单击<增加>按钮，进入增加密保问题页面，填写密保问题和确认密保问题，如下图所示。

图4-152 增加密保问题

4.5 访客用户

4.5.1 访客用户

进入[自动化>网络准入>准入管理>访客用户>访客用户]页面，访客用户列表中显示了已注册的访客，如下图所示。

图4-153 访客用户

1. 注销访客

(1) 勾选要注销的访客，单击<注销访客>按钮，如下图所示。

图4-154 注销访客

2. 加入黑名单

进入[自动化>网络准入>准入管理>访客用户>访客用户]页面，具体操作可参考4.4.1 4. 加入黑名单。

3. 转移用户分组

进入[自动化>网络准入>准入管理>访客用户>访客用户]页面，具体操作可参考4.4.1 6. 转移用户分组。

4. 导出已选访客/按查询条件导出

进入[自动化>网络准入>准入管理>访客用户>访客用户]页面，具体操作可参考4.4.1 15. 批量导出（导出已选）/(按查询条件导出)。

4.5.2 访客管理员

(1) 进入[自动化>网络准入>准入管理>访客用户>访客管理员]页面，单击<增加>按钮，进入增加访客管理员页面，访客管理员分为两种类型：访客管理员和超级访客管理员。访客管理员只能管理名下的访客和预注册访客，超级访客管理员可以管理所有的访客和预注册访客，单击<选择接入用户>按钮，弹出选择接入用户页面，勾选指定的接入用户为访客管理员，如下图所示，其他参数说明请参见产品联机帮助。

图4-155 增加访客管理员

(2) 返回访客管理员页面，单击默认访客管理员列的“否”链接，如下图所示，可将访客管理员指定为默认访客管理员。

图4-156 设置默认访客管理员

图4-157 默认访客管理员

4.5.3 访客管理员分组

进入[自动化>网络准入>准入管理>访客用户>访客管理员分组]页面，单击<增加>按钮，进入增加访客管理员分组页面，选择访客管理员类型，配置所管理访客的最大有效时长和审批提醒方式，在用户分组列表选择分组，如下图所示。

图4-158 增加访客管理员分组

4.5.4 访客策略

1. 策略

(1) 进入[自动化>网络准入>准入管理>访客用户>访客策略>策略]页面，如下图所示，未配置访客策略的访客用户分组则使用“缺省访客策略”。

图4-159 策略

(2) 单击<增加>按钮，进入增加访客策略页面，填写策略名称，配置访客参数，在访客服务列表选择2. 服务新增的访客服务，在用户分组列表中选择分组，如下图所示，具体参数说明请参见产品联机帮助。

图4-160 增加访客策略

图4-161 访客服务列表

图4-162 用户分组列表

2. 服务

(1) 进入[自动化>网络准入>准入管理>访客用户>访客策略>服务]页面，单击<增加>按钮，进入增加服务页面，将所选的服务设置为访客服务，如下图所示。

图4-163 增加服务

(2) 返回服务页面，单击访客服务默认访客服务列的“否”链接，即可将新增的访客服务设置为自动转正访客服务，如下图所示。

图4-164 设置默认访客服务

图4-165 默认访客服务

3. 业务参数配置

进入[自动化>网络准入>准入管理>访客用户>访客策略>业务参数配置]页面，可修改基本功能，具体参数配置请参见产品联机帮助，如下图所示。

图4-166 业务参数配置

4. 打印预览

(1) 进入[自动化>网络准入>准入管理>访客用户>访客策略>打印预览]页面，单击<上传文件>按钮，上传Logo图片，配置访客打印配置XML，具体参数说明请参见产品联机帮助，如下图所示。

图4-167 访客打印配置

(2) 单击<打印预览>按钮，可预览打印页面，如下图所示。

图4-168 打印预览

4.6 黑名单用户

4.6.1 解除已选择用户

进入[自动化>网络准入>准入管理>黑名单用户]页面，勾选要解除黑名单的用户，单击<解除黑名单>按钮，选择“解除已选择用户”，如下图所示。

图4-169 解除已选择用户

4.6.2 按查询条件解除

进入[自动化>网络准入>准入管理>黑名单用户]页面，配置查询条件，筛选出符合条件的用户，单击<解除黑名单>按钮，选择“按查询条件解除”，如下图所示。

图4-170 按查询条件解除

4.7 接入终端

4.7.1 接入终端

1. 增加接入终端

进入[自动化>网络准入>准入管理>接入终端>接入终端]页面，单击<增加>按钮，进入增加终端设备页面，填写MAC地址，单击账号名输入框后的“选择”按钮，弹出选择接入用户页面选择用户，然后配置终端厂商、终端类型、操作系统等参数，如下图所示，具体参数说明请参见产品联机帮助。

图4-171 增加终端设备

2. 设置无感知认证

勾选接入终端，单击<设置无感知认证>按钮，可选择“开启”或“禁用”用来设置无感知认证，如下图所示。

图4-172 设置无感知认证

3. 定制页面

可参考4.1.1 4. 定制页面。

4. 清除终端信息

勾选接入终端，单击<更多>按钮，选择清除终端信息选项，如下图所示。

图4-173 清除终端信息

5. 增加/清除限定接入用户

(1) 单击操作列的按钮，弹出所选接入用户页面，单击<选择接入用户>按钮，弹出接入用户查询页面，选择接入用户，单击<确定>按钮，在所选接入用户页面选择接入用户，如下图所示。

图4-174 选择接入用户

(2) 若要清除限定接入用户，可选择接入终端，然后单击<更多>按钮，选择清除限定接入用户选项，如下图所示。

图4-175 清除限定接入用户

6. 修改绑定SSID

选择接入终端，单击<更多>按钮，选择修改绑定SSID，弹出SSID列表页面，单击<增加>按钮，弹出增加SSID页面，填写SSID，如下图所示。

图4-176 增加SSID

4.7.2 终端属性信息

1. 类型

终端类型即用户终端的类型，是接入场景的条件之一。EIA中预定义了多种终端类型（如PC、iPhone、iPad等），操作员也可以自定义终端类型。

进入[自动化>网络准入>准入管理>接入终端>终端属性信息>类型]页面，单击<增加>按钮，进入增加终端类型页面，填写终端类型和显示名称，如下图所示。

图4-177 增加终端类型

2. 厂商

厂商即用户终端的生产厂家，是接入场景的条件之一。EIA中预定义了多家厂商（如HP、Sun、Apple等），操作员也可以自定义厂商。

进入[自动化>网络准入>准入管理>接入终端>终端属性信息>厂商]页面，单击<增加>按钮，进入增加厂商页面，填写厂商，如下图所示。

图4-178 增加厂商

3. 操作系统

操作系统即用户终端的操作系统，是接入场景的条件之一。EIA中预定义了多种操作系统（如Windows XP、Windows 7、Mac OS X等），操作员也可以自定义操作系统。

进入[自动化>网络准入>准入管理>接入终端>终端属性信息>操作系统]页面，单击<增加>按钮，进入增加操作系统页面，填写操作系统名称，如下图所示。

图4-179 增加操作系统

4.7.3 识别特征

1. MAC地址特征

一个厂商所生产的终端一般都使用某个范围内的MAC地址。因此用户认证时，EIA将自身保存的MAC地址识别配置与用户的MAC地址进行匹配来识别终端。

进入[自动化>网络准入>准入管理>接入终端>识别特征>MAC地址特征]页面，单击<增加>按钮，进入增加MAC特征识别配置页面，填写起始/终止MAC地址，选择厂商和终端类型，如下图所示。

图4-180 增加MAC特征识别配置

2. HTTP特征

当终端用户使用Web进行认证时，EIA可以获取HTTP请求中的User Agent，并将其与EIA自身保存的User Agent进行匹配，从而获取终端的厂商、类型和操作系统信息。

进入[自动化>网络准入>准入管理>接入终端>识别特征>HTTP特征]页面，单击<增加>按钮，进入增加HTTP User Agent特征识别配置页面，填写HTTP User Agent特征，选择厂商、终端类型和操作系统，如下图所示。

图4-181 增加HTTP User Agent特征识别配置

3. DHCP特征

用户动态获取IP地址时，DHCP Agent插件会从DHCP请求中将拦截到的DHCP特征发送到EIA服务器。EIA将自身保存的DHCP特征与DHCP Agent发送的特征进行匹配来识别终端。EIA中预定义了多种DHCP特征，操作员也可以自定义DHCP特征。使用此功能必须在DHCP Server上安装DHCP Agent插件。

进入[自动化>网络准入>准入管理>接入终端>识别特征>DHCP特征]页面，单击<增加>按钮，进入增加DHCP特征识别配置页面，填写DHCP特征，选择厂商、终端类型和操作系统，如下图所示。

图4-182 增加DHCP特征识别配置

4. 自定义特征

自定义的识别特征，可在增加自定义的识别特征配置时增加需要的厂商、终端类型和操作系统。

进入[自动化>网络准入>准入管理>接入终端>识别特征>自定义特征]页面，单击<增加>按钮，进入增加自定义特征识别配置页面，填写MAC地址，选择厂商、终端类型和操作系统，如下图所示。

图4-183 增加自定义特征识别配置

4.7.4 附加信息

为了能够更加灵活地对终端进行管理，系统提供了终端附加信息的配置及管理功能。终端附加信息是指除了终端基本信息（MAC地址、终端类型和操作系统等）以外的其他终端信息，可以自行定义并进行管理维护。

进入[自动化>网络准入>准入管理>接入终端>附加信息]页面，如下图所示，具体配置步骤可参考4.7.4 附加信息。

图4-184 附加信息

4.7.5 终端配置下发

1. 增加SCEP模板

进入[自动化>网络准入>准入管理>接入终端>终端配置下发>模板库]页面，单击<增加SCEP模板>按钮，进入增加SCEP模板页面，填写模板名称和SCEP服务器URL，如下图所示，具体参数说明请参见产品联机帮助。

图4-185 增加SCEP模板

2. 增加通用配置模板

(1) 单击<增加通用配置模板>按钮，进入增加通用配置模板页面，填写模板名称，如下图所示。

图4-186 增加通用配置模板

(2) 选择iOS/OS X页签，选择是否启用通用配置，若启用，则勾选“启用”配置，填写描述文件名称和描述，如下图所示，具体参数说明请参见产品联机帮助。

图4-187 iOS/OS X

(3) 选择Android页签，选择是否启用通用配置，若启用，则勾选“启用”配置，填写许可协议，如下图所示。

图4-188 Android

3. 增加Wi-Fi模板

(1) 单击<增加Wi-Fi模板>按钮，进入增加Wi-Fi模板页面，填写模板名称，如下图所示。

图4-189 增加Wi-Fi模板

(2) 选择iOS/OS X页签，选择是否启用Wi-Fi配置，若启用，则勾选“启用”配置，填写SSID，如下图所示，其他参数说明请参见产品联机帮助。

图4-190 iOS/OS X

(3) 选择Android页签，选择是否启用Wi-Fi配置，若启用，则勾选“启用”配置，填写SSID，如下图所示，其他参数配置请参见产品联机帮助。

图4-191 Android

4. 增加密码策略模板

(1) 单击<增加密码策略模板>按钮，进入增加密码策略模板页面，填写模板名称，如下图所示。

图4-192 增加密码策略模板

(2) 选择iOS/OS X页签，选择是否设置锁屏密码，若需设置，则勾选“设置锁屏密码”配置，如下图所示，其他参数说明请参见产品联机帮助。

图4-193 iOS/OS X

(3) 选择Android页签，选择是否启用密码策略，若启用，则勾选“启用”配置，如下图所示，具体参数配置请参见产品联机帮助。

图4-194 Android

5. 增加邮件配置模板

单击<增加邮件配置模板>按钮，进入增加邮件配置模板页面，填写模板名称；在通用信息区域，填写账号描述，配置账号类型等信息；在接收邮件服务器区域，配置邮件服务器地址等信息；在发送邮件服务器区域，配置邮件服务器地址等信息，如下图所示，具体参数说明请参见产品联机帮助。

图4-195 增加邮件策略模板

6. 增加VPN配置模板

单击<增加VPN配置模板>按钮，进入增加VPN配置模板页面，填写模板名称；在VPN配置模板区域，配置连接名称、服务器域名或IP地址等信息，如下图所示，其他参数说明请参见产品联机帮助。

图4-196 增加VPN配置模板

7. 下发策略

(1) 进入[自动化>网络准入>准入管理>接入终端>终端配置下发>下发策略]页面，单击<增加>按钮，进入终端配置分发策略页面，填写策略名称，如下图所示。

图4-197 增加终端配置分发策略

(2) 单击选择终端配置模板区域的<增加>按钮，弹出选择配置模板页面，单击模板增加列的按钮，如下图所示。

图4-198 选择配置模板

(3) 可切换模板页签，增加多个模板，如下图所示。

必须选择一个通用配置模板。

图4-199 增加终端配置模板

(4) 在用户分组列表选择用户分组，单击接入用户列表的<选择接入用户>按钮，弹出选择接入用户页面，在接入用户列表选择接入用户，如下图所示。

图4-200 选择接入用户

8. 下发历史记录

进入[自动化>网络准入>准入管理>接入终端>终端配置下发>下发历史记录]页面，可查看分发策略下发信息。下发信息包括账号名、登录名、终端类型、下发时间和描述。

4.8 LDAP配置

4.8.1 服务器配置

(1) 进入[自动化>网络准入>准入管理>LDAP配置>服务器配置]页面，单击<增加>按钮，进入增加服务器配置页面，配置基本信息，如下图所示，具体参数说明请参见产品联机帮助。

图4-201 增加服务器配置

(2) 在高级信息区域配置高级信息，如下图所示，具体参数说明请参见产品联机帮助。

图4-202 高级信息

(3) 在备份服务器信息区域配置备份服务器地址，如下图所示，当配置了备份LDAP服务器，则当主服务器无法正常工作时，本系统会自动切换到备份服务器进行认证，具体参数说明请参见产品联机帮助。

图4-203 备份服务器信息

(4) 在MS-CHAPv2配置区域，启用MS-CHAPv2认证，如下图所示，具体参数说明请参见产品联机帮助。

图4-204 MS-CHAPv2配置

(5) 配置完成后，单击<检测>按钮，测试服务器的连通性，如果服务器信息正确，提示如下图所示信息。

图4-205 检测

(6) 单击<确定>按钮，返回服务器配置页面，可查看新增的LDAP服务器，如下图所示。

图4-206 查看LDAP服务器

4.8.2 同步策略配置

(1) 进入[自动化>网络准入>准入管理>LDAP配置>同步策略配置]页面，单击<增加>按钮，进入增加同步策略配置页面，配置同步策略名称，服务器名称选择4.8.1 服务器配置配置的Windows AD，子Base DN配置为“OU=1230,DC=mschapv2,DC=com”，其他参数保持缺省值即可，如下图所示，具体参数说明请参见产品联机帮助。

图4-207 增加同步策略配置

(2) 单击<下一步>按钮，配置如下参数：如下图所示，其他参数保持缺省值即可，具体参数说明可参见产品联机帮助。

¡ 在基本信息区域，选择用户分组；

¡ 在接入信息区域，输入密码，当LDAP用户解除与LDAP服务器的绑定关系时，作为接入用户使用该密码可以通过EIA认证；

¡ 在接入服务区域，勾选服务。

图4-208 基本信息

图4-209 接入信息

图4-210 接入服务

(3) 配置完成后，单击<确定>按钮，返回同步策略配置页面，可查看新增的同步策略，如下图所示。

图4-211 查看同步策略

(4) 单击用户列的“同步”链接，手动同步LDAP用户，进入同步LDAP用户结果页面，同步结果如下图所示。

图4-212 同步LDAP用户结果

(5) 同步成功后，可在[自动化>网络准入>准入管理>接入用户>LDAP用户]页面查看同步的接入用户，如下图所示。

图4-213 查看LDAP用户

4.8.3 用户导出

(1) 进入[自动化>网络准入>准入管理>LDAP配置>用户导出]页面，服务器名称选择4.8.1 服务器配置配置的Windows AD，配置子Base DN，其他参数保持缺省值即可，如下图所示，具体参数说明请参见产品联机帮助。

图4-214 用户导出条件设置

(2) 单击<搜索>按钮，进入导出文件设置页面，选择需要导出的用户属性，如下图所示。

图4-215 导出文件设置

(3) 在导出文件参数区域，选择文件格式，选择是否输出列标题，如下图所示。

图4-216 导出文件参数

(4) 单击<导出文件>按钮，进入下载导出文件页面，单击“下载导出文件”链接下载文件，如下图所示。

图4-217 下载导出文件

4.8.4 参数配置

进入[自动化>网络准入>准入管理>LDAP配置>参数配置]页面，配置基本信息、同步配置参数和定时任务参数，如下图所示，具体参数说明请参见产品联机帮助。

图4-218 基本信息

图4-219 同步配置参数

图4-220 定时任务参数

4.9 Portal认证

Portal是一种认证客户端和BAS设备之间的信息交互协议，主要应用于基于Web的宽带接入认证系统中，完成用户的认证和授权。

Portal服务器通过实现Portal协议来控制Portal客户端与设备之间的交互来完成用户认证过程，用户只有认证通过后才能在运营商的管理下访问网络资源。

4.9.1 服务器配置

(1) 进入[自动化>网络准入>准入管理>Portal认证>服务器配置]页面，如下图所示。

图4-221 服务器配置

(2) 单击服务器列表的<增加>按钮，弹出增加服务类型页面，配置服务类型标识和服务类型，服务类型标识需要和接入服务中的服务后缀相同，服务类型标识是设备使用的信息，用户可能无法直观地理解其内在的含义。因此使用服务类型对其进行解释，会显示在Portal认证主页上，便于用户对服务类型的理解，如下图所示。

图4-222 增加服务类型

4.9.2 设备配置

Portal设备是指所有与Portal服务器进行交互的用户上网接入设备，Portal服务器依赖于这些配置信息与设备进行通信，这些配置信息必须与设备本身的配置一致，否则Portal服务器可能与系统无法进行正常的报文交互，导致用户无法上网。

(1) 进入[自动化>网络准入>准入管理>Portal认证>设备配置]页面，单击<增加>按钮，配置设备信息，然后配置高级信息，如下图所示，具体参数说明请参见产品联机帮助。

图4-223 设备信息

图4-224 高级信息

(2) 单击操作列的按钮，进入端口组信息管理页面，单击<增加>按钮，进入增加端口组信息页面，配置端口组名和认证方式，IP地址组选择4.9.3 IP地址组配置配置的IP地址组，如下图所示，具体参数说明请参见产品联机帮助。

图4-225 增加端口组信息

4.9.3 IP地址组配置

在Portal接入业务中，一般使用用户的IP地址对用户进行分组，通过分组可以对不同的用户群体进行不同的配置管理，从而增加对用户管理的灵活性。

IP地址组是包含了若干IP地址的地址段，一个IP地址组代表了一群同类用户，它的作用是方便Portal服务器找到这类用户的接入设备。管理员根据实际的组网情况以及设备的配置（例如是否为NAT或者二次地址分配）为所有的接入设备划分多个IP地址组，然后将这些IP地址组分配给接入设备的端口组。

进入[自动化>网络准入>准入管理>Portal认证>IP地址组配置]页面，单击<增加>按钮，进入增加IP地址组页面，配置IP地址组名、起始地址和终止地址，如下图所示。

图4-226 增加IP地址组

4.10 Web页面定制

4.10.1 Portal认证页面定制

本系统提供一个绘制页面的可视化工具，操作员在无需借助第三方人力或者工具的情况下，可自行定制Portal认证页面（包括认证页、认证成功页、心跳弹出窗口和修改密码页）。操作员既可以定制在PC上推出的Web页面，也可以定制在手机上推出的Web页面。系统分别为这两类页面预置了几套模板，方便操作员经过简单的修改即可完成页面的定制。系统还提供了空白模板，操作员也可以上传基于样例模板的自定义页面文件，本文以定制PC端的Web页面为例。

(1) 进入[自动化>网络准入>准入管理>WEB页面定制>Portal认证页面定制>PC页面]页面，如下图所示，可查看缺省认证模板。

图4-227 PC页面

(2) 单击<增加>按钮，弹出增加Portal定制页面，配置名称、业务分组和类型，如下图所示，具体配置参数请参见产品联机帮助。

图4-228 增加Portal定制页面

(3) 单击<确定>按钮，返回PC页面，可查看新增Portal认证页面，如下图所示。

图4-229 新增Portal认证页面

(4) 单击操作列的按钮，进入编辑Portal定制页面，如下图所示。

图4-230 编辑Portal定制页面

本文以配置定制页为例，认证成功页、心跳页面和修改密码页可参考以下步骤配置。

下面介绍几个比较常见的控件操作。

1. 增加页面样式

(1) 在认证页页面，单击右上角的<页面样式>按钮，进入页面样式配置页面，如下图所示。

图4-231 页面样式

(2) 单击<上传文件>按钮，可以选择背景图片，并配置背景颜色、大小和位置，若要配置背景颜色，需调整下方的透明度条，否则默认透明，颜色不会显示，如下图所示。

图4-232 背景颜色

(3) 配置完成后，单击<确定>按钮，本文以保持缺省值为例。

2. 增加空白控件

(1) 单击左侧基本控件区域的空白控件，如下图所示。

图4-233 空白控件

(2) 鼠标移动到空白编辑区，单击左上角按钮，弹出内容设置页面，如下图所示。

图4-234 空白编辑区

图4-235 内容设置

(3) 设置空白编辑区高度，单击<增加>按钮，页面空白编辑区高度设置完成，如下图所示。

图4-236 设置高度

3. 增加标题控件

(1) 单击左侧基本控件区域的标题控件，鼠标移动到标题编辑区，单击左上角按钮，弹出内容设置页面，如下图所示。

图4-237 标题编辑区

(2) 设置标题中文文字、英文文字、字体大小、文本颜色、字体粗细、位置，如下图所示，然后单击<增加>按钮，标题设置成功。

图4-238 设置标题

4. 增加认证控件

(1) 单击左侧基本控件区域的认证控件，鼠标移动到认证编辑区，单击左上方显示的按钮，弹出内容设置页面，如下图所示。

图4-239 认证编辑区

(2) 进行内容设置，分别设置认证方式、首选认证、样式、链接等，单击<增加>按钮，认证控件设置完成，如下图所示。

图4-240 认证

5. 增加图片控件

(1) 单击左侧基本控件区域的图片控件，鼠标移动到图片编辑区，单击左上角按钮，弹出内容设置。

图4-241 图片编辑区

(2) 上传图片，设置图片的宽度以及位置，也可以单击<绑定广告>按钮，绑定广告，单击<增加>按钮，页面上出现图片。

6. 增加自定义html控件

(1) 单击左侧基本控件区域的html控件，鼠标移动到html编辑区，单击左上角按钮，弹出内容设置页面，如下图所示。

图4-242 HTML编辑区

(2) 在输入框中输入html源码，本文以增加自定义链接为例，单击<增加>按钮，完成html设置，如下图所示。

图4-243 html设置

增加的源码如下：

<a style='font-size:14px; position:absolute;top:10px;left:37%'

href='https：//www.baidu.com'>自定义链接</a></div>

(3) 配置完成后，单击右上角<保存>按钮，如下图所示，保存页面，自主页面定制完成。

图4-244 保存

4.10.2 MAC Portal认证页面

进入[自动化>网络准入>准入管理>WEB页面定制>MAC Portal认证页面定制]页面，如下图所示，具体配置步骤可参考4.10.1 Portal认证页面定制。

图4-245 MAC Portal认证页面定制

4.10.3 认证页面推送

认证页面推送是为了用户通过不同的认证方式进行认证时，根据不同条件推送不同认证页面而配置的策略。

进入[自动化>网络准入>准入管理>WEB页面定制>认证页面推送]页面，单击<增加>按钮，进入增加页面推送策略页面，配置策略名称、认证方式，在页面推送子策略列表，单击<增加>按钮，配置子策略名称，选择接入条件和策略，具体参数说明请参见产品联机帮助，如下图所示。

图4-246 增加页面推送策略

4.10.4 预注册页面定制

本系统提供一个绘制页面的可视化工具，操作员在无需借助第三方人力或者工具的情况下，可自行定制预注册认证页面（包括用户预注册页面和访客预注册页面）。操作员既可以定制在PC上推出的Web页面，也可以定制在手机上推出的Web页面。系统分别为这两类页面预置了几套模板，方便操作员经过简单的修改即可完成页面的定制。系统还提供了空白模板，操作员可以DIY自行设计页面，本文以PC页面为例进行介绍。

(1) 进入[自动化>网络准入>准入管理>WEB页面定制>预注册页面定制>PC页面]页面，单击<增加>按钮，进入定制页面，配置定制名称，选择类别和样式，如下图所示，具体配置参数请参见产品联机帮助。

图4-247 定制访客预注册页面

(2) 配置完成后，单击<确定>按钮，返回预注册页面定制页面，单击绘制栏的按钮，进入预注册定制页面，如下图所示。

图4-248 预注册定制页面

(3) 单击<属性设置>按钮，进入属性设置页面，单击操作列的按钮，可设置字段的别名、字段输入提示信息、是否显示该字段、是否为必填项和默认值，如下图所示。

图4-249 编辑字段属性

(4) 编辑完成后，单击按钮，保存修改的属性，全部修改完成后单击<关闭>按钮。

(5) 返回预注册Phone定制页面，单击<保存>按钮，然后单击<确定>按钮完成定制。

(6) 单击定制名称列的“用户注册”链接，进入预注册定制详细信息页面，可查看详情，如下图所示。

图4-250 预注册定制详细信息

4.10.5 自助页面定制

提供了PC登录页面、PC页面菜单、PC访客审批页面和移动端登录页面的功能。

1. PC登录页面

修改PC登录页面时，无法调整页面布局，只能对页面内容进行修改。可修改的内容包括：首页标题、背景图、账号名输入框提示信息、公司LOGO、登录后页面Logo、公司网址、完整版权信息、自定义链接。

(1) 进入[自动化>网络准入>准入管理>WEB页面定制>自助页面定制>PC登录页面]页面，在基本信息配置区域，可单击操作列的按钮，可修改内容和备注，如下图所示。

图4-251 基本信息配置

(2) 在链接配置区域可配置自定义链接，如单击自定义链接1修改栏的按钮，显示名称修改为“用户注册”，URL中输入EIAIP:9066+4.10.4 预注册页面定制中新增访客预注册页面的URL路径，本文为172.19.202.241:9066/ssvui/ssvrs/selfservice/templatePage/20250328173553373/preregister.html?customId=6，单击显示列的<隐藏>按钮，开启显示按钮，如下图所示。

图4-252 显示

2. PC页面菜单

PC页面菜单策略基于用户分组定制不同功能的自助服务页面。用户登录自助服务平台后，根据所属的用户分组，被授予不同的管理权限。未配置任PC页面菜单策略的用户分组则使用“缺省策略”

进入[自动化>网络准入>准入管理>WEB页面定制>自助页面定制>PC页面菜单]页面，单击<增加>按钮，进入增加PC页面菜单页面，配置策略名称、菜单定制列表和用户分组，具体参数说明请参见产品联机帮助，如下图所示。

图4-253 增加PC页面菜单

3. PC访客审批页面

PC访客审批页面是用来定制预注册访客的审批项。进入[自动化>网络准入>准入管理>WEB页面定制>自助页面定制>PC访客审批页面]页面，在审批项定制区域，勾选需要审批的参数，已勾选的参数便显示在访客审批页面中，如下图所示。

图4-254 PC访客审批页面

4. 移动端登录页面

修改移动端登录页面时，无法调整页面布局，只能对页面内容进行修改。可修改的内容包括：首页标题、首页登录图片、完整版权信息、广告页面、自定义链接。

进入[自动化>网络准入>准入管理>WEB页面定制>自助页面定制>移动端登录页面]页面，如下图所示，操作步骤可参考1. PC登录页面。

图4-255 移动端登录页面

4.11 IP地址管理

4.11.1 IP规划

1. 增加子网分组

子网分组用于对所有的IP子网进行分组管理，将增加的IP子网放到对应的子网分组下，即可查看子网下所有IP地址的状态。因此需要先增加子网分组，再增加IP子网。

子网分组支持单个增加和批量导入两种方式，此处以单个增加方式为例进行介绍。

进入[自动化>网络准入>准入管理>IP地址管理>IP规划]页面，在左侧子网分组下，单击<增加>按钮，在弹窗中配置子网分组的信息后，单击<确定>按钮即可。

图4-256 增加子网分组

2. 增加IP子网

一个子网对应一个IP地址池。

(1) 选中1. 增加子网分组新增的子网分组，单击右侧子区域中的<增加>按钮，在下拉框中选择“IPv4规划”或“IPv6规划”，此处以“IPv4规划”为例，配置参数信息，具体参数说明请参见产品联机帮助。

图4-257 增加IP子网

(2) 在左侧分组中选中IP子网（或者选中子网后，单击右侧列表中的子网名称），将以图形化方式展示子网内IP地址的分配情况和在线情况。

图4-258 IP地址使用情况

4.11.2 IP分配

进入[自动化>网络准入>准入管理>IP地址管理>IP分配]页面，为终端分配IP地址有三种方式：手工分配IP、批量导入IP地址分配表、入网审批分配，任选一种方式即可，在左侧分组中选中子网（或者选中子网分组后，单击右侧列表中的子网名称），可以查看IP地址的使用情况，页面以图形化的方式展示子网内IP地址的分配情况、在线情况，如下图所示。

1. 手工分配IP

(1) 进入[自动化>网络准入>准入管理>IP地址管理>IP分配]页面，在左侧分组中选中子网，查看IP使用情况，单击右侧区域中未分配的IP地址，在弹窗中配置IP对应的信息，单击<确定>按钮后，即可完成IP的分配。

图4-259 IP分配

(2) 分配成功后，鼠标悬停在已分配IP上会显示使用信息。

图4-260 IP使用浮窗

2. 导入IP地址分配表

系统支持通过文件批量导入IP地址分配表。

(1) 进入[自动化>网络准入>准入管理>IP地址管理>IP分配]页面，单击右侧子区域的<导入IP地址分配表>按钮，弹出“导入IP地址分配表”弹框。

图4-261 导入IP地址分配表

(2) 单击“IP地址分配表导入模板”链接，下载导入模板。下载的压缩文件中包含csv和txt两种格式的导入模板。

(3) 导入模板配置完成后，在导入文件页面单击<选择文件>按钮，选择导入文件后，单击<下一步>按钮进入导入IP地址分配表页面。根据导入文件中的列信息设置对应导入列后，可单击<预览>按钮预览导入结果，确认各列参数均对应后单击<确定>按钮即可。

图4-262 导入文件

图4-263 预览

图4-264 查看导入的IP

3. IP地址使用统计

进入[自动化>网络准入>准入管理>IP地址管理>IP分配>IP地址使用统计]页面，可查看IP使用统计和IP在线统计，如下图所示。

图4-265 IP地址使用统计

4. IP地址下发记录

进入[自动化>网络准入>准入管理>IP地址管理>IP分配>IP地址下发记录]页面，可查看IP地址下发给终端的历史记录，如下图所示。

图4-266 IP地址下发记录

5. IP地址在线历史记录

进入[自动化>网络准入>准入管理>IP地址管理>IP分配>IP地址下发记录]页面，可查看IP地址的上线历史，如下图所示。

图4-267 IP地址在线历史记录

4.11.3 IP审批

IP地址审批是对网络资源管理功能的完善，其作用是处理用户的IP地址新增、变更释放申请，实现用户与IP地址的绑定、绑定变更、释放的功能，以及展示这些申请的历史记录。

(1) 进入[自动化>网络准入>准入管理>IP地址管理>IP审批]页面，可以查看未处理的申请。

图4-268 IP地址审批

(2) 单击操作列的<审批>按钮，进入审批页面，单击“新增IPv4地址”右侧的<选择>按钮，在弹出的选择IP页面中选择未分配的IP（先选中左侧的IP子网，然后在右侧IP地址区域选择未分配的IP）。

图4-269 选择分配IP

(3) 输入审批意见后，单击<确定>按钮，完成审批。

图4-270 二级审批

(4) 审批通过后，可在自动化>网络准入>准入管理>IP地址管理>IP审批]页面查看“已通过”的申请记录。

4.11.4 IP列表

进入[自动化>网络准入>准入管理>IP地址管理>IP列表]页面，可查看已分配的IP，如下图所示。

图4-271 IP列表

4.11.5 IP回收记录

(1) 进入[自动化>网络准入>准入管理>IP地址管理>IP回收记录]页面，可查看IP资源回收记录，如下图所示。

图4-272 IP回收记录

(2) 单击<参数配置>按钮，弹出参数配置页面，可配置IP地址自动释放离线天数和资源回收记录保留时长，如下图所示，具体参数说明请参见产品联机帮助。

图4-273 参数配置

4.11.6 IP设备

1. 设备统计

进入[自动化>网络准入>准入管理>IP地址管理>IP设备>设备统计]页面，可查看所有的入网设备信息，如下图所示。

图4-274 设备统计

2. 入网设备

(1) 进入[自动化>网络准入>准入管理>IP地址管理>IP设备>入网设备]页面，可查看所有在网设备的在线情况，如下图所示。

图4-275 入网设备

(2) 勾选设备，单击<启用/禁用>按钮，可控制是否将设备MAC加入终端MAC地址池。

(3) 单击<更多>按钮，选择“禁止接入的MAC地址”，可查看禁止接入的MAC地址；选择“设备类型”可进入设备类型页面增加设备类型，以便IP地址管理流程中进行IP地址申请时，可以选择设备类型；选择“设备位置”可进入设备位置页面增加设备位置，以便IP地址管理流程中进行IP地址申请时，可以选择设备管理位置。

3. 在网设备

进入[自动化>网络准入>准入管理>IP地址管理>IP设备>在网设备]页面，可查看所有的在网设备信息，如下图所示。

图4-276 在网设备

4.11.7 参数配置

1. 参数配置

进入[自动化>网络准入>准入管理>IP地址管理>参数配置]页面，可配置IP地址管理的参数，如IP地址上报、自动分配IP地址等，具体参数说明请参见产品联机帮助，如下图所示。

图4-277 参数配置

若配置的是IPv6地址，则还需要进行以下配置：

(1) 进入[自动化>网络准入>准入管理>参数管理>接入认证>系统参数]页面，启用IPv6，如下图所示。

图4-278 系统参数配置

(2) 切换至“系统诊断与维护>策略服务器参数配置”下，勾选“在IPv6网络启用策略服务器”如下图所示。

图4-279 策略服务器参数配置

2. DNS服务器配置

IP子网可以绑定DNS服务器，绑定后，在分配IP地址时会自动提供DNS信息。

进入[自动化>网络准入>准入管理>IP地址管理>参数配置>DNS服务器配置]页面，单击<增加>按钮，进入增加DNS服务器页面。配置DNS服务器的名称、地址，配置完成后，单击<确定>按钮即可。

图4-280 增加DNS服务器

3. 设备入网参数配置

进入[自动化>网络准入>准入管理>IP地址管理>参数配置>设备入网参数配置]页面，可配置许可协议声明、操作引导、准入客户端指南和准入登录页面，如下图所示。

图4-281 许可协议配置

图4-282 操作引导配置

图4-283 准入客户端配置

图4-284 准入登录页面配置

4.11.8 审批流程设置

该功能用于为IP地址管理流程根据用户分组设置一级审批人和二级审批人。

· 一级审批人为状态正常的接入用户。

· 二级审批人为具有维护权限的操作员。

接入用户登录IP地址管理流程，进行IP地址相关申请时，会根据登录的接入账号所在的用户分组查询一级审批人。

· 如果用户分组没有配置一级审批人，则会根据父分组查询，依次递归。

· 如果父分组没有配置一级审批人，则可以联想所有状态正常的接入用户。

一级审批人登录用户自助进行审批时，会根据一级审批人所在的用户分组查询二级审批人。

· 如果用户分组没有配置二级审批人，则会根据父分组查询，依次递归。

· 如果父分组没有配置二级审批人，则可以联想所有具有维护权限的操作员。

1. 增加IP审批流程

(1) 进入[自动化>网络准入>准入管理>IP地址管理>审批流程配置]页面，单击<增加>按钮，进入选择申请人用户分组页面选择用户分组，如下图所示。

图4-285 选择用户分组

(2) 单击<下一步>按钮，选择一级审批人，如下图所示。

图4-286 选择一级审批人

(3) 单击<下一步>按钮，选择二级审批人，如下图所示。

图4-287 选择二级审批人

(4) 在审批流程设置页面，单击审批流程列表一/二级审批人配置列的按钮，可修改一/二级审批人，如下图所示。

图4-288 修改审批人

2. 审批参数配置

单击<审批参数配置>按钮，进入审批参数配置页面，可配置入网审批相关业务处理的参数配置，如下图所示，具体参数说明请参见产品联机帮助。

图4-289 审批参数配置

4.12 参数管理

对保证接入业务正常运行的参数进行配置。（系统查看组的操作员只具备查看接入参数页面下业务分组的权限）

4.12.1 接入认证

1. 系统参数

进入[自动化>网络准入>准入管理>参数管理>接入认证>系统参数]页面，系统参数配置提供了系统相关的常用参数信息，并可以根据实际需求进行修改，如下图所示，单击各功能区域右上角的“高级配置”可进行高级配置，具体参数说明请参见产品联机帮助。

图4-290 认证、授权、计费（AAA）参数

图4-291 用户数据管理参数

图4-292 自助服务登录限制

2. 系统逃生

进入[自动化>网络准入>准入管理>参数管理>接入认证>系统逃生]页面，可配置是否启用准入逃生和短信网关逃生，如下图所示。

· 启用准入逃生后，在RADIUS服务器上，把所有接入设备的状态修改为逃生状态。服务器收到处于逃生状态的接入设备的RADIUS报文后，不进行处理。设备上radius状态变为block，设备进入逃生模式；

· 启用短信网关逃生后，iNode客户端短信认证输入任意短信验证码均可正常认证上线。

图4-293 系统逃生

3. 漫游配置

漫游是将不属于当前本系统的用户发来的认证请求转发到其所属EIA的一种功能。这一过程中，需要双方EIA的配合，并进行以下配置（假设将转发认证请求的EIA称为源EIA，将接收认证请求的EIA称为目的EIA）：

· 在目的EIA中将源EIA配置为接入设备。

· 在源EIA中配置漫游，其中包括目的EIA的信息。

· 漫游配置优先级高于接入用户，即本系统的接入用户在符合漫游条件的基础上也会进行漫游认证。

(1) 进入[自动化>网络准入>准入管理>参数管理>接入认证>漫游配置]页面，单击<增加>按钮，进入增加漫游配置页面，选择标识，设置域名、IP地址、端口、密钥和类型信息，如下图所示。

图4-294 增加漫游配置

(2) 在漫游配置页面，单击右上角的“默认漫游配置”链接，进入配置默认漫游页面，可勾选启用默认漫游配置，配置默认漫游，如下图所示。

图4-295 配置默认漫游

4. 名址绑定

该功能用于为账号绑定IP地址。

此页面功能需在[终端管理>终端管理参数配置]页面开启VXLAN组网后才能生效。

(1) 进入[自动化>网络准入>准入管理>参数管理>接入认证>名址绑定]页面，单击<增加>按钮，进入增加名址绑定信息页面，选择账号名和IP地址，如下图所示。

图4-296 增加名址绑定信息

(2) 进入[自动化>网络准入>准入管理>参数管理>接入认证>名址绑定>静态IP地址审批]页面，单击待审批的静态IP地址申请信息对应的“审批”链接，进入审批静态IP地址申请页面，单击<通过>或<拒绝>按钮完成审批操作。

(3) 进入[自动化>网络准入>准入管理>参数管理>接入认证>名址绑定>IP绑定老化]页面，可基于用户分组老化绑定IP，如下图所示。

图4-297 IP绑定老化

5. 别名认证配置

进入[自动化>网络准入>准入管理>参数管理>接入认证>别名认证配置]页面，可以将用户的一些属性指定为别名字段，以别名字段的值作为认证名，进行认证上线，单击<增加>按钮，进入增加别名认证配置页面，选择用户分组和别名字段，如下图所示。

图4-298 增加别名认证配置

在别名认证配置页面，可单击右上角的<修改>按钮，修改配置生效时间，如下图所示。

图4-299 修改配置生效时间

6. 用户绑定信息

进入[自动化>网络准入>准入管理>参数管理>接入认证>用户绑定信息]页面，可为接入用户的绑定信息配置自学习数量，单击要修改的用户绑定信息自学习数量列的单元格，单元格会变成一个输入框，可输入自学习数量，如下图所示。

图4-300 用户绑定信息

7. 用户通知参数配置

本系统发送消息给第三方系统，第三方系统收到该消息后将该消息转换为短信息或电子邮件发送给用户。

(1) 进入[自动化>网络准入>准入管理>参数管理>接入认证>用户通知参数配置]页面，单击<增加>按钮，进入增加用户通知页面，配置通知方式、通知事件、服务器IP、服务器端口、密钥、通知内容、过滤配置，选择用户分组，如下图所示，具体参数说明请参见产品联机帮助。

图4-301 增加用户通知

图4-302 过滤配置

图4-303 选择用户

(2) 在用户通知参数配置页面，可配置设备重启情况下（发送Account-on/off报文）发送下线通知类型为“按设备发送一次下线通知”或“按用户逐个发送下线通知”。

8. 账号自动销户任务

进入[自动化>网络准入>准入管理>参数管理>接入认证>账号自动销户任务]页面，单击<增加>按钮，进入增加账号自动销户任务页面，可配置任务为预注册账号或直接注册账号，配置失效账号和闲置账号，选择用户分组，如下图所示，具体参数说明请参见产品联机帮助。

图4-304 账号自动注销任务

图4-305 选择用户分组

9. 第三方认证配置

该功能用于对第三方用户进行认证。启用该功能后，第三方用户可以进行认证并在本系统中开户。

(1) 进入[自动化>网络准入>准入管理>参数管理>接入认证>第三方认证配置]页面，单击第三方认证动作列的按钮，进入第三方认证配置页面，勾选“启用第三方认证”，可选择第三方数据库、第三方WEB服务、自定义第三方插件和第三方RADIUS认证，然后配置相应参数，如下图所示，具体参数说明请参见产品联机帮助。

图4-306 第三方认证配置

图4-307 接入信息

(2) 单击第三方同步配置动作列的按钮，进入第三方同步配置页面，可修改第三方同步配置参数，如下图所示，具体参数说明请参见产品联机帮助。

图4-308 第三方同步配置

10. 第三方联动检查配置

进入[自动化>网络准入>准入管理>参数管理>接入认证>第三方联动配置]页面，可配置终端用户上线时第三方联动检查相关配置，如下图所示，具体参数说明请参见产品联机帮助。

图4-309 第三方联动检查配置

11. 第三方RADIUS联动配置

(1) 进入[自动化>网络准入>准入管理>参数管理>接入认证>第三方RADIUS联动配置]页面，单击<增加>按钮，进入第三方RADIUS联动配置页面，配置第三方RADIUS属性值，合规/不合规安全组，如下图所示，具体参数说明请参见产品联机帮助。

图4-310 增加第三方RADIUS联动配置

(2) 在第三方RADIUS联动配置列表，单击右上角的“切换厂商”链接，可切换厂商，如下图所示，切换厂商时，第三方RADIUS属性可以选择ACL或VLAN。当厂商为Leagsoft时，提供了基于控制组件安全组匹配下发VXLAN到联软的功能；当为其他厂商时，由于用户信息都在第三方服务器，只需配置合规安全组，用于AD-Campus组网和第三方服务器对接。

图4-311 切换厂商

12. IP-SGT业务订阅管理

(1) 进入[自动化>网络准入>准入管理>参数管理>接入认证>IP-SGT业务订阅配置]页面，单击右上角的“IP-SGT业务参数配置”链接，可开启IP-SGT业务和IP-SGT HA开关，如下图所示。

图4-312 IP-SGT业务参数配置

(2) 开启IP-SGT业务之后，可单击<选择订阅设备>或<手动增加订阅设备>按钮增加订阅设备，如下图所示，具体参数说明请参见产品联机帮助。

图4-313 增加订阅设备

13. 单点登录配置

单点登录是将入网认证和应用认证进行整合的一种认证方式。即终端用户进行一次认证后，既可以顺利接入网络，又能访问各种Web应用系统。避免用户反复登录各种系统，以提升用户体验。

进入[自动化>网络准入>准入管理>参数管理>接入认证>单点登录配置]页面，单击配置列的按钮，配置各项参数，如下图所示，具体参数说明请参见产品联机帮助。

图4-314 Web应用系统>Portal

图4-315 Portal>Web应用系统

图4-316 Web应用系统>MAC Portal

图4-317 MAC Portal>Web应用系统

4.12.2 系统诊断与维护

1. 策略服务器参数配置

进入[自动化>网络准入>准入管理>参数管理>系统诊断与维护>策略服务器参数配置]页面，可对策略服务器相关参数进行配置，如下图所示，相关参数说明请参见产品联机帮助。

图4-318 策略服务器参数配置

2. 代理服务器检测参数

本系统定义了代理服务器检测参数，并将这些参数下发给iNode客户端，由iNode客户端来判断主机是否启用了代理服务器。如果iNode客户端检测到本机转发的报文比例达到一定比例，则认为本机开启了代理服务器。代理服务器检测参数具体包括：报文转发率、不进行检测的外网IP段、待检测的内网IP段。

进入[自动化>网络准入>准入管理>参数管理>系统诊断与维护>代理服务器检测参数]页面，单击不进行检测的外网IP段和待检测的内网IP段的<增加>按钮，可配置相关网段，如下图所示，相关参数说明请参见产品联机帮助。

图4-319 代理服务器检测参数

3. 运行日志设置

进入[自动化>网络准入>准入管理>参数管理>系统诊断与维护>运行日志设置]页面，可对系统运行环境相关参数进行配置，指定日志的重要级别，配置了日志级别后，系统仅记录该级别和该级别以上的日志，如下图所示。

图4-320 运行日志设置

4. 导出任务

为了保证系统数据的可维护性，本系统提供了任务定时导出功能。这一功能可以将数据库中的特定数据定时导出。可导出的数据包括：接入明细、账号信息、认证失败日志、用户日志和设备管理用户认证日志。

进入[自动化>网络准入>准入管理>参数管理>系统诊断与维护>导出任务]页面，单击操作列的按钮，可开启定时导出任务，如下图所示，具体参数说明请参见产品联机帮助。

图4-321 导出任务

4.12.3 证书管理

1. 认证证书

证书配置主要是对根证书、服务器证书、客户端证书、证书吊销列表等进行配置。只有正确完成证书配置，才能保证用户使用证书进行认证。

(1) 进入[自动化>网络准入>准入管理>参数管理>系统诊断与维护>认证证书]页面，可单击根证书配置和非根证书配置的<导入>按钮，可导入EAP根证书、WAPI根证书、RadSec根证书等证书，如下图所示。

图4-322 导入证书

(2) 单击<证书文件校验>和<已导入证书校验>按钮可校验证书文件的合法性。

(3) 如果用户没有向第三方购买证书，则可以使用EIA自带的证书配置证书认证。单击<导入预置证书>按钮，导入EAP根证书和EAP服务器证书。

2. web证书

进入[自动化>网络准入>准入管理>参数管理>系统诊断与维护>web证书]页面，当用户需要使用HTTPS协议访问自助服务平台、Portal认证页面和MAC Portal认证页面时，需要在该页面上传TLS证书文件和密钥文件，如下图所示。

图4-323 web证书

4.12.4 终端管理

1. 终端管理参数配置

进入[自动化>网络准入>准入管理>参数管理>终端管理>终端管理参数配置]页面，可配置终端管理功能和控制器的相关参数，单击服务类型区域的<增加>按钮，可增加服务类型，如下图所示，具体参数说明请参见产品联机帮助。

图4-324 终端管理参数配置

图4-325 控制器配置

图4-326 服务器类型

2. 终端老化策略配置

终端进行无感知认证时，一旦终端的MAC地址与账号绑定，该终端再次接入网络，无需输入账号名和密码，系统会自动进行认证。为了安全起见，系统会根据配置定时老化（删除终端或者修改终端的MAC Portal状态）超过老化时长且无感知认证状态为启用的终端，这样该终端重新接入网络后，需要再次输入账号名和密码重新绑定。如果老化时长设置为0天（时），终端将永远不老化。如果终端的无感知认证状态为禁用，则可设置非无感知终端老化时长，系统根据此参数删除符合条件的接入终端。

进入[自动化>网络准入>准入管理>参数管理>终端管理>终端老化策略配置]页面，单击<增加>按钮，进入增加终端老化策略页面，配置终端老化策略并选择用户分组，如下图所示，具体参数说明请参见产品联机帮助。

图4-327 增加终端老化策略

4.12.5 数据分权

1. 业务分组

本系统中的分权管理具体体现在将本系统系统中的业务数据（如接入服务、安全策略等）划分到不同的分组中，只有与分组相关联的管理员/维护员才能对业务数据进行操作。

进入[自动化>网络准入>准入管理>参数管理>数据分权>业务分组]页面，单击<增加>按钮，进入增加业务分组页面，填写分组名称，单击选择资源分组输入框的“选择”链接，选择资源分组，如下图所示，具体参数说明请参见产品联机帮助。

图4-328 增加业务分组

4.13 设备用户管理

4.13.1 用户管理

1. 设备用户（TACACS）

所有在线用户

进入[自动化>网络准入>设备用户管理>用户管理>设备用户（TACACS）>所有在线用户]页面，在线用户是指已经登录设备并正在管理设备的用户。通过在线用户列表可以查看、跟踪在线用户，并对用户进行在线维护，如下图所示，单击<清除在线信息>按钮可清除在线信息。

图4-329 设备在线用户

所有设备用户

进入[自动化>网络准入>设备用户管理>用户管理>设备用户（TACACS）>所有设备用户]页面，单击<增加>按钮，进入增加设备用户页面，配置账号名和密码，用户的授权策略选择增加的用户策略，其他参数保持缺省值即可，如下图所示，具体参数说明请参见产品联机帮助。

图4-330 增加设备用户

设备用户分组

设备用户分组主要用于实现操作员的分权管理，具体方法为：将同一类型的设备用户划分到同一个用户分组中，并为操作员分配该分组的操作权限。TAM支持5级共256个设备用户分组，并以树形结构展示设备用户分组的层次关系，使得操作员的管理更加直观、方便和灵活。

进入[自动化>网络准入>设备用户管理>用户管理>设备用户（TACACS）>设备用户分组]页面，单击<增加>按钮，进入增加设备用户分组页面，配置分组名称、授权策略，选择资源分组，如下图所示，具体参数说明请参见产品联机帮助。

图4-331 增加设备用户分组

黑名单用户

设备用户在以下两种情况下会被加入黑名单：

· 操作员锁定用户：操作员通过日志分析等手段发现设备用户存在潜在危险而不允许该用户管理设备，在设备用户管理中操作员将设备用户手工加入黑名单中。操作员加入的黑名单用户不会自动解除，只能由操作员手工解除黑名单。

· 恶意登录尝试：设备用户登录设备时，使用了正确的账号名，但却连续多次输入了错误的密码（错误次数由“认证失败阈值”决定，具体请参见系统参数配置）。TAM判定该用户恶意登录，将自动将其加入黑名单。TAM加入的黑名单用户在锁定时长外自动解除黑名单（锁定时长由“黑名单用户锁定时长（时）”决定，具体请参见系统参数配置）。

进入[自动化>网络准入>设备用户管理>用户管理>设备用户（TACACS）>黑名单用户]页面，可查看黑名单列表，如下图所示，勾选一个或多个黑名单用户，单击<解除黑名单>按钮，确认后即可完成解除黑名单操作。

图4-332 黑名单用户

预注册用户

用户可以通过TAM自助服务进行预注册操作，生成预注册用户。TAM组件预注册用户的主要功能是对这些预注册用户进行正式注册。

(1) 进入[自动化>网络准入>设备用户管理>用户管理>设备用户（TACACS）>预注册用户]页面，如下图所示。

图4-333 预注册用户

(2) 单击正式注册列的按钮，进入正式注册页面，如下图所示，设置用户的基本信息和绑定信息，单击<确定>按钮，完成操作。

图4-334 正式注册

LDAP用户

LDAP用户是指与某个LDAP同步策略绑定的设备用户。每次同步时，都会把LDAP服务器上的属性值同步给设备用户。

进入[自动化>网络准入>设备用户管理>用户管理>设备用户（TACACS）>LDAP用户]页面，可查看LDAP用户列表，如下图所示。

图4-335 LDAP用户

2. 设备用户（RADIUS）

设备管理用户

(1) 进入[自动化>网络准入>设备用户管理>用户管理>设备用户（RADIUS）>设备管理用户]页面，单击<增加>按钮，进入增加设备管理用户页面，配置账号名、用户密码、认证密码方式选和登录类型，其他参数保持缺省值即可，如下图所示，具体参数说明请参见产品联机帮助。

图4-336 增加设备管理用户

(2) 在设备管理用户页面，可对用户进行删除、批量修改、批量导入/导出、绑定LDAP同步策略和批量注册动态令牌操作，如下图所示，具体参数说明请参见产品联机帮助。

图4-337 设备管理用户

预注册设备管理用户

用户可以通过自助服务进行预注册设备管理用户操作，生成预注册设备管理用户。预注册设备管理用户的主要功能是对这些预注册设备管理用户进行正式注册。

(1) 进入[自动化>网络准入>设备用户管理>用户管理>设备用户（RADIUS）>预注册设备管理用户]页面，如下图所示。

图4-338 预注册设备管理用户

(2) 单击操作列的按钮，进入正式注册页面，设置用户的基本信息、绑定的用户IP地址列表和所管理设备IP地址列表，如下图所示，单击<确定>按钮完成操作。

图4-339 正式注册1

图4-340 正式注册2

设备管理用户分组

进入[自动化>网络准入>设备用户管理>用户管理>设备用户（RADIUS）>设备管理用户分组]页面，单击<增加>按钮，进入增加设备用户分组页面，配置分组名称和Radius授权策略，如下图所示，具体参数说明请参见产品联机帮助。

图4-341 增加设备用户分组

设备管理用户认证日志

设备管理用户认证日志是用于记录设备管理用户认证并登录设备时产生的日志。日志包含了账号名、服务类型、认证时间、下线原因、认证失败原因、设备IP地址等。操作员可以通过这些信息了解设备管理用户的认证情况。

进入[自动化>网络准入>设备用户管理>用户管理>设备用户（RADIUS）>设备管理用户分组]页面，可查看和导出设备管理用户认证日志，如下图所示。

图4-342 设备管理用户认证日志

4.13.2 设备管理

进入[自动化>网络准入>设备用户管理>设备管理]页面，单击<增加>按钮，进入增加设备页面，配置共享密钥，增加设备，如下图所示，具体参数说明请参见产品联机帮助。

图4-343 增加设备

4.13.3 策略管理

1. 授权策略管理

为了细化设备用户登录和管理设备的权限，可以根据不同的授权策略的对设备用户分别进行授权。

授权策略（TACACS）

进入[自动化>网络准入>设备用户管理>策略管理>授权策略管理>授权（TACACS）]页面，单击<增加>按钮，进入增加授权策略页面，配置策略名称，勾选“启用RSA”，选择设备用户密码校验方式，在接入授权信息区域，单击<增加>按钮，选择设备区域、设备类型和授权时段，如下图所示，具体参数说明请参见产品联机帮助。

图4-344 增加授权策略

授权策略（RADIUS）

进入[自动化>网络准入>设备用户管理>策略管理>授权策略管理>授权（RADIUS）]页面，单击<增加>按钮，进入增加授权策略页面，配置策略名称、登录类型等参数，在授权场景区域，单击<增加>按钮，增加授权场景，如下图所示，具体参数说明请参见产品联机帮助。

图4-345 增加授权策略

2. 授权场景条件

为了细化设备用户登录和管理设备的权限，TAM可以根据不同的接入场景对设备用户进行不同的授权。接入场景的要素包括设备区域、设备类型、授权时段、AD分组和终端IP地址分组。只要有一个要素不相同，即表示设备用户在不同的场景下登录设备。

设备区域

进入[自动化>网络准入>设备用户管理>策略管理>授权场景条件>设备区域]页面，单击<增加>按钮，进入增加设备区域页面，配置区域名称，选择资源分组，如下图所示。

图4-346 增加设备区域

设备类型

进入[自动化>网络准入>设备用户管理>策略管理>授权场景条件>设备类型]页面，单击<增加>按钮，进入增加设备类型页面，配置类型名称，如下图所示。

图4-347 增加设备类型

授权时段策略

进入[自动化>网络准入>设备用户管理>策略管理>授权场景条件>授权时段策略]页面，单击<增加>按钮，进入增加授权时段策略页面，配置授权时段策略名称、生效时间和失效时间，在授权时段信息区域，单击<增加>按钮，配置授权时段类型、接入开始时间和接入结束时间，如下图所示。

图4-348 增加授权时段策略

AD分组

进入[自动化>网络准入>设备用户管理>策略管理>授权场景条件>AD分组]页面，单击<增加>按钮，进入增加AD分组页面，配置AD分组名称，在LDAP组列表区域，单击<增加>按钮，增加LDAP分组，如下图所示。

图4-349 增加AD分组

终端IP地址分组（RADIUS）

进入[自动化>网络准入>设备用户管理>策略管理>授权场景条件>终端IP地址分组（RADIUS）]页面，单击<增加>按钮，进入增加终端IP地址分组（RADIUS）页面，配置终端IP地址分组名称，在所管理终端IP地址列表区域，单击<增加>按钮，增加IP地址，如下图所示。

图4-350 增加终端IP地址分组（RADIUS）

终端IP地址分组（TACACS）

进入[自动化>网络准入>设备用户管理>策略管理>授权场景条件>终端IP地址分组（TACACS）]页面，单击<增加>按钮，进入增加终端IP地址分组（TACACS）页面，配置终端IP地址分组名称，在IP地址列表区域，单击<增加>按钮，增加IP地址，如下图所示。

图4-351 增加终端IP地址分组（TACACS）

3. 授权命令配置

Shell Profile

Shell Profile主要对设备用户登录设备的行为进行控制。欲使TAM中配置的Shell Profile生效，必须在设备上启用登录授权功能。登录授权功能启用之后，设备用户一旦身份认证成功，TAM根据授权策略为设备用户设置Shell Profile，具体包括：接入控制列表、自动执行命令、授权级别、自定义属性、闲置时长和会话时长。

进入[自动化>网络准入>设备用户管理>策略管理>授权命令配置>Shell Profile]页面，单击<增加>按钮，进入增加Shell Profile页面，配置Shell Profile名称、接入控制列表和授权级别等信息，如下图所示，具体参数说明请参见产品联机帮助。

图4-352 增加Shell Profile

命令集

命令集主要对设备用户使用命令的行为进行控制。欲使TAM中配置的命令集生效，必须在设备上启用命令行授权功能。命令行授权功能启用之后，设备用户一旦身份认证成功，TAM根据授权策略为设备用户设置命令集。用户执行命令时，设备根据命令集来判定是否允许用户执行。

进入[自动化>网络准入>设备用户管理>策略管理>授权命令配置>命令集]页面，单击<增加>按钮，进入增加命令集页面，配置命令集名称，在命令集信息区域，单击<增加>按钮，增加命令行，如下图所示，具体参数说明请参见产品联机帮助。

图4-353 增加命令集

4.13.4 LDAP业务管理

TAM组件可以将TAM中的设备用户和LDAP用户相关联。当设备用户登录设备发起认证请求时，TAM确认存在此用户后，根据配置执行本地LDAP用户的验证或将验证工作转交给LDAP服务器。实现此功能后，在相对稳定的网络中引入TAM时，不需要重建用户信息数据库，节省了大量的维护成本。

1. 服务器配置

服务器配置主要用于管理LDAP服务器。LDAP是轻量级目录访问协议，通过LDAP服务器可以管理用户的各种信息。

进入[自动化>网络准入>设备用户管理>LDAP业务管理>服务器配置]页面，单击<增加>按钮，进入增加LDAP服务器页面，配置服务器名称、服务器地址和管理员DN等信息，其中管理员DN、管理员密码和Base DN需要和LDAP服务上信息保持一致，如下图所示，具体参数配置请参见产品联机帮助。

图4-354 增加LDAP服务器

2. 同步策略配置

LDAP同步的主要功能是将LDAP服务器上的账号同步到TAM上。可以等待每天（缺省每天3:00，也可在系统参数配置中设置LDAP定时任务执行时间）自动同步任务执行，也可以单击LDAP同步策略列表中“同步”链接触发手工同步，手工同步的结果可通过点击“查看同步结果”链接查看。

(1) 进入[自动化>网络准入>设备用户管理>LDAP业务管理>同步策略配置]页面，单击<增加>按钮，进入增加LDAP同步策略页面，配置同步策略名称、服务器名称等信息，如下图所示，具体配置参数请参见产品联机帮助。

图4-355 同步策略基本信息

(2) 单击<下一步>按钮，进入同步策略详细信息页面，配置登录密码，如下图所示。

图4-356 同步策略详细信息

3. 用户导出

为了能方便地将LDAP服务器中的用户导入到TAM中，系统提供了LDAP用户导出功能。该功能可以将特定的LDAP用户导出为一定格式的文本文件。TAM组件提供的批量导入设备用户功能直接使用导出的文件即可把LDAP用户导入TAM组件。

(1) 进入[自动化>网络准入>设备用户管理>LDAP业务管理>用户导出]页面，配置LDAP服务器和过滤条件等信息，如下图所示，具体参数说明请参见产品联机帮助。

图4-357 LDAP用户属性查询

(2) 单击<搜索>按钮，勾选要导出的属性，单击<确定>按钮，进入LDAP用户导出结果页面，单击“下载用户导出文件”链接可下载文件，如下图所示。

图4-358 LDAP用户导出结果

4.13.5 参数配置

参数管理定义了系统在运行时所需的全局性参数，包括系统参数配置、用户密码控制策略配置、运行日志参数配置、RSA认证参数配置和系统配置手工生效。

1. 系统参数

进入[自动化>网络准入>设备用户管理>参数管理>系统参数]页面，可配置系统相关的常用参数信息，如老化时间间隔、认证失败阈值等信息，如下图所示，具体参数说明请参见产品联机帮助。

图4-359 系统参数1

图4-360 系统参数2

2. 用户密码控制策略

在设备用户通过自助服务平台修改密码时，可通过配置用户密码控制策略对新密码的规则进行限制，保障设备用户密码的安全性。

进入[自动化>网络准入>设备用户管理>参数管理>用户密码控制策略]页面，可配置密码长度控制、历史密码重复限制等信息，如下图所示，具体参数说明请参见产品联机帮助。

图4-361 用户密码控制策略

3. 运行日志参数

进入[自动化>网络准入>设备用户管理>参数管理>运行日志参数]页面，可修改TAM服务器记录运行日志的级别，如下图所示。

图4-362 运行日志参数

4. RSA认证参数

进入[自动化>网络准入>设备用户管理>参数管理>RSA认证参数]页面，勾选“启用RSA”参数后，可配置RSA服务认证，如下图所示，具体参数说明请参见产品联机帮助。

图4-363 RSA认证参数

5. 系统配置手工生效

业务参数的配置修改后，配置台会通知后台进程请求立即生效，如果通知失败，后续可直接使用“系统配置手工生效”使参数配置立即生效。进入[自动化>网络准入>设备用户管理>参数管理>系统配置手工生效]页面，单击<立即生效>按钮，如下图所示，即可使业务参数配置生效。如果系统配置手工生效失败，将提示失败原因。

图4-364 系统配置手工生效

4.14 客户端管理

4.14.1 升级和卸载

用于管理客户端的升级和卸载。

1. 升级管理

升级包管理

进入[自动化>网络准入>客户端管理>升级和卸载>升级管理>升级包管理]页面，单击<上传文件>按钮，进入上传文件页面，配置名称、描述等信息，然后单击客户端文件后的<上传文件>按钮，上传文件，如下图所示。

图4-365 上传文件

升级包分类

进入[自动化>网络准入>客户端管理>升级和卸载>升级管理>升级包管理]页面，单击<增加>按钮，进入增加客户端上传分类页面，配置名称和描述，如下图所示。

图4-366 增加客户端上传分类

升级策略

用户使用的客户端版本低于增加的客户端升级版本，或者客户端配置早于增加的客户端配置，或者当前版本客户端需要打补丁、修复一些已知问题，即会触发客户端自动升级。

(1) 进入[自动化>网络准入>客户端管理>升级和卸载>升级管理>升级策略]页面，单击<增加>按钮，选择客户端版本升级，进入增加客户端版本升级任务页面，配置任务名称、升级对象的信息，选择接入用户，如下图所示，具体参数说明请参见产品联机帮助。

图4-367 增加客户端版本升级任务

(2) 单击<增加>按钮，选择客户端配置更新，进入增加客户端配置更新任务，如下图所示。

图4-368 增加客户端配置更新任务

(3) 单击<增加>按钮，选择客户端补丁升级，进入增加客户端补丁升级任务，如下图所示。

图4-369 增加客户端补丁升级任务

2. 卸载管理

该功能用于防止用户私自卸载iNode客户端场景。iNode卸载时产生一个动态随机码，使用该动态码在EIA生成客户端卸载授权码，用于iNode客户端卸载授权。该功能与iNode客户端配合使用，定制iNode客户端时需要配置“启用密码保护功能>使用扩展密码”功能。

进入[自动化>网络准入>客户端管理>升级和卸载>卸载管理]页面，输入客户端动态码，单击<确定>按钮，生成“客户端卸载授权码”，如下图所示。

图4-370 卸载管理

4.14.2 客户端防破解

一般情况下，终端用户必须通过了身份认证/安全认证，才能正常访问网络。而一些非法用户使用破解、篡改或仿冒的网络客户端绕开了身份认证/安全认证，非法使用网络。

为了阻止此类非法用户使用网络，EIA提供了客户端防破解方案，通过iNode、EIA、H3C的设备相互配合阻止非法的客户端接入网络。在此方案中，需要在EIA中配置客户端管理中心。

进入[自动化>网络准入>客户端管理>客户端防破解]页面，启用客户端防破解参数，在客户端管理中心区域，单击<增加>按钮，配置管理中心IP地址，如下图所示，具体参数说明请参见产品联机帮助。

图4-371 客户端防破解

4.14.3 问题报修

1. FAQ管理

用户上网的过程中遇到一些常见问题时，为了让用户能自己及时解决这些问题，同时也减轻网络管理员的维护工作量，管理员可以将常见问题及其解决方法通过自助服务平台以FAQ的形式发布。

进入[自动化>网络准入>客户端管理>问题报修>FAQ管理]页面，单击<增加>按钮，进入增加FAQ页面，配置问题简述、解决方法等信息，如下图所示。

图4-372 增加FAQ

2. 报修单管理

当用户网络出现故障时，用户可以通过自助平台提交网络故障报修单。操作员可以通过[自动化>网络准入>客户端管理>问题报修>报修单管理]页面的报修单管理功能对用户提交的报修单进行集中管理，如下图所示，可进行如下操作。

· 可以查看报修单

· 可以处理报修单

· 可以删除过期的报修单

· 可以将报修单置为典型案例

· 可以将报修单转成FAQ

· 可以打印报修单

图4-373 报修单管理

3. 故障现象定制

故障现象定制用于对故障现象的增删改操作，使管理员对报修单的管理和定位更加灵活。

进入[自动化>网络准入>客户端管理>问题报修>故障现象定制]页面，单击<增加>按钮，进入增加故障现象字段页面，配置字段名称、字段类型等参数，如下图所示，具体配置参数请参见产品联机帮助。

图4-374 增加故障现象字段

4.15 分级管理

4.15.1 当前节点

进入[自动化>网络准入>分级管理>当前节点]页面，可修改当前节点的基本信息，如下图所示，具体参数说明请参见产品联机帮助。

图4-375 当前节点

4.15.2 下级节点

下级节点界面会展示该节点的所有直接下级节点信息，并提供了增加下级节点、查看下级节点详细信息、策略同步配置、用户同步配置、查看同步用户、查看用户同步历史、修改下级节点、删除下级节点等主要功能。

(1) 进入[自动化>网络准入>分级管理>下级节点]页面，单击<增加>按钮，进入增加下级节点页面，配置IP地址/域名、协议类型、端口等信息，如下图所示，具体参数说明请参见产品联机帮助。

图4-376 增加下级节点

(2) 参数配置完成后，单击<测试连接>按钮，可测试网络是否连接正常，如下图所示。

图4-377 网络连接正常

(3) 测试网络连接正常后，单击<确定>按钮，完成下级节点的增加，返回下级节点页面可查看新增的分部节点列表，如下图所示。

图4-378 下级节点列表

$说明: F:\AD-Campus\组件\EAD\典配\分级管理\12.PNG$

(4) 单击下级节点操作列的按钮，进入策略同步配置页面，如下图所示。

图4-379 策略同步配置

$说明: F:\AD-Campus\组件\EAD\典配\分级管理\11.PNG$

(5) 勾选需要同步的组件，配置完成后单击<确定>按钮。

4.15.3 上级节点

(1) 进入[自动化>网络准入>分级管理>上级节点]页面，如下图所示。

确认上级节点后，本节点将成为下级节点。下级节点将无法自行配置服务和安全策略等，这些内容将由上级节点统一制定并下发。

图4-380 上级节点

$说明: F:\AD-Campus\组件\EAD\典配\分级管理\13.PNG$

(2) 单击<确认上级节点>按钮，完成上级节点确认，自动执行全量同步操作，如下图所示。

图4-381 执行全量同步

$说明: F:\AD-Campus\组件\EAD\典配\分级管理\14.PNG$

4.15.4 报表管理

1. 报表模板

(1) 进入[自动化>网络准入>分级管理>报表管理>报表模板]页面，单击<增加>按钮，增加报表，配置报表名称，定制报表列，如下图所示。

图4-382 增加报表

(2) 在报表模板页面单击按钮，选择节点，如下图所示。

图4-383 选择节点

(3) 单击<确定>按钮，进入报表预览页面，可查看终端在线离线统计、认证失败原因阅读统计、在线终端上网时长分布、认证失败原因分类统计、终端厂商、终端类型和终端安全检查未通过类型统计，如下图所示。

图4-384 报表预览1

图4-385 报表预览2

图4-386 报表预览3

图4-387 报表预览4

(4) 单击页面右上角<导出>按钮，可导出报表。

2. 周期报表

(1) 进入[自动化>网络准入>分级管理>报表管理>周期报表]页面，单击<增加>按钮，增加周期报表，选择模板，配置周期报表名称和周期报表类型等信息，如下图所示，具体参数说明可参见产品联机帮助。

图4-388 周期报表

(2) 在周期报表页面单击操作列的按钮，可查看历史报表，单击按钮，可挂起报表。

4.15.5 License信息

上级节点的License信息界面会显示上级以及已确认下级节点的License信息。

下级节点的License信息界面会显示下级节点的License信息。

进入[自动化>网络准入>分级管理>License信息]页面，也查看节点License信息，如下图所示。

图4-389 License信息

4.15.6 接入信息

为了方便上级节点用户对下级节点最终用户的管理工作，系统列出了各下级节点的所有在线终端用户和接入终端信息。

1. 接入终端

进入[自动化>网络准入>分级管理>接入信息>接入终端]页面，可查看和导出接入终端信息，如下图所示。

图4-390 接入终端

2. 在线用户

在线用户管理中包含了分级节点中用户名、用户会话标识等信息。您可以通过大屏钻取查看对应节点的在线用户信息，也可以通过分页、排序等操作方便的查找特定节点用户及其相关信息。

进入[自动化>网络准入>分级管理>接入信息>在线用户]页面，可查看和导出在线用户信息，如下图所示。

图4-391 在线用户

3. 认证失败日志

认证失败日志用于记录终端用户在认证时的失败信息。认证失败日志包含了很多关于客户端认证的信息，如登录名，用户IP地址，用户MAC地址，用户IPv6地址，接入设备的IP地址，错误号以及错误原因描述等。操作员可以通过这些信息定位用户认证失败的真正原因。

进入[自动化>网络准入>分级管理>接入信息>认证失败日志]页面，可查看和导出认证失败日志，如下图所示。

图4-392 认证失败日志

4. 接入明细

用户每次成功登录后，系统都会记录关于当次接入的详细的信息，主要包括登录名，何时登录，多长时间，用户的IP地址，MAC地址，IPv6地址，接入设备的IP地址等信息。接入明细其实就是用户上网的历史信息，操作员可以根据各种条件查询接入明细。

进入[自动化>网络准入>分级管理>接入信息>接入明细]页面，可查看和导出接入明细，如下图所示。

图4-393 接入明细

5. 接入用户

接入用户中包含了分级节点中用户名、账号状态等信息。

进入[自动化>网络准入>分级管理>接入信息>接入用户]页面，可查看接入用户信息，如下图所示。

图4-394 接入用户

4.15.7 设备信息

为了方便上级节点用户对下级节点设备用户的管理工作，系统列出了各下级节点的所有设备用户信息。

1. 所有在线用户

在线用户是指已经登录设备并正在管理设备的用户。通过在线用户列表可以查看、跟踪在线用户，并对用户进行在线维护。

进入[自动化>网络准入>分级管理>更多>设备信息>所有在线用户]页面，可查看接入用户信息，如下图所示。

图4-395 所有在线用户

2. 认证日志

认证日志是TAM记录用户登录设备成功或失败的日志。

进入[自动化>网络准入>分级管理>更多>设备信息>认证日志]页面，可查看认证日志，如下图所示。

图4-396 认证日志

3. 授权日志

授权日志包括两种：登录授权和命令行授权。

进入[自动化>网络准入>分级管理>更多>设备信息>授权日志]页面，可查看授权日志，如下图所示。

图4-397 授权日志

4. 审计日志

审计日志是TAM记录用户登录/登出设备以及各种在线行为的日志。

进入[自动化>网络准入>分级管理>更多>设备信息>审计日志]页面，可查看审计日志，如下图所示。

图4-398 审计日志

5. 认证日志（RADIUS）

设备管理用户认证日志是用于记录设备管理用户认证并登录设备时产生的日志。

进入[自动化>网络准入>分级管理>更多>设备信息>认证日志（RADIUS）]页面，可查看设备管理用户认证日志，如下图所示。

图4-399 认证日志（RADIUS）

4.15.8 系统参数配置

进入[自动化>网络准入>分级管理>系统参数配置]页面，可配置分级管理相关系统参数，如下图所示，具体配置参数请参见产品联机帮助。

图4-400 系统参数配置

4.16 终端准入日志

4.16.1 接入认证日志

1. 接入明细

用户每次成功登录后，系统都会记录关于当次接入的详细信息，主要包括登录名，何时登录，多长时间，用户的IP地址，MAC地址，IPv6地址，接入设备的IP地址等信息。接入明细其实就是用户上网的历史信息，操作员可以根据各种条件查询接入明细。

进入[分析>网络准入分析>终端准入日志>接入认证日志>接入明细]页面，可查看和导出用户的接入明细，如下图所示。

图4-401 接入明细

2. 漫游接入明细

漫游接入明细记录了非本地用户接入网络的基本信息。所谓漫游，即非本地用户通过本地接入设备接入网络。用户漫游时，本地EIA不直接对非本地用户进行认证，而是将认证请求转发给用户所属的EIA并将用户接入网络的信息记录到漫游接入明细中。用户所属的EIA接收到认证请求后对用户进行认证，并将认证结果反馈给本地EIA，同时将用户的接入信息记录到接入明细中。

进入[分析>网络准入分析>终端准入日志>接入认证日志>漫游接入明细]页面，可查看并导出非本地用户接入网络的基本信息，如下图所示，具体参数说明请参见产品联机帮助。

图4-402 漫游接入明细

3. 认证日志

[自动化>网络准入>准入管理>参数管理>接入认证>系统参数]页面的“上线时记录认证日志”选择“是”，才会记录认证成功的日志。

认证日志用于记录终端用户在认证时的信息。认证日志包含了很多关于客户端认证的信息，如登录名，用户IP地址，用户MAC地址，用户IPv6地址，接入设备的IP地址，错误号以及错误原因描述等。认证失败时，操作员可以通过这些信息定位用户认证失败的真正原因。

进入[分析>网络准入分析>终端准入日志>接入认证日志>接入明细]页面，可查看、导出和删除认证日志，单击<定制认证失败原因>按钮，可定制认证失败原因，如下图所示。

图4-403 认证日志

图4-404 定制认证失败原因

4.16.2 代拨日志

1. 拨号明细

在拨号结束后，系统会记录拨号明细，可方便用户追溯历史拨号记录。

进入[分析>网络准入分析>终端准入日志>代拨日志>拨号明细]页面，可查看和导出用户拨号记录，如下图所示，具体参数说明请参见产品联机帮助。

图4-405 拨号明细

2. 拨号失败日志

进入[分析>网络准入分析>终端准入日志>代拨日志>拨号失败日志]页面，可查看和导出用户拨号失败记录，如下图所示，具体参数说明请参见产品联机帮助。

图4-406 拨号失败日志

4.16.3 终端日志

1. 检查违规日志

该功能仅在策略服务器启用情况下生效。

进入[分析>网络准入分析>终端准入日志>终端日志>检查违规日志]页面，可查看终端用户认证时的违规信息，如下图所示。

图4-407 检查违规日志

2. 识别差异审计

终端识别差异审计日志用于记录不同时间终端用户信息的差异。系统可以通过客户端、DHCP、HTTP User Agent和MAC地址四种方式识别终端信息，获取终端信息的优先级依次降低。

进入[分析>网络准入分析>终端准入日志>终端日志>识别差异审计]页面，可查看终端终端识别差异审计日志，如下图所示。

图4-408 识别差异审计日志

4.16.4 操作日志

1. 用户自助操作日志

用户自助操作日志是用于记录用户进行自助操作的日志。用户日志包含了账号名、操作发生的时间（即日志记录时间）、IP地址、操作描述等。操作员可以通过这些信息了解用户的自助操作及其结果。

进入[分析>网络准入分析>终端准入日志>操作日志>用户自助操作日志]页面，可查看用户进行自助操作的日志，如下图所示。

图4-409 用户自助操作日志

2. 绑定IP操作日志

该功能用于记录IP绑定信息的变动，主要包括IP地址、MAC地址、账号名、操作时间、操作描述、操作结果。操作员可以通过这些信息查看IP绑定的操作和操作结果。

进入[分析>网络准入分析>终端准入日志>操作日志>绑定IP操作日志]页面，可查看IP绑定的操作和操作结果，如下图所示。

图4-410 绑定IP操作日志

4.17 设备用户日志

日志管理记录了设备用户在管理设备过程中产生的认证日志、授权日志和审计日志，方便操作员定位问题和事后审计。

4.17.1 认证日志

认证日志是TAM记录用户登录设备成功或失败的日志。失败时会同时提供失败原因。认证日志可以按条件导出并保存到文件中，便于事后审计。

进入[分析>网络准入分析>设备用户日志>认证日志]页面，可查看并导出用户登录设备成功或失败的日志，如下图所示，具体参数说明请参见产品联机帮助。

图4-411 认证日志

4.17.2 授权日志

授权日志包括两种：登录授权和命令行授权。设备启用了登录授权功能后，TAM会对登录成功的用户进行登录级别授权，并记录登录授权日志；设备启用了命令行授权后，TAM会在用户执行每一条命令行时判断用户是否拥有执行命令的权限，并记录命令行授权日志。授权日志的结果包括接受和拒绝。拒绝时会同时提供拒绝原因。授权日志可以按条件导出并保存到文件中，便于事后审计。

进入[分析>网络准入分析>设备用户日志>授权日志]页面，可查看并导出用户登录授权日志，如下图所示，具体参数说明请参见产品联机帮助。

图4-412 授权日志

4.17.3 审计日志

审计日志是TAM记录用户登录/登出设备以及各种在线行为的日志。审计日志类型包括：开始、结束、更新、命令行结束、在线数据清除、在线数据老化。用户成功登录到设备后，TAM记录一条审计开始日志；用户登出设备后，TAM记录一条审计结束日志；用户在线过程中，设备定期通知TAM Watchdog报文，表示该用户仍然在线，TAM记录审计更新日志；用户每执行一条命令行，TAM记录命令行结束日志；操作员从在线表中手工清除用户的在线信息时，TAM记录在线数据清除日志，该日志与审计结束日志类似，表示用户一次上线的结束；TAM根据业务参数“老化时间间隔”定期清理老化的在线用户时，TAM记录在线数据老化日志。

进入[分析>网络准入分析>设备用户日志>审计日志]页面，可查看并导出用户登录或登出设备以及各种在线行为的日志，如下图所示，具体参数说明请参见产品联机帮助。

图4-413 审计日志

4.18 大屏定制

单击“首页”页签，单击左上角的按钮，进入所有菜单页面，如下图所示。选择可视化大屏选项，进入可视化大屏页面，如下图所示。

图4-414 菜单

图4-415 可视化大屏

· 系统内预置两种大屏视图：网络准入监控平台、终端接入管理概览。

¡ 网络准入监控平台：展示IP统计、入网审批、准入流程管理统计、认证失败日志、上网时长分布、设备类型和黑名单统计图，如下图所示。

图4-416 网络准入监控平台

¡ 终端准入管理概览：展示在线终端操作系统类型、用户离线时长分布、认证失败原因TOP5、在线用户上网时长分布、在线用户、实时告警、被加入黑名单的原因、下线原因TOP5、告警总数和按IP展示告警Top5，如下图所示。

图4-417 终端接入管理概览

· 大屏定制功能涉及的操作如下：

¡ 新建视图：创建一个新的大屏监控视图，新建的大屏监控包括预览、编辑、复制、默认和删除功能。

¡ 预览：跳转到大屏监控页面供用户查看当前大屏监控视图中的数据。

¡ 编辑：跳转到大屏监控编辑页面，此页面可以定制大屏监控的参数与大屏监控元素。预置大屏监控视图无编辑功能。

¡ 复制：从预置的大屏监控模板中或者从操作员已经创建的大屏监控视图进行复制，创建新的大屏监控视图。

¡ 默认：指定当前大屏监控视图为默认的大屏监控视图。一个操作员有且只有一个默认的大屏监控视图，预置视图无法指定为默认大屏监控视图。如果当前大屏监控已经为默认大屏监控视图，则不能再指定其为默认或者删除该大屏监控视图，指定其它大屏监控视图为默认视图后，才可删除该视图。单击“大屏监控”菜单显示当前默认的大屏监控视图，如果当前没有指定默认大屏监控视图，则需要从预置大屏监控视图中选一个视图复制为默认大屏监控视图，建议使用操作员登录名作为视图名称。

¡ 删除：删除当前大屏监控视图，预置大屏监控视图与默认大屏监控视图不支持删除。

热门推荐

热门推荐

H3C服务器

HPE服务器

热门推荐

H3C存储

HPE存储

热门推荐

商用台式机

商用笔记本

商用显示器

配件

热门推荐

热门推荐

智能终端

技术解决方案

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

专业安全服务

安全运营服务

热门推荐

热门推荐

热门推荐

热门推荐

热门推荐

技术支持

自助服务

热门推荐

热门推荐

热门推荐

热门推荐

合作伙伴培训与认证

热门推荐

热门推荐

公司刊物

加入我们

国家/地区

H3C EIA用户手册-E72XX-5W100

目录

1. 丰富的场景化接入控制能力

2. 普通用户接入控制

3. 设备管理用户接入管理

4. 开放性

5. 高性能

6. 高可用

1. 公司办公

2. 远程办公

3. 公众上网

4. 哑终端管理

1. AAA

2. 802.1X

3. Portal

4. SSL VPN

5. MAC认证

7. RADIUS协议

8. L2TP

9. PPPoE

10. PPPoE代拨

1. 接入服务

2. 接入策略

3. 接入条件

4. 接入用户

5. 访客用户

6. IP地址管理

7. LDAP业务

8. 分级管理

1. 消息下发

2. 强制下线已选用户

3. 清除在线用户

5. 批量导出

6. 重认证

7. 终端日志下载

8. 按查询条件强制下线用户

2. 批量导入接入设备

3. 缺省配置