傳統的終端準入控制解決方案為保證對終端進行管理和控制，要求全部終端均安裝有客戶端軟件，并通過客戶端代理完成用戶的網絡認證、終端檢查和管理等功能。但是，對于外來訪客等臨時訪問網絡的終端，無法要求其必須安裝客戶端軟件；尤其是在一些大規模部署或終端設備上自身軟件情況復雜等應用場景中，安裝客戶端軟件的開銷較大；另外客戶端的個人操作系統越來越多樣化，單純對微軟Windows客戶端進行控制已經滿足不了需求。

如何對臨時訪問網絡的終端設備進行更好的控制和管理，如何更方便地部署終端管理系統，如何滿足多種客戶端操作系統用戶的接入需求，成為網絡IT管理的一個重大課題。

一、插件方案

用戶上網時，在終端的IE地址欄上輸入網頁URL地址后，IE就會向聯動設備發送HTTP請求，如果用戶沒有安裝客戶端或者想訪問受限資源，聯動設備就會向終端返回一個指向Portal認證頁的HTTP重定向回應報文，將用戶訪問轉向Portal認證門戶網頁。

在第一次使用時，IE將自動下載并運行JRE（JAVA運行環境）和JAVA客戶端，然后將安裝文件緩存在本地，以便加快下次客戶登錄的進行。用戶在進行登錄操作時，JAVA客戶端直接和Portal 服務器進行通信，從而完成身份認證過程。認證通過后，JAVA客戶端將向策略服務器發起安全請求，進行病毒、補丁等檢查。對于通過安全檢查的終端用戶，準入服務器會通知網絡設備為其開放訪問權限，至此終端用戶就可以對受限資源進行訪問。

插件無客戶端方案通過JAVA技術來驅動客戶端的下載及自動運行，使用過程非常簡單。同時由于JAVA技術具有操作系統無關性的特點，除了Windows外，Linux和Mac OS用戶也可以安裝JAVA客戶端，進行身份認證和訪問網絡，靈活性強、部署簡便、輕量小巧。

優點：不安裝客戶端，減輕工作量和維護任務

缺點：JAVA版本不統一，加載過程可能不順利

二、Web+ Portal方案

Portal認證的基本過程是：客戶機首先通過DHCP協議獲取到IP地址（也可以使用靜態IP地址），但是客戶使用獲取到的IP地址并不能登上Internet，在認證通過前只能訪問特定的IP地址，這個地址通常是PORTAL服務器的IP地址。采用Portal認證的接入設備必須具備這個能力。一般通過修改接入設備的訪問控制表（ACL）可以做到。

用戶登錄到Portal Server后，可以瀏覽上面的內容，比如廣告、新聞等免費信息，同時用戶還可以在網頁上輸入用戶名和密碼，它們會被WEB客戶端應用程序傳給 Portal Server，再由Portal Server與NAS之間交互來實現用戶的認證。Portal Server在獲得用戶的用戶名和密碼外，還會得到用戶的IP地址，以它為索引來標識用戶。然后Portal Server 與NAS之間用Portal協議直接通信，而NAS又與RADIUS 服務器直接通信完成用戶的認證和上線過程。因為安全問題，通常支持安全性較強的CHAP式認證。

優點：

1、不需要特殊的客戶端軟件，降低網絡維護工作量

2、可以提供Portal等業務認證

缺點：

1、WEB承載在7層協議上，對于設備的要求較高，建網成本高；

2、用戶連接性差，不容易檢測用戶離線，基于時間的計費較難實現；

3、易用性不夠好，用戶在訪問網絡前，不管是 TELNET、FTP還是其它業務，必須使用瀏覽器進行WEB認證；

4、IP地址的分配在用戶認證前，如果用戶不是上網用戶，則會造成地址的浪費，而且不便于多ISP的支持。

5、認證前后業務流和數據流無法區分。

三、微信認證

微信作為一種通訊手段，已經廣泛應用于個人和企業的通訊中。隨著無線網絡傳輸技術的不斷發展，以及智能移動終端的日漸普及，在機場、銀行營業廳、展廳、商場超市、酒店、餐廳等場景均部署了無線網絡，給客人提供免費的網絡接入服務。可是，無線網絡僅僅是給客人提供免費上網，這必然是一種隱性的浪費。

因此，很多企業將營銷與無線網絡結合在一起，成為業務推廣的新方向。微信準入控制應運而生。

優點：

1、可以推廣微信平臺。

2、營銷成本低，定位準確。

缺點：

1、依托騰訊平臺，每年都需要繳費（約600元rmb）。

2、僅適用于訪客，不適用于內部員工。

四、用戶無感知認證

在傳統的PC時代，用戶登錄網絡是，需要輸入用戶名和密碼，則可以使用鍵盤方便的輸入，但在移動終端時代，更多的員工使用移動智能終端進行網絡的接入，如果使用智能手機或PAD軟鍵盤輸入用戶名和密碼，則體驗非常差。

根據Gartner的調查顯示覆蓋范圍內，76%的用戶排斥使用智能終端，反復的輸入網絡準入信息，體驗比較差。

無感知認證，可以實現首次接入網絡時，用戶輸入用戶名密碼，系統會采集設備指紋信息，后續只要用戶的終端再使用網絡，就會自動認證，這一切都用戶都是透明無感知的，體驗被大大提升。

優點：

1、用戶感知好，無須輸入用戶名密碼，連上就可以使用。

2、自動采集感知元素。

3、極少廠商能定位用戶發布的信息內容屬于什么用戶（目前聯軟公司可以做到）

缺點：

在安全要求非常嚴格的情況下無法滿足，安全性不及有客戶端準入認證。

選擇最適合的

聯軟無客戶端準入控制支持以上4種準入控制技術，可根據客戶實際網絡環境和業務需求，定制最佳的認證方案，揚長避短，充分利用各類無客戶端準入控制技術的優勢，為企業的網絡安全提供最好的安全保障。

不僅如此，聯軟還可以和有客戶端準入控制相結合，在同一個管理后臺實現pc和移動設備的統一管理，展現企業內部網絡、設備的全景畫像，大幅提升工作效率和管理價值。