当无线网络遇到访客

　　    云南省体育彩票管理中心下辖有16个分支，所有分支与中心都有10M的MSTP专线互联，互联网出口统一在中心100M电信出口。

　　    每个分支机构都分为有线和无线网络，供内部员工和访客使用。其中无线网段只有访问互联网的权限，不能访问内网资源。信息管理中心要求，所有员工上网必须实名制，访客必须登记备案之后方可上网。

　　    在管理落地过程中，发现个别分支机构为图省事，不想为访客登记备案，有私接路由器接入多个未知用户匿名上网的行为。

网康ICG解决方案

　　    为实现以上需求，在体彩中心出口部署一台上网行为管理ICG用于用户上网行为的管理和控制。中心用户和地州用户都统一由出口ICG管理，按角色划分，可分为内部员工及未知访客，ICG对2种身份用户进行控制。如下图所示：

　　    管理员收集全省用户的PC和移动终端的MAC信息，同时在ICG设备中建立组织架构，以MAC识别用户身份。

对有线网段用户进行检测。

　　    如果是内部员工。检测其是否有私接行为，如有私接行为直接阻断，同时管理员将该mac加入黑名单，阻止其访问互联网；如果没有私接行为，按部门特性进行应用的控制及带宽的分配。

　　    如果是未知访客，说明该员工没有备案。ICG阻断其互联网应用，迫使其向管理员申请，管理员将其信息加入ICG。

对无线网段用户进行检测。

　　    如果是内部员工。检测其是否有私接行为，如有私接行为直接阻断，同时管理员将该mac加入黑名单，阻止其访问互联网；如果没有私接行为，按部门特性进行应用的控制及带宽的分配。

　　    如果是未知访客，说明该用户临时接入网络，只分配其最简单的普通web、email的使用权限。

拒绝私接，效果立现

　　    部署网康ICG后，不仅满足了云南体彩上网行为管理的基本需求，解决了网络拥塞及访客WIFI接入管理的问题；同时通过防私接功能，解决了一直以来困扰着管理员的私接问题。

　　    1.对所有的人员进行带宽管理和应用管控；

　　    2.所有分支网管人员可以管理所属的区域人员，并只能管理所属区域；

　　    3.管理员可以监控可管理WIFI接入的用户，对员工及访客可以制定差异化的策略。

　　    4.管理员可以监控私接路由的行为，杜绝网络中私接行为，确保管理制度落地。

附：私接监控

用户监控

 

流量监控