如果您是初次接触 iOA 网络准入,无论是管理员、评估人员还是技术决策者,本页面都能帮您快速上手。本文讲解 iOA 网络准入的核心功能、适用场景、系统架构,以及最适合您的配置入门路径。
一、网络准入是什么
网络准入让企业的 Wi-Fi 和网线口,从插上/连接就能用变成验过身份、查过安全状态才能用。它不要求企业更换现有的无线控制器或交换机,只在这套网络背后加一层"身份 + 安全 + 授权"的关卡。
二、整体架构:云端控制 + 本地组网
iOA 网络准入采用云端控制、本地转发的 SaaS 架构。单个租户可以同时纳管多个职场(总部、分支、境外站点),每个职场在本地完成认证和流量转发,云端只负责策略下发、身份同步、证书签发和审计日志汇总。
部署形态
云端(iOA 控制台)——跨职场共享的统一控制面:
准入策略下发:认证方式、SSID 配置、合规基线、放行/拒绝规则统一管理,策略变更秒级同步到各职场;
Portal 服务器:访客扫码、手机号登录等 Portal 页面由云端托管,员工/访客在任意职场都能使用同一套入口;
身份同步:与企业 AD/LDAP/飞书/企微等身份源对接,员工入离职变更自动同步到各职场的 RADIUS;
证书签发:802.1X 证书认证所需的 CA 和终端证书由云端统一签发与吊销。
企业内网(每个职场)——本地完成认证和转发,用户认证流量不上云。每个职场的典型组网:
组件 | 作用 | 说明 |
RADIUS 服务器区 | 执行 802.1X / Portal / MAB 认证与计费 | iOA 提供的 RADIUS 节点,部署在企业服务器 |
出口路由器 | 连接企业内网与互联网 | 向云端同步策略与日志流量走 TCP 443 |
接入交换机 | 承载有线终端接入,把认证请求转给 RADIUS | 企业原有设备,无需更换 |
无线 AP | 承载 Wi-Fi 接入 | 企业原有设备,无需更换 |
终端 | 员工 PC、手机、哑终端、访客设备 | 按场景分别走 802.1X / Portal / MAB |
多职场同构:总部、分支、境外站点的本地组网结构完全一致(RADIUS 区 + 出口 + 接入交换机 + 无线 AP),统一归属到云端同一个 iOA 控制台。管理员只管一套策略,下发到所有站点。
本地和云端的双向通信
云端与各职场 RADIUS 节点之间只走 HTTPS(TCP 443),用于:
策略下发(认证规则、合规基线、Portal 配置)
身份同步(员工账号、访客记录、哑终端 MAC 白名单)
证书签发(802.1X 客户端证书、CA 证书)
日志上报(审计事件、接入失败记录、合规异常)
用户的实际认证流量(RADIUS UDP 1812/1813 等)全程闭环在企业内网,不穿越互联网。
三、入网场景
目前覆盖三类业务场景,可同时启用,互不冲突。
场景 | 适用对象 | 需要的组件 | 认证方式 |
员工 Wi-Fi | 企业员工 | RADIUS 节点 + 无线控制器 + 员工 SSID | 802.1X (证书、账密) / Wi-Fi 账号 Portal |
访客 Wi-Fi | 到访人员 | RADIUS 节点 + 无线控制器 + 访客 SSID + 访客 Portal Server | Portal 账密 / 短信 / 扫码 |
有线网络 | 员工 PC、哑终端 | RADIUS 节点 + 交换机 | 802.1X(证书、账密)/ MAB(哑终端) |
四、核心概念
概念 | 说明 | 位置 |
iOA 控制台 | 云端统一的管理后台,跨职场共享 | 云端 |
RADIUS 节点 | iOA 提供的认证服务组件,部署在企业本地 | 企业内网(每职场) |
无线控制器(AC) | 管理瘦 AP 的网络设备,通常企业已有 | 企业内网 |
交换机 | 企业办公网的接入层交换机,需支持 802.1X / MAB | 企业内网 |
Wi-Fi SSID | Wi-Fi 信号的名字,分员工 SSID 和访客 SSID | 无线控制器上配置 |
访客 Portal Server | 访客扫码/填手机号的登录页,由 iOA 云端托管 | 云端,访客通过浏览器访问 |
合规基线 | 准入前检查的安全组件清单和版本/状态要求 | iOA 控制台配置,RADIUS 下发执行 |
五、配置指引
根据您的角色,推荐三条阅读路径:
路径 1:技术选型
1. 通读本页(了解定位与架构)。
2. 入网认证方式选型建议(对照自己的场景选型)。
3. RADIUS 服务器部署建议与要求(确认部署可行性)。
路径 2:首次配置的管理员
1. 通读本文 + RADIUS 服务器部署建议与要求,准备 RADIUS 服务器。
2. 入网配置指南(厂商适配:华为 / H3C / 锐捷等)。
路径 3:已上线用户的日常运维
六、RADIUS 服务器部署建议与要求
资源配置参考
使用全新服务器部署 iOA RADIUS 节点,避免与其他运行中的应用服务冲突。每个职场独立部署,与职场规模匹配。
操作系统(建议) | 硬件规格 | 认证并发(QPS) |
CentOS 7、Debian 9 及以上 | 2 核 CPU / 2 GB 内存 | 300 次/秒 |
| 4 核 CPU / 4 GB 内存 | 600 次/秒 |
| 8 核 CPU / 8 GB 内存 | 1000 次/秒 |
说明:
QPS 指每秒可完成的认证请求数。已完成认证的在线用户不会因为新请求到达而被中断;超过 QPS 的请求会在后续时段内依次处理,表现为少量用户认证等待 1–2 秒。
IP 地址要求
服务器 | 网络暴露 | 示例 IP | 数量 | 说明 |
RADIUS Server | 仅开放内网(推荐) | 172.16.10.110 | 以订单节点数为准 | 使用固定 IP,不要 DHCP |
端口开放要求
入向:由无线控制器 / 交换机访问 RADIUS 节点
端口 | 协议 | 源 | 用途 | 使用场景 |
1812 | UDP | 无线控制器 | 员工 Wi-Fi 认证 | 员工 Wi-Fi |
1813 | UDP | 无线控制器 | 员工 Wi-Fi 计费 | 员工 Wi-Fi |
3812 | UDP | 无线控制器 | 访客 Wi-Fi 认证 | 访客 Wi-Fi |
3813 | UDP | 无线控制器 | 访客 Wi-Fi 计费 | 访客 Wi-Fi |
2812 | UDP | 有线交换机 | 有线网络认证 | 员工有线 / 哑终端 |
2813 | UDP | 有线交换机 | 有线网络计费 | 员工有线 / 哑终端 |
说明:
端口号可修改,但需与无线控制器 / 交换机上的配置保持一致。
出向:RADIUS 节点访问 iOA 云端
目标 | 端口 | 协议 | 用途 |
iOA 租户域名解析得到的 IP | 443 | TCP | 策略同步、身份同步、证书签发、日志上报 |
七、员工 Wi-Fi 许可占用规则
占用:某员工首次认证成功时,占用 1 个员工入网权益;
同员工多终端:同一员工在多个终端上认证不重复占用,仅计 1 个权益;
释放:员工离职或在 iOA 管理后台停用其入网账号时,立即释放 1 个权益;
访客不占用员工许可,按访客许可独立计量。
