泛BYOD基础解决方案包括网络接入访问、用户及终端、管理等逻辑组件，可完成不同终端在特定位置访问公司内部资源，管理与访问控制是最主要的部分，其逻辑架构如图1-5-5所示。

网络接入访问主要有认证和授权两个组件，其中认证包括不同的接入认证点，针对不同终端类型采用不同的认证方式。

用户及终端规定接入网络的用户范围和终端类型。

管理组件包括管理中心和实现各种策略的设备，可以完成网络管理、终端管理和策略管理。

BYOD基础解决方案主要特点为有线无线一体化、内网接入和远程接入一体化，如图1-5-6所示。

泛BYOD基础方案主要以有线网络为基础，在此基础上增加或新建无线网络。有线网络通常不改变原有网络的接入层、汇聚层、核心层和出口区的分层分区的树型结构。

无线网络采用AC+FIT AP架构，推荐采用集中认证和本地转发。根据业务需要，AC可灵活部署在核心层或汇聚层，AP可和接入层或汇聚层链接。出口区可以部署相应的安全设备，如安全接入网关和应用安全网关等，分支可部署本地AC或采用总部园区统一部署的AC。配置2个SSID分别用于员工无线接入（员工SSID）和哑终端无线接入（哑终端SSID）。不便建设有线网络的环境可采用无线回传方式建网。

基础方案主要为内网接入和外网接入，外网接入主要体现在员工远程办公接入内网和分支远程接入内网。在网络的出口区或核心层部署安全接入设备，提供远程SSL VPN或IPSec VPN接入（一般SSL VPN用于个人移动办公，IPSec VPN用于分支远程接入）。员工远程接入可采用Internet网络，分支远程接入多采用WAN。

BYOD基础解决方案设备组件如表1-5-6所示。

相对于简单的STA身份验证过滤机制，链路层为用户提高了安全性。通过提供有限的访问权限验证用户身份，确定用户身份后给予完整的网络访问权限，可有效判别用户的合法性。链路层身份验证是透明的，可配合网络层协议使用。常用的WLAN链路层身份验证有MAC认证、802. 1x和Portal，如表1-5-7所示。

泛BYOD基础解决方案包括内网接入和远程接入场景，不同的接入用户采用不同的认证方式，如图1-5-7所示。

根据接入设备类型的差异、接入位置不同，对设备的安全性存在不同的要求，因此接入认证方式存在差异，如表1-5-8所示。

认证控制点越贴近终端、权限控制粒度越细，安全性越高。因此接入层是部署网络安全控制的最佳点，可直接将非法用户在接入层隔离，阻止其危害整网安全。相对于汇聚层认证，接入层认证更适合对安全控制具有较高要求的场景。泛BYOD基础解决方案中，认证控制点根据接入用户的差异部署在不同位置。

有线用户需通过802. 1x认证，接入交换机可以部署802. 1x+MAC混合认证。该认证方案需要接入层交换机支持802. 1x认证协议，适用于新建网络或现有网络改造中需要增加身份认证又不改变当前网络已有安全部署的场景。

无线用户通过Portal认证，可在AC上部署Portal+MAC混合认证。用户首次认证采用Portal认证以及AAA认证服务器记录提交的终端信息，而后续认证采用MAC认证。

安全准入是BYOD基本解决方案的主要部分，为机构网络内部的所有接入终端进行安全接入控制，可保证机构网络的安全。用户接入过程包括认证和授权两个阶段。

策略管理中心通过认证规则控制用户接入，同时依据规则优先级将用户接入的信息与认证规则的认证条件匹配。当用户接入的信息与其中一条认证规则的所有认证条件匹配时，策略管理中心使用该条认证规则的认证信息校验用户接入，包括接入用户是否从绑定设备和绑定终端接入，以及是否使用安全代理接入。若认证信息校验通过，接入用户从认证阶段进入授权阶段。

策略管理中心通过授权规则授予用户权限，并根据规则优先级将用户接入的信息与授权规则的授权条件匹配。用户接入的信息与其中一条授权规则的所有授权条件匹配时，策略管理中心授予用户该条授权规则的授权结果定义权限。

策略管理中心提供了5W1H接入控制策略，作为接入的认证规则和授权规则的判断条件。5W1H是多维度的控制策略，包括用户类型（Who）、接入设备归属（Whose device）、接入设备类型（What device）、接入时间（When）、接入地点（Where）和接入方式（How），如表1-5-9所示。

用户组是指具有相同安全策略等属性的一组用户（终端）集合。实际应用场景中接入用户数量多但类别却有限，可在设备上创建用户组，并使每个用户组关联一组ACL规则，同一组内的用户将共用一组ACL规则。创建用户组后可为用户组配置优先级和VLAN，不同用户组内的用户具有不同的优先级以及网络访问权限，使管理员更灵活的管理用户。基于用户组的策略控制可以实现：①不同用户组之间实现相互隔离且无法互访。②可针对指定的用户组进行流量控制，其他用户组不受影响。③保证用户组安全和访问权限控制。