用户简介：

      中国中铁股份有限公司是集勘察设计、施工安装、工业制造、房地产开发、资源矿产、金融投资和其他业务于一体的特大型企业集团，总部设在中国北京。作为全球最大建筑工程承包商之一，中国中铁连续14年进入世界企业500强，2019年在《财富》世界500强企业排名第55位，在中国企业500强排名第12位。

      项目背景：

      中国中铁股份有限公司网络规模节点众多，网络结构相对简单，静态IP地址手设环境，管理相对细致。但随着长时间使用以来，发现网内存在未经管理员授权允许接入的设备、甚至有些同事为了方便私接了家用小路由，由此接入的设备管理员看不到也管不了，对安全与管理提出巨大挑战。

      同时静态化IP地址的设置使得管理员需要在每次入网终端请求IP地址时进行查询空闲IP并记录使用者信息然后现场配置IP地址，整个过程管理员须事事亲为，若管理员稍有不慎，漏记或忘记已分配的IP地址，将会导致下次分配时的数据不准确性，进而引发IP地址冲突等安全事件，对管理人员日常运维提供工作挑战。

      解决方案：

      画方网络准入管理系统是一款集准入控制与IPAM管理一体化产品，可全面解决中铁股份当前面临的准入层面的安全挑战与运维层面的IP全生命周期管理问题。

      画方网络准入管理系统旁路部署在核心交换机旁，trunk直连，被管控网段vlan透传，无需修改现有网络结构及配置，完成系统部署。通过启用DHCP+混合准入技术，为中铁股份办公网构建如下管控效果：

l入网可知：实施掌握进出网联网设备信息；

l设备可信：只有授权允许的设备才可接入网络；

l边界可控：对网内私搭乱建的家用小路由、无线ap阻断接入网络；

lIP可视化：全网IP地址生命周期管理，动态下发、静态管理，可视化呈现IP在线、离线、从未使用等状态，自定义时长离网IP回收；

       方案优势：

l部署简便，纯旁路部署， 不依赖交换机、不修改交换机配置

l更加安全，HUB级阻断，管控更严格

l非插件形式的旁路网络溯源，可基于时间维度定位IP/MAC

l附加值高，内置IPAM管理模块