根据用户网络的实际情况进行分析，发现主要存在以下问题：

1、用户和终端准入的问题，传统DHCP环境下，任何人和终端都可以轻易地接入到办公网，如果接入的是恶意用户（如黑客，商业间谍）和不安全的终端，可能会导致公司机密文件被窃取，内网服务器被攻击等等网络安全事件发生，造成严重的后果。

2、无线WiFi的安全问题，在无线信号的覆盖范围内，非法接入不受地域限制，无线WiFi基于WEP和WAP加密容易破解，近期台湾出售的各种无线“卡王”能够破解2KM范围内的各种加密无线网络，使无线网络面临的威胁越来越大。

3、冒用IP的问题，当某些员工知道领导终端使用的IP地址权限比较高的时候，把自己的电脑IP也设置为领导使用的IP地址，于是获取了和领导一样的网络权限，导致领导身份被假冒，同时会造成领导IP地址冲突。

4、责任人定位问题，网络内部出现网络安全事件的时候，需要追查责任人，传统安全设备日志记录的是IP信息，由于IP是通过DHCP随机下发的，因此无法通过技术手段定位到责任人，只能通过管理制度规定约束。

5、IP地址维护的问题，采用交换机做DHCP Server，增加了交换机资源开销，IP地址数据是分散维护，不适合集中IP管理和分配。

上述海天味业所面临的五个弊端中，归纳起来是两个看似简单的问题：一是非法接入的问题，二是IP地址管理的问题。当前，非法接入的问题受到越来越多用户的重视，而解决方法也很简单，也就是接入认证。然而仅做接入认证，还远远不够，一个同样严重问题却被大多数人所忽略了--IP地址管理的问题。

在以太网中，两个人或者两台终端的通信，体现为两个IP地址之间的通信，所以在网络中想要控制某些通信，就只能控制这些IP地址。例如想要利用防火墙阻止某个用户访问公司服务器，那么我们将在防火墙上设置阻止该用户的IP地址访问该服务器；又或者想对公司领导做上网的带宽保证，保证其上网顺畅，我们也是通过在流控设备上对公司领导的IP地址进行设置。但是，实质上我们要控制的是人或者终端的通信。

问题非常明显，IP地址是任何人或终端都是可以设置或者更改的，如果不能维护一个稳固的人（或终端）与IP的关系，显然，一切网络控制策略都是很难按照网络管理员的真实意愿去执行的，因为你本来想控制的是人，可是你却只能控制IP地址，很明显一般情况下这个IP地址与这个人并非必然关联的，因为终端的IP地址是可以更改的。

图1  网络中易出现安全问题的位置

海天味业根据网络内存在的实际问题，选择了艾科网信的艾科网络接入控制系统来针对性的进行解决，主要实现了以下效果：

1.默认强制所有用户必须自动获取IP地址，非法手设静态IP的终端将被阻塞（服务器或指定终端可以设置静态IP地址）；

2.电脑开机（或连接网线）后进入隔离区，认证前与办公网隔离；

3.无需安装插件客户端，使用任何浏览器进行身份认证；

4.终端首次入网需要进行终端注册，员工终端只能进入办公网，访客终端只能进入访客网。默认每用户只能注册一台终端，非法终端不允许接入办公网（拥有多台终端的用户根据实际情况允许注册多台终端）；

5.可以使用AD域账号密码进行身份认证，避免维护记忆多套账号密码；

6.自动绑定用户账号和终端，防止非法使用他人终端；

7.ACK根据管理员对该账号赋予的权限，分配具有相应权限的IP地址，划分到不同的安全域中。控制普通用户的接入vlan，普通用户只允许在其办公室所属vlan进行认证，领导和特殊用户允许在多个工作需要的vlan认证；

8.访客需要接入互联网时，可以在任意位置接入网络，在认证页面选择进入访客网络，在登记身份信息后，由受访人输入账号密码进行授权接入。访客网与办公网相互隔离，授权人需要对访客的上网行为负责；

9.对部分特殊用户如领导进行免认证绑定，让领导的电脑接入网络不需要认证。对部分敏感权限用户，可以分配动态口令牌，使用双因素进行验证，提高账号的安全性。