某企业前端装了比较多的摄像头、打印机、PC等哑终端。为了防止私接用户接入到内网，需要对其进行准入认证。从而确保终端入网均需认证，提高内网的安全性。

需求分析

该需求结合SIG本地用户对接入终端做802.1x认证，交换机开启802.1x，SIG提前对资产进行绑定，已绑定资产完成认证上线，未绑定的资产不能访问内网资源。

• 802.1x认证需要先启用SIG的802.1x入网控制功能，将SIG作为Radius服务器，配置相应的端口和服务器密钥；

• SIG需要提前做好资产扫描，并将受信任的资产进行绑定；

前置条件

交换机支持802.1X

操作步骤

步骤1.配置资产主动扫描网段，将网段内的存活资产全部统一扫描出来，在[资产管理/资产发现设置]中勾选启用全网终端扫描功能，填入需要扫描的网段，如下图所示。

注意：不建议扫描服务器，老旧服务器可能存在扫挂的风险，如需扫描需告知客户风险。

步骤2.（可选）如果扫描速率过慢，可以开启无业务流量扫描模式，并设置扫描周期，如下图所示。

步骤3.配置完成扫描后，可在终端列表中可以查看扫描结果识别到的资产，在[资产管理/资产列表]中查看扫描存活的主机详细信息，如下图所示。

步骤4.如果在跨三层环境，扫描出来的资产无MAC地址，需要配置SIG与交换机联动，获取交换机的MAC地址信息，联动的交换机为扫描网段的网关交换机。在[准入控制/联动对接设置/跨三层取MAC]，如下图所示。

步骤5.跨三层取MAC地址配置完成后，需要确认SIG是否能够获取交换机MAC地址信息。如下图所示。

步骤6.扫描完成后的资产需要进行绑定，如下图所示。

步骤7.配置radius认证服务密码，提供给交换机进行认证，该秘钥必须与交换机配置的秘钥一致。在[准入控制/802.1X认证]，如下图所示。

建议开启临时放通未识别终端，从而使新接入的设备能够自动发现，否则新接入的设备无法发现和识别，如下图所示。

步骤8.交换机配置可以参考案例的交换机配置脚本。