3. 通过标准的802.1x认证准入形式实现

该种方式通过在接入层交换机端口上应用802.1x协议来实现对终端接入网络中进行控制;因为在交换机端口上应用了802.1x协议，所有端口下连接的终端设备必须要经过用户名密码登陆认证成功后才能够成功的接入内网中，从而解决了接入内网终端的身份不确定问题。

但是，该种解决方式还是无法解决网络边界不可控、接入网络中的终端机器自身健康情况等问题还是没有得到相应的解决。

天融信提供的终端入网解决方案

天融信提出的终端网络接入方案是依靠802.1x的原型实现的，在终端用户802.1x用户名密码验证成功后，客户端会按照策略定义的检查项来检查终端当前的健康情况，并将结果上报至服务器，只有终端用户名密码认证成功并且健康检查通过后才能正常的接入内网中，因为服务器需要判断终端的健康检查是否通过，所以标准的radius服务器无法做到，因此天融信自研了TopNAC的服务器，作为终端接入网络中认证用服务器;因此，该终端接入网络的接入方式也被称为TNC接入。

TNC接入方式下终端接入内网的过程见下图：

该解决方案根据终端接入内网中的流程，可以解决之前所描述的终端入网所有的风险。

Ø TNC接入方式工作原理

TNC接入方式是在802.1x的原型上进行相应的修改而来的，与802.1x的工作方式有些许不同;802.1x认证只对终端的用户名和密码进行验证，并且在终端验证通过之前终端自身没有任何的网络连接，并且802.1x无法对接入终端机器自身的健康情况进行检测。

TNC接入方式中，终端接入网络后在没有进行认证之前，此时终端会被接入层交换机划入Guest-Vlan中，在该Vlan中终端机器只可以访问网络中所划分出来的隔离网络区，即杀毒软件服务器、WSUS服务器等;在该区域内，终端机器会进行802.1x的用户名密码验证，用户名密码验证通过后，终端会根据本地应用的认证策略对本机的健康，并将健康检查的结果上报至认证服务器，服务器端会根据终端上报的健康检查的结果来判断是否让终端接入网络中。

那么，TNC接入方式是怎么做到解决终端接入网络中所面临的各类风险呢?