产品行业: 政务一网通军团(L1)-狭义政府(L2) 产品型号: iMaster NCE-Campus 背景叙述: 关于政府分时访问，以及一机两用目前正对淄博市电子政务外网网络改造进行方案建设，客户提出了分时访问（一机两用）的相关需求，我查阅相关内容给客户推送零信任解决方案，但是客户反馈我们和友商都在推送零信任解决方案，并提出了零信任有几个致命缺点；1、 零信任相当于一中内网VPN，所以如果覆盖全市范围政务外网用户，需要零信任设备（我们是防火墙）有足够大的容量和转发能力2、 需要在认证设备上安装相关客户端，由于大数据局维护人员很少，切政府负责工作划分原因，大数据局不会考虑往PC上安装任何插件（安装后会有其他麻烦，如PC D盘打不开会考虑是不是安装的软件影响的）3、 可能会存在单点故障，如果只有一台零信任接入网关情况，毕竟一台高容量防火墙到客户手里不便宜目前客户的网络情况如下图所示[图片]https://jdc100.huawei.com/CommunityGatewayService/com.huawei.ipd.sppm.jdcforum:JDCCommunityUserService/CommunityUserService/user/attachment/v1/download?aid=2009321112186015750[图片] 产品问题: 1、 零信任相当于一中内网VPN，所以如果覆盖全市范围政务外网用户，需要零信任设备（我们是防火墙）有足够大的容量和转发能力2、 需要在认证设备上安装相关客户端，由于大数据局维护人员很少，切政府负责工作划分原因，大数据局不会考虑往PC上安装任何插件（安装后会有其他麻烦，如PC D盘打不开会考虑是不是安装的软件影响的）3、 可能会存在单点故障，如果只有一台零信任接入网关情况，毕竟一台高容量防火墙到客户手里不便宜POC测试情况2025年8月份针对分时访问进行测试，更换接入路由器，部署iMaster NCE-Campus认证软件，在政务外网线路接口和互联网线路接口进行认证，如图所示[图片]https://jdc100.huawei.com/CommunityGatewayService/com.huawei.ipd.sppm.jdcforum:JDCCommunityUserService/CommunityUserService/user/attachment/v1/download?aid=2009321112186015751[图片]实现目标：客户开机后可以直接上电子政务外网，如需上互联网，需要进行PORTAL认证，认证通过后下发ACL3001禁用电子政务外网，只能上互联网。关闭portal认证页面后，可以访问电子政务外网，不能访问互联网。配置过程如下：1、 开启PORTAL认证2、 配置free模版到政务外网放通，到DNS放通。3、 配置ACL3001，ACL到政务外网禁止，到互联网放通4、 在上联接口上启用认证（电子政务外网和互联网接口）5、 软件部分，配置认证相关，认证过后下发ACL3001测试结果：测试失败，因为free模版优先级最高，及时认证过后下发ACL，认证接入点设备也会优先查看FREE模版，free模版匹配后就通过，不查看ACL。  产品建议: 客户需求方案一：可修改FREE放通模版级别，认证过后free模版调整为最低级别，优先执行ACL和其他控制命令。方案二：增加iMaster NCE-Campus软件功能，接入点free模版只放通到DNS和iMaster NCE-Campus服务器，通过认证后弹出相关选择，如接入电子政务外网和接入互联网，点击相应图标后下发不同ACL条目。如下图所示（感觉本需求可能更好实现，只需要iMaster NCE-Campus实现）[图片]https://jdc100.huawei.com/CommunityGatewayService/com.huawei.ipd.sppm.jdcforum:JDCCommunityUserService/CommunityUserService/user/attachment/v1/download?aid=2009321112186015752[图片]