一、终端入网审批

对于刚部署时，如果有配置免管控时段，该阶段不用手动审批。过了免管控阶段后，新入网的终端就会出现在首页-》待审批 中，点击“待审批”，进入“准入管控”页面，待审批列表审批终端：

业务网开启准入管控后，新终端入网，ARP报文会被packet in到UNC，UNC的待审批列表，有相应的表项，并提示原因为“首次接入”，点击“同意“即可上网。首列选中多个待审批终端，点击上方“同意”菜单按钮，则进行批量审批。       

     

备注：管控阶段，对于进入待审批列表的原因，除了“首次接入”，还有：

l  IP冲突：点击同意，则覆盖已入网的IP，已入网的终端不能再上网，新入网的终端可上网；点击拒绝，则自动拉入黑名单；点击删除，则只删除该表项，不做其它处理；放置不管，30分钟自动老化（前提是该终端不再发ARP报文）【对于IP冲突的终端，如无特殊需求，建议放置不管】

l  IP/VLAN不一致：需检查终端IP与接入设备接口VLAN所属网段是否一致，建议不允许入网

l  IP变更：同意则用该IP入网，不允许拒绝；可删除也可放置不管（仅静态IP场景会出现）

l  位置变化：用户接入设备的接口发生变化，同意才可上网（仅静态IP场景会出现）

l  网关ARP欺骗：建议不允许入网

二、终端接入位置更新

已准入用户，默认接入位置为核心网关的下联物理口（如果下联是聚合口，就显示聚合接口），如下图所示：

手动点击“位置更新”后，终端的接入位置信息，能够正常显示为其所在接入设备的具体位置，前提是，终端连接的接入设备也关联到该业务网中（关联操作见“配置需管控业务网“章节）。

备注：

1、位置更新，仅对处于网关模式下的业务网对应的终端，才生效。

2、每天下午16点自动触发位置更新，该更新方式与手动不同，主要是范围区别：手动更新只能在业务网关联的设备中通过SNMP读取MAC地址表，自动更新则是在整网所有接入设备（首页拓扑已呈现的接入设备）中读MAC地址表。一般推荐自动更新。

3、对于无线场景，本地转发，可以识别到无线终端所连AP所在的POE交换机的端口；集中转发，只能识别到N18K与AC所连接的端口

三、终端识别

如下图，开启终端识别，点击确定，即可进行终端主机名识别，以及后续版本支持的终端类型和操作系统等信息识别，客户有需求则打开。

   

已准入用户，主机名识别如下图左侧所示，右侧红框可编辑更改终端信息，更改后，对应终端也要对应更改，比如IP、接入位置等信息。

四、手动添加合法终端

管理员可根据实际需求，手动添加终端，将终端添加为合法用户后，该终端即可自由入网，不需要管理员再次审批。

终端添加时，仅需要添加mac和业务网即可，如果所对应的业务网，已经创建了用户组，则直接在该用户组下添加终端MAC，否则，在未分组列表中，添加用户MAC和对应业务网。

添加完MAC和业务网后，点击确定，此时，用户处于未准入的状态，这是合理的，之后该终端对应的ARP被packet in到UNC后，UNC即可获取到该终端的详细信息，此时用户的入网状态，会变成准入成功。

手动批量导入终端：点击导入按钮，下载导入文件模板。

Excel导入模板如下，其中红色列为必填选项，黑色列为选填选项。

与手动添加终端相似，如果仅添加MAC和业务网，则用户添加成功后，准入状态为未准入，待所导入的终端对应的ARP被packet in到UNC后，即可变为准入成功状态。

导入模板填写完成后，再将文件导入到UNC中。

五、终端入网行为核查

开启管控后，特别是刚部署完，免管控阶段，除了需要观察业务是否正常，还需进入【分析保证》》终端健康 拉到最下面，点击 终端审批日志】页面，观察终端准入行为是否正常。查看“终端准入日志”，不断刷新，观察“事件”栏，是否存在某些终端入网事件频繁切换，比如不断发生IP变更、位置变化、IP冲突等事件，需核实是否存在网络攻击、中毒，是否存在双IP终端（双IP终端，会出现同一个MAC地址对应的IP不断变更的事件，需要在步骤9配置特殊终端解决）等情况。