您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > H3C-WiNet用户管理解决方案技术白皮书
杭州华三通信技术有限公司杭州华三技术有限公司内部资料,请勿扩散第2页,共17页杭州华三通信技术有限公司用户管理方案技术白皮书关键词:WiNet,用户管理,认证,权限,内嵌摘要:用户管理是企业网络管理重要组成部分,传统的网络用户管理方案费用高昂,其中包括购买硬件服务器以及安装在这些服务器上的AAA软件、数据库软件等,同时需要专业人员完成方案的安装和部署,无论是购买成本还是维护成本都给企业尤其是中小企业带来了很大负担。H3CWiNet用户管理方案是基于WiNet平台的设备内嵌式网络用户管理技术,可以实现开机即有、即插即用、图形化、一键式的简易部署,是一个易用、易部署、低成本的用户管理方案,本文从技术的角度详细介绍H3CWiNet用户管理方案的特色、实现、组网和部署等。缩略语清单:缩略语英文全名中文解释WiNetWisdomNetwork智慧网络AAAAuthentication/Authorization/Accounting认证/授权/计费RADIUSRemoteAuthenticationDialInUserService远程认证拨号用户服务ACLAccessControlList访问控制列表VLANVirtualLocalAreaNetwork虚拟局域网2010-8-31内部资料,请勿扩散第3页,共17页杭州华三通信技术有限公司信息化的不断发展,作为IT载体的通信网络在中小企业中具有越来越重要的地位,目前,中小企业已经普遍部署了交换机、路由器等网络设备,实现了网络的连通性,能够完成基本的网络通信功能,对中小企业的进一步发展提供了有力的IT信息化保障。然而,企业网络管理者很快发现仅具有连通性的、开放的网络随时可能面临各种各样的安全风险,其中,由于缺少合适的用户认证管理系统,企业网络基本处于开放状态,非法用户可以随时随意接入网络,访问非授权的网络资源,同时,对企业员工缺少网络访问权限的控制,不同部门、不同身份的员工可以互相访问,机密信息泄漏的风险大大增加。传统的网络用户接入管理系统虽然可以解决上述问题,但价格昂贵,增加中小企业购买成本负担,同时传统方案需要安装操作系统服务器软件、数据库软件、AAA认证软件,造成部署复杂,这也增加了中小企业的部署维护成本。H3C公司针对上述中小企业部署用户管理系统的困难推出了WiNet内嵌式用户管理系统,该管理系统基于WiNet内嵌式网络管理平台,无需购买硬件服务器、软件数据库和AAA用户管理软件,实现开箱既有、即插即用,为中小企业用户节省大量购买成本,该管理系统还采用图形化一键式的功能部署方式,无需翻阅手册、无需输入任何命令行即可通过鼠标点击的方式部署用户管理系统,节省了部署维护成本。系统实现了接入认证功能的同时,可以对不同的认证用户授予不同的网络访问权限,实现员工之间、部门之间的物理隔离,保证机密信息有效受控,从而将中小企业网络由开放的、不受控的网络加固为具有用户准入及精细权限控制的安全的网络。技术应用背景通信网络及其上业务的易用性、易部署性以及成本对企业尤其是中小企业十分重要,传统的中小企业网络往往注重连通性而忽视网络的安全性,尤其是对用户的接入和权限管理缺失,使网络经常处于随意接入的失控状态,为此已经有很多用户管理方案可供网管管理员进行选择:1、商业软件方案(收费)这种方案的部署方式如图1所示,管理员需要购买、部署服务器或者使用专用PC机,在其上安装WindowsServer等操作系统,为了提供用户账户和策略配置保存功能还需要购买MSSQLServer或者Oracle数据库,之后安装部署iMC、CAMS等用户认证管理软件,这套商业系统软件可以提供丰富的用户管理功能和相对易用的操作界面,但同时也要花费大量的金钱来购买相关的软硬件产品,无疑对中小企业构成了不小的成本压力。2、自由软件方案(免费)对于成本敏感的企业还可以选择自由软件的方案,该方案的部署方式如图1括号中所示,管理员购买了硬件服务器或者单独PC机后,可以选择安装Linux或者Solaris等免费的操作系统,然后安装MySQL等免费数据库,同时安装FreeRadius等自由软件进行用户管理,这种方案除购买单独硬件服务2010-8-31内部资料,请勿扩散第4页,共17页杭州华三通信技术有限公司器之外不需要其他购买成本,对于成本敏感的中小企业比较适合。然而Linux、Solaris、MySQL、FreeRadius等软件配置复杂,需要专业人员来进行安装和维护,采用这种方案虽然节省了购买成本,但却增加了维护成本,中小企业的网络管理者和决策者不得不进行适当的权衡和取舍以决定采用哪种方案。图1网络用户管理的商业和自由软件方案图2H3CWiNet网络用户管理方案此外,上述两种方案一些存在共同缺点:1、费用方面:部署用户管理系统必备的操作系统、数据库和AAA认证软件都需要不菲的费用,即使使用免费的方案也需要部署单独的硬件服务器或者PC机,费用从5000到上万不等,对于中小企业构成一定成本压力。2、维护方面:软件需要专业人员进行安装和维护,软件之间的联系是松散的(如图1),容易造成各种兼容性问题,如果采用自由软件方案更需要技术能力较高的专业人员,进而增加了中小企业的维护人力成本;3、易用性方面:无论是商业软件方案还是自由软件方案都需要进行大量的前期配置工作才能够正常运行,运行过程中还需要根据网络用户的属性的变化进行动态配置,方案虽然功能全面但也造成了易用性较差,往往导致普通用户望而却步。H3C公司根据上述问题推出WiNet用户管理解决方案,将WiNet网络用户管理平台、数据库一起有机集成于网络设备中,其集成方式类似于网络设备中的网络操作系统,集成后的设备软件结构如图2所示,由于开机即有、即插即用,因此在费用成本、维护和使用方面都具有上述方案不可比拟的优势。3技术特色H3CWiNet用户管理方案的技术特色可以总结为:1、即插即用:H3CWiNet用户管理方案是基于WiNet网络拓扑管理方案,采用H3CHGMP专利技术,在零配置的情况下只需要将网络设备使用网线相连即可收集网络拓扑,登录管理设备WEB管理界面并启动WiNet功能后,网络拓扑即可显示在WEB页面上,同时通过点选不同的网络设备,设备的面板可以显示在拓扑下方,方便进行各种业务尤其是设备端口布防、用户管理等业务的直观部2010-8-31内部资料,请勿扩散第5页,共17页杭州华三通信技术有限公司署,真正实现零配置、即插即用。图3H3CWiNet网络用户管理解决方案2、内嵌式:WiNet用户管理方案在ComWare网络操作系统的基础上内嵌了数据库、WiNet用户认证管理平台,无需另外购买安装其它软件,大大节省了用户购买成本的同时免除了繁琐的安装配置过程,进而避免了不同软件之间的兼容性问题,实现了开箱即有,免安装。3、图形化:传统的用户认证管理方案需要到不同的网络接入设备上使用命令行配置端口认证(Portal认证、802.1x认证),网络设备较多的情况下非常不便,H3CWiNet用户管理方案中管理员可以在管理设备的WiNetWEB界面中直接使用鼠标选择要启动认证的端口,进行直观的端口认证布防,无须输入任何命令行,同时所有接入认证设备的启动认证都可以在管理设备的WiNetWEB页面统一进行,无需到不同的设备上分别部署。4、免客户端:网络用户接入网络时往往需要通过安装在终端PC上的客户端进行认证,这个客户端必须由管理员提前安装在用户的PC机上,为每个终端用户部署客户端软件对于管理员而言是不小的工作量,H3CWiNet用户管理方案采用Portal的认证方式,终端用户可以直接启动IE或者其它浏览器来进行认证,省去了管理员为每台终端设备部署认证客户端的繁琐工作。5、细粒度用户认证准入:H3CWiNet用户管理方案针对用户的MAC地址等个性特征进行认证,避免了传统认证方式中同一个端口接入的用户只要一个用户认证成功则端口洞开的缺陷,认证端口下即使通过HUB连接多个PC也可以针对不同的PC、不同的用户进行认证,认证结果不影响同一端口上接入的其他认证用户,即实现了用户的单独的、细粒度的接入认证。6、精细化用户权限管理:实际中,认证通过的用户不一定具有相同的权限,H3CWiNet用户管理方案可以在用户认证通过后,针对管理设备上WiNetWEB里面预先配置好的策略,对不同的用户下发不同的ACL、VLAN,使不同的用户具有不同的网络资源访问权限,从而实现精细化的用户权限管理。4技术实现方案2010-8-31内部资料,请勿扩散第6页,共17页杭州华三通信技术有限公司网络管理为基础,主要技术点包括网络拓扑的自动发现、认证策略服务器RADIUS的设备内嵌、一键式启动RADIUS服务、图形化端口布防、用户数
本文标题:H3C-WiNet用户管理解决方案技术白皮书
链接地址:https://www.777doc.com/doc-6498218 .html