1、吉林市联通公司网络建设技术建议书杭州华三通信技术有限公司目录目录2第一章 概述31.1吉林市联通网络建设需求分析31.1.1一般建网需求31.2.2吉林市联通公司建网需求51.3整体建网原则5第二章 总体网络设计62.1核心组网描述62.2网络层次介绍:8第三章WLAN的设计9第四章网络业务设计94.1认证方式的选择94.2 S7500汇聚层交换机万兆的支持94.3 H3C吉林市联通公司解决方案特点:104.3.1 完全的分布式的处理方式104.3.2良好的互通性114.3.3 核心交换机先进的体系架构设计114.3.4 基于流攻击的防止。114.4网管解决方案11第五章吉林市联通公司用户管理
2、及安全方案145.1网络用户认证管理需求分析145.2网络用户管理认证方案概述155.3认证选择设计802.1X1654 CAMS对用户上网认证的管理195.4.1 用户需求分析195.4.2 CAMS解决方案205.4.3 业务认证流程32第六章核心网安全设计346.1多元绑定技术对吉林市联通公司安全的应用346.1.1现有网络的安全特征:346.2绑定技术为吉林市联通公司规划高安全的网络。356.3恶意用户追查396.4 防病毒攻击396.6 网络管理安全设计406.7组网安全性设计43第七章组网核心设备介绍437.1 H3C S7500系列高端多业务交换机437.2 H3C S3600-
3、SI 系列以太网交换机487.3 网管系统QuidView577.6 CAMS综合访问管理服务器62第八章 H3C公司售后保障体系658.1两小时厂家上门服务658.2服务组织结构658.3服务及时性保障678.4服务有效性保障688.4.1 724小时热线技术支持电话688.4.2 区域技术支持平台688.4.3 网上问题处理系统698.4.4 完善的实验平台698.4.5 高效快捷的备件系统698.4.6 技术支持网站与技术支持论坛708.4.7 完备的技术支持资料开发系统70第一章 概述1.1吉林市联通网络建设需求分析1.1.1一般建网需求根据吉林市联通公司的需求,需要建设一个支持办公数
4、字化、网络化、自动化的国内先进的基础网络平台,满足数字化办公建设的需要,也满足办公信息化建设的长期要求。网络平台具有较好的服务质量、较高安全性、便于管理和维护,能够支持各种应用,也支持移动办公、信息发布等。接入层支持百兆到桌面,核心层支持全千兆并且具有向万兆速率平滑扩容的能力。网络关键节点能够冗余热备保障系统连续稳定运行。具有高带宽、高可靠、高性能、高安全的特性。联通公司网络建设从网络流量模型上看和企业网的流量模型相似,用户相对使用的时段比较集中而网络流量大,但实际应用上还存在许多和企业网不同的地方。主要特点如下:1、 核心的高保障需求:办公网络组建投入使用以后是一个营业的环境,对网络的稳定性
5、要求相当的高,如果万一出现网络中断的想象,有可能就会对医院造成损失,所以为保证网络的稳定、可靠、高效都是才用双核心。2、用户管理的需求:1) 使用方便,存在WEB认证需求。要求能做到基于WEB的身份认证、带宽动态调整(隐性需求)、多WEB界面(隐性需求)等。2) 需要解决账号和端口绑定问题。通过此种方式限制账号的使用区域。3) 能够实现全网的安全管理,包括:IP、MAC的盗用问题、防止接入用户的非法DHCP Server、Proxy等用户。4) 对于用户的上网行为能够实现实时的跟踪以及时候的追查。5) 解决安全认证体系的问题,由于医院采用数字化电子病例都先进的管理体系,这样关于患者隐私的一些文
6、件就非常敏感,所以对于使用者身份的鉴别就特别重要。3、安全管理的需求:1) 由于联通公司内部有许多敏感性数据,因此运营商的办公网络也成为黑客最多的场所之一,如何保障网络的安全成为建网时不得不考虑的问题,目前主要攻击手段有DOS,DDOS等2) 上网日志的需求,主要是作日后的审核和查验。4、组播业务的需求,特别是可控组播的需求将随着网络信息化的深入而体现出来。 1.2.2吉林市联通公司建网需求本次工程的总体任务如下:充分考虑信息化工作的新需要、新应用,按照相关系统的国家标准,设计出符合本工程实际的建设方案。方案应以“先进、实用、经济、合理,用管两便、安全可靠,易于扩展”的指导思想为原则,采用先进
7、成熟的主流技术,充分考虑新建系统的可扩充性和与原有系统的兼容性,并体现科学规划、合理布局、预留充分、应用方便的特点,达到现代化、高效、舒适、安全、节能的人文办公环境的要求。在提出完整可行的建设方案的前提下,有效地组织施工,完成整个医院信息化系统的建设。同时对于网络的系统建设还应该符合一下的原则:1.3整体建网原则吉林市联通公司网络建设遵循以下基本原则:高带宽吉林市联通公司网络是一个规模较大同时相对复杂的网络,为了保障全网的高速转发,全网的组网设计的无瓶颈性,要求方案设计的阶段就要充分考虑到,同时要求核心交换机具有高性能、高带宽的特,整网的核心交换要求能够提供无瓶颈的数据交换。可增值性吉林市联通
8、公司网络的建设、使用和维护需要投入大量的人力、物力,因此网络的增值性是网络持续发展基础。所以在建设时要充分考虑业务的扩展能力,能针对不同的用户需求提供丰富的增值业务,使网络具有自我造血机制,实现以网养网。可扩充性考虑到吉林市联通公司用户数量和业务种类发展的不确定性,要求对于核心交换机与汇聚交换机具有强大的扩展功能,吉林市联通公司网络要建设成完整统一、组网灵活、易扩充的弹性网络平台,能够随着需求变化,充分留有扩充余地。开放性技术选择必须符合相关国际标准及国内标准,避免个别厂家的私有标准或内部协议,确保网络的开放性和互连互通,满足信息准确、安全、可靠、优良交换传送的需要;开放的接口,支持良好的维护
9、、测量和管理手段,提供网络统一实时监控的遥测、遥控的信息处理功能,实现网络设备的统一管理。 安全可靠性设计应充分考虑整个网络的稳定性,支持网络节点的备份和线路保护,提供网络安全防范措施。第二章 总体网络设计2.1核心组网描述吉林市联通公司核心层解决方案总体设计以高性能、高可靠性、高安全性、良好的可扩展性、可管理性和统一的网管系统及可靠组播为原则,以及考虑到技术的先进性、成熟性,并采用模块化的设计方法。组网图如下所示:如图所示,吉林市联通公司的网络建设是要建成一个高效、安全的网络,网络整体分为三个层次:核心层、接入层。为实现网络内的高速互联,核心层分别由2个核心节点组成,采用两台S7506R,承
10、担着核心节点下所接入的数据信息,考虑到服务器群相对接入信息点数量较多,服务器DMZ区域包括,CAMS服务器,同时负责网络的认证和计费功能,同时还有防病毒服务器、补丁服务器、web服务器、邮件服务器等,因此建议采用S7506R万兆交换机。核心的S7506R交换机为双主控、三电源设计,保证系统工作的稳定性和安全性,接入层就是每个楼的接入交换机,接入层交换机的选择仍然非常重要,考虑到接入层交换机的对于终端用户接入的控制起着非常重要的作用,因此建议采用安全性、控制性较高的设备,我们在此建议采用H3C S3600P接入交换机作为楼层接入交换机,H3C S3600系列交换机是H3C公司基于IToIP理念设
11、计和开发的智能弹性以太网交换机。系统采用创新的IRF技术,在安全可靠、多业务融合、易管理和维护等方面为用户提供全新的技术特性和解决方案,是理想的办公网、业务网和驻地网的汇聚、接入交换机以及中小企业、分支机构的核心交换机。2.2网络层次介绍:在核心层,核心层主要选配1台S7506R交换机,网络中心核心交换机同时提供服务器接入区域,重要的服务器例如CAMS服务器、日志服务器、防病毒服务器和补丁服务器,同时提供网络的认证、计费、审计、网管等功能区域。,同时华为S7506R万兆交换机其背板容量1.6T,交换容量768G,包转发率432Mpps,具有7个插槽,包括6个业务插槽,双主控板,进一步满足大型节
12、点高数据量转发的特点完全满足骨干节点的需求,S7506R万兆核心交换机H3C S7500系列交换机采用先进的全分布式体系结构设计,通过主引擎和分布式高速业务接口板上内置的Crossbar交换网芯片实现板内、板间二、三层流量的线速分布式转发,通过分布式高速业务接口板上内置的高性能CPU与位于主控引擎上的CPU协同工作,实现ACL、流分类、QOS、组播等业务的全分布式处理。在核心层的两台S7506R之间采用双千兆连接,保证稳定性,和接入层交换机、服务器群、出口的防火墙都采用双规接入,保证链路的可靠性。在接入层,接入层是直接与用户相连的设备,因此,在实际的应用的过程当中我们建议采用H3C的 S360
13、0P产品,H3C S3600P提供高密度的24个 10/100Base-T以太网端口,是百兆接入高性价比的理想选择;端口安全机制提高了系统安全性和可管理性;端口聚合功能提供简单廉价的方式来扩展交换机端口的带宽;支持JUMBO Frame加速了大文件传输服务;为网络提供了丰富的智能特性,如基于端口的二三层优先级自动映射,基于VLAN/MAC地址/端口的镜像以及远程端口镜像;集成了简单灵活的管理方式。在S3600上作为WAP的有线接入点,本工程是在有线网的基础上加以无线扩充(即采用AP将无线网络接入到有线网络)用户认证、计费管理:出口处采用H3C专业用户认证计费软件CAMS作为全网出口计费设备,C
14、AMS具有强大的认证功能,可以实现按流量计费、支持多种计费策略,同时可以实现监控全网的出口流量,同时其旁挂式的方式大大提高了网络的安全性,避免了在出口产生流量瓶颈的问题,本次组网采用CAMS综合管理软件实行全网的用户认证和计费管理。详细介绍参加第五章。网管平台:为提高网络管理的效率,减轻网络维护的压力,本次组网采用Quidview网管系统进行全网设备的统一管理。Quidview网络管理软件是H3C公司对数据通信设备如路由器、交换机等进行统一管理和维护的网管产品,位于网络解决方案的管理层,能够实现网元管理和网络管理的功能。Quidview网络管理软件基于灵活的组件化结构,包括网元管理平台、广域网
15、管理系统、局域网管理系统、资源管理系统等,用户可以根据自己的管理需要和网络情况灵活选择自己需要的组件,真正实现“按需建构”。第三章WLAN的设计第四章网络业务设计4.1认证方式的选择配合H3C接入交换机或BAS设备,结合802.1x认证方式实现对接入用户的端点准入控制。这种组网方案对不符合安全策略的用户隔离严格,可以有效防止来自网络内部的安全威胁。也可以配合路由器、高端交换机等设备,结合Porta认证方式在汇聚层实现对网络用户的端点准入控制。这种组网方案具有适应性广的特点,可以应用与吉林联通网络出口、分支机构入口、关键区域保护等多种应用场景。根据吉林市联通公司的用户特点,考虑到网络中心的维护工
16、作量,这里我们建议采用802.1x认证方式。4.2 S7500汇聚层交换机万兆的支持 从网络的整体结构上我们可以看出整个网络的设计是采用核心千兆网,核心与接入之间均采用千兆的方式,接入与最终用户之间采用百兆的方式进行互通,整个网络的瓶颈在核心与汇聚之间的连接存在瓶颈,随着网络接入用户的不断扩大,汇聚与接入之间可以采用万兆的方式进行互联。H3C S7500汇聚层交换机,背板容量1.6Tbps,三代引擎板提供SalienceIII 768G ,可支持14个万兆接口上行,用户无需任何投资,可以直接购买10GE模块,可直接插到汇聚层S7500交换机上就可以实现万兆带宽的升级,原上联GE接口可以作为下联
17、接口用。核心与汇聚层之间直接采用万兆的带宽将汇聚层存在的带宽瓶颈问题彻底解决,S7500汇聚层万兆交换机可为用户提前做好万兆升级的准备,减少用户投资。4.3 H3C吉林市联通公司解决方案特点:H3C 吉林市联通公司组网解决方案的优点有以下几点:4.3.1 完全的分布式的处理方式S7500为用户提供完全的分布式的处理方式,吉林市联通公司的办公网内部的数据量是非常大的,因此主交换机是否能够做到线速关系到整个网络的是否会发生拥塞。华为S7500背板交换容量1.6T够做到所有GE接口的双向的线速,H3C公司的S7500的性能指标是经过完整的测试,而业界厂家在指标宣称上面往往与给最终提供给用户的不一致。
18、而用户又由于测试仪器的限制无法确认实际配置的性能,这一点在H3C公司是绝对不会出现的。再次,分布式的转发,对于S7500路由查找是非常有益的补充。因为S7500的路由查找模式为最长匹配。这样就可以避免网内外的非法用户利用专门的攻击软件来攻击中心交换机,因为这种攻击是通过不断变换自己的本网断内的IP地址,来不断消耗主控处理板的CPU处理能力,直到彻底使主控处理板的CPU丧失处理能力,整个机器瘫掉。但是S7500是根据最长匹配来查找路由的,是针对网断进行路由的。所以当攻击者进行攻击时,S7500只能造成该接口板的业务能力处理下降,但是对于整机没有多大影响。这是我们选则S7500的作为核心交换的非常
19、重要的原因。4.3.2良好的互通性S7500 具有良好的互通性,S7500支持标准的路由协议,包括OSPF、BGP4、ISIS、RIP等路由协议,在实际的开局中与Foundry、思科、Exreme等多种厂家均能够实现互通,在吉林大学、山东大学附属医院等用户都得到实际的应用验证。4.3.3 核心交换机先进的体系架构设计网络的背板技术经历了共享式、缓存式等发展,Crossbar技术被公认为最为完美的一种设计方式,H3C公司S7500交换机采用背板采用分布式Crossbar的技术,整机的转发不存在任何的瓶颈问题,同时, S7500可实现背板容量的平滑升级,除背板采用Crossbar的方式,在接口板上
20、,H3C公司S7500核心交换机采用分布式Crossbar的技术,即在每个业务单板上面也同样采用Crossbar的技术,端口与端口之间的转发均有可直达的端到端转发通道,使得端口之间的转发不存在在任何瓶颈,大大提高了核心交换机的整机转发性能。4.3.4 基于流攻击的防止。H3C所采用产品S7500等三层转发模式均为最长路由匹配技术。这样就可以避免网内外的非法用户利用专门的攻击软件进行的一些基于流的共计,因为这种攻击是通过不断变换自己的本网断内的IP地址,来不断消耗主控处理板的CPU处理能力,直到彻底使主控处理板的CPU丧失处理能力,整个机器瘫掉。S7500是根据最长匹配来查找路由的,是针对网断进
21、行路由的。所以当攻击者进行攻击时,不会造成S7500业务能力处理下降,对于整机没有影响影响。这是我们选则S7500的作为核心交换的非常重要的原因。4.4网管解决方案根据网络实际情况可采用华为Quidview网管系统。特性该系统采用开放式结构设计,严格遵守标准的SNMP协议(RFC1157),主要使用RFC1213定义的MIB信息,具有投资省、使用灵活、易于移植等特点:使用灵活QuidView系统的使用方式非常灵活,既可以作为设备级的应用程序集成到已有的网管平台(如:HPOpenView、RadiumsNMS、SNMPC、NetManager)中进行网络级管理,又可以作为独立的应用程序执行进行设
22、备级管理。同时可以根据用户需求进行接口的开放。支持WEB方式基于WEB的管理是网管方式的一次革命,其主要优势在于:基于WEB的管理允许网络管理人员使用任一种浏览器在网络的任何节点上方便迅速地配置、控制及监视网络。在Web Server上安装了网管软件后,其它网管机器不用预装网管软件,只须安装了WEB浏览器并且设备能上网,就能使用QuidView系统管理 。成本低QuidView不像大型网管系统那样系统庞大,它将网管人员最为关心的网络信息直观而浓缩地呈现于网管人员面前,使其方便地了解设备各端口的运行情况以及主要的设备性能指标。支持多种操作系统平台纯Java的实现,保证QuidView无须修改便能
23、运行于当前主流 的各种平台之上。除此以外,QuidView系统使用全新的JFC类库,所有控件均支持Look and Feel特性,该特性使得QuidView既可以在不同平台上呈现出统一的显示风格,也能够使控件的风格与操作系统相一致。功能功能描述路由器设备视图设备端口的配置情况:端口个数、端口种类、端口当前状态等故障管理对全网设备的告警信息和运行信息进行实时监控,查询和统计设备的告警信息。主要功能包括:支持告警相关性分析;能按照用户设置的条件对告警信息进行统计和查询;提供告警拓扑定位;支持告警Trap规则定义等。路由器设备整体配置信息支持拓扑自动发现功能,系统信息(系统描述、系统标识、重启时间、
24、所在地、设备名、联络方式)、地址转换表、接口表、IP表、IP路由表、TCP联接表。性能管理提供对设备实时性能数据的查看功能,使用户了解当前网络运行的基本情况和性能状态,从而预防网络事故的发生,预测网络运行状态,帮助用户对网络的管理运营进行合理的规划。同时可以支持对于网络节点设备利用率、CPU利用率、故障率、线路流量统计、网络时延统计、历史告警信息等进行统计记录,并可以实现网络流量配置。设备日志和告警管理在系统独立运行时,设备日志管理完成接收设备发送到网管的Syslog日志报文,直接保存到文件中;设备告警管理完成接收设备发送到网管的告警报文,将该Trap进行解析并保存到文件中。路由器设备整体运行
25、状态CPU负载、系统温度、风扇状态、VOS内存空闲率、Non-Volatile空闲率、内存分布错误次数、内存分配不足引起的分配错误输入IP报文、表头错误的输入IP报文、地址错误IP报文、未知协议数据报、缓冲溢出输入IP报文、缓冲溢出的输出IP报文、转发的IP报文、无路由的输出IP报文、成功重组的IP报文安全日志管理安全管理功能主要有以下几个方面:操作日志管理,用户管理,用户组管理,设备集管理,操作集管理,权限管理,用户登录管理。路由器设备端口配置信息接口描述、接口类型、最大传输单元、接口速率、物理地址、管理状态、操作状态、持续运行时间、本地描述路由器设备端口运行状态 接口使用率、输入包误码率、
26、输出包误码率、输入包丢弃率、输出包丢弃率、输入包未知协议率 下图是该产品的界面示例:第五章吉林市联通公司用户管理及安全方案5.1网络用户认证管理需求分析随着网络规模的扩大,用户不断的增加,网络使用中出现了不少不和谐的声音:账户盗用,恶意连接,黑客攻击,反动言论等。这些不和谐的行为影响了正常的网络使用,造成了许多安全隐患。为了消除这些隐患,我们需要引入网络认证管理技术,规范网络使用,在提供体现公平、共享原则的同时保护绝大多数用户的权利。在提出解决方案之前我们将相关需求做一简单分析:1) 准确的用户身份确认对于吉林市联通公司网络的用户分为两类,一类是准许访问internet的,另一类是不访问int
27、ernet。但是为提高网络的安全性能无论是否要访问internet我们都需要对其身份进行准确的识别。这是网络安全的需要。但是如何进行用户身份确认呢?这就需要通过认证技术来实现。目前认证技术有许多,如WEB认证,802.1x认证,PPPOE认证。这些认证技术各有千秋,PPPOE技术被广泛的应用在宽带小区,WEB认证被应用在一些信息系统内,而802.1x认证被应用在广大的网络内。这是因为802.1x认证具最大的特点是简单,无需特殊的设备支持,同时支持任何网络应用。正是这一点打动许多网络管理员的心。本方案将以802.1x认证用户身份确认技术。2) 全方位的用户管理方案用户的管理随着网络的扩大逐步显得
28、更加的重要,从目前的网络的建设来看,不同的单位有着不同的网络的管理方式,如:MAC绑定、IP地址的绑定、卡号密码的绑定等,不同方式各有千秋。在吉林市联通公司的网络认证管理方面,其我们用户建议采用MAC地址端口的绑定技术来作为整个网络管理的主要方式,H3C的核心交换机S3600P支持多种绑定技术,同样支持MAC地址端口的绑定方式,这样对于用户可以直接做到端到端的绑定方式。5.2网络用户管理认证方案概述认证管理方案是一个整体的方案在网络内实施相应的管理措施。综合考虑,H3C公司在实际的在建网的过程当中遵循了以下几点要求:1) 认证交换机。本次方案所采用的所有交换机都支持802.1x认证。考虑认证的
29、效率,本次认证主要由接入层S3600P交换机来完成。并能够提供强大的业务功能:如:MAC地址绑定等功能。2) 网管平台。网管软件对于用户来说是维护网络的重要工具,H3C公司 Quidview网管平台可以为用户提供强大的维护功能,同时可以对所管理的接入层交换机进行批量配置,避免用户繁琐的工作,同时Quidview可以对端口流量进行设置阀值告警,发现用户端口流量较大(如:病毒攻击),可以通过网管将端口关闭避免大量垃圾报文,维护网络安全。5.3认证选择设计802.1X认证管理是接入层交换机和认证软件平台重要的特性,本次我们建议采用802.1X的认证方式作为接入认证的方式。802.1X协议是IEEE在
30、2001.6通过的正式标准,标准的起草者包括Microsoft,Cisco,Extreme,Nortel等;802.1X定义了基于端口的网络接入控制协议(port based network access control),该协议适用于接入设备与接入端口间点到点的连接方式,其中端口既可以是物理端口,也可以是逻辑端口。H3C公司的网络设备对802.1x做了扩充,使其可以基于MAC地址进行网络接入控制。IEEE 802.1X的体系结构中包括三个部分:(1) Supplicant System-用户接入设备(2) Authenticator System-接入控制单元(3) Authenticati
31、on Sever System-认证服务器接入层LANSWITCH设备需要实现 802.1X的认证系统部分Authenticator;用户接入设备(PC)需要有802.1x的客户端软件;认证服务器可以是802.1x的服务器,也可以是传统的Radius服务器;传输介质为点对点以太网(即PC直接通过网线连接到LSW的端口),如果是共享式以太网,则需要采用加密的方式(MD5)传递认证信息。概念解释:PAE,即port access entity之缩写,意为端口接入实体Supplicant PAE:发起接入请求的PAE,指一般PCAuthenticator PAE:驻留在接入设备上的验证模块PAE受控
32、端口是802.1X系统的核心概念(1) Authenticator 内部有受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。(2) 非受控端口始终处于双向连通状态,主要用来传递 EAPOL 协议帧,可保证 Supplicant 始终可以发出或接受认证。受控端口只有在认证通过的状态下才打开,用于传递网络资源和服务。(3) 受控端口可配置为双向受控、仅输入受控两种方式,以适应不同的应用环境。输入受控应用在集中桌面管理的应用场合,例如管理员即使在客户端关机的情况下也能将通过受控端口向用户计算机发送远程开机命令。(4) H3C公司的VRP平台的802.1X子
33、系统扩展了多种受控端口类型,以支持复杂的应用环境。802.1X的认证模式:端口认证模式:ForceAuthorized:常开模式。端口一直维持授权状态,设备端不主动发起认证;ForceUnauthorized:常关模式。端口一直维持非授权状态,忽略所有客户端发起的认证请求;Auto:协议控制模式。设置端口初始状态为非授权状态,使端口仅允许EAPOL报文收发,如果认证流程通过,端口切换到授权状态;VRP的802.1X子系统允许一个物理端口下有多个受控端口,在一个物理端口下的所有受控端口只能配置成相同的端口认证模式,这种限制是为了方便管理员配置。802.1x协议定义了一种基于port的认证方法,在
34、协议中允许允许一个物理端口下有多个受控端口,应该是为了便于实现对802.1x的扩充,如在物理端口下开发基于MAC地址的认证,每个MAC地址将有一个动态的逻辑端口,逻辑端口的状态是受控的。也可以开发基于VLAN的认证,等等。端口类型:(1) 逻辑端口(默认):一个逻辑端口对应一个物理端口,对应一个Authenticator PAE状态机实体。这种端口类型的802.1x认证与PPPoE和WEB认证方式相比,有缺陷,无法灵活地应用到运营商的宽带城域网(可参考华为技术报上的一文)。(2) 逻辑端口源MAC: 这种类型的受控端口为每一个客户端创建一个Authenticator PAE状态机实体。每个物理
35、端口上受控端口的个数是有限制的(可配置),当有客户端发送EAPOL-Start请求认证报文时提取客户端源MAC地址,做为受控端口的标识。客户端注销时对应的受控端口资源被释放。(3) 逻辑端口VLANID+源MAC: 这种扩展的受控端口类型,主要是配合S3000+LANSWITCH方式组网,SS3000上实现的802.1X受控端口类型,逻辑端口+VLANID可以定位到下层LANSWITCH的物理和逻辑端口,源MAC地址可以区分到客户端。H3C公司网络产品支持以下的基本认证方式:本地认证:接入设备根据用户名在本设备的数据库查找,若存在相同的用户名和密码则验证通过,否则验证失败。Radius认证:接
36、入设备通过Radius报文与Radius服务器交互报文,由Radius服务器完成对用户身份合法性的验证。PAP认证:Password Authentication Protocol,用户以明文的形式把用户名和他的密码传递给接入设备的验证方式。 CHAP认证:Challenge Handshake Authentication Protocol,当用户请求上网时,接入设备生成一个16字节的随机码给用户,同时还有一个ID号及接入设备的host name。客户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密,生成一个response传给接入设备,接入设备根据用户名在本端或Radius服务器
37、查找,得到和用户端进行加密所用的一样的密码,然后根据原来的16字节的随机码进行加密,将其结果与Response作比较,若相同表明验证通过,否则验证失败。 CHAP认证时,密码经过了MD5算法加密处理,防止报文被截获。 吉林市联通公司802.1X的认证过程首先吉林市联通公司的端口模式采用网关模式,首先上网终端通过802.1X的客户端收入用户名、密码后客户端发起EAP报文至802.1X server(S3600P),在S7506R 上终结EAP报文,然后从S3600P再次发起Raduis报文至认证服务器Raduis Sver,由Raduis Server来验证用户名、密码是否匹配,在认证通过以后由
38、认证服务器下发Raduis报文至S3600P通知该用户认证通过,S3600P再将相对应的端口打开,允许学习MAC地址,允许用户上网。802.1X 的认证方式最为主要的三点是:1.认证的802.1X的客户端的功能。2.认证的802.1XServer;3.与认证服务器的配合。H3C公司自主开发的802.1X客户端以及认证服务器,在实际的应用中配合华为的接入层交换机S5100最终完成802.1X的认证。 54 CAMS对用户上网认证的管理5.4.1 用户需求分析吉林市联通公司网的管理基本上分为以下几个方面:1) 用户信息的搜集用户信息的搜集是网络开通前网管人员的首要任务,此时需要搜集的信息可能包含有
39、:用户的编号、用户主机的MAC地址、用户接入的端口、分给用户的IP地址、用户的性别、用户的房间号、或是我们需要用户提供的相关特性。此过程可能是用户工作量最大的一个过程。2) 用户的开户开户的过程是网络人员的针对用户的需求进行开户,用户把钱交给网络中心为用户提供开户业务,提供给用户网络资源。3) 网络安全控制该过程是网管人员对上网用户进行实时检测的过程,网管人员要确保网络的安全,要对用户上网的动作进行监控,并有效的防止网络当中存在的各种非法操作用户。总之,整个网络的开通、运行、维护是一个持续、巨大工作量的过程,网管人员是这些任务的承担者。5.4.2 CAMS解决方案下面我们再来看一下CAMS是如
40、何解决用户的相关问题。1) 用户相关信息的搜集CAMS的“用户预注册”解决网管人员搜集用户信息中遇到的问题,传统的方式是通过网管人员的信息录入来搜集客户的信息,这种方式使得网管人员的工作量剧增。举例来说,一个5000用户的开户工作,我们假设1个用户的录入工作需要2分钟(包括检查用户提供的信息是否正确),5000用户需要的工作量就是5000210000分钟,共计166小时,按照一天8小时工作时间计算,共需要21天,这样的工作量对网管人员来说是不可忍受的,CAMS支持用户预注册功能,所有的用户名密码等信息都由用户自己输入,而且用户如果我们还需要部分信息还可以进行定制。用户预注册:用户预注册可以帮助
41、用户在开户前的相关信息的搜集,用户可以通过固定的网上申请用户名、密码等相关信息,而且网管人员需要搜集的信息可以在“用户附加信息”中进行自行定义,定义的方式也是可选的,可以是下拉菜单方式的、也可以是输入的,为了避免用户输错,可规定输入文档的格式,详见“用户附加信息”。我们可以在用户预注册的时候要求用户输入我们要搜集的相关MAC、工号、单位等信息。用户附加信息:用户附加信息是为了给网管人员自助定义用户信息的工具,每个网管人员标识用户的方法、种类可能各不相同,用户附加信息如下所示:网管人员可以在用户附加信息选项中灵活定义需要用户输入的信息,同时可以选择这些字段是否在用户预注册时必须输入。这样用户信息
42、的搜集就由网管人员主动搜集变为用户主动上报,网管人员需要作的更多的是用户开户时信息的确认。2) 开户过程我们刚才讲了用户通过预注册的功能可以实现在网上进行预注册,那接下来应该做些什么呢?接下来网管人员要在CAMS上先定义用户群的服务(即:计费策略及管理策略),如:用户群体A,采用包月的方式;用户群体B采用按时长收费的方式;用户群体C 。服务策略的配置:服务的配置当中含有多种的策略,包括:计费策略、绑定策略、安全策略等等。如图所示:在服务策略中,我们可以讲用户的IP、MAC、交换机端口、VALN、账号等多种元素进行绑定,也可以选择性的进行绑定;计费策略中我们可以规定按时长收费还是包月收费;同时C
43、AMS也是配置是否对客户端的Proxy检测启用安全策略,对于Proxy的防止同样也是多种方式的;同时CAMS可以实现用户的获取IP地址方式的定义。用户缴费开户(三“点”一“输入”)用户缴费开户对于CAMS来说再简单不过了,一个用户的开户只需要进行鼠标轻轻的点击三下、输入一次,就可以实现。具体的步骤如下:首先,在用户预注册清单中找到用户提交的预注册信息:我们在预注册用户管理中找到了刚才刚刚预注册的用户名为“xulixian”的用户,下面我们来进行所谓的“三点一输入”来进行开户。正式注册:一点击“正式注册”一输入用户的缴费信息,二点击用户的服务(用户包月),三点击确定。一个用户的开户过程就是如此简
44、单,加上用户预注册中的相关信息的检查,一个用户10秒钟就可以轻松的开户,5000用户的网络10几个小时就可以完成开户工作,大大减少了网管人员的额工作量。自定义开户。用户的开户还可以通过CAMS进行自定义的开户,也就是每个账号是由网管人员进行开户的,所有的信息都时网管人员自己录入,当然,网管人员可以通过CAMS进行批量的用户开户,或是采用与原有的数据库批量导入。这种方式与用户预注册的方式相比就显得有些麻烦。3) 网络安全控制CAMS除了可以大大减少用户的工作量以外,还可以给用户提供强大的安全管理措施。元素的绑定技术。CAMS可以实现通过AAA服务器的IP、MAC、VLAN地址等绑定技术,在实际应
45、用的过程当中,CAMS可以对接入用户的各种元素进行绑定对于各种元素的灵活绑定可以实现各种接入方式,如:绑定MAC与账号,就可以实现账号与主机的对应;绑定IP、MAC、端口、VLAN、账号,就可规定用户采用自己的主机、规定的IP、从规定的端口进行接入。元素的绑定技术对于网络的管理安全起了重要的作用,通过元素的绑定技术可以大大提高网络的安全性。访问时间的控制。CAMS可以实现对接入用户的上网时间的规定,网管人员可以规定用户允许接入的时间段,如:上午6:00晚上12:00,在这段时间内允许用户接入网络,其余时间,禁止接入。Proxy用户的禁止。CAMS可以对接入层用户进行有效的控制,配合H3C的80
46、2.1X客户端可对各种Proxy用户进行禁止。屏蔽非华为客户端,可以实现对于非华为客户端的用户禁止接入;屏蔽IE代理,对于在IE中设置代理的用户可以实时进行检测,一旦发见,禁止用户进行上网操作;屏蔽双网卡,对于存在两个活动网卡的用户,CAMS可以通知用户存在两个活动的网卡,用户必须对其中的一个网卡进行禁用才能够接入网络;对于任何形式代理的禁止,CAMS可以实现对任何形式的Proxy用户的禁止,无论用户采用何种Proxy的方式,如果不产生Proxy动作就不进行操作,当用户一旦发生了Proxy的动作,CAMS就下发下线通知,强制用户下线,对于以上的Proxy禁止方式,是可以进行灵活选择,满足不同组
47、网需要。黑名单。CAMS支持对用户的非法动作进行判断,屏蔽的功能,当某用户通过自己的主机验证别人的用户名、密码时,当其三次认证不通过就将自动屏蔽该用户在这台主机的认证,只有第二天才能够重新认证,认证的同时并将该用户账号以及对应验证主机的MAC地址进行记录,便于事后的追查。4) 灵活、开放的计费策略CAMS系统采用开放、抽象的计费模型,具有良好的适应性和扩充性,能够满足不同应用场合的计费需求,用户可以根据运营的需要轻松定制计费方式和费率。 支持纯包月、包月限时、包月限流量等易于管理的包月型计费方式。 支持包月暂停的功能,可以使用户的包月截止日期顺延,并支持用户认证上网自动取消暂停。 包月计费。CAMS可以实现包月计费的策略,对于用户来说可以实现包月计费策略,同时CAMS可以支持包月暂停功能,用户可以自助登陆到自助服务页面,点击“暂停”,便可以实现用户的包月暂停,无需通过网管中心工作人员,大大减轻了工作人员的工作量。 CAMS可以实现按流量计费的
浙ICP备2021020529号-1 | 浙B2-20240490 
