“上网要认证,权限有控制”-H3CWiNet安全局域网解决方案一、WiNet安全局域网带来网络管理新概念1.1、前言随着IT信息化的不断发展,作为IT载体的计算机通信网络在中小企业中具有越来越重要的地位,目前,中小企业已经普遍部署了交换机、路由器等网络设备,实现了网络的连通性,能够完成基本的网络通信功能,对中小企业的进一步发展提供了有力的IT信息化保障。然而,企业网络管理者很快发现仅具有连通性的、开放的网络随时可能面临各种各样的安全风险,其中,由于缺少合适的用户认证管理系统,企业网络基本处于开放状态,未授权用户可以随时随意接入网络,访问非授权的网络资源,同时,对企业员工缺少网络访问权限的控制,不同部门、不同身份的员工可以互相访问,机密信息泄漏的风险大大增加。虽然传统的网络用户接入管理AAA系统可以解决上述问题,但价格昂贵,增加中小企业购买成本负担,同时传统AAA认证方案需要安装操作系统服务器软件、数据库软件、AAA认证软件,造成部署复杂,这也增加了中小企业的维护成本。针对此现状,H3C面向中小企业用户推出了WiNet安全局域网系列产品和解决方案,该系统具有简捷实用的网络管理功能和用户管理功能,在不增加企业任何额外投资的情况下,让中小企业拥有一个“上网要认证、权限有控制”的安全型局域网络。1.2、方案简介H3CWinet安全局域网解决方案是面向中小型企事业单位量身定做的一套具有网络管理功能和用户管理能力的新型智能安全网络方案,该解决方案建立了一套以用户(帐号)为中心的全新网络管理维护模式,既有效的解决了企事业单位日益关心的网络信息安全控制问题,又通过一系列图形化、自动化的操作极大的提供了网络管理人员的工作效率。图1H3CWinet系统架构和管理界面示意图根据设备在WiNet系统中所处地位和功能不同,可把WiNet中的设备分成如下三种角色:A、管理设备:WiNet网管的核心设备,内嵌了WiNet系统,通过收集相关信息来发现设备并形成网络拓扑。它同时是WiNet和用户间的接口设备,有一个公网IP地址,网管人员在本地或远地通过IE到管理设备,即可通过WiNet对网络中的其它设备进行配置、管理和监控等。每个WiNet必须(且只能)指定一个管理设备。B、成员设备:被管理设备,接入网络后会自动显示在管理设备的拓扑图中,并被管理设备管理;C、候补设备:设备要被WiNet管理首先要加入到WiNet,候补设备指还没有加入到WiNet但具备WiNet能力、能够成为WiNet成员的设备,候补设备加入WiNet后即成为成员设备,加入过程是自动的,无需人工干预。1.3、方案特点1、即插即用:H3CWiNet用户管理方案是基于WiNet网络拓扑管理方案,采用H3CHGMP专利技术,在零配置的情况下只需要将网络设备使用网线相连即可收集网络拓扑,登录管理设备WEB管理界面并启动WiNet功能后,网络拓扑即可显示在WEB页面上,同时通过点选不同的网络设备,设备的面板可以显示在拓扑下方,方便进行各种业务尤其是设备端口布防、用户管理等业务的直观部署,真正实现零配置、即插即用。图2H3CWiNet网络用户管理解决方案2、内嵌式:WiNet用户管理方案在ComWare网络操作系统的基础上内嵌了数据库、WiNet用户认证管理平台,无需另外购买安装其它软件,大大节省了用户购买成本的同时免除了繁琐的安装配置过程,进而避免了不同软件之间的兼容性问题,实现了开箱即有,免安装。3、图形化:传统的用户认证管理方案需要到不同的网络接入设备上使用命令行配置端口认证(Portal认证、802.1x认证),网络设备较多的情况下非常不便,H3CWiNet用户管理方案中管理员可以在管理设备的WiNetWEB界面中直接使用鼠标选择要启动认证的端口,进行直观的端口认证布防,无须输入任何命令行,同时所有接入认证设备的启动认证都可以在管理设备的WiNetWEB页面统一进行,无需到不同的设备上分别部署。4、免客户端:网络用户接入网络时往往需要通过安装在终端PC上的客户端进行认证,这个客户端必须由管理员提前安装在用户的PC机上,为每个终端用户部署客户端软件对于管理员而言是不小的工作量,H3CWiNet用户管理方案采用Portal的认证方式,终端用户可以直接启动IE或者其它浏览器来进行认证,省去了管理员为每台终端设备部署认证客户端的繁琐工作。5、细粒度用户认证准入:H3CWiNet用户管理方案针对用户的MAC地址等个性特征进行认证,避免了传统认证方式中同一个端口接入的用户只要一个用户认证成功则端口洞开的缺陷,认证端口下即使通过HUB连接多个PC也可以针对不同的PC、不同的用户进行认证,认证结果不影响同一端口上接入的其他认证用户,即实现了用户的单独的、细粒度的接入认证。6、精细化用户权限管理:实际中,认证通过的用户不一定具有相同的权限,H3CWiNet用户管理方案可以在用户认证通过后,针对管理设备上WiNetWEB里面预先配置好的策略,对不同的用户下发不同的ACL、VLAN,使不同的用户具有不同的网络资源访问权限,从而实现精细化的用户权限管理。二、WiNet网络管理功能简介WiNet安全局域网-网络管理功能包括:拓扑管理、设备管理、故障管理三项。1、网络拓扑管理WiNet不仅可以在管理设备上自动描绘网络拓扑,并且具有即插即用特色功能,新设备不用进行任何配置,直接插到网络中,就可以直接在拓扑图中显示出来。图3WiNet拓扑管理3、成员设备管理在WiNet显示的网络拓扑图中,可以通过选中某台设备,点击管理按钮,登录到此设备的Web配置页面中进行配置管理。图4WiNet设备管理4、链路故障管理网络中如果出现链路故障时,WiNet使用灰色进行标识图5WiNet故障管理三、WiNet用户管理功能简介WiNet安全局域网-用户管理功能包括:帐号管理、权限管理、端口布防管理三项。1、用户帐号管理针对网络中的用户,在管理认证设备上可以创建用户帐号管理系统,每个用户一个帐号确保了用户网络接入的唯一身份标识。2、用户权限管理在创建用户帐号的过程中可以根据其企业内部业务部门属性确定和配置用户的授权vlan、授权acl、过期时间以及备注信息,在用户认证通过接入到网络系统后,这些规则将自动与用户的MAC地址相匹配锁定用户的网络资源访问权限。3、端口布防管理在启动WINET系统认证中心后,选中成员设备,在面板上对需要认证的端口作端口布防。选中相应端口,然后点击端口布防按钮,此时成员设备的选中端口会启动基于用户MAC的Portal认证。四、WiNet典型组网和设备支持列表H3C百兆安全局域网示例图:说明:Winet管理认证中心与出口网关路由器MSR3016复用,MSR3016内置Winet网络管理系统,并开启Winet安全局域网用户管理功能,在安全智能接入交换机S3100-26TP-SI(UM)启动Winet安全局域网端口布防功能;H3C千兆安全局域网示例图:说明:Winet管理认证中心与出口网关路由器MSR3016复用,MSR3016内置Winet网络管理系统,并开启Winet安全局域网用户管理功能,在安全智能接入交换机S5120P-SI启动Winet安全局域网端口布防功能;支持WiNet功能产品列表:H3CWINET产品系列WiNet网络管理功能WiNet用户管理功能WiNet系统管理认证设备WiNet系统成员接入设备MSR30系列路由器支持支持支持支持MSR20系列路由器支持支持支持支持S5500EI系列交换机支持支持支持支持S5500SI系列交换机支持支持支持支持S5120SI系列交换机支持支持N支持S3100-26TP-SI(UM)交换机支持支持N支持S3100-52TP-SI(UM)交换机支持NN支持S3100-TP-EI系列交换机支持NN支持S3100-TP-SI系列交换机支持NN支持五、WiNet开局配置与使用简介Winet安全局域网开局配置指导书.doc