H3C WiNet安全局域網(wǎng)解決方案主打膠片

1、0日期：密級：追求卓越，創(chuàng)新不止追求卓越，創(chuàng)新不止H3C H3C 商業(yè)分銷系統(tǒng)部商業(yè)分銷系統(tǒng)部H3C WiNet1傳統(tǒng)局域網(wǎng)絡(luò)建設(shè)模式存在的幾個問題傳統(tǒng)局域網(wǎng)絡(luò)建設(shè)模式存在的幾個問題1、開放的網(wǎng)絡(luò)沒有用戶準入機制，隨意接入；2、公司網(wǎng)絡(luò)用戶沒有權(quán)限控制機制，網(wǎng)絡(luò)權(quán)限失控；3、傳統(tǒng)基于MAC地址/IP地址的網(wǎng)絡(luò)管理，管理呆板 復(fù)雜，無法適應(yīng)網(wǎng)絡(luò)“動態(tài)”“人性化”趨勢。我看到財務(wù)的工資報表了我看到老板的聊天記錄了拉根網(wǎng)線就可以上網(wǎng)了！配置部署復(fù)雜員工工位常變動，手工配置網(wǎng)絡(luò)權(quán)限太痛苦了外部非法接入內(nèi)部越權(quán)訪問管理員u傳統(tǒng)建網(wǎng)模式往往只關(guān)注連通性和性能，而忽視用戶信息安全管理的問題；2現(xiàn)有信息安全控

2、制手段配置復(fù)雜現(xiàn)有信息安全控制手段配置復(fù)雜, ,成本高成本高路由器認證服務(wù)器無線接入點匯聚交換機接入交換機接入交換機接入交換機13442安裝認證客戶端申購服務(wù)器及軟硬件安裝部署配置服務(wù)器配置認證設(shè)備AAA認證軟件模式（EAD)u個別用戶采用原始的安全控制技術(shù)，如使用交換機MAC+PORT+IPMAC+PORT+IP綁定的模式，極大增加網(wǎng)管員工作量，并難以應(yīng)對移動辦公日益增多的突出問題；3突破傳統(tǒng)思維突破傳統(tǒng)思維, ,建立人為管理核心的網(wǎng)絡(luò)建立人為管理核心的網(wǎng)絡(luò)無（初級）管理階段l目標是：目標是：接通聯(lián)網(wǎng)接通聯(lián)網(wǎng)l關(guān)注點：關(guān)注點：VLANVLAN、WEBWEB網(wǎng)管網(wǎng)管l管理對象：管理對象：設(shè)備設(shè)

3、備端口端口面向設(shè)備的管理階段l目標是：目標是：控制業(yè)務(wù)控制業(yè)務(wù)l關(guān)注點：智能關(guān)注點：智能ACLACL、SNMPSNMP網(wǎng)管網(wǎng)管l管理對象：管理對象：設(shè)備設(shè)備設(shè)備端口設(shè)備端口MACMAC地址地址IPIP地址地址LAN面向人的管理階段l目標是：目標是：控制人控制人l關(guān)注點：認證，自動授權(quán)關(guān)注點：認證，自動授權(quán)l(xiāng)管理對象：管理對象：人帳號人帳號帳號的帳號的MACMAC帳號的帳號的VLANVLAN帳號的帳號的ACLACL規(guī)則規(guī)則u網(wǎng)絡(luò)信息安全控制的目的是控制網(wǎng)絡(luò)接入用戶（人）的網(wǎng)絡(luò)資源訪問權(quán)限的合法性，因此應(yīng)該建立是面向人的控制模式，而非面向設(shè)備的信息安全控制模式；4WiNetWiNet安全局域網(wǎng)解決

4、方案系統(tǒng)設(shè)計思路安全局域網(wǎng)解決方案系統(tǒng)設(shè)計思路 圖1 網(wǎng)絡(luò)用戶管理的AAA認證軟件方案 圖2 H3C WiNet網(wǎng)絡(luò)用戶管理方案n 借鑒用戶AAA認證管理商業(yè)軟件的設(shè)計思路，將其部分功能移植到網(wǎng)絡(luò)設(shè)備上來實現(xiàn)，由此H3C WiNet內(nèi)嵌式網(wǎng)絡(luò)管理平臺應(yīng)允而生！WiNetWiNet內(nèi)嵌網(wǎng)絡(luò)管理平臺的優(yōu)勢：內(nèi)嵌網(wǎng)絡(luò)管理平臺的優(yōu)勢：無需增加其他軟硬件投資，設(shè)備內(nèi)置功能軟件，且完全免費；圖形化配置管理，大大降低管理員的工作量；免客戶端安裝，業(yè)務(wù)部署迅速簡捷。5WiNetWiNet安全局域網(wǎng)解決方案系統(tǒng)功能簡介安全局域網(wǎng)解決方案系統(tǒng)功能簡介WiNet設(shè)備內(nèi)嵌式網(wǎng)管平臺HGMP專利技術(shù)WiNet WiNe

5、t 網(wǎng)絡(luò)管理功能網(wǎng)絡(luò)管理功能拓 撲 管 理故 障 管 理設(shè) 備 管 理WiNetWiNet用戶管理功能用戶管理功能接 入 認 證用 戶 管 理權(quán) 限 管 理功能內(nèi)嵌圖形化低成本簡易部署拓撲自動發(fā)現(xiàn)資源統(tǒng)一管理n H3C WiNet內(nèi)嵌式管理平臺充分考慮成長型企業(yè)實際需求，本著易用、易部署、低成本的原則，最大限度地滿足企業(yè)網(wǎng)絡(luò)管理和用戶管理的需求！WiNetWiNet：Wizard Network(智能網(wǎng)絡(luò))縮寫，通過內(nèi)嵌的、面向業(yè)務(wù)的方式智能的進行網(wǎng)絡(luò)管理的方案。6H3C H3C 那些設(shè)備支持那些設(shè)備支持WiNetWiNet網(wǎng)絡(luò)管理平臺網(wǎng)絡(luò)管理平臺產(chǎn)品系列WiNet安全局域網(wǎng)解決方案系統(tǒng)設(shè)備支

6、持列表WiNet網(wǎng)絡(luò)管理功能WiNet用戶管理功能管理認證設(shè)備成員接入設(shè)備MSR30系列路由器YYYMSR20系列路由器YYYS5500-EI系列交換機YYYYS5500-SI系列交換機YYYYS5120P-SI系列交換機YYNYS3100-SI（UM)系列交換機YYNYS3100-EI系列交換機YNNYS3100-SI系列交換機YNNYS2126-EI交換機YNNYn H3C WiNet內(nèi)嵌式管理平臺軟件：內(nèi)置于H3C 中低端交換機和路由器設(shè)備當(dāng)中，主要面向商業(yè)市場用戶提供高性價比的網(wǎng)絡(luò)管理和用戶管理解決方案！管理認證設(shè)備：管理認證設(shè)備：是指作為網(wǎng)絡(luò)的核心設(shè)備，啟用WiNet網(wǎng)管平臺軟件的管

7、理設(shè)備，由其來部署WiNet網(wǎng)絡(luò)管理功能和用戶管理功能。成員接入設(shè)備成員接入設(shè)備：是指作為網(wǎng)絡(luò)的邊緣接入設(shè)備，可以被核心管理設(shè)備進行管理，能支持WiNet網(wǎng)絡(luò)管理功能或用戶管理功能的邊緣接入交換機。7H3C WiNet之網(wǎng)絡(luò)管理功能介紹8WiNetWiNet內(nèi)嵌式網(wǎng)絡(luò)管理平臺的登陸界面內(nèi)嵌式網(wǎng)絡(luò)管理平臺的登陸界面n H3C WiNet內(nèi)嵌式管理平臺內(nèi)置于H3C MSR30/20系列路由器、S5500-SI/EI系列交換機當(dāng)中，通過此平臺可以管理S3100-SI(UM),S5120P-SI系列接入交換機；n在管理PC上配置地址，使用IE進行HTTP登錄，如 既可登陸到WiNet管理設(shè)備的登陸界面

8、；注意以下事項：注意以下事項：如果使用MSR作為管理設(shè)備，管理員請從路由器的交換口上登錄。注意請保證管理員從管理vlan內(nèi)登錄。9H3C WiNetH3C WiNet網(wǎng)絡(luò)管理功能之網(wǎng)絡(luò)管理功能之自動拓撲發(fā)現(xiàn)自動拓撲發(fā)現(xiàn)n登陸到 H3C WiNet內(nèi)嵌式管理平臺，完成相應(yīng)的系統(tǒng)設(shè)置后，點擊網(wǎng)絡(luò)快照即可自動發(fā)現(xiàn)網(wǎng)絡(luò)的拓撲結(jié)構(gòu)（注意：只能發(fā)現(xiàn)支持Winet功能的H3C產(chǎn)品，其他廠商產(chǎn)品收集不到）；10H3C WiNetH3C WiNet網(wǎng)絡(luò)管理功能之網(wǎng)絡(luò)管理功能之WEBWEB頁面配置頁面配置n點擊網(wǎng)絡(luò)拓撲中的設(shè)備圖標，系統(tǒng)將自動彈出該設(shè)備的WEB配置界面，用戶可以直觀進行設(shè)備的配置，極大的提升管理員

9、的工作效率；11H3C WiNetH3C WiNet網(wǎng)絡(luò)管理功能之網(wǎng)絡(luò)管理功能之線路故障警示線路故障警示n對于中小企業(yè)網(wǎng)絡(luò)中經(jīng)常出現(xiàn)的鏈路（線纜）故障，Winet網(wǎng)管系統(tǒng)可以自動發(fā)現(xiàn)，并通過灰色標識的將故障顯示出來，從而便于管理員的快速故障定位，實現(xiàn)業(yè)務(wù)的快速恢復(fù)；12H3C WiNet之用戶管理功能介紹7月份正式發(fā)布月份正式發(fā)布(目前提供測試版）目前提供測試版）13H3C WiNetH3C WiNet用戶管理功能之用戶管理功能之用戶接入認證用戶接入認證 設(shè)置門衛(wèi)用于防止非法接入 設(shè)置身份鑒別中心用于核實身份n H3C WiNetH3C WiNet安全局域網(wǎng)用戶管理方案可以簡單直觀的為您的網(wǎng)絡(luò)

10、：安全局域網(wǎng)用戶管理方案可以簡單直觀的為您的網(wǎng)絡(luò)： 識別檢查每一次網(wǎng)絡(luò)接入訪問行為 合法的用戶授予相應(yīng)的權(quán)限訪問網(wǎng)絡(luò)核實身份身份合法授權(quán)準入市場員工市場員工S5120P-SIS5120P-SIS5500-SI帳號帳號密碼密碼姓名姓名MACMAC授權(quán)授權(quán)VLANVLAN訪問權(quán)限訪問權(quán)限001XXH3C0101VLAN 20ACL 20007月份正式發(fā)布月份正式發(fā)布(目前提供測試版）目前提供測試版）14H3C WiNetH3C WiNet用戶管理功能之用戶管理功能之訪問權(quán)限控制訪問權(quán)限控制p H3C WiNetH3C WiNet安全局域網(wǎng)用戶管理方案可以自動的為您的網(wǎng)絡(luò)：安全局域網(wǎng)用戶管理方案可以

11、自動的為您的網(wǎng)絡(luò)：用戶通過Portal認證（無需安裝客戶端）的模式接入網(wǎng)絡(luò)；對應(yīng)用戶的VLAN、ACL規(guī)則動態(tài)下發(fā)到用戶接入交換機端口，鎖定用戶訪問權(quán)限！研發(fā)員工B研發(fā)員工A財務(wù)員工A財務(wù)服務(wù)器研發(fā)服務(wù)器來賓老板InternetS3100-SI(UM）S3100-SI(UM）S5500-SI帳號帳號密碼密碼姓名姓名MACMAC授權(quán)授權(quán)VLANVLAN訪問權(quán)限訪問權(quán)限001XXH3C0101VLAN 20ACL 20007月份正式發(fā)布月份正式發(fā)布(目前提供測試版）目前提供測試版）15WiNet用戶管理功能之配置實現(xiàn)16WiNet WiNet 用戶管理用戶管理 只需只需“四步四步” ” 完成部署完

12、成部署n“簡單易用”是H3C WiNet用戶管理方案的主要特色；n H3C WiNet上部署用戶管理只需要在管理設(shè)備的WEB界面中完成以下四步，即可部署整網(wǎng)的用戶認證管理，實現(xiàn)集中配置、簡易部署：17WiNet WiNet 用戶管理用戶管理部署部署 步驟步驟1 1：啟動：啟動WiNetWiNetn 網(wǎng)絡(luò)連接完成后，在管理員主機IE瀏覽器中輸入管理設(shè)備的IP地址，登錄WEB界面Internet本地管理終端11Winet管理認證設(shè)備00n 點擊啟動WiNet后，管理設(shè)備自動使用HGMP協(xié)議收集其下二層網(wǎng)絡(luò)拓撲并顯示在WEB頁面中，其中包括網(wǎng)絡(luò)拓撲圖和指定

13、設(shè)備的面板：用戶可以根據(jù)實際建筑、房間情況，自行選擇、更換網(wǎng)絡(luò)拓撲背景圖，網(wǎng)絡(luò)情況一目了然！18n啟動認證中心按鈕可以一鍵式激活內(nèi)置在管理設(shè)備中的RADIUS認證服務(wù)器，無需繁瑣的命令行和其它設(shè)置，管理設(shè)備自動通過集群協(xié)議和接入設(shè)備協(xié)商RADIUS參數(shù)。WiNet WiNet 用戶管理用戶管理部署部署 步驟步驟2 2：啟動認證中心：啟動認證中心19n配置完管理認證中心設(shè)備后，需要登陸到成員交換機上配置不同用戶群的ACL訪問規(guī)則（即ACL規(guī)則預(yù)置，已備隨時根據(jù)管理中心設(shè)備觸發(fā)命令啟動針對用戶的ACL規(guī)則）n此外，在需要啟動用戶認證的成員接入交換機端口上，點擊端口布防按鈕，最后在管理認證設(shè)備上點擊

14、“啟動認證中心”按鈕，整個用戶管理系統(tǒng)就部署完畢；WiNet WiNet 用戶管理用戶管理部署部署 步驟步驟3 3：啟動端口布防：啟動端口布防20n 管理設(shè)備中內(nèi)嵌的用戶管理管理系統(tǒng)可以添加、刪除用戶并可以列表顯示全部用戶；n 用戶權(quán)限指定，權(quán)限在用戶 認證成功后下發(fā)到用戶接入 的端口；WiNet WiNet 用戶管理用戶管理部署部署 步驟步驟4 4：后臺用戶管理：后臺用戶管理21WiNetWiNet安全局域網(wǎng)啟動后的用戶認證界面安全局域網(wǎng)啟動后的用戶認證界面n用戶接入WiNet安全局域網(wǎng)打開IE瀏覽器后，WEB認證客戶端將自動推送到用戶，用戶需要正確輸入自己的用戶名（帳號）和密碼才能登陸企業(yè)

15、內(nèi)部網(wǎng)絡(luò)；細粒度用戶認證準入細粒度用戶認證準入：H3C WiNet用戶管理方案針對用戶的MAC地址等個性特征進行認證，避免了傳統(tǒng)認證方式中同一個端口接入的用戶只要一個用戶認證成功則端口洞開的缺陷；認證端口下即使通過HUB連接多個PC也可以針對不同的PC、不同的用戶進行認證，認證結(jié)果不影響同一端口上接入的其他認證用戶，即實現(xiàn)了用戶的單獨的、細粒度的接入認證。22H3CH3C WiNetWiNet安全局域網(wǎng)適用的網(wǎng)絡(luò)場景安全局域網(wǎng)適用的網(wǎng)絡(luò)場景l(fā)網(wǎng)絡(luò)規(guī)模小，網(wǎng)絡(luò)設(shè)備總數(shù)多在20個以下l網(wǎng)絡(luò)用戶少，接入總數(shù)目在512以下l網(wǎng)絡(luò)可以包含接入層、匯聚層交換機+出口路由器或者僅包含接入、匯聚交換機的結(jié)構(gòu)?？梢赃x擇匯聚層交換機或路由器作為管理中心l無線接入：兼容無線WLAN胖AP方式接入，對無線接入用戶進行認證、授權(quán)等l無需專業(yè)網(wǎng)絡(luò)管理人員的場景，可以使用圖形化的簡易部署方式23H3CH3C WiNetWiNet安全局域網(wǎng)典型組網(wǎng)百兆安全局域網(wǎng)典型組網(wǎng)百兆接入交換機S3100-26TP-SI(UM)匯聚交換機S5500-24P-SIWinet管理認證中心設(shè)備Server群組Internet出口網(wǎng)關(guān)路由器MSR3016 Router24H3CH3C WiNetWiNet安全局域網(wǎng)典型組網(wǎng)千兆安全局域網(wǎng)典型組網(wǎng)千兆接入交換機S5120-28P-SI核心交換機S7500 SwtichWinet