产品与技术培训-安全计费管理系统.ppt

产品与技术培训 S.A.M安全计费管理系统,网络营销部 刘福能 2003年1月,内容安排,第一部分：计费技术介绍与对比 第二部分：实达安全计费系统产品介绍与演示 第三部分：网络建设面临的挑战及实达解决方案 第四部分：实达SAM解决方案成功案例分析,第一部分 认证计费技术介绍与对比,提 纲,网络接入现状 常用的认证计费技术 实达安全计费管理系统,网络的接入现状,无法控制用户的接入 无法保证网络的安全 无法有效的收取费用,常见的认证计费技术,PPPoE+Radius DHCP+Web+Radius 802.1X+Radius,PPPoE+Radius认证计费,Internet,核心三层交换机,PPoE的BAS设备,二层的楼栋交换机,PPoE的客户端软件,Radius服务器,瓶颈！,DHCP+Web+Radius认证计费,Internet,核心交换机,Web Portal的BAS设备,Radius服务器,普通的接入交换机,用户,瓶颈！,802.1X+Radius认证计费,802.1X交换机,认证报文流,业务数据流,Internet,Radius服务器,核心交换机,汇聚交换机,高效！,认证计费技术比较,竞争对手的802.1X,港湾802.1X 华为802.1X D-link 802.1X iMAX 802.1X,各厂家802.1X技术对比,实达安全计费管理系统,扩展的802.1X 定制芯片 基于应用的开发 大规模成功应用案例,第二部分 产品介绍与演示,提 纲,安全接入计费管理系统产品介绍 安全接入计费管理系统界面与功能演示,安全计费管理系统,Network,认证客户端,安全接入交换机,S-Radius,安全计费管理系统,SAM平台系统,Radius服务,账单服务,网管SNMP服务,自动备份服务,入侵检测联动服务,日志记录管理服务,安全计费管理系统,Internet,S-Radius,防火墙,Log Server,IDS入侵检测系统,EAP,Radius,S-SCP,系统界面与功能演示,接入控制 在线用户表 绑定 代理服务器控制 唯一性认证 预付时长用户实时断线 自助服务,第三部分 网络建设面临的挑战与 实达解决方案,提 纲,网络建设面临的挑战 实达SAM系统全面应对挑战 实达SAM解决方案的领先优势,网络建设面临的挑战,一、如何对网络用户进行接入控制？ 如何保证只有申请开户被授权的用户才可以接入网络 二、如何对网络进行运营维护？ 如何管理设备、如何管理用户、如何计费？ 三、如何保证网络安全？ 如何控制非法站点的访问、非法言论、恶意攻击？ 四、如何解决IP地址冲突问题？ 无论静态指定IP还是动态分配IP都有可能产生IP冲突！ 五、如何控制代理服务器问题？ 学生用户千方百计使用代理，如何避免收费盲点？ 六、如何对现有的网络进行升级改造？ 如何利用原有设备，保护原有投资？,挑战一：如何对用户进行接入控制？ 解决方案：实达接入控制技术,安全接入交换机,认证报文流,业务数据流,Internet,实达S-Radius 宽带认证计费管理系统,核心交换机,汇聚交换机,接入控制方式及特点,无控制：关闭接入控制 相当于一台普通的二层交换机，提供用户的接入 控制等级一：账号/密码 只有经过申请获得开通的用户才可以使用网络 控制等级二：IP和账号绑定 此法可以在静态IP应用中，解决IP冲突问题 控制等级三：MAC和账号绑定 解决账号盗用问题 控制等级四：IP和MAC绑定 此法可应用在公共计算机房 控制等级五：账号、IP和MAC绑定 可用于学生宿舍或教工小区 控制等级六：账号、IP、MAC、接入交换机、端口绑定 最严格的接入控制。,超强的用户接入控制设置,挑战二：如何对网络进行运营维护？设备管理 解决方案：实达StarView网络管理平台,挑战二：如何对网络进行运营维护？用户管理 解决方案：实达S-Radius宽带计费管理系统,实达S-Radius宽带计费管理系统,在线用户表显示用户网络参数，便于维护管理。,通过用户上网记录轻松实现用户账号与MAC地址绑定。,特点计费策略灵活多样,灵活多样的计费策略,入侵监测系统 （IDS）,账号、IP、MAC、端口唯一身份认证,防火墙,Network,S-SCP,用户A,用户D,S-SCP,S-SCP,安全控制信息,S-Radius/SAM平台,挑战三：如何保证网络安全 S-Radius与防火墙、IDS、Log Server互动,挑战三：如何保证网络安全 解决方案：准确认证、授权、审计,事前准确认证 通过强大、灵活的绑定对用户进行正确的认证和授权 事中实时处理 通过与防火墙、IDS联动，对事件进行实时处理； 事后完整审计 根据Log Server保留的网络资源使用者的日志，提供快捷迅速审计，准确定位。,挑战四：如何解决IP地址冲突问题？ 解决方案：用户IP属性校验,静态IP冲突解决方案IP和账号绑定 认证前滥用IP，不予通过认证 认证通过后更改IP，立即下线 动态IP冲突解决方案客户IP属性校验 认证前设置成静态：不予通过认证 认证通过后由动态改为静态，立即下线 非法DHCP服务器-不予通过认证,IP地址管理解决方案,挑战五：如何解决代理服务器问题？ 解决方案：代理服务器自动探测,限制TCP/IP的Session 带宽控制 流量计费 包月+限制流量 代理服务器自动探测并屏蔽功能,Proxy,安全接入交换机,普通交换机/Hub,PC-1,PC-2,PC-3,双网卡 启用Windows自带的连接共享 或普通的代理服务器软件,Proxy,安全接入交换机,普通交换机/Hub,PC-1,PC-2,单网卡 运行Sygate等支持单网卡代理的代理服务器软件,实达安全接入计费管理系统 代理服务器自动探测并屏蔽,代理形式一,代理形式二,挑战六：如何对现有网络进行升级改造？ 用实达安全交换机替换汇聚层交换机,Cisco 6509,Cisco 4006,3Com 3300,D-link 1024,D-link 1024,核心交换机,Cisco 6509,Cisco 4006,STAR-S2024M,D-link 1024,D-link 1024,楼栋交换机,楼层交换机,原有网络结构,改造后网络结构,S-Radius,网络改造保证（一） 大并发用户数设计,S1924F+,S2024M,支持下接1200个并发认证计费用户,支持下接400个并发认证计费用户,网络改造保证（二） 使用实达私有组播地址触发认证,实达SAM系统全面应对挑战,一、如何对网络用户进行接入控制？ 实达安全接入控制技术 二、如何对网络进行运营维护？ S-Radius进行用户管理、StarView进行设备管理 三、如何保证网络安全？ S-Radius与防火墙、IDS、Log Server互动 四、如何解决IP地址冲突问题？ 用户IP地址属性校验 五、如何控制代理服务器问题？ 自动探测并屏蔽代理服务器 六、如何对现有的网络进行升级改造？ 实达私有组播地址触发认证,实达SAM解决方案的领先优势,超高的网络性能 认证流与业务流分离 超高的系统安全 用户与硬件设备及软件系统完全隔离 全面的应用安全 S-Radius与防火墙、IDS、Log Server互动 超强灵活的接入安全 账号、IP、MAC、Port等任意灵活绑定 完满解决IP冲突 用户IP属性校验与控制 全面控制代理 自动探测与屏蔽代理服务器,第四部分 SAM解决方案成功案例分析,提纲,为什么选我们？ 技术优势 产品优势 响应速度 我们为他带来了什么？ 产品的高合格率 系统的高稳定性 应用的高适用性 工程的快速实施,还要不要我们？ 西区网络建设 东区网络改造 现在关系怎么样？ 合作开发 提供测试环境 宣传推广,为什么选我们？技术优势,原有认证计费方式 防火墙作为计费网关瓶颈！ 紫松选型时最初考虑的收费模式 接入交换机上静态绑定MAC地址或动态锁定MAC地址繁琐！ 竞争对手提供的认证计费技术 PPPoE&DHCP+Web portal认证计费低性能！ 现用的认证计费技术 802.1X+Radius高效率！,为什么选我们？产品优势,交换机稳定性：启用802.1X后，48小时会自动重启 交换机发烫：虽然烫点，但是还能交换！ 大流量下的性能测试：严重丢包 802.1X认证稳定性：或者认证不通过，或者认证通过后掉线，然后死活认证不了,竞争对手的问题,我们的优势,为什么选我们？产品优势A,为什么选我们？产品优势B,为什么选我们？响应速度,提纲,为什么选我们？ 技术优势 产品优势 响应速度 我们为他带来了什么？ 产品的高合格率 系统的高稳定性 应用的高适用性 工程的快速实施,还要不要我们？ 西区网络建设 东区网络改造 现在关系怎么样？ 合作开发 提供测试环境 宣传推广,华中科大紫菘网络概况,规模：13栋楼，2441个房间，共10472个信息点 端口数：每个房间4个端口 管理程度：网管到接入端口 接入控制：认证端口直接接用户 IP地址：42个教育网真实C类地址 计费策略：预收款20元/月 接入控制：IP与账号绑定 认证计费系统：Win2K ServerSP3+S-Radius+MS SQL Server,我们为他们带来了什么？ 产品的高合格率,实达交换机的出色表现 489台交换机，39个千兆模块合格率99.8% Cisco交换机的问题 一台新的6506动辄自动重启，一天会重启8-10次；后来换了交换引擎之后，才恢复正常； 另一台Cisco6509的8插槽模块的第6个GBIC插槽坏掉。,我们为他们带来了什么？ 系统的高稳定性,认证计费系统的运行情况 运行近一个月以来，没有出现过一次中断,我们为他们带来了什么？ 应用的高适合性,1、安全接入硬件设备与软件系统隔离 2、高性能认证流与业务流分离 3、灵活绑定 4、完满解决IP冲突 5、全面控制代理 6、运营维护方便用户管理与设备管理,我们为他们带来了系统安全,安全接入交换机,认证报文流,业务数据流,Internet,实达S-Radius 宽带认证计费管理系统,核心交换机,汇聚交换机,我们为他们带来了高性能,账号、IP、MAC、交换机、交换机端口、Vlan ID的任意绑定,我们为他们带来了灵活绑定,可以限制用户用固定某一个IP，可以限制用户只能用动态IP,我们为他们带来了无IP冲突,Proxy,安全接入交换机,普通交换机/Hub,PC-1,PC-2,PC-3,双网卡 启用Windows自带的连接共享 或普通的代理服务器软件,Proxy,安全接入交换机,普通交换机/Hub,PC-1,PC-2,单网卡 运行Sygate等支持单网卡代理的代理服务器软件,代理形式一,代理形式二,我们为他们带来了 全面控制了代理服务器,我们为他们带来了 方便的运营维护,1、用户管理 S-Radius 2、设备管理 Star-View,S-Radius进行用户管理,Star-View进行设备管理,我们为他们带来了 工程的快速实施,华中科大紫崧项目489台交换机的升级与配置只用了不到两天的时间。,提纲,为什么选我们？ 技术优势 产品优势 响应速度 我们为他带来了什么？ 产品的高合格率 系统的高稳定性 应用的高适用性 工程的快速实施,还要不要我们？ 西区网络建设 东区网络改造 现在关系怎么样？ 合作开发 提供测试环境 宣传推广,Cisco 4006,STAR-S2126G-L3,STAR-S2024M,STAR-S1924F+,华中科技大学西区网络建设工程,STAR-S1924F+,STAR-S2126G-L3,STAR-S2024M,STAR-S1924F+,STAR-S1924F+,用户WEB自助服务器,西2号楼、西16号楼-汇聚交换机,接入控制,S-Radius 主认证计费服务器,S-Radius 备份认证计费服务器,西1-西15号楼-汇聚交换机,华中科技大学西区宿舍新建2984个信息点，每个宿舍提供的是一个S1924F+认证端口，学生宿舍自己解决HUB，实际下接用户数约7000人。,Cisco 6509,Cisco 4006,3Com 3300,D-link 1024,D-link 1024,核心交换机,Cisco 6509,Cisco 4006,STAR-S2024M,D-link 1024,D-link 1024,汇聚交换机,楼栋交换机,楼层交换机,华中科技大学东区网络改造工程,原有网络结构,改造后网络结构,实达S2024M交换机作为楼栋，对用户进行接入控制，实现网络的安全、计费、管理,华中科技大学东区宿舍改造1901个信息点，每个宿舍提供的是一个D-link1024端口，学生宿舍自己解决HUB，实际下接用户数约4000