H3C-WiNet安全局域网解决方案

日期：,密级：,杭州华三通信技术有限公司,H3CWiNet安全局域网解决方案主打胶片,传统局域网络建设模式存在的几个问题,1、开放的网络没有用户准入机制，随意接入；2、公司网络用户没有权限控制机制，网络权限失控；3、传统基于MAC地址/IP地址的网络管理，管理呆板复杂，无法适应网络“动态”“人性化”趋势。,我看到财务的工资报表了,我看到老板的聊天记录了,拉根网线就可以上网了！,配置部署复杂,员工工位常变动，手工配置网络权限太痛苦了,外部非法接入,内部越权访问,管理员,传统建网模式往往只关注连通性和性能，而忽视用户信息安全管理的问题；,现有信息安全控制手段配置复杂,成本高,路由器,认证服务器,无线接入点,汇聚交换机,接入交换机,接入交换机,接入交换机,1,3,4,4,2,安装认证客户端,申购服务器及软硬件,安装部署,配置服务器,配置认证设备,AAA认证软件模式（EAD),个别用户采用原始的安全控制技术，如使用交换机MAC+PORT+IP绑定的模式，极大增加网管员工作量，并难以应对移动办公日益增多的突出问题；,突破传统思维,建立人为管理核心的网络,网络信息安全控制的目的是控制网络接入用户（人）的网络资源访问权限的合法性，因此应该建立是面向人的控制模式，而非面向设备的信息安全控制模式；,WiNet安全局域网解决方案系统设计思路,图1网络用户管理的AAA认证软件方案图2H3CWiNet网络用户管理方案,借鉴用户AAA认证管理商业软件的设计思路，将其部分功能移植到网络设备上来实现，由此H3CWiNet内嵌式网络管理平台应允而生！,WiNet内嵌网络管理平台的优势：无需增加其他软硬件投资，设备内置功能软件，且完全免费；图形化配置管理，大大降低管理员的工作量；免客户端安装，业务部署迅速简捷。,WiNet安全局域网解决方案系统功能简介,WiNet设备内嵌式网管平台,HGMP专利技术,WiNet用户管理功能,接入认证,用户管理,权限管理,功能内嵌,图形化,低成本,简易部署,拓扑自动发现,资源统一管理,H3CWiNet内嵌式管理平台充分考虑成长型企业实际需求，本着易用、易部署、低成本的原则，最大限度地满足企业网络管理和用户管理的需求！,WiNet：WizardNetwork(智能网络)缩写，通过内嵌的、面向业务的方式智能的进行网络管理的方案。,H3C那些设备支持WiNet网络管理平台,H3CWiNet内嵌式管理平台软件：内置于H3C中低端交换机和路由器设备当中，主要面向商业市场用户提供高性价比的网络管理和用户管理解决方案！,管理认证设备：是指作为网络的核心设备，启用WiNet网管平台软件的管理设备，由其来部署WiNet网络管理功能和用户管理功能。成员接入设备：是指作为网络的边缘接入设备，可以被核心管理设备进行管理，能支持WiNet网络管理功能或用户管理功能的边缘接入交换机。,H3CWiNet之网络管理功能介绍,WiNet内嵌式网络管理平台的登陆界面,H3CWiNet内嵌式管理平台内置于H3CMSR30/20系列路由器、S5500-SI/EI系列交换机当中，通过此平台可以管理S3100-SI(UM),S5120P-SI系列接入交换机；在管理PC上配置地址，使用IE进行HTTP登录，如6即可登陆到WiNet管理设备的登录界面；,注意以下事项：如果使用MSR作为管理设备，管理员请从路由器的交换口上登录。注意请保证管理员从管理vlan内登录。,H3CWiNet网络管理功能之自动拓扑发现,登陆到H3CWiNet内嵌式管理平台，完成相应的系统设置后，点击网络快照即可自动发现网络的拓扑结构（注意：只能发现支持Winet功能的H3C产品，其他厂商产品收集不到）；,H3CWiNet网络管理功能之WEB页面配置,点击网络拓扑中的设备图标，系统将自动弹出该设备的WEB配置界面，用户可以直观进行设备的配置，极大的提升管理员的工作效率；,H3CWiNet网络管理功能之线路故障警示,对于中小企业网络中经常出现的链路（线缆）故障，Winet网管系统可以自动发现，并通过灰色标识的将故障显示出来，从而便于管理员的快速故障定位，实现业务的快速恢复；,H3CWiNet之用户管理功能介绍,7月份正式发布(目前提供测试版）,H3CWiNet用户管理功能之用户接入认证,设置门卫用于防止非法接入,设置身份鉴别中心用于核实身份,H3CWiNet安全局域网用户管理方案可以简单直观的为您的网络：,识别检查每一次网络接入访问行为,合法的用户授予相应的权限,访问网络,核实身份,身份合法,授权准入,市场员工,S5120P-SI,S5120P-SI,S5500-SI,7月份正式发布(目前提供测试版）,H3CWiNet用户管理功能之访问权限控制,H3CWiNet安全局域网用户管理方案可以自动的为您的网络：用户通过Portal认证（无需安装客户端）的模式接入网络；对应用户的VLAN、ACL规则动态下发到用户接入交换机端口，锁定用户访问权限！,研发员工B,研发员工A,财务员工A,财务服务器,研发服务器,来宾,老板,Internet,S3100-SI(UM）,S3100-SI(UM）,S5500-SI,7月份正式发布(目前提供测试版）,WiNet用户管理功能之配置实现,WiNet用户管理只需“四步”完成部署,“简单易用”是H3CWiNet用户管理方案的主要特色；,1、启动WiNet,2、启动认证中心,3、设备端口布防,4、管理网络用户,WEB页面/WiNet网管平台,H3CWiNet上部署用户管理只需要在管理设备的WEB界面中完成以下四步，即可部署整网的用户认证管理，实现集中配置、简易部署：,WiNet用户管理部署步骤1：启动WiNet,网络连接完成后，在管理员主机IE浏览器中输入管理设备的IP地址，登录WEB界面,Internet,本地管理终端,11Winet管理认证设备,00,点击启动WiNet后，管理设备自动使用HGMP协议收集其下二层网络拓扑并显示在WEB页面中，其中包括网络拓扑图和指定设备的面板：,用户可以根据实际建筑、房间情况，自行选择、更换网络拓扑背景图，网络情况一目了然！,启动认证中心按钮可以一键式激活内置在管理设备中的RADIUS认证服务器，无需繁琐的命令行和其它设置，管理设备自动通过集群协议和接入设备协商RADIUS参数。,WiNet用户管理部署步骤2：启动认证中心,配置完管理认证中心设备后，需要登陆到成员交换机上配置不同用户群的ACL访问规则（即ACL规则预置，已备随时根据管理中心设备触发命令启动针对用户的ACL规则）,此外，在需要启动用户认证的成员接入交换机端口上，点击端口布防按钮，最后在管理认证设备上点击“启动认证中心”按钮，整个用户管理系统就部署完毕；,WiNet用户管理部署步骤3：启动端口布防,管理设备中内嵌的用户管理管理系统可以添加、删除用户并可以列表显示全部用户；,用户权限指定，权限在用户认证成功后下发到用户接入的端口；,WiNet用户管理部署步骤4：后台用户管理,WiNet安全局域网启动后的用户认证界面,用户接入WiNet安全局域网打开IE浏览器后，WEB认证客户端将自动推送到用户，用户需要正确输入自己的用户名（帐号）和密码才能登陆企业内部网络；,细粒度用户认证准入：H3CWiNet用户管理方案针对用户的MAC地址等个性特征进行认证，避免了传统认证方式中同一个端口接入的用户只要一个用户认证成功则端口洞开的缺陷；认证端口下即使通过HUB连接多个PC也可以针对不同的PC、不同的用户进行认证，认证结果不影响同一端口上接入的其他认证用户，即实现了用户的单独的、细粒度的接入认证。,H3CWiNet安全局域网适用的网络场景,网络规模小，网络设备总数多在20个以下,网络用户少，接入总数目在512以下,网络可以包含接入层、汇聚层交换机+出口路由器或者仅包含接入、汇聚交换机的结构。可以选择汇聚层交换机或路由器作为管理中心,无线接入：兼容无线WLAN胖AP方式接入，对无线接入用户进行认证、授权等,无需专业网络管理人员的场景，可以使用图形化的简易部署方式,H3CWiNet安全局域网典型组网百兆,H3CWiNet安全局域网典型组网千兆,接入交换机S5120-28P-SI,核心交换机S7500Swtich,Winet管理认证中心设备MSR3016Router,Server群组,Internet,出口网关设备MSR5040