中由于故障带来的损失;另外目前部署11n时,前期购买的终端依然能够不受任何影响的接入到网络,保证了客户的历史投资。在WLAN网络升级扩容时,简单的增加标准件AP就能够实现接入容量的增加,而现有的网络架构基本上不做改动,有效降低扩容成本。 现场维护扩容简单:在WLAN AP部署时,充分考虑到有线网的特性,采用零配置即连即用的技术,对现有有线接入网络不做任何修改,仅仅修改DHCP服务器或者DNS服务器的配置,在无线控制器(AC)上进行配置,就可以提供WLAN接入服务,大大降低了网络部署成本。需要更换设备时,新的AP设备接上以太网线就可以成功接入到网络,不需要改变无线控制器上的配置,对安装维护人员没有技术背景要求,轻松实现设备维护更换和网络扩容。
提升维护效率:部署时通过PoE交换机给WLAN AP供电,对WLAN网络进行管理优化需要移动AP时,直接拉动以太网线就可以实现,大大降低工作量。如果用户进行管理维护时需要对AP进行开关电重启,只需要在网管侧对PoE交换机进行操作即可轻松实现,避免维护来回奔波和攀爬的辛苦,提高管理维护的效率,节省用户的管理维护工作量。 实现整网安全:与有线一体的统一终端控制软件,统一认证控制,有效的一次认证实现多种计费模式,统一的防病毒方式,使无线网络的安全同有线完全一样,有效的避免了无线引入新的病毒。重点防范802.11物理和链路层的安全,并与有线网络的安全实现联动,确保实现整个网络的安全。
管理平台统一高效:WLAN网络的管理同有线的网络管理一样,采用同一个的告警平台,采用同一个日志管理系统,在同一个界面中显示完整的网络拓扑,将无线射频管理独立为管理组件,充分实现有线无线一体化的管理,不需要单独的平台,不需要两个界面,自然也不需要购买专门的服务器和额外的管理系统培训。通过一体化拓扑管理,在网络出现故障时,能够从网络拓扑中轻松看到网络的故障点是接入端口的PoE电源供电失效,还是链路出现故障,还是网络中出现广播风暴,导致链路上数据交换过于繁忙。从而降低故障定位人员的管理工作量。通过人网的合一管理,用户接入到网络时,实时显示使用者在网络的哪个设备端口上,快速定位故障用户。
2.2.4网络与安全的深度融合
传统的组网方式中,安全设备都是以独立的形态部署到网络中,而在本方案中,防火墙安全设备均是以插卡的方式部署到数据中心核心交换机中,与基础网络设备融合,具有即
16
插即用、扩展性强的特点,降低了用户管理难度,减少了维护成本。这种部署方式具有如下优点: A、
降低出现单点故障单点瓶颈
a) Bypass特性:在运营网络中可靠性是至关重要的因素,传统安全设备没有网络设备的高可靠性保证技术(如冗余引擎、机箱温控、风扇转速检测、链路故障检测、路由快速收敛等),因此实际部署中容易形成单点故障,采用安全插卡后可以利用交换机的各种高可靠性技术来提高自身的可靠性,并且,还能够实现bypass的功能,在安全设备故障的时候直接短接,跳过防火墙,收敛时间在100ms内,保证网络转发照常进行。
b) 以太网OAM:利用核心交换机成熟的OAM技术,可以实现VCT双绞线连通性检测、DLDP单通链路检测、GR等增强的可靠性特性,大大加强了安全设备的可靠性。 c) 减少连接故障:从连接方式方面,安全插卡采用内置板卡的方式,避免了传统机架设备复杂的网线连接方式,避免了网线连接产生的接触不良和端点故障。减少了网络中的单点故障。
d) 供电和功耗:供电方面,安全插卡采用交换机内置电源,具有电源冗余,可靠性更高,并且安全插卡的功耗及其设计也很独到,温度适应力比较好而且稳定性非常高。安全插卡的单板的功耗低于100W。模块设计采用业界最新的多核网络处理器设计,稳定性及其功能方面都比较优秀。
e) 热插拔:安全插卡接口卡支持热插拔,扩展性能不需要中断业务,大大提高了网络的灵活性。 B、
降低投入成本
a) 硬件成本降低:将安全设备作为交换机业务插卡方式部署,可以让安全设备共享交换机背板和电源,实现节省了防火墙的电源、温控、风扇等多方面硬件成本。
b) 端口扩展成本降低:传统机架安全设备网络接口通常有限, 在实际应用中接口未必能满足要求,而安全插卡部署后, 交换机每个端口都可以具备防火墙功能,相当于在核心交换机每个接口上都部署了防火墙,极大的节省了防火墙端口投入成本。
c) 虚拟防火墙:由于防火墙插卡支持256个虚拟防火墙,而每个虚拟防火墙可以独立进行配置,好比在网络中部署了256个独立的小型防火墙,可以为不同的业务分配不同虚拟防火墙实例,极大的节省了防火墙投入。 并且这些虚拟防火墙可以集中管理配置。 C、管理优势
17
a)图形界面和命令行结合:安全插卡模块提供了图形管理界面。不同虚拟防火墙实例的使用者也不同,使用习惯和技术水平也不同,有的用户习惯使用图形化配置,有的用户习惯使用命令行配置,在安全插卡上可以统一提供。
b)单独管理和统一管理结合:为了将安全插卡的管理和高端交换机的接口单板的管理一体化,安全插卡的单板可以通过高端交换机的主控板实现对接口板的统一管理,安全插卡的状态等可以基于主控板统一显示给用户;另外,用户完全可以象配置接口板一样,在主控板的串口上直接透明地对安全插卡的接口板进行配置。这样完全透明的管理给用户统一的接口,使得管理方便简单。如果交换机和安全插卡由不同业务部门管理,则在安全插卡也可以用自身提供千兆接口进行带外网管或者集中网管,而不经过交换机。
2.2.5统一管理
1、网络设备管理
IMC网管系统除了具有设备网管的功能,同时具有很强的平台网管功能(包括安全,拓扑,告警,性能等通用网管的功能)。针对第三方设备可以做到基本的管理。下面针对具体的管理功能进行介绍。
资源拓扑管理
IMC网管平台可以在拓扑图中发现所有可网管设备,以相应的图标表示在拓扑图中。
告警管理
18
对于第三方厂商设备的告警,IMC可以全部接收并对其中的标准告警进行解析。
性能管理
IMC系统可以对第三方设备进行通用性能监视,包括接口的流量监视,利用率监视,设备IP包转发,设备响应时间的监视等。同时如果需要针对特殊设备性能的检视,可通过增加自定义性能模板脚本来达到要求。
此方案适用于已有网络存在的设备主要是H3C设备,并且有部分第三方厂商的设备,
19
同时需要兼顾第三方设备的管理。该方案可以实现对H3C设备的完全管理(包括通用管理,设备管理及业务级管理),同时针对第三方设备的管理可以达到通用管理的程度,同时针对某些设备的特性管理,可进行适当定制(如定制服务监控,告警解析,性能模板),从而达到对第三方设备的比较全面的管理。
2、用户管理
EAD解决方案安全准入主要是通过身份认证和安全策略检查的方式,对未通过身份认证或不符合安全策略的用户终端进行网络隔离,并帮助终端进行安全修复,以达到防范不安全网络用户终端给安全网络带来安全威胁的目的。
图表 EAD解决方案安全准入应用模型图 安全准入工作流程:
身份验证:用户终端接入网络时,首先进行用户身份认证,非法用户将被拒绝接入网络。目前EAD解决方案支持802.1x和Portal认证。
安全检查:身份认证通过后进行终端安全检查,由CAMS安全策略服务器验证用户终端的安全状态(包括补丁版本、病毒库版本、软件安装等)是否合格。
安全隔离:不合格的终端将被安全联动设备通过ACL策略限制在隔离区进行安全修复。
安全修复:进入隔离区的用户可以进行补丁、病毒库的升级、卸载非法软件和停止非法服务等操作,直到安全状态合格。
动态授权:如果用户身份验证、安全检查都通过,则CAMS安全策略服务器将预先配置的该用户的权限信息(包括网络访问权限等)下发给安全联动设备,由安全联动设备实
20