《2023年WLAN运维管理解决方案.docx》由会员分享,可在线阅读,更多相关《2023年WLAN运维管理解决方案.docx(73页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、2023年WLAN运维管理解决方案 第一篇:WLAN运维管理解决方案 WLAN运维管理解决方案 多业务区分设计 运用无线网络可以分为不同的无线接入业务类型。因此,可以在设计上接受无线局域网多SSID技术,设置多业务区分方式,例如一个SSID可给老师所用,而另一个可给学生专用。由于用户一般把SSID看成VLAN,所以它们都会惯性地以VLAN概念来划分SSID。其实在一个AP范围内,不管用户连接到那一个SSID它们事实上都是在同一个802.11广播域内,因为无线电波的传输是共享方式的。一个最简洁的例子就是AP把不同的SSID名字广播,所以当无线终端在这个AP覆盖范围内启动时,它就能同时看到多个SS
2、ID。SSID的最主要用处是可让无线终端以不同的平安认证和加密方式入网。 为什么要把不同的平安加密协议设置在不同的SSID呢? 802.11的标准内定义了不同加密状况时数据包的封装格式,所以在用户的无线接入运用不同的加密方式,例如:WEP、TKIP(WPA)、802.11i(WPA2)等等,不同加密方式不能在同一个SSID内同时存在。 某一个SSID可以覆盖全网,也可以只局限于园区网内的某些范围。一般的状况下是全网开通,例如:临时访问者(Guest)运用的SSID;但有些SSID可以只在办公区广播,只供某些部门运用。无线用户管理 神州数码网络对于无线用户的管理可以有多种方式,在单个无线场所,可
3、以运用神州数码DigiZoneDirector智能无线限制器对多AP进行管理,在多场所、多限制器的状况下,即可以运用神州数码LinkManager统一网络管理平台运用标准SNMP协议对多厂家有线、无线设备进行统一管理,又可以运用DigiFlexMaster无线集中式管理软件基于TR-069对AP进行综合管理。 神州数码网络无线系统中可以设定用户的角色role,每个角色可以基于用户权限和可访问资源的设定等规则。用户权限是DigiZoneDirector的功能,是针对无线接入的特性而设计。一般的用户接入不同的SSID时只具有该SSID或VLAN所对应资源的访问权限,所以访问不同的VLAN的资源需要
4、分别登录不同的SSID,这样是特别不便的。神州数码网络的基于用户角色的权限管理是与用户认证捆绑在一起,当无线用户胜利通过认证后,他会获得一个预设的用户角色权限,访问其他SSID对应的网络资源。这样,一个具有全部权限的用户通过一个SSID登录后,可以访问全部SSID对应的语音、数据和视频业务的权限,从而简化了用户的权限设置和用户管理的困难性。 一般在用户权限设计中,可以将来宾和一般用户的权限设置的较低,只能访问有限的资源,且优先级较低,并且有带宽的限制。 其他用户可能有较高的权限,可以访问更多的学校资源,或者对某些特殊的来宾开放某些VIP账号,支配给其较高权限的角色。在带宽方面可以做比较宽松的限
5、制。全部这些在配置、运用和管理上都特殊符合一般企业的网络管理需求。 在具有多场所,多限制器的环境,可以运用DigiFlexMaster进行统一管理,神州数码网络的DigiFlexMaster无线集中式管理软件系统供应了对DigiZoneFlex AP的配置、故障、性能、报告等系列的管理功能。该产品符合TR-069标准,利用工业标准SOAP/HTTPS/XML协议在DigiFlexMaster服务器和被管理的AP设备之间建立一条平安牢靠的链路。这个协议允许已安装的AP设备在加电初始化时自动访问汇报DigiFlexMaster服务器并随后进入自动配置阶段。网管工作人员也可以通过DigiFlexMa
6、ster和AP进行即时通信或设定AP在某个合适的时间按支配执行一个任务。 由于TR-069基于标准HTTP或HTTPS,协议消息可以穿透互联网上的防火墙,允许DigiFlexMaster远程管理任何安装在互联网上的DigiZoneFlex AP。AP和DigiFlexMaster 服务器之间异步通信的方法保证了通信可以通过NAT转换点,这对于其它通用的网络管理协议是难以做到的。无线平安性 在神州数码网络无线系统中,可以在多个层面对系统构筑平安防护,其平安性设计如下: 1:多SSID:可以根据需要,如用户的种类、应用的种类,在神州数码网络无线系统中设置多个SSID,不同的SSID接受不同的平安策
7、略,这样可以对不同的用户及应用进行区分服务。另外SSID还可以选择隐藏的方式,该SSID不广播,用户无法看到,防止非法用户的连接企图。SSID还可以选择在某些AP上出现,某些AP上不出现,限制SSID出现的范围也是实现平安性的一种手段。 2:加密:神州数码网络无线系统支持多种加密的方式,二层的加密支持静态WEP、动态WEP、TKIP、WPA、802.11i多种加密方式,三层的加密支持IPSec VPN加密,这样使得加密的方式更加的灵敏,可以根据实际需求进行选择。 3:用户认证供应三种方式: WPA-PSKcaptive portal+VPN。 加密方式接受WPA-PSK,不建议接受静态WEP,
8、因为有平安隐患。接受captive portal+VPN的认证方式,同时VPN还具有三层的加密功能,具有更高的平安性。认证服务器的选择比较灵敏,可以运用RADIUS, LDAP, Windows NT, ActiveDirectory, TACACS,甚至是DigiZoneDirector内置的帐户数据库。 WPA+802.11x加密方式尽量接受WPA,假如客户端不支持也可接受动态WEP,认证方式接受802.11x,认证服务器选择RADIUS。 Dynamic PSK? Dynamic PSK?是神州数码网络专有的用户认证和加密技术。传统的无线加密密钥对全部的用户是相同的,相当脆弱;而且长度较
9、短,简洁被解码。Dynamic PSK?技术为每一个用户供应一个64字节的密钥,实现完好而且特殊平安的认证加密手段。 4:用户的Role角色:每一类用户可以建立一个相关的Role,每个Role有一个用户状态防火墙的设定和带宽限制的设定,这样我们就可以将设定的平安策略加载到每个用户身上。 5:无线客户端隔离:神州数码网络无线限制器具有无线客户端隔离功能,该功能启动后,无线客户端将无法互相通信或访问任何受限制的子网。 6:带宽限制:可以对每个用户设定其可以运用的带宽,一方面可以限制其对网络资源的占有,另一方面,当该客户端中了病毒以后,其病毒发作时不会占用网络全部的带宽。 7:认证系统支持:神州数码
10、网络无线系统支持多种认证系统,诸如Radius、微软的AD活动书目和在DigiZoneDirector内部的Internal DB等等。统一身份认证 融合统一802.1x认证 神州数码有线无线集成化客户端,在实现有线无线统一身份认证的同时,还解决了长时间困扰用户的多厂家设备同时存在时无法实现统一认证的问题,由于高校校内网建设周期较长,在不同的阶段由于不同的需求可能接受不同厂家的设备,目前的802.1x认证,各厂家均是接受私有认证,在终端设备上必需安装各厂家独有的私有客户端才能与其接入交换机、认证计费系统互动,实现私有802.1x认证,这种私有认证对接入设备的依靠性使得用户受困于厂家,不便于后续
11、的应用扩展,神州数码有线无线集成化客户端,协作TrustCenter统一身份认证平台,可以实现不依靠于接入设备的私有802.1x认证,无论接入设备是否是神州数码的产品,只需要在客户端安装神州数码有线无线集成化客户端,就可以与神州数码TrustCenter认证平台互动,实现私有802.1x认证,实现即时消息通知、IP地址上传、强制下线以及keep alive等功能,的具体流程如图 4?1所示: 有线标准802.1x转私有802.1x认证步骤: 1.用户开机后,客户端发起DHCP请求,经认证设备转发到DHCPServer,DHCPServer为用户支配IP地址。 2.用户通过客户端软件,接受标准8
12、02.1x认证,发起认证请求。 3.接入交换机非神州数码设备收到认证请求,由于是标准的802.1x认证,交换机可以识别认证信息,将客户端认证信息发送到TrustCenter认证服务平台。4.TrustCenter认证服务中心将认证通过信息返回给接入交换机。5.交换机将认证通过信息返回给客户端,客户端界面显示认证通过信息。 6.标准认证通过后,客户端与TrustCenter服务器基于TCP/UDP干脆通信,私有信息干脆传递到服务器,服务器与客户端之间可以完成即时消息通知、IP地址上传、强制下线以及keep alive等功能。 7.交换机将用户所在端口打开,用户可以上网,TrustCenter起先
13、对用户计费。 无线标准802.1x认证 为降低服务器负担,无线终端接受神州数码私有802.1X认证,用户接入流程如下列图所示: 图 4?2 无线标准802.1x认证 无线私有802.1x认证步骤: 1.用户开机后,检测到SSID有效,通过802.1x客户端软件发起请求; 2.AP检测到该请求后,向AAA发出请求,AAA服务器发出响应; 3.用户端弹出对话框,要求输入合法的身份标识,如用户名及其密码。4.用户端将身份标识传送到AP; 5.AP将相应信息发送到TrustCenter进行认证。 6.假如认证通过,则AP到DHCP服务器的端口打开。客户端软件发起DHCP请求,经认证设备转发到DHCPS
14、erver,DHCPServer为用户支配IP地址。7.用户可以上网了,认证服务器起先对用户计费。 8.AP通过定期的检测保证链路的激活。假如用户离开或异样死机,则AP在发起多次检测后,自动认为用户已经下线,于是向认证服务器发送终止计费的信息。Webportal认证神州数码网络智能无线 AP通过以太网或IP线路连接到网络,通过DigiZoneDirector进行SSID、无线信道、放射功率、Rouge AP检测和无线加密、认证等管理。 根据要求,DigiZoneDirector将创建一个公开的、没有加密的AP热点SSID,用户可以通过该SSID接入到网络当中。无论用户想访问的网页是什么,Dig
15、iZoneDirector弹出WEB认证节目包括欢迎、认证连接等,通过认证后用户就可以访问Internet网络了也可以重定向到缺省的网页。 可以根据热区内AP数量的多少,由一个或多个DigiZoneDirector可以管理一个热区内的全部AP。 假如需要,将来可以在中心部署DigiFlexMaster管理全部的DigiZoneDirector,从而管理网络中的全部AP。 AP可以通过以太网或DSL链路接入网络。DigiZoneDirector没有DHCP服务器功能,所以需要外置的DHCP 服务器或运用BRAS供应DHCP服务器为客户端支配IP地址的功能。 如图 4?3所示,用户接入的流程如下:
16、 1.用户开机后,检测到SSID有效; 2.客户端发起DHCP请求,经认证设备转发到DHCPServer。DHCPServer为用户支配IP地址; 3.用户打开阅读器,HTTP请求被AP捕获,并重定向到登录界面; 4.用户输入用户名和密码,并传送到DigiZoneDirector; 5.DigiZoneDirector将用户名和密码发送到AAA服务器进行认证; 6.认证通过后,DigiZoneDirector将Web页面重定向到DigiZoneDirector指定的WEB服务器页面费用余额等通知;同时出现计时窗口; 7.用户可以上网,AAA服务器计费起先; WebportalDHCP实现简洁,
17、无需客户端和相关配置,扩展性也好。在无线限制器中设定运用Web-Portal方式认证。当用户接入无线网络后,需要运用阅读器访问校内网或Internet,会弹出认证界面,用户输入用户名和密码后送到相关服务器进行验证,假如认证通过后用户就能够访问校内网和Internet,假如访问Internet就会产生计费,同时计帐到该用户帐号上。认证与ipv6结合 神州数码网络TrustCenter认证计费服务系统,支持IPv6无线终端的管理与认证,支持IPv4和IPv6协议收发报文,包括认证计费报文,各种业务报文以及强制下线报文,可以实现与有线IPv6系统协同的统一认证,实现基于IPv6的用户与IP、MAC绑
18、定,做到无线与有线的认证一体化。 IPv6无线终端认证信息在TrustCenter上的显示如图 4?4所示: TrustCenter在用户认证时对IPv6相关策略的校验,如下列图所示: TrustCenter管理端支持基于IPv6的远程访问和管理,可以显示接入认证用户的IPv6相关信息,支持接入设备的IPv6配置和管理,在平安策略中配置和运用IPv6,在日志文件中可以展示及查询IPv6信息,同时支持报表IPv6信息的导入和导出。IPv6信息的显示和查询如图 4?6所示: 神州数码网络认证客户端,支持获得本机IPv6信息,客户端同时集成了IPv6 DHCP客户端,可以支持服务器下发IPv6地址设
19、置。神州数码认证客户端获得和设置IPv6信息如图 4?7所示: 移动漫游 无线用户移动漫游,涉及到多个层次的漫游,最为简洁的是二层漫游,业内主流厂家产品都表现不错,三层漫游就困难多了,还有当用户跨越多个域时怎样无缝漫游,神州数码网络无线局域网可以实现快速无缝漫游功能。 L2/L3漫游 在传统的无线局域网内,无线终端要跨越不同AP之间漫游是有确定的困难,因为不同AP之间,它的无线用户IP子网可能都不是在同一个VLAN内。所以当无线终端从一个AP漫游到另一AP时,由于它们之间的缺省IP子网不同,无线终端会重新发出DHCP请求,这样的话终端的IP地址就会更新,全部在原先AP建立的连接都会被切断。过去
20、为了解决跨越三层的漫游,有些用户接受了Mobile IP的技术,但Mobile IP的缺点是它必需在无线终端安装软件。这是一般网络管理人员不情愿做的事情,因为它们就必需支持和维护用户的无线接入端。 通过神州数码网络无线系统,可解决了跨越不同三层IP子网的无线漫游问题。当无线终端从一个AP的IP子网漫游到另一个AP的不同IP子网时,它重新发出的DHCP请求,会从AP端的DigiZoneDirector转发到原有子网的DigiZoneDirector(用户从那一个AP获得它的IP地址),这样DigiZoneDirector就了解到用户漫游到了哪个相邻的DigiZoneDirector。用户的原来所
21、在的DigiZoneDirector会将发送到该用户的数据发送到漫游到的DigiZoneDirector而后发送到用户现有的IP地址。无线用户已漫游到另一个IP子网,但它的流量不会中断,直到用户完全漫游过来其对端了解了其IP地址的转变。代理DHCP 的优点是无要在用户终端安装任何软件就可让终端无缝的在不同IP子网之间漫游。 在不同域之间的用户认证和漫游 在大型网络内,一般都有很多不同的部门,部门内通常都有自己的用户数据库,即所谓的本地认证服务器。在实现应用时,要求有单一的认证数据库是未必可行的,但同时无线用户应是可在内无缝漫游。当用户不是在本地入网或是从一个部门的接入点漫游到另一部门的接入点需
22、要重新认证时,假如用户名和密码在当地的数据库是不存在的话,则用户会被断线。要做到真正的无缝漫游,则需要有支持Radius 代理这样的功能。但由于不是全部的认证服务器都支持这种功能所以在具体实施时也有确定的困难。神州数码网络本身就可供应不同域之间的认证功能,域名可以与SSID绑定,亦可以让用户在登陆网页时输入或选择域名。神州数码网络会把在不同域之间的认证请求转发到对应这域的radius服务器处理。 其次篇:IT运维综合管控解决方案 IT运维综合管控解决方案 针对平稳、世通等财务欺诈事务,2023年出台的公众公司会计改革和投资者爱惜法案Sarbanes-Oxley Act对组织治理、财务会计、监管
23、审计制定了新的准则,并要求组织治理核心如董事会、高层管理、内外部审计在评估和报告组织内部限制的有效性和充分性中发挥关键作用。与此同时,国内相关职能部门亦在内部限制与风险管理方面制定了相应的指引和规范。由于信息系统的脆弱性、技术的困难性、操作的人为因素,在设计以预防、削减或消退潜在风险为目标的平安架构时,引入运维管理与操作监控机制以预防、觉察错误或违规事务,对IT风险进行事前防范、事中限制、事后监督和订正的组合管理是特别必要的。IT系统审计是限制内部风险的一个重要手段,但IT系统构成困难,操作人员众多,如何有效地对其进行审计,是长期困扰各组织的信息科技和风险稽核部门的一个重大课题。 一、需求分析
24、 系统的运维人员是系统的“特殊运用团队,一般具有系统的高级权限,对运维人员的行为审计日渐成为平安管理的必备部分,尤其是目前很多企业为了降低网络与系统的维护本钱,接受租用网络或者运维外包的方式,由企业外部人员管理网络,由外部维护人员产生的平安案例已经慢慢在上升的趋势。 运维人员具有“特殊的权限,又往往是各种业务审计关注不到的地方,网络行为审计可以审计运维人员经过网络进行的工作行为,但对设备的干脆操作管理,比方Console方式就没有记录。 运维审计的方式不同于其他审计,尤其是运维人员为了平安的要求,起先大量接受加密方式,如RDP、SSL等,加密口令在连接建立的时候动态生成,通过链路镜像方式是无法
25、审计的。所以运维审计是一种“制度+技术的强行审计。一般是运维人员必需先登录身份认证的“堡垒机(或通过路由设置方式把运维的管理连接全部转向运维审计服务器),全部运维工作通过该堡垒机进行,这样就可以记录全部的运维行为。由于堡垒机是运维的必定通道,在处理RDP等加密协议时,可以由堡垒机作为加密通道的中间代理,从而获得通讯中生成的密钥,也就可以对加密管理协议信息进行审计。 二、运维平安审计面临的挑战 IT运维人员一般应用叮嘱行方式Telnet、SSH、和图形化方式RDP、VNC、客户端软件等方式对数据中心的服务器进行管理,这些方式虽然便利、灵敏,但接入点多,存在重大平安隐患,并难于管理,特别是,面对成
26、千上万台的设备,一个IT经理或者一个CIO如何能确保全部IT运维人员的操作都是平安的? 倘如有违规操作,假如觉察并有效阻挡? 若阻挡不及,如何认定事故责任? 三、IT运维综合管控解决方案 泰然神州Zendeep神电运维审计系统是用于数据中心IT运维的集中管理和审计系统,可以对基于Telnet、SSH、RDP、VNC等协议的访问操作进行过程的抓取,从而可以录象方式对全部运维人员的全部操作进行记录,并具备强大的搜寻功能,可对特定时段、特定事务、特定用户等规律要素进行搜寻与提取从而到达真正意义上的审计与风险限制。 泰然神州Zendeep运维审计方案的功能架构模块下列图 泰然神州Zendeep运维审计
27、系统管理平台,不仅可以对IT运维人员应用带内管理工具Telnet、SSH、RDP、VNC等协议的管理进行全面的集中管理与审计,可以制定有效的限制策略,进行访问授权、访问阻断,另外也可以根据不同的参数搜寻调用历史操作画面,并进行画面回放、查看审计日志、从而进行有效的平安防护。 泰然神州运维审计系统由管理限制台、应用代理服务器、客户端平安插件和数据库四大部分构成。管理限制台: 管理限制台负责实现系统的用户管理、代理访问策略管理、阻断策略管理、审计日志的查看与审计、对审计会话的画面回放和系统的基础配置等功能 管理限制台是一个基于Web的操作界面,可以对一个ICS对应的多台ICA的监控结果进行集中化的
28、管理 应用代理服务器: 应用代理服务器用于实现代理应用的集中管理,对用户和客户机进行合法性校验,受符合策略要求的代理应用连接请求 供应TCP阻断功能,对于网络中的非法网络连接可以根据阻断策略自动实施阻断操作 数据库: 日志审计数据库,用于记录用户信息、策略信息和连接会话的日志信息等内容 文件数据库,特地用于记录应用代理服务器所记录每个连接会话的录像信息,录像信息与日志信息干脆关联,干脆通过查询日志信息后播放对应的录像文件,真实再现当时的操作画面 客户端平安插件: 终端客户机及和IT运维管控系统后台之间建立加密的连接通道 终端平安登陆认证设备接口 四、方案应用部署 泰然神州Zendeep运维审计
29、系统部署网络拓扑架构图: 五、方案特点 泰然神州Zendeep运维审计方案特点: 集中管理,供应后台设备、数据库及指定系统统一的操作维护入口,实现单点登录。身份管理,供应设置实名制登陆帐号,具体记录后台数据库全部操作过程。 访问限制,供应管理员根据不同的用户配置不同的操作权限,实现叮嘱级别的严格限制,确保合法用户在其系统权限范围内访问授权设备。 叮嘱防火墙,实现当不同用户帐号与同一系统帐号关联时,以叮嘱为核心建立更加细粒度的权限限制。操作审计,对用户实施的操作供应完好,具体记录服务。并可以平安地存放于管理平台中,管理平台能以便利、友好的界面方式供应对这些记录的操作查看,搜寻,回放等审计功能。支
30、持协议:Telnet、SSH、RDP、VNC等 强制主机审计,全部运维行为强制经过IT运维管控系统跳转 IT运维管控系统所在服务器平安加固 六、泰然神州Zendeep运维审计系统方案效益分析 通过实施泰然神州Zendeep运维审计系统方案,平安审计工作可以得到有效简化,可以进行全面的集中管理与审计,真正做到运维全程操作可见可控可查。 1、本系统可对全部用户进行集中管理,包括本地管理用户及远程管理的用户。可以通过本系统行使如下功能:用户的创建、修改、删除和查询、用户的启用和挂起限制、用户的权限管理功能。 2、可以对历史操作画面回放,驾驭第一手客观公正的操作记录。 3、对全部通过基于Telnet、
31、SSH、RDP、VNC等协议的访问操作,进行全生命周期录像,可实现对历史操作过程的真实再现。 4、根据用户设置的规则、关键字、用户名称、目标地址、源地址负载名称、部门名称、描述信息和时间进行审计信息的查询检索,对查询的结果进行回放,再现历史操作画面。 5、本系统对通过应用代理服务器访问的负载的操作信息进行记录,包括访问负载IP地址、客户端地址、运维用户名称、操作起先和结束时间等等,管理人员可以通过时间、客户端类别TELNET、SSH、RDP、VNC、负载IP地址、客户端IP地址和运维用户对审计信息进行查询。 6、可以制定有效的限制策略将风险远远阻在门外,访问授权限制策略:可以根据企业内控与管理
32、的要求配置应用代理访问限制策略,经过授权的客户端可以通过代理访问负载,未经过授权的客户端则不行以访问负载。 7、阻断访问限制策略:通过访问限制策略阻断限制,可以强制用户必需通过应用代理访问负载。 第三篇:IT运维监管控一体化解决方案 IT运维监管控一体化解决方案 IT运维管理闭环体系 2023-11-17 本文论述了IT运维监管控一体化趋势,建设要求、原则,方案整体设计和具体实现。 IT运维监管控一体化解决方案 目 录 1.2.3.4.IT运维服务管理概述.5 IT运维管理一体化管理解决之道.6 IT运维一体化建设目标.6 系统设计原则.7 4.1.4.2.4.3.4.4.4.5.4.6.4.
33、7.4.8.5.系统的先进性.7 系统的好用性.7 系统的有效性.7 系统的可行性.7 系统的牢靠性.8 系统的开放性.8 系统的扩展性.8 系统的平安性.8 IT运维一体化平台建设原则.8 5.1.5.2.5.3.5.4.5.5.5.6.统一规划.8 转变观念.9 分步实施.9 可插拔模块化.9 有所为,有所不为.10 不唯美,而唯实.10 6.IT运维一体化解决方案.10 6.1.6.2.6.3.6.4.6.5.理解IT运维一体化.10 监视模块建设.12 流程管理模块建设.12 自动化操作模块建设.13 CMDB建设.14 6.5.1.CMDB战略核心地位.14 / 28 IT运维监管控一体化解决方案 6.5.2.CMDB建设方法.15 6.5.3.CMDB建设保障.16 6.5.4.构建CMDB模型.17 6.5.5.避开CMDB建设误区.18 6.6.模块之间接口实现.18 6.6.1.监与管之间的接口.18 6.6.2.管与控之间的接口.19 6.7.7.报表系统.19 IT运维一体化特点.20 7.1.7.2.7.3.7.4.7.5.7.6.7.7.监管控一体化整合.20 层级化呈现平台.20 综合事务管理平台.20 全方位IT资源管理平台.20 面对基础设施.20 面对维护管理者.20 面对领导决策者.21 8.IT运维一体化系统功能.