H3C WiNet用户管理方案

　　1 介绍

　　。

　　随着IT信息化的不断发展，作为IT载体的通信网络在中小企业中具有越来越重要的地位，目前，中小企业已经普遍部署了交换机、路由器等网络设备，实现了网络的连通性，能够完成基本的网络通信功能，对中小企业的进一步发展提供了有力的IT信息化保障。

　　然而，企业网络管理者很快发现仅具有连通性的、开放的网络随时可能面临各种各样的安全风险，其中，由于缺少合适的用户认证管理系统，企业网络基本处于开放状态，非法用户可以随时随意接入网络，访问非授权的网络资源，同时，对企业员工缺少网络访问权限的控制，不同部门、不同身份的员工可以互相访问，机密信息泄漏的风险大大增加。传统的网络用户接入管理系统虽然可以解决上述问题，但价格昂贵，增加中小企业购买成本负担，同时传统方案需要安装操作系统服务器软件、数据库软件、AAA认证软件，造成部署复杂，这也增加了中小企业的部署维护成本。

　　H3C公司针对上述中小企业部署用户管理系统的困难推出了WiNet内嵌式用户管理系统，该管理系统基于WiNet内嵌式网络管理平台，无需购买硬件服务器、软件数据库和AAA用户管理软件，实现开箱既有、即插即用，为中小企业用户节省大量购买成本，该管理系统还采用图形化一键式的功能部署方式，无需翻阅手册、无需输入任何命令行即可通过鼠标点击的方式部署用户管理系统，节省了部署维护成本。系统实现了接入认证功能的同时，可以对不同的认证用户授予不同的网络访问权限，实现员工之间、部门之间的物理隔离，保证机密信息有效受控，从而将中小企业网络由开放的、不受控的网络加固为具有用户准入及精细权限控制的安全的网络。

　　2 技术应用背景

　　通信网络及其上业务的易用性、易部署性以及成本对企业尤其是中小企业十分重要，传统的中小企业网络往往注重连通性而忽视网络的安全性，尤其是对用户的接入和权限管理缺失，使网络经常处于随意接入的失控状态，为此已经有很多用户管理方案可供网管管理员进行选择：

　　1、 商业软件方案(收费)

　　这种方案的部署方式如图1所示，管理员需要购买、部署服务器或者使用专用PC机，在其上安装Windows Server等操作系统，为了提供用户账户和策略配置保存功能还需要购买MS SQL Server或者Oracle数据库，之后安装部署iMC、CAMS等用户认证管理软件，这套商业系统软件可以提供丰富的用户管理功能和相对易用的操作界面，但同时也要花费大量的金钱来购买相关的软硬件产品，无疑对中小企业构成了不小的成本压力。

　　2、 自由软件方案(免费)

　　对于成本敏感的企业还可以选择自由软件的方案，该方案的部署方式如图1括号中所示，管理员购买了硬件服务器或者单独PC机后，可以选择安装Linux或者Solaris等免费的操作系统，然后安装MySQL等免费数据库，同时安装FreeRadius等自由软件进行用户管理，这种方案除购买单独硬件服务器之外不需要其他购买成本，对于成本敏感的中小企业比较适合。然而Linux、Solaris、MySQL、FreeRadius等软件配置复杂，需要专业人员来进行安装和维护，采用这种方案虽然节省了购买成本，但却增加了维护成本，中小企业的网络管理者和决策者不得不进行适当的权衡和取舍以决定采用哪种方案。

　　图1 网络用户管理的商业和自由软件方案 图2 H3C WiNet网络用户管理方案

　　此外，上述两种方案一些存在共同缺点：

　　1、 费用方面：部署用户管理系统必备的操作系统、数据库和AAA认证软件都需要不菲的费用，即使使用免费的方案也需要部署单独的硬件服务器或者PC机，费用从5000到上万不等，对于中小企业构成一定成本压力。

　　2、 维护方面：软件需要专业人员进行安装和维护，软件之间的联系是松散的(如图1)，容易造成各种兼容性问题，如果采用自由软件方案更需要技术能力较高的专业人员，进而增加了中小企业的维护人力成本;

　　3、 易用性方面：无论是商业软件方案还是自由软件方案都需要进行大量的前期配置工作才能够正常运行，运行过程中还需要根据网络用户的属性的变化进行动态配置，方案虽然功能全面但也造成了易用性较差，往往导致普通用户望而却步。

　　H3C公司根据上述问题推出WiNet用户管理解决方案，将WiNet网络用户管理平台、数据库一起有机集成于网络设备中，其集成方式类似于网络设备中的网络操作系统，集成后的设备软件结构如图2所示，由于开机即有、即插即用，因此在费用成本、维护和使用方面都具有上述方案不可比拟的优势。

　　3 技术特色

　　H3C WiNet用户管理方案的技术特色可以总结为：

　　1、 即插即用：H3C WiNet用户管理方案是基于WiNet网络拓扑管理方案，采用H3C HGMP专利技术，在零配置的情况下只需要将网络设备使用网线相连即可收集网络拓扑，登录管理设备WEB管理界面并启动WiNet功能后，网络拓扑即可显示在WEB页面上，同时通过点选不同的网络设备，设备的面板可以显示在拓扑下方，方便进行各种业务尤其是设备端口布防、用户管理等业务的直观部署，真正实现零配置、即插即用。

　　图3 H3C WiNet网络用户管理解决方案

　　2、 内嵌式：WiNet用户管理方案在ComWare网络操作系统的基础上内嵌了数据库、WiNet用户认证管理平台，无需另外购买安装其它软件，大大节省了用户购买成本的同时免除了繁琐的安装配置过程，进而避免了不同软件之间的兼容性问题，实现了开箱即有，免安装。

　　3、 图形化：传统的用户认证管理方案需要到不同的网络接入设备上使用命令行配置端口认证(Portal认证、802.1x认证)，网络设备较多的情况下非常不便，H3C WiNet用户管理方案中管理员可以在管理设备的WiNet WEB界面中直接使用鼠标选择要启动认证的端口，进行直观的端口认证布防，无须输入任何命令行，同时所有接入认证设备的启动认证都可以在管理设备的WiNet WEB页面统一进行，无需到不同的设备上分别部署。

　　4、 免客户端：网络用户接入网络时往往需要通过安装在终端PC上的客户端进行认证，这个客户端必须由管理员提前安装在用户的PC机上，为每个终端用户部署客户端软件对于管理员而言是不小的工作量，H3C WiNet用户管理方案采用Portal的认证方式，终端用户可以直接启动IE或者其它浏览器来进行认证，省去了管理员为每台终端设备部署认证客户端的繁琐工作。

　　5、 细粒度用户认证准入：H3C WiNet用户管理方案针对用户的MAC地址等个性特征进行认证，避免了传统认证方式中同一个端口接入的用户只要一个用户认证成功则端口洞开的缺陷，认证端口下即使通过HUB连接多个PC也可以针对不同的PC、不同的用户进行认证，认证结果不影响同一端口上接入的其他认证用户，即实现了用户的单独的、细粒度的接入认证。

　　6、 精细化用户权限管理：实际中，认证通过的用户不一定具有相同的权限，H3C WiNet用户管理方案可以在用户认证通过后，针对管理设备上WiNet WEB里面预先配置好的策略，对不同的用户下发不同的ACL、VLAN，使不同的用户具有不同的网络资源访问权限，从而实现精细化的用户权限管理。

　　4 技术实现方案

　　WiNet用户管理方案是以WiNet网络管理为基础，主要技术点包括网络拓扑的自动发现、认证策略服务器RADIUS的设备内嵌、一键式启动RADIUS服务、图形化端口布防、用户数据库的设备内嵌、细致用户权限管理等

　　1、设备内嵌技术：WiNet用户管理方案为降低用户使用成本将RADIUS认证服务、网络用户账户管理数据库内嵌在网络设备中。其中RADIUS认证服务实现了较为完整的RADIUS协议，可以对接入设备发起的RADIUS认证报文“RADIUS Access-Request”进行处理，并根据认证处理后的结果回应“RADIUS Access-Accept”报文，但是由于没有实现RADIUS中的计费协议，因此不能够对认证用户进行时长或流量计费，也不能够保存在线用户信息。

　　设备内嵌技术还包括内嵌了网络用户账户管理数据库，管理员可以直接在WEB界面中操作该数据库以便添加、删除、修改网络用户账户。

　　2、网络拓扑的自动发现技术：为了实现网络设备自动发现、即插即用功能，H3C WiNet网络管理/用户管理方案采用HGMP集群协议用来发现网络设备并自动生成网络拓扑，在一个运行集群协议的网络中，设备被分为三种角色：管理设备、成员设备、和候选设备。管理设备配有公网IP地址，为集群内所有的交换机提供管理接口，具有发现邻接信息、收集整个网络的拓扑结构、管理集群、维护集群状态等功能，成员设备和候选设备一般不配置公网IP，只收集和上报邻居信息。三者之间关系如下：

　　a、用户在候选设备上创建集群的同时，将当前候选设备指定为集群管理设备。每个集群必须指定一个(而且只能指定一个)管理设备。在管理设备被指定后，管理设备通过收集相关信息，发现和确定候选设备。用户可以通过相应的配置把候选设备加入到集群中。

　　b、候选设备加入集群后，成为成员设备。

　　c、集群内的成员设备被删除后将恢复为候选设备。

　　d、管理设备只有在删除集群时才能恢复为候选设备。

　　集群协议实际上是一个协议族，是由NDP、NTDP、Cluster等3个协议组成的，主要用于网络拓扑自动发现，同时还具有基本命令传递功能。其中NDP(Neighbor Discovery Protocol，邻居发现协议)运行于每个网络设备中，设备通过该协议收集自己的邻居信息，包括邻居设备的软件版本、主机名、MAC 地址和端口名称等信息;NTDP(Neighbor Topology Discovery Protocol，邻居拓扑发现协议)收集指定跳数范围内的设备信息以及各个设备的连接信息，并从收集到的拓扑信息中确定集群的候选设备。集群通过以上三个协议，对集群内部的设备进行配置和管理。

　　H3C WiNet内嵌式网络管理屏蔽了集群协议的复杂性，采用图形化一键式即可启动HGMP协议进行网络拓扑收集。但是请注意，HGMP协议是一个二层协议，因此H3C WiNet网络管理/用户管理方案只能基于二层网络。

　　3、单键启动Radius服务：通常RADIUS服务器需要安装单独服务器上并进行数个参数配置才能够启动，这些参数包括：接入设备的IP地址、共享密钥等，WiNet用户管理方案可以通过HGMP集群协议自动查询接入设备的IP地址并写上共享密钥，因此管理员仅仅需要在WEB界面上点击 “启动认证中心”即可一键式启动Radius服务，其余工作交由系统自动完成。

　　4、图形化端口布防：传统的用户认证管理方案需要配置多个接入设备的参数以便和Radius服务器联动，共同完成接入设备端口上接入用户的身份认证，这些参数包括设置主认证/计费RADIUS 服务器的IP 地址、备份认证/计费RADIUS 服务器的IP 地址、系统与认证RADIUS 服务器交互报文时的共享密码、设置系统向RADIUS 服务器重发报文的时间间隔与次数、域最多可容纳用户数等众多参数。

　　管理员选择在管理设备的WiNet网络拓扑上选择成员设备图标后，管理设备自动到成员设备上的制定URL上读取设备面板，并显示在网络拓扑下方，管理员可以使用鼠标在面板上选择端口、启动布防功能，之后WiNet的管理设备通过HGMP集群协议自动查询管理员选择的接入设备的IP地址并协商共享密钥等参数，管理员无需到不同的设备上分别启动端口布防功能，所有功能均由WiNet用户管理方案图形化界面、自动协商技术完成。

　　5、权限管理技术：WiNet用户管理方案对认证通过用户进一步增加了VLAN、ACL的权限划分，可以控制不同的用户访问不同的网络资源，认证成功的用户的权限由WiNet管理设备通过Radius Access-Accept报文传递给接入设备，接入设备解析Radius Access-Accept报文中的属性，提取ACL或者VLAN编号，并结合认证用户的MAC地址激活自身已经配置好的VLAN或者ACL模板，从而对属于该用户MAC的报文进行精细控制。由于是对用户MAC地址的控制，因此从同一端口接入的用户可以拥有不同的网络权限，适合一个端口下接多个用户的情况。

　　6、典型应用组网

　　H3C　WiNet用户管理方案的管理设备可以是路由器或者交换机，路由器作为管理设备时，可以对其下链接的交换机等设备发起的认证请求进行认证，典型组网如下：

　　图x

　　中端交换机作为管理设备的组网方案下，可以使用H3C的S5500EI/SI产品作为管理设备，S5120SI作为接入设备，产品配套列表如下：

　　产品款型组件角色版本号(VRBD)(上网时删除此列)

　　管理设备成员设备

　　MSR 20-20√

　　MSR 30-11√

　　MSR 30-16√

　　S5500EI √

　　S5500SI √

　　S5120SI √

　　S3100-SI(UM) √

　　H3C的中端交换机也可以作为管理设备启动WiNet用户管理方案，可以对其下链接的交换机等设备发起的认证请求进行认证，也可以对自身链接的中端PC机进行认证，典型组网如下：

　　图x

　　中端交换机作为管理设备的组网方案下，可以使用H3C的S5500EI/SI产品作为管理设备，S5120SI作为接入设备，产品配套列表如下：

　　产品款型组件角色版本号(VRBD)(上网时删除此列)

　　管理设备成员设备

　　S5500EI√√

　　S5500SI√√

　　S5120SI √

　　S3100-SI(UM) √

　　5 配置举例

　　简单易用是H3C WiNet用户管理方案的主要特色，在H3C WiNet上部署用户管理只需要在管理设备的WEB界面中完成以下四步，即可部署整网的用户认证管理，实现集中配置：

　　图x

　　这里以MSR路由器作为管理设备的组网为例，介绍方案配置启动过程，实际使用中可以使用路由器或者较高配置的交换机作为管理设备均可。示例组网如右图所示，H3C MSR路由器的IP地址为192.168.0.111，MSR路由器通过具有二层以太网接口的SIC板卡和其下的二层网段相连接，网段地址段为192.168.0.0/24，网段内包括汇聚交换机S5500EI/SI和接入交换机S5120SI等，交换机均为出厂配置(零配置)。管理员用于进行网络管理的PC机(本地管理终端)从网段内的任意端口接入，PC机的IP地址为192.168.0.200，可以访问MSR路由器。

　　1、 启动WiNet：

　　管理员从本地管理终端(PC)启动IE或者其它浏览器，输入管理设备的WEB管理URL地址 “http://192.168.0.111”此时进入登录界面：

　　MSR路由器的WEB用户名称和密码都是默认为admin/admin，无需任何配置。登录到管理设备的WEB界面后，点击界面左侧导航条中的WiNet，显示如下：

　　此时如果设备没有开启WiNet功能，则会提示“只有WiNet管理设备支持该功能”：

　　点击“设置”页签，进行WiNet的配置：

　　在这个页面中可以配置WiNet的名称，配置管理VLAN(WiNet内部协议报文使用的VLAN)，配置地址池和地址池掩码(WiNet功能内部使用的私网IP地址，注意掩码配置要保证地址空间足够大)。

　　配置好上述三项后，点击启动WiNet。

　　点击页签“WiNet管理”，出现拓扑图。因为是新的拓扑图，所以链路显示都是新增链路。

　　2、 启动RADIUS认证中心

　　拓扑图的下面有“开启认证中心”按钮，点击此按钮后此时管理设备会成为radius server，可以对其它设备发起的Radius请求进行认证。关闭WiNet时认证中心会自动关闭。

　　3、 启动端口认证

　　选中成员设备，在面板上对需要认证的端口作端口布防。选中相应端口，然后点击端口布防按钮，此时成员设备的选中端口会启动基于MAC的Portal认证：

　　4、 部署用户管理

　　点击用户管理，新建用户。

　　其中可以配置授权vlan、授权acl、过期时间以及备注信息，其中过期的用户无法上线成功，但是已经上线成功的用户到了过期时间不会下线，系统只在上线时刻做检查。总共能配置512个用户。

　　通过上述四个部署步骤后，终端PC通过IE等浏览器访问WEB等URL网页时，会被重定向到Portal认证页面进行认证，如下所示：

　　6 实现标准

　　RADIUS：Remote Authentication Dial In User Service，远程用户拨号认证系统由RFC2865，RFC2866定义，是目前应用最广泛的AAA协议。RADIUS是一种C/S结构的协议，它的客户端最初就是NAS(Net Access Server)服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活，可以采用PAP、 CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。

　　由于RADIUS协议简单明确，可扩充，因此得到了广泛应用，包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN(Virtual Private Dialup Networks，基于拨号用户的虚拟专用拨号网业务)、移动电话预付费等业务。

2016年01月