|
企業(yè)內部網絡管理解決方案
企業(yè)內網的問題及需求
目前網絡的安全性能是人們最為關注的問題之一�。而其中局域網和企業(yè)內部網絡當中的安全性更是成為焦點�����。如何構建更安全的網絡�����,一些組織和廠商也紛紛提出自己的安全策略��。作為互聯(lián)網的出口必經設備�,網關設備越來越多的承載了企業(yè)安全的重任。
企業(yè)內部在進行安全管理時��,在傳統(tǒng)的監(jiān)控�、殺毒、防入侵等基礎上�,對內網用戶的身份識別也可以幫助用戶實現高強度的安全保護。有效的用戶管理方式能夠為追溯行為和責任體系�、審計證據鏈提供最有效和最有力的支撐。這種過程的價值在于它能夠:允許有正當理由需要訪問的人員訪問�����;通過限制信息資產外露來降低風險�;建立監(jiān)控機制,針對事件追溯具體用戶��;高效地管理類似的用戶群���;實現內控符合風險管理的要求��。因而建立更適合企業(yè)的用戶管理體制是每一個優(yōu)秀企業(yè)完善內控��,提高企業(yè)核心競爭力的必要前提��。
真正好的用戶管理技術��,并不是要通過繁瑣的加密步驟來困擾用戶�����。企業(yè)用戶每天都要登錄各種應用系統(tǒng)���,因此在不影響用戶使用的前提下,簡單的操作和有效的保護���,才能為用戶提供一個安全�����、便利的環(huán)境�。
PPPoE技術作為一種成熟的運營管理解決技術,現在已經逐步由運營商專用走向企業(yè)市場��,使用PPPoE來進行企業(yè)內網用戶管理���,不僅簡單方便�����,技術成熟��,而且可與企業(yè)原有的產品無縫結合��。
PPPoE和AAA的概念
PPPoE的概念
PPPoE是point-to-point protocol over ethernet的簡稱�����,可以使以太網的主機通過一個簡單的橋接設備連到一個遠端的接入集中器上�����。通過PPPoE協(xié)議���,遠端接入設備能夠實現對每個接入用戶的控制和管理。
AAA的概念
認證(Authentication):驗證用戶的身份與可使用的網絡服務��。
授權(Authorization):依據認證結果開放網絡服務給用戶
計帳(Accounting):記錄用戶對各種網絡服務的用量�,并提供給計費系統(tǒng)
藍海卓越的企業(yè)PPPoE解決方案
藍海卓越經過市場的深入分析研究,并結合自身的優(yōu)勢���,針對企業(yè)用戶推出了適合企業(yè)內網管理使用的PPPoE服務器BRAS-5000系列及AAA服務器產品NS-G50系列�,使用該產品進行企業(yè)內網的用戶管理���,不僅極大的方便了網管人員�����,并且減少了內網發(fā)生問題的可能性��,極大的提升了網絡的安全性和企業(yè)的網絡效率�。
組網拓撲圖如下:
方案說明:
一�、主設備采用NatShell BRAS-5000系列網關,此網關不僅可做為防火墻使用�����,具備通常防火墻的NAT、防攻擊等功能�,并且支持PPPoE服務。
二���、在NatShell BRAS-5000網關的LAN接口上開啟VLAN�,LAN接口與主交換機的TRUNK接口相連接�。
三、在主交換機機在啟用802.1Q的VLAN支持����,配置TRUNK口,使之可與所有的VLAN接口通訊����。
四、開啟NatShell BRAS-5000網關的PPPoE服務��,并監(jiān)聽所有的VLAN接口��,以使所有的VLAN內用戶均可撥號上網��。
五����、用戶的電腦接入交換機的VLAN接口���,通過PPPoE撥號上網。
六��、NatShell BRAS-5000網關上開啟RADIUS認證�,通過標準RADIUS協(xié)議與NatShell NS-G50管理服務器連接��,所有的用戶PPPoE撥號請求���,均會轉到NS-G50管理服務器上進行認證���。
七、管理員通過NS-G50管理服務器進行用戶管理��,通過NatShell BRAS-5000網關設置相應的訪問規(guī)則��,從而對用戶實現精細化管理����。
方案特點:
一、整個方案采用的均為網管型交換機�,NatShell BRAS-5000網關也具備強大的管理功能,因此整個網絡具備了高度可管理性�����。
二、采用了NatShell BRAS-5000網關做為PPPoE服務器��,做為核心設備�����,為網內的用戶提供PPPoE服務���,網內所有的用戶均使用PPPoE方式撥號上網���,徹底杜絕了ARP欺騙等問題。
三�、給網內的每個用戶分配PPPoE帳號撥號上網,這樣就對用戶實現高度的可管理性�,不僅可以為每個用戶指定不同的帶寬,并且可以為用戶分配不同的IP地址����,從而靈活方便的做出控制策略。
四����、可以為每個PPPoE用戶指定上網時間�,如在工作時間段不允許上網����,休息時間段允許上網,或者反之����,由此可以有效控制用戶上網時間。
五�、可以為每個PPPoE用戶綁定MAC地址�,使該帳戶離開了使用的電腦也不能輕易在別的電腦上網,有效的保證了網絡的可控性����。
六、通過計費�����,可以給網內的用戶下發(fā)通告���,實現了方便快捷的通知功能�����。
七�����、用戶使用時間到期后����,強制用戶無法上線
八、對每個用戶的上網登錄記錄��、上下傳流量記錄��、管理員操作等均有詳細記錄��,配合專用的審計設備�,可以精確定位用戶上網時間和行為。
小結:
PPPoE+AAA+VLAN的管理方式�,是目前成本較低,部署方便����,應用廣泛的一種企業(yè)內網管理解決方案,由于采用了穿透VLAN的PPPoE撥號方式�����,不僅可以使用PPPoE的優(yōu)點,也可以使網絡通過傳統(tǒng)VLAN的方式進行有效管理���,基本上杜絕了由于內網問題造成網絡故障的隱患�,并且企業(yè)可根據自身需求��,靈活制訂不同的網絡架構和解決方案�,而采用AAA管理系統(tǒng)進行用戶管理,不僅便于部署�,并且具備強大的管理、查詢�����、審計功能�����,��,是目前網絡管理經濟有效的管理方式��。
|
