无线网络覆盖方案.pdf_三一文库31doc.com

资源描述

《无线网络覆盖方案.pdf》由会员分享，可在线阅读，更多相关《无线网络覆盖方案.pdf（27页珍藏版）》请在三一文库上搜索。

1、. . 3.1方案总述图 3.1 无线网络拓扑示意图增加运维难度，影响运维效率的因素有大量的网络节点，复杂的网络拓扑和网络覆盖的地理范围。网络节点越多意味着网络管理员要维护的设备越多，同时某一节点出现问题的概率越大，从而提升了管理员的工作量。而复杂的网络拓扑让基于业务变更的网络策略调整与优化变的复杂，网络管理员不得不看 4分片分区的自下而上的逐层修改配置，由于复杂的网络拓扑导致的错综复杂的网络协议关系给问题排查带来不小的难度。网络所覆盖的地址范围是不能人为控制的，但是从运维的角度看，减少运维压力提高运维效率就是网络管理员尽量少的跑到接入端去进行问题排查，实现方法就

2、是前端设备尽量少或不需要进行配置，只要接入网络就可通过网络中心进行统一管理，这样当前端接入设备出现故障，只需要找工程人员做简单的设备更换，而不需要管理员到现场在进行复杂的配置，网络管理运维效率得以提升。在以上三个因素中网络覆盖的地理范围是不可改变的，而网络节点数和网络拓扑是可以从方案设计上进行优化，因此神州数码在某市教育城域网网项目中在满足教学应用的需求下以简化后期运维量为出发点，在方案设计中使用最少的设备，最简单的拓扑来满足应用需求。如图 2.1 所示，在某市教育无线网建设中神州数码采用教育局集中管理，集中运维的思路进行网络设计，学校只作为网络前端进行AP和 PoE交换

3、机的部署，无线控制器，实名认证系统、网络管理系统、安全运维审计系统以及无线应用加速系统等网络管理、运维系统将统一部署在某市教育局，实现对全市无线网的统一管理，统一运维。采用这种网络设计当管理员需要修改网络策略对网络进行调整或优化时，他只需要对教育局数据中心的设备进行调整即可全网生效，而不需要从接入端逐层的进行配置修改。能实现如此的管理方式也得益于当前无线网络的部署架构。当前主流的无线网络全部采用无线控制器+瘦 AP的架构，无线控制器就像无 . . 线网络的大脑，它负责管理与其连接的所有AP的配置策略，而瘦 AP只是运算和执行策略，基于此架构，无线网络可直接通过对中心端

4、的无线控制器的配置操作达到修改接入点网络策略的目的，从而实现中心的统一管理，统一运维。 3.2无线控制器的选择与部署 3.4.10 无线控制器的选择在中大型无线网络环境中采用无线控制器+瘦 AP 的网络架构已经成为不争的事实。从无线控制器的形态上分类从目前市场上的产品来看可分为两类：硬件形态的无线控制器和软件形态的无线控制器。硬件形态的无线控制器是从无线控制器+瘦 AP 架构正是发布后一直延续到现在的一种无线控制器物理形态，目前市场上主要以X86工控机或多核 +交换板作为硬件架构。这种架构的产生源于第一代瘦AP架构，第一代瘦 AP的数据转发模式采用的是集中式转发，即无线AP所

5、有的数据都要流经无线控制器，再由无线控制器转发到上层网络当中，这种模式就需要无线控制器就较好的数据转发性能，而服务器网卡在数据转发上的性能与带有交换架构的工控机来比就要差一些，因此，无线控制器是以硬件形态出现的。第一代瘦 AP主要采用的是IEEE 802.11g 无线传输协议， IEEE 802.11g 协议在 TCP传输协议下的最大带宽在25Mbps左右，第一代无线控制器采用集中式转发模式不会产生网络瓶颈。随着单一项目的无线网络规模的扩大，双频双模无线AP 的出现以及IEEE 802.11n 协议的无线 AP的问世，无线 AP的上行带宽越来越高。因此，集中式转发已经成为数据

6、传输瓶颈，为了解决这一问题，提高无线网络传输性能，瘦AP 开始采用本地转发，集中管理的架构，即从瘦 AP上行的业务数据都有AP直接通过交换机转发到网关，不在经由无线控制器进行转发。只有瘦AP的管理数据和是在无线控制器和AP之间交互，这种交互数据的数据流非常小，因此无线控制器开始采用单臂旁挂核心交换机的方式进行部署，我们称这种部署方式为旁路部署。 . . 图 3.2-1 集中转发 &本地转发示意图前面讲到数据采用本地转发的瘦AP 与无线控制器之间的管理数据流量很小，无线控制器的数据转发性能，随着服务器性能的大幅提升以及虚拟化技术的完善和普及，软件形态的无线控制器应运而生。很

7、多人把简单的认为软件形态的无线控制器就是把硬件形态无线控制器里的系统抽离出来形成的，所以除了形态上的差别之外其他都是一样的。其实这是一个简单而且错误的理解，软件形态的无线控制器的产生更多由于虚拟化技术和云数据中心的普及而产生的，因此软件形态的无线控制器自身的首要特性就是虚拟化特性，云特性。例如一台软件形态的无线控制器，可以根据不同用户群定制属于自己的虚拟化控制器，用于实现对自己区域的无线 AP的个性化管理。我们把这种虚拟化称为1：N虚拟化。而当一个大型网络中有多台软件形态的无线控制器，他们可以形成一个统一无线管理控制器池，任何一个控制节点出现问题都不会出现瘦AP脱管的现象

8、，形成一个统一的，整体的无线网络控制云平台，我们把这种虚拟化称为N ：1 虚拟化。由此我们可以看出软件形态的无线控制器的基本特性就是支持虚拟化和云特性。基于这些虚拟化特性我们也把软件形态的无线控制器成为“云”无线控制器。目前采用“云”无线控制器的主要代表厂家有思科和神州数码。两种形态的无线控制具有哪些特性差异，如表3.2.1 ，我们对两种无线控制器的主要差异特性做了简单的对比。 . . 表 3.2.1 无线控制器特性对比：特性硬件形态无线控制器“云”无线控制器具有虚拟化特性不具备具备管理 AP数量单台 4000（主流产品）软件系统无 AP管理上限端口配置千兆电 / 光口4；

9、具有万兆端口或扩展插槽端口依托于服务器配置的网卡类型 AP数据转发方式支持本地转发和集中转发支持本地转发 AP部署方式二层部署、三层部署二层部署、三层部署、跨NAT部署根据两种形态的无线控制器的特性差异我们来做一个简单的综合分析。传统的硬件形态无线控制器一台设备可管理的最大AP数量一般在 4000台左右，市场上目前主流销售的硬件无线控制器最大管理AP数量在 2000台以下，由此可以看出传统硬件无线控制器主要用于园区无线网络的部署。某市教育城域网项目的大型城域级的无线网络如果采用硬件无线控制器由于管理 AP数的限制，就只能采用分布式部署的方式，即以学校或者更小的区域为单位，将无

10、线控制器分别部署在这些单位中，或者采用集中式分组部署，即将多台无线控制器集中放置在区教育局中心机房，以管理地址段作为划分手段将 AP分别指不同的无线控制器来管理。以上两种部署方法确实可以解决无线AP的管理问题，但是如前面所讲，从后期管理运维的角度考虑，这两种部署方式在网络中增加了多台无线控制器，网络拓扑变的复杂，网络管理员需要维护的设备数量增加。网路认证策略，QoS策略需要在每台控制器上配置一次，在网络出现问题时，需要做大量的数据检测和排除工作，运维效率降低。 “云”无线控制器从功能设计上并没有AP管理上限。 AP管理上限取决于承载“云”无线控制器的服务器硬件性能。而“云”

11、无线控制器的虚拟化特性允许采用服务器横向扩展（Scale out ）的方式来提升管理性能，同时还实现了冗余。由于“云”无线控制器的虚拟化特性，即使服务器采用横向扩展方式进行扩容，它从管理运维的角度看只是一个管理节点，网络管理员看到的管到的始终是一台无线控制器，不需要为学校的AP归哪个控制器管而划分群组。从端口配置上看，某市教育城域网这种大型的无线网络部署无线控制器都会采用旁路部署，无线 AP采用本地数据转发的方式，这种方式无线 AP与无线控制 . . 器之间之交互管理数据，数据流量小，只需要 1 到 2 个万兆接口接入核心交换就可以完成链路部署。因此硬件控制器上所配

12、置的丰富的接口和高速的数据转发性能都起不到什么作用。基于以上分析可以看出，在某市教育城域网项目中，使用“云”无线控制器具有扩容更容易，拓扑更简单的特点，更易于后期的网络维护。 3.4.2无线控制器的部署图 3.2.2-1 “云”无线控制器部署示意图如图 3.2.2-1所示， “云“无线控制器只需要部署在教育局网络中心的运维管理区。建议配置两台服务器运行“云”无线控制器，服务器前端配合一台链路负载均衡，两台服务器对AP管理实现负载均衡，并且避免单点故障引起网络问题。某市教育城域网骨干 . . 3.3无线 AP的选择与部署无线 AP首先要满足某市教育局无线控制器管理要求，能通过

13、 CAPWAP 协议与某市教育局的无线控制器进行对接。 AP需要满足 50人同时接入，因此无线 AP要采用 IEEE802.11n/IEEE 802.11ac 协议的无线 AP ，并且支持 2.4GHz和 5.8GHz双频双模， AP要采用 2x2：2 或以上 MIMO 架构。无线 AP支持 IEEE 802.3af或 IEEE802.3at 供电协议，通过 PoE方式供电。由于无线 AP的最大传输带宽已经超过百兆，所以上行PoE交换机建议采用千兆 PoE交换机。交换机要支持至少370W的 PoE功率输出，并且支持IEEE 802.3af 和 IEEE 802.3at协议。在本项目中推

14、荐采用神州数码的DCWL-8200 系列 AP和 S5750E系列 PoE交换机。 3.4实名认证系统部署要满足全市内账户漫游，就需要一个统一的实名认证系统对某市所辖学校所有网络账户进行统一管理和统一认证，网络用户不管身处哪所学校都可以使用自己的账户登陆网络。现在主流的认证系统一般分为两类，一类是网关型认证系统，以硬件形态为主，一般串行在网络出口。第二类是软件型认证系统，一般部署在网络中心机房的管理区，通过与作为认证发起设备的联动实现认证。某市信息化教学应用非常丰富，干网带宽已经达到万兆，如果采用网关型认证系统可能会产生网络瓶颈，鉴于此，本项目中推荐使用软件型认证

15、计费系统。神州数码的软件计费系统是有DCSM-RS 认证服务平台和DCSM-BW 综合业务管理平台两部分组成。 DCSM-RS 提供集中的宽带网络用户认证，授权和计费，及接入策略管理，为电信运营商和大中型园区网提供类型丰富、配置灵活的宽带运营业务模式，如集中认证、漫游认证、内外网准入准出认证、Portal认证、免认证 Portal推送、无感知认证等，以及WLAN 、远程 /VPN、PPPoE拨号、 IPoE、802.1x 等各种基于 . . 身份的认证支持。 DCSM-BW是作为 DCSM-RS 配套使用的综合业务管理后台软件，实现宽带运营中的策略配置、用户管理、用户业务办理、

16、账务处理、统计输出等综合业务功能，是用户对宽带运营管理的统一操作界面。 3.4.1DCSM-RS 实名认证系统部署方式：图 3.4.1-1 实名认证系统部署示意图 DCSM-RS Radius 平台一般与 DCSM-BW宽带业务管理平台同时部署，DCSM-RS Radius 平台负责用户实时认证、计费、控制策略下发以及Portal页面推送， DCSM-BW宽带业务管理平台则负责用户管理、业务策略配置、账务处理、统计报表输出、自助服务、数据维护等后台业务功能。 DCSM-RS 与 DCSM-BW服务器均需旁路部署在受防火墙等网络安全设备保护的数据中心中，原网络的部署与结构无需调整，

17、只需接入控制层的网络设备支持相关的 Radius 和 Portal协议，另外防火墙等网络安全设备须允许RADIUS 、 PORTAL 报文通信。 . . 3.4.2网络认证方式主流的认证方式有802.1x 认证， Portal认证，无感知认证， PPPOE 认证，手机短信认证，二维码认证。 802.1x 认证一般需要采用客户端或者配置启用终端系统自带的802.1x 客户端来进行认证，对终端用户的技术要求较高，多系统平台的兼容性较低，管理员维护工作量增加。因此在本项目中不建议采用。 Poral 认证采用 WEB 页面重定向方式用浏览器为用户推送认证页面，用户终端不需要其他第三方软

18、件就可实现认证。市场上主流的视窗类系统都支持，兼容性高。由于认证时通过用户常用浏览器进行认证，对用户的技术要求低，管理员维护工作量很小。在保证网络安全认证的同时，用户要求简化认证流程，因此神州数码推出了无感知认证，用户在第一次通过Protal认证之后，再次连接网络就不需要在进行认证，直接就可以接入网络，大幅简化认证流程。是本项目中作为首选的认证方式。 PPPOE 认证同样需要使用客户端进行拨号上网，对于移动终端系统的兼容性低，后期维护工作量大。手机短信认证主要用于外来访客的上网认证需求。例如，学生家长，其他地区的参观团，当这些用户有接入网络需求，如果通过管理员

19、一个一个的开通账户效率低，工作量大。采用手机短信认证的方式，用户通过自己的手机按需开通账户，管理员只需要预设好账户有效时间，账户到期后会自动销户。不需要管理员花时间精力去管理这些账户。管理员可根据实际情况随时打开或关闭短信认证方式。二维码认证是目前基于移动终端应用的一种认证方式，系统将访客终端的 MAC 地址信息以二维码的方式表现出来，网络授权由用户通过手机扫描二维码的方式进行授权。下面对 Portal认证，二维码认证，手机短信认证和二维码认证做一个讲解。 . . A. Portal认证 Portal认证是通过浏览器重定向用户访问页面，将通过网页浏览的方式进行用户认证的

20、方式。用户上线认证方式有两种：CHAP 和 PAP ，其中 CHAP 方式为必选功能， PAP 方式为可选功能。 PAP是明文认证方式，所以一般建议采用CHAP 加密认证方式。以 Chap为例的用户上线认证流程，如下图所示： RADIUS 认证流程 WLAN用户 DCSM-RS （ Portal）接入控制器（ AC）连接请求请求认证认证结果告诉用户认证结果用户请求，认证页面推送请求 Challenge 分配 Challenge 图 3.4.2-1 认证流程示意图 1.用户访问网站，经过 AC重定向到 DCSM-RS，DCSM-RS 推送认证页面； 2.用户填入用户名、密

21、码，提交页面，向DCSM-RS 发起连接请求； 3.DCSM-RS 向 AC请求 Challenge ； 4.AC分配 Challenge 给 DCSM-RS； 5.DCSM-RS 向 AC发起认证请求； 6.而后 AC进行 RADIUS 认证，获得 RADIUS 认证结果； 7.AC向 DCSM-RS 送认证结果； 8.DCSM-RS 将认证结果填入页面，和门户网站一起推送给客户； 9.DCSM-RS 回应确认收到认证结果的报文。 . . DCSM-RS 集成功能完整的Portal门户推送平台，支持运营商及厂家接入设备 Portal协议，可基于位置（ VLAN/IP）和终端类型推送指定的页

22、面，使之成为运营商优异的基于Portal门户页面的广告运营、业务推广等增值业务平台。 DCSM-RS Portal 功能特性：快捷便利的 Portal页面编辑内置 Portal页面编辑工具，可针对不同网络位置或商户选择或编辑Portal ，实时动态定义页面风格、样式、内容及使用方式等等，充分展现用户的个性，使运营商能够快速更新门户信息，快速响应市场及合作商的需求，同时也促使终端用户感受有效的信息体验，增加用户对Portal门户的粘度。 WEB Portal 认证和兼容性支持行业标准的 Portal通讯协议和漫游认证协议规范。遵循中国移动 WLAN 业务 PORTAL 协议规范、

23、中国移动 WLAN Portal设备规范、中国电信 WLAN 漫游认证 WISPr协议规范支持 Cisco、Aruba、华三等主流无线设备厂家Portal协议基于终端类型的页面推送自动匹配用户终端类型的页面推送，如智能手机、平板电脑、笔记本电脑等，为用户提供优质便利的接入体验。基于位置的内容推送根据用户的位置（ VLAN/IP 段）推送不同的内容，为场地运营者（如公共区域的不同商户、企业等）提供个性化的网络门户，实现广告运营、消费者互动等增值业务和商业模式。 B. 无感知认证用户无感知认证方式，解决用户需要提升使用者体验的同时，又保证了网络使用的安全性。用户无

24、感知认证，用户在第一次portal认证后，后续上网行为无需再输入账号密码，在用户无感知的情况下认证通过上网，保证安全性的同时提升了用户体验。具体实现设计如下图所示： . . 1. 客户端打开浏览器上网 2. AC 发现HTTP 流量，发起 MAC 认证请求 5. radius认证 6. 认证成功，将终端 MAC 地址作为用户名密码进行开户 STA AP UWS MAC 绑定服务器 AAA server Portal server 3. MAC地址认证，返回认证失败 4.AC将HTTP 请求重定向到 portal 认证页面，输入用户名密码发起认证图 3.4.2-2用户首次认

25、证示意图 1. 客户端打开浏览器上网 2. AC 发现 HTTP 流量，发起 MAC 认证请求 STA AP UWS MAC 绑定服务器 AAA server Portal server 3. MAC地址认证，返回认证成功图 3.4.2-3用户再次上线认证示意图注意：图中的 MAC 绑定服务器并不是单独的一个设备，是在AAA server 中的扩展功能，为了表述清晰，将其单独提出。用户使用体验流程： . . 图 3.4.2-4 无感知认证流程图如流程图所示，用户在第一次连接网络的时候，需要弹出portal ，输入账号密码，点击确认，认证通过后可以访问网络；后续上网，无需再弹出

26、portal ，输入账号名密码等繁琐操作，给用户的感觉是连接wifi ，就直接上网了；实际底层是经过了安全身份认证。该种方式，确保无线网络的安全性，网络用户使用可追溯，保证了用户管理的需要，又避免了网络用户的繁琐操作，提升了用户上网体验。 C. 手机短信认证无线上网用户主要分成内部固定用户、外来访客用户两种，在无线覆盖环境中，由于用户流动性强，如何有效的对外来访客进行管理，体现无线的便捷性及安全性，成为重中之重。对于外来访客，为了网络安全，接入企业的无线网自然需要经过身份认证，以便监控与管理。为了提供给访客简单快捷的获取上网账号密码的方式，特别是对于办公区域面

27、积比较大的园区，像拥有多个办公楼的园区，让访客只能在一个 . . 固定的地方且需要经过人工办理的方式获取上网账号密码，既费时又占用人力，所以访客自助获取账号密码是比较简便快捷的方式。短信认证是指通过短信发送密码，由后台服务器通过短信猫和短信通道发送，短信猫用的最多是socket 接口，短信通道一般为 http 接口，三大运营商基本都是用 http 接口，具体调用接口的内容各有不同。 DCN 无线网络运营方案提供多种短信认证接口，包含通过短信猫方式、与当地运营商对接方式以及与短信运营公司对接方式。 a) 与当地运营商购买短信网关服务一般在用户当地运营商，都有短信网关服务，无线网

28、络管理者直接跟运营商进行短信购买即可。短信发送账号密码拓扑示意图如下：图 3.4.2-5 短信网关认证流程图如图所示，在短信网关使用的情况下，网络架构是无需变化调整的，只需后台 Radius Server软件开通短信通道接口即可。 b) 与短信运营公司对接为节省运营管理者的成本，Radius Server 软件的短信通道也支持与该类运 . . 营公司对接，通过运营公司的固有出口连接到移动、联通等各大运营商网，实现短信下发到最终用户。无线网的运营管理者只需与短信类运营公司进行资费洽谈以及短信量购买，该费用会低于直接与各大运营商直接购买费用，同时无需多个运营商洽谈的麻烦

29、。拓扑示意图如下：图3.4.2-6 短信运营公司认证流程图 c) 短信猫方式。单独购买一台短信猫设备，通过socket 接口与认证计费系统对接。通常不建议用短信猫方式，短信猫相当于一个手机，单条短信成本高，按普通短信价格收，用户体验不好，且容易被运营商屏蔽。 d) 用户短信认证步骤： . . 图3.4.2-7 认证步骤 DCN 方案同时支持终端portal页面推送的定制，方式便捷易用。通过手机申请帐号，便于对流动用户的管理，对网络访问问题可有效追查定位。用户自助完成上网账号获取，可以节省企业管理方的人力成本和维护成本，下面以本系统在珠海移动无线城市的案例为例，介绍自助上网

30、获取的过程：无线用户访问任意网址后，通过Portal强制重定向指定页面，输入个人手机号码，如下图：打开手机， portal 推送，短信申请短信获取账号密码输入后，上网冲浪 . . 图 3.4.2-8 认证界面如果输入手机号码正确，则提示动态密码发送成功，如下图：图 3.4.2-9 认证密码发送提示登录成功后页面如下提示：第二步：点击获取密码第一步：输入珠海移动本地手机号 . . 图 3.4.2-10 用户通过认证 Portal页面可自动匹配用户的终端类型，如手机用户，则系统推送的 Portal 页面如下：图 3.4.2-11手机认证页面 D. 二维码认证二维码认

31、证可以授权人可以通过手机扫描认证系统为被授权人生成的二维 . . 码来对被授权人进行授权，当通过授权后被授权人就可以使用自己的终端直接访问网络。这种方式避免了管理员为来访者逐一开户，管理员只需要将网络授权时间设定好，超时后临时账户自动删除。认证流程如下图： 3.4.3认证系统分权管理在认证和账户管理上某市教育局要求进行统一认证，统一管理。但是使用主体是学校，学校因为一些临时要求需要对账户进行开户，销户等操作，而如果每次都通过教育局管理员来操作效率低下，不能满足需求。而 DCSM 校园宽带认证计费系统支持完善的角色权限管理。可以为学校管理员分配一定的账户权限，让学校管理员可

32、以针对本校需求进行简单的账户开户，销户的操作。 DCSM-RS 可以为角色信息配置工号、姓名、别名，可以分别用其中之一登录系统。可以配置系统使用者是否可以多点登录系统及源地址范围绑定等。功能权限：系统导航的每个功能点都可以在权限中进行具体配置；内容权限：对各种套餐组、资费组、地区组等组属性可以具体配置各个系统使用者允许操作与查看的组，从而决定可以管理的用户范围。方便实现不同校区的权限管理。 . . 图认证系统分权管理界面 3.4.4用户自服务平台自助服务系统支持丰富的自助查询与自助业务办理功能，自助系统开放的功能可以在后台管理界面上由系统管理员统一配置，比如允许开放的自助

33、查询业务、自助变更套餐、停 / 开机等。此外，还可以灵活配置允许自助维护用户资料的选项，比如哪些用户资料允许变更，哪些允许一次性变更等。支持界面的换肤功能，用户可以选择自己喜欢的界面风格，为最终上网用户提供友好的使用感受。 . . . . 3.5无线管理系统部署神州数码的 DCLM 是一套有线无线一体化的综合网络管理平台，可从计划、实施、监控、配置、问题处理、报告等对企业网络进行全面的管理。通过集中、直观、易于使用的用户管理界面显著地降低了网络运营成本。提供清晰的网络管理和控制平台，无线管理组件 DCLM-Wlan ，支持包括 AC 、 AP和移动客户端的位置的实时监控，

34、wlan 安全实施和防御的网络实时监控，网络自动化和调度范围内的配置，快速、高效的故障排除。支持发现并管理有线设备,DCLM-Lan 组件提供有线服务，包含设备的状态、设备名称、设备组、 IP 地址、MAC 地址、位置、联系人、设备类型、供应商、型号、软件版本、硬件版本、固件版本、配置版本、设备序列号、TOP10 告警信息、CPU 和内存使用率、响应时间和丢包率、交换机的所有的接口信息等等功能。倘若当前交换机是POE 设备，还可以对接口进行开关设置。支持位置服务功能，其DCLM-Location 组件支持在热点地图上定位客户端、流氓客户端或流氓AP的位置等功能。 . . 图

35、 3.5-1 无线终端定位支持无线规划功能： DCLM-Planner 组件能够帮助用户在地图上手动或自动的规划 AP的位置，保证满足热点覆盖率。 DCLM产品主要配合神州数码设备使用，提供简易的图形化的配置界面，实现通过智能的按时按需方式对单个或批量设备进行配置修改, 配置文件备份 / 恢复, 和固件升级，从而大大降低管理员的维护强度和难度。可以满足从小型，中型，大型 wlan 和 lan 部署多达数万的网络设备的需求，支持神州数码全系列无线 AC和 AP产品, 以及全系列路由和交换产品，并支持第三方网络设备的发现, 拓扑和统一监控。 3.6安全运维审计部署由于信息系统的脆

36、弱性、技术的复杂性、操作的人为因素，在设计以预防、减少或消除潜在的风险或风险暴露的安全控制时，还应考虑运维管理与操作监控机制以预防、发现错误或违规事件，对IT 风险进行事前防范、事中控制、事后监督和纠正的组合控制。IT 运维审计作为预防性控制的有效补充，并检查、监控控制的适当性与充分性，在信息科技风险管理中发挥极重要作用。对 IT 系统运维进行审计，是控制内部风险的一个重要手段，但大型机构的 IT 系统构成复杂，操作人员众多，如何有效地执行审计工作，是长期困扰各组织信息科技和风险稽核部门的一个重大课题。对任意组织而言，采用基于计算机的审计技术或工具（CAATs, Computer

37、 Assisted Audit Techniques/Tools）无疑是实现监管信息化、提升工作绩效的 . . 重要途径。但首先需要解决的问题是：组织需要关心哪些类型的审计信息？哪些信息或行为对组织尤为关键？目前通用的审计工具大多从网络层面或服务器日志层面获取较为庞杂的信息，往往会导致关键的管理信息或敏感操作淹没于日常业务数据中，或无法追溯操作行为轨迹、了解操作行为意图，可能影响审计的有效性或效率。我们因应市场对 IT 运维审计的需求，集其多年信息安全领域运维管理与安全服务的经验，结合行业最佳实践与合规性要求，率先推出基于硬件服务器平台的“安全审计系统（ DCSAS

38、） ” ，针对于核心资产的运维管理，再现关键行为轨迹，探索操作意图，集全局实时监控与敏感过程回放等功能特点，有效解决了信息化监管中的一个核心问题。 “安全审计系统（DCSAS ） ” 目标是为组织 IT 系统核心服务器的运维操作提供强有力的监控、审计手段，使其切实满足内控管理中的合规性要求。安全审计系统（ DCSAS ）可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计，对策略配置、系统维护、内部访问等进行详细的记录，提供细粒度的审计，并支持操作过程的全程回放。安全审计系统（DCSAS ）弥补了传统审计系统的不足，将运维审计由事件审计提升为内

39、容审计，并将身份认证、授权、管理、审计有机地结合，保证只有合法用户才能使用其拥有运维权限的关键资源。安全审计系统（DCSAS ）为组织在 IT 操作风险控制、内控安全和合规性等方面提供一套完善、有效的审计手段。鉴于网络及管理架构的复杂性，安全审计系统（DCSAS ）系统提供了灵活的部署方式，既可以采取串连模式，也可以采用单臂模式接入到企业内部网络中。采用串连模式部署时，安全审计系统（DCSAS ）具备一定程度上的网络控制的功能，可提高核心服务器访问的安全性；采用单臂模式部署时，不改变网络拓扑，安装调试过程简单，可按照网络架构的实际情况灵活接入。 . . 图 3.6-1 ：单臂模

40、式接入图 3.6-2 ：串联模式接入无论串连模式还是在单臂模式，通过安全审计系统（DCSAS ）访问 IT 基础服务资源的操作都将被详细的记录和存储下来，作为审计的基础数据。安全审计系统（DCSAS ）的部署不会对业务系统、网络中的数据流向、带宽等重要指标产生 . . 负面影响，无需在核心服务器上安装任何软硬件系统。系统特性：完整的身份管理和认证为了确保合法用户才能访问其拥有权限的后台资源，解决IT 系统中普遍存在的交叉运维而无法定位到具体人的问题，满足审计系统“谁做的”要求，系统提供一套完整的身份管理和认证功能。支持静态口令、动态口令、LDAP 、AD域认证方式；支

41、持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功能；支持用户分组管理；支持用户信息导入导出，方便批量处理。灵活、细粒度的授权系统提供基于用户、运维协议、目标主机、运维时间段（年、月、日、周、时间）、会话时长、运维客户端 IP 等组合的授权功能，实现细粒度授权功能，满足用户实际授权的需求。实时监控提供在线运维的操作的实时监控功能。针对命令交互性协议可以图像方式实时监控正在运维的各种操作，其信息与运维客户端所见完全一致。违规操作实时告警与阻断针对运维过程中可能存在潜在操作风险，安全审计系统根据用户配置的安全策略实施运维过程中的违规操作检测，对违规操作提供实时告警

42、和阻断，从而达到降低操作风险及提高安全管理与控制的能力。提供用户可配置的告警规则；告警动作支持操作阻断、通知告警等。完整记录网络会话过程系统提供运维协议Telnet 、FTP 、SSH 、SFTP 、RDP （Windows Terminal ）、 Xwindows、VNC 等网络会话的完整会话记录，完全满足内容审计中信息百分百不丢失的要求。会话信息包括运维用户、运维地址、后台资源地址、资源名、协议、起始时间、终止时间、流量大小信息。详尽的会话审计与回放 . . 运维操作审计以会话为单位，提供当日和条件查询定位，条件查询支持按关键字等组合方式。审计记录提供图像形式

43、的回放，真实、直观、可视地重现当时的操作过程；针对命令交互方式的协议，提供按命令进行定位回放。 3.7无线加速系统部署本次某市教育城域网建设的一个重点内容是用于未来班班通资源推送到班级中的每个学生，改善信息化教学环境，探索新的教学模式。教学资源最佳的展示方法就是视频和动画，如果大量用户并发访问资源平台进行数据下载，对资源平台和干网带宽都是一个不小的压力，师生在访问资源是可能会出现以下问题：视频、流媒体点播、在线观看：文件放映不流畅、拖卡、多次缓冲，严重影响学生的观看情绪，随着高清时代的到来，这种问题愈发显得严重。资源下载：实际的资源下载速度与带宽标称值相差较大，大文件

44、下载耗时过长，对于HTTP资源的下载则可能会出现下载中断或源站失去响应的情况。网页浏览：打开页面需要等待的时间过久。该问题的存在对于高校用户的影响尤为严重。互联网访问应用速度慢，影响正常办公效率，而且造成了网络流量的极大浪费。为了改善以上问题，缓解教育局班班通资源平台和干网压力，在教育局部署一台安全缓存系统，将师生经常访问的网络资源缓存到本地，当有用户访问这些资源是，直接从缓存上将资源发送给用户，不需要占用上层干网的资源。部署方案： A. 网络要求核心交换机需要做端口镜像，把所有用户请求流量镜像到连接DCCache 的端口，使 DCCache 可获得所有用户的互联

45、网请求流量并进行分析。在这种情况下，缓存服务器部署位置只要满足如下要求: 1) IP路由可达 2) 提供千兆骨干带宽连接 . . 3) 所服务的用户响应较好（ ping 值小于 10ms为宜） B. 部署要求部署在中心机房即可；单台缓存服务器为一标准2U设备。各类机柜均可正常放置，需置于一固定托板上，缓存服务器自身提供固定耳。缓存服务器要求的供电方式为冗余双220V 电源。单电源情况下亦可工作，但会报警。单纯的课本内容，并不能满足学生的需要，通过补充，达到内容的完善教育之通病是教用脑的人不用手，不教用手的人用脑，所以一无所能。教育革命的对策是手脑联盟，结果是手与脑的力量都可以大到不可思议。

展开阅读全文