迪讯 DDI (DNS,DHCP,IP地址管理) 产品与上网行为管理联动
d-link设置
D-link设置1. 简介D-link是一种常见的网络设备品牌,提供各种网络路由器和交换机等产品。
通过正确的设置和配置D-link设备,可以实现高效的网络连接和安全的网络通信。
本文档将介绍如何进行D-link设备的设置和配置,包括基本的网络设置,无线网络设置以及安全设置等方面的内容。
2. 基础设置2.1 连接设备在进行D-link设备的设置之前,首先需要将设备与电源连接,并使用网线将设备与电脑连接。
确保设备和电脑之间的连接稳定。
2.2 访问设备管理界面打开浏览器,在地址栏中输入默认的IP地址,通常为192.168.0.1或192.168.1.1,然后按下回车键。
如果IP 地址正确,将会弹出一个登录界面。
2.3 登录设备管理界面在登录界面中输入默认的用户名和密码。
通常情况下,用户名为空,密码为admin。
如果用户名和密码输入正确,将会成功登录到设备管理界面。
3. 网络设置3.1 网络类型在设备管理界面上选择“网络设置”选项。
在网络设置界面上,可以选择不同的网络类型,包括动态IP(DHCP)、静态IP等。
根据实际需求选择合适的网络类型。
3.2 IP设置在网络设置界面中,可以设置设备的IP地址。
对于动态IP (DHCP)类型,可以选择自动获取IP地址,或者手动分配IP地址。
对于静态IP类型,需要手动输入IP地址、子网掩码、默认网关等信息。
3.3 DNS设置在网络设置界面中,可以设置设备的DNS服务器地址。
对于动态IP(DHCP)类型,DNS服务器地址通常由网络提供商自动分配。
对于静态IP类型,需要手动输入DNS服务器地址。
4. 无线网络设置4.1 SSID设置在设备管理界面上选择“无线网络设置”选项。
在无线网络设置界面上,可以设置WiFi的名称(也称为SSID)。
建议设置一个唯一且容易识别的名称。
4.2 安全设置在无线网络设置界面中,可以设置WiFi的安全选项。
常见的安全选项包括无密码、WEP、WPA-PSK等。
DI-8000系列产品介绍
支持修改管理员联系信息、Web 认证页面、阻止上网通告页面、帐户到期提前通知页面
认证记录
记录 WEB 认证用户上下线信息
PPPoE Server 管理 支持只允许使用 PPPoE 接入,修改 PPPoE 服务器名字、地址、子网掩码、认证方式等
虚拟服务
支持端口映射、DMZ、端口触发,可以将内网的服务映射到外网提供服务
USB 扩展接口
USB 3G 上网卡,支持外接电信、联通以及移动三种标准的 3G 上网卡,能够实现共享高速 3G 无线上网。当 WAN 口线路出现异常时,自动切换到 3G 备份线路上,保持网络通常。
USB 存储共享:接上 USB 存储设备,就能轻松建立内部存储服务器。 USB 备份与恢复,通过 USB 存储设备可以实现路由配置文件的导出导入功能,使路由复位或出 现故障后能够快速恢复。
产品特性
VPN 虚拟专用网络
支持多种虚拟专用网络(VPN),如 PPTP、L2TP、IPSEC、OVPN 等技术 。支持 LAN to LAN 方式组网。通过简单配置,您就能轻松搭建安全的 VPN 连接。
上网行为管控
完善的网络监管体制,确保网络资源的合理使用,提升用户的工作效率。通过简单配置,即可对 指定对象(IP 地址组和时间组)、Web 访问(分类的网站和论坛)、聊天软件(如 QQ、MSN 等)、下 载软件(BT、迅雷等)、网络电视软件、股票软件、网络游戏等进行管理。个性化分组策略,为不同 的用户分配不同的上网权限,还能满足时间设置的高级需求,使得管理更加人性化。
电压
外置 7.5V/1A
最大 ≦7.5W
功耗
无线 300Mbps
速率
使用
环境
Ralink Mips384MHz
IP地址管理产品-DDI v2
IP地址管理(DDI)市场分析一、简要介绍起初大家在规划信息化建设与网络安全的时候,内网桌面管理、行为审计与网络边界安全都会做的非常的完善,而恰恰在IP地址层面的管理是微乎其微的,直至现在依然没有摆脱手动管理的传统方式,地址冲突、ARP欺骗、非法接入等事件层出不穷。
在近几年与用户的交流过程中,大家逐渐的都有了基于IP地址做细化管理的想法,尤其在做网络改造与安全加固的时候,大部分用户把IP层面的管理纳入了建设计划。
随着云时代与IPv6时代的到来,对于海量增长的IP地址,系统管理员急需一种简捷有效的管理手段,需求显得尤为迫切。
二、何谓DDIDDI,即DNS,DHCP & IP Address Management (IPAM)的缩写。
它最初来自Gartner2009年的一次报告,当时,Gartner开始重新强调“核心网络服务”的重要性。
更在这份报告中首次提出DDI 这个名词,以及DDI市场的概念。
正是IPv6时代的到来,才让DDI的从名不见经传的无名小辈登上了风云变幻的IPv6时代大舞台。
在这个时代,曾经可有可无的DDI服务,已经华丽变身为不可或缺的关键网络部署选项。
尤其IPv6时代的到来,在网络中部署DDI管理系统已经成为企业用户的标准选项。
DDI:网络核心服务DNS和DHCP能被称为核心网络服务,其重要性不言而喻。
当DNS不能连接,就没法访问网站了;若DHCP发生故障,那么连网络都无法介入,更谈不上上网了。
由此可见,DNS与 DHCP都是非常关键的,而这两者的结合点就是IP,因此,业内通常将DNS、DHCP及IPAM(IP地址管理)统筹考虑。
于是,旨在为IPv6时代企业提供专业核心网络服务的DDI 解决方案应运而生。
三、产品基本特点1.IP地址自动分配;2.IP地址变更审计;3.地址分配可追溯;4.有效防止APR欺骗及地址冲突;5.IPv4、IPv6双栈管理;6.访客、非法IP授权控制;7.DNS域名解析服务四、当下管理现状手工管理和维护复杂度高手动要对每台计算机进行唯一的IP地址、网关、子网掩码、DNS域名等参数进行设臵。
RG-DDI网络核心服务设备产品白皮书
RG-DDI网络核心服务设备产品白皮书目录1产品图片 (3)2产品概述 (4)3产品特性 (4)4技术参数 (5)5典型应用 (5)1产品图片RG-DDI2000/3000RG-DDI10002产品概述RG-DDI(DNS、DHCP、IP管理)网络核心服务设备,是一款融合真正的智能DNS、高性能DHCP服务器、可视自动化IP地址管理的三合一产品,提供统一图形化管理界面,丰富的报表,供运维决策分析。
3产品特性真正的智能DNS,打造极速出口体验,解决跨运营商难题●与锐捷网络RG-SAM认证计费管理平台联动可获取用户属性,根据用户运营商属性来发送DNS请求到相应出口线路,实现电信套餐用户访问电信服务器,联通套餐用户访问联通服务器●与出口网关(RG-EG系列网关、RG-RSR77系列路由器以及其他品牌出口设备)联动,根据各条线路的带宽比或负载率信息自动分配DNS请求,均衡各条线路之间的流量●支持查看TOP N URL资源,记录URL资源与线路组对应关系,将对应的URL流量在线路组内均衡分配,让负载均衡的效果更好●支持URL分类,以通配符方式匹配域名来对DNS请求进行选路,比如教育网DNS请求只发往CERNET DNS服务器●入站智能DNS解析,根据用户运营商属性返回相应的服务器运营商公网IPDHCP+准入认证,内网终端接入管理安全又简单●DDI DHCP+功能实现交换机上对内网终端IP和MAC的自动绑定,无需人工手动配置,大大减轻维护工作量●无客户端认证,不需要终端安装浏览器和客户端,自动绑定MAC、IP、主机名,实现所有类型移动终端的自动化认证管理●迁移部署简单工作量小,DDI自动扫描在网终端IP/MAC绑定情况,然后实现批量绑定,用户终端只需要改成DHCP方式获取IP即可●DHCP指纹技术,可以识别终端类型,防止非法无线路由器接入,终端类型信息统计高性能DHCP,IP地址秒GET●最大提供3K/S的IP分配性能,1万终端同时获取IP只需5秒钟●双机热备,状态信息实时同步,保障DHCP服务的可靠性IP地址可视化、自动化管理,让运维工作准确又高效●自动实现IP+MAC+端口+主机名绑定,3步轻松完成部署●一键授权新用户,新终端入网安全又快捷●实时监控DHCP地址池使用率●可视化呈现终端IP状态,方便故障定位,IP地址维护●可以基于IP,MAC和接入设备进行记录查询4技术参数5典型应用RG-DDI应用场景包括:一,出口有多条运营商线路,并且有对外发布网站服务的企事业单位。
D-Link 8系列路由器上网行为管控配置手册
这里我们以设置一段 IP 为例:
点击“完成”按钮以后,IP 地址设置完毕。
第二种用户范围为基于 MAC 地址
这里面又可以选择是针对没有绑定 ARP 的用户,还是针对绑定 ARP 的用户进行通告
第 13 页 共 24 页
第三种用户范围为接入类型
这里根据用户的接入类型,非 PPPOE 接入用户与 PPPOE 接入用 户,分别进行通告。 选择完通告范围以后,我们对通告内容进行选择,前面我们已经 设置了通告内容,这里我们直接进行选择就行。
分别点击每周和每天选项, 根据弹出的对话框选择一周里面的天数 和时间段
第 7 页
共 24 页
图中设置的时间段为每周的周一到周五,每天的时间段为 9 点到 18 点。设置这条以后,该规则只会在该时间段生效。
全部设置完毕,点击添加,网址过滤设置完毕。
联系到前面所做的设置,我们对这条规则的理解为 IP 地址为 192.168.0.110—192.168.0.120 的 10 名用户, 在周一到周 五的 9 点到 18 点时间段内, 只允许访问 这个网址。 其他网址不允许访问。
最后如果需要在某一段时间内进行通告,则将基于时间控制选项 打上勾。然后分别对每周的那一天,每天的哪一时段进行选择。这里 我们设定为每周的周一至周五,每天的 9 点到 18 点进行时间段设置。
设置完上述的全部以后,点击添加,则通告规则设置完毕。
第 14 页
共 24 页
这条规则我们理解为: 周一至周五的早上 9 点到 18 点当中,所有没有经过 ARP 绑定的用户, 每隔 30 分钟都会收到系统的一条通告。
接着在描述栏中填写这条规则的名称, IP 地址组采用我们前面建立 的 TEST1 地址组
第 5 页
一、产品名称核心网络服务设备(DDI)
一、产品名称:核心网络服务设备(DDI)
二、参考品牌:infoblox
三、参考型号:TE-1410-NSI-AC
四、技术要求:
五、资质要求
1. 投标商必须为中央政府采购网协议供货商;2.本次竞价限本地供应商或在本地有销售及服务网点的外地供应商参与;3.投标商需上传营业执照复印件(加盖公章)、税务登记复印件(加盖公章)、组织机构代码证(加盖公章);4. 投票商需提供原厂售后服务承诺函,并上传扫描件,中标后提供原件;4. 供应商提供的货物保证为原厂正版货物。
六、服务要求
中标供应商提供免费上门安装调试服务,提供三年原厂售后服务,NBD备件服务。
保修期内上门维护。
所供货物须由供应商派人送货上门,不得使用快递或者客户自提等方式发货。
基础教育城域网实名认证系统应用研究
基础教育城域网实名认证系统应用研究作者:白骏烈陈适来源:《中国教育技术装备》2020年第11期摘要鉴于原有认证系统难以有效满足需求,在原有认证系统的基础上进行重新设计开发,以实现通过统一账号进行用户与设备管理的有线无线一体化统一认证。
本认证系统的开发与应用对其他地区具有一定的借鉴意义。
关键词教育信息化;云平台认证系统;教育城域网;无感知认证;泛在学习中图分类号:G434 文献标识码:B文章编号:1671-489X(2020)11-0020-031 前言2015年,浙江省教育厅提出建设无线城域网,为师生泛在学习提供基础环境保障。
温州市瓯海区提前三年就完成了教育无线城域网建设,基本实现覆盖全区所有学校的主要教学和办公场所。
温州市瓯海区的无线城域网建设以“顶层设计、统一标准、分步实施”为原则,以“实名认证、集中管理、无线漫游”为目标,以“强中心,弱学校”为思路。
通过区级层面部署认证系统实现用户准出认证,解决用户实名上网的认证管理要求。
2018年,网络安全法和网络等级保护2.0制度对城域网用户认证和日志管理提出新的要求,原来的认证系统已不能很好地满足需求,主要体现为用户设备指纹(如MAC地址)无法自动获取、用户无法实现自主管理、有线设备无法管控、用户设备无法无感知使用等。
为此,温州市瓯海区决定在原有认证系统的基础上进行重新设计开发,以实现通过统一账号进行用户与设备管理的有线无线一体化统一认证。
本认证系统的开发与应用对其他地区具有一定的借鉴意义。
2 认证系统的设计框架设计系统框架本系统实现有线无线一体化统一认证,采用Web Portal认证方式,在不安装C/S端程序的情况下跨三层获取设备指纹信息,同时将设备、账号、用户、日志等进行关联,最终实现用户无感知认证的优秀体验,如图1所示。
确定开发原则1)云平台紧密结合。
2019年,温州市瓯海区完成“智慧教育云平台V 2.0”建设,实现云平台各类应用的统一组织、统一用户、统一标准和统一入口,实现平台内各类应用数据互联互通。
锐捷RG—DDI助用户实现轻松运维
锐捷RG—DDI助用户实现轻松运维作者:赵明来源:《中国计算机报》2016年第27期在针对DNS的攻击事件频繁发生时,DDI产品集DNS、DHCP和IP管理功能于一体,减轻了企业IT运维人员的负担。
因此,这个更加细分的产品线已经开始引起很多网络解决方案提供商的重视,DDI产品也将逐渐进入企业中,担当更大的职责。
随着云计算、BYOD和物联网的飞速发展,企业网络连接需求激增,网络业务更加多元化,企业对网络性能和安全要求也随之提高,这让不少企业开始重新审视现有的网络架构是否可以使企业网络安全、稳定、可靠地运行。
在企业网络架构中,DNS(域名系统)和DHCP(动态主机配置协议)通常被称为核心网络服务,其重要性不言而喻。
DNS不能连接,就没法访问网站;若DHCP发生故障,网络都将无法接入,不能上网。
由此可见,DNS与 DHCP都是非常关键的网络服务功能,而这两者的结合点就是IP。
如何协调好,保护好这两者呢,如今有一些DDI(DNS+DHC+IPAM)解决方案产品恰好满足了IT运维人员的统一管理需求,为企业业务不停摆起到良好的支持作用。
DNS频遭攻击引起重视DDI这一概念是Gartner在2009年提出来的,它是三个网络核心服务设备的总称,包括:DNS、DHCP和IP管理。
DNS、DHCP共享一个数据库。
IP管理功能作为嵌入式的组件或者是单独的组件,形成一款三合一的产品。
以往用户大多采用免费的DDI方案,比如:ISC互联网联盟、网络设备自带的DNS/DHCP、Windows服务器内置的DNS/DHCP,但这些免费方案普遍面临着部署维护难、可管理性差、可靠性欠缺、IP管理能力弱等问题。
赛迪顾问在2014年所发布的调查报告显示,仅有不到30%的被调查企业关注DDI管理和网络自动化,而对DDI管理的忽略导致网络故障和遭受攻击的可能性大大提高。
该份调查同时表明,自2013年以来,以DNS为代表的一系列基础网络管理问题比以往出现的愈加频繁。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
CNS与上网行为管理互动解决方案
实现IP从实名准入、动态分配管理、审计,到行为管理一个完整闭环的处理
SUNNY XU
企业安全准入与准出控制
内网安全准入与准出,顾名思义,就是在客户端进入网络的环节进 行访问控制的,叫网络准入控制;在客户端外出网络的环节(一般 指的是访问互联网)进行访问控制的,叫网络准出控制。
5
与深信服上网行为管理联动效果
1) CNS-APP 系统通过与第三方认证系统联动,当终端用户进行 web portal认证时输入个人账号,密码 进行注册。 2) 当终端设备注册成功后, CNS-APP 系统将根据 DHCP 分配的情况 ,给已授权MAC地址发送IP分配确认消息时,将给深信服系统发送 “用户账号, IP ,MAC”的消息。
D N S 及 IP 地 址 安 全 管 理
基础网络安全
DHCP/DNS/IP地址 管理
集中的自动化IP地址分配与回收 保障IP地址分配的稳定可靠 保证DNS域名解析的稳定性 避免IP地址冲突/欺骗的现象 DHCP/DNS网络服务的冗余备份 IPv4/IPv6地址体系平滑迁移
传统型 DDI
实名IP接入安全
CNS
•DHCP准入 •Portal实名注册 •MAC地址授权
发送用户abc上线消息 发送用户abc下线消息
上网行为
•准出认证 •上网行为审计
7
管理员后台设备实名注册
首次请求IP地址
客户端
•用户有线 /无线设备
设备MAC未授权, 分配隔离区IP地址 管理员后台实名注册 设备MAC地址 注册成功后,重新请求IP地址 设备MAC地址已实名授 权,分配正常区IP地址
6
设备实名自服务注册Portal
认证服务器
•AD域控 •LDAP •RADIUS •本地数据库
user=abc? pwd=123?
OK,账号 密码没有问题!
首次请求IP地址
客户端
•用户有线 /无线设备
设备MAC未授权, 分配隔离区IP地址 实名注册C地址, 账号是abc,密码是123 注册成功后,重新请求IP地址 设备MAC地址已实名授 权,分配正常区IP地址
CNS
•DHCP准入 •管理员后台注册 •MAC地址授权
发送MAC上线消息 发送MAC下线消息
上网行为
•准出认证 •上网行为审计
8
自服务注册Portal(页面自适应屏幕)
9
自服务注册Portal(客户案例)
10
与网康/深信服联动参数配置
11
网康联动 – MAC动态授权控制
12
网康联动 – 发送到网康设备的消息日志
13
网康联动 – 网康的后台管理界面
14
深信服联动 – MAC动态授权控制
15
深信服联动 – 发送到深信服的消息日志
16
深信服联动 – 深信服的后台管理界面
17
迪讯信息
谢谢!
CNS解决方案 提供简洁有效的DNS/DHCP/IP地址管控平台
DHCP+接入控制
无需安装客户端的实名IP准入机制 MAC地址黑白名单,控制非法IP接入 无线BYOD终端类型自动识别 防止私接路由器、交换机 实名制动态IP地址分配审计 访客IP地址动态授权控制
4
与网康上网行为管理联动效果
1) CNS-APP设备将根据DHCP分配的情况,当给已授权MAC地址发送IP 分配确认消息时,将给网康系统发送“用户上线”消息。当已授权MAC 地址的IP回收成功后,将给网康系统发送“用户下线”消息。 2) 网康将以终端MAC地址为审计依据,改变以IP地址为审计依据的管理 模式。 3) 网康系统,将联动收到的上、下线消息作为终端行为审计的依据或根 据CNS-APP设备发送的上下线消息来控制终端设备访问外网,只有CNSAPP系统发送的IP地址,才能够正常的通过网康设备,访问外网。 4) 该联动实现了准入与准出的同步,合法用户在经过网康系统向外访问 时,可以做到无感知认证。反之,非法用户 --- 包括未经过准入授权的 用户终端和手工私设IP的终端,将无法通过网康系统。
3) 如果CNS-APP系统没有和第三方认证系统联动,当终端设备注册 成功后, CNS-APP 系统将根据 DHCP 分配的情况,给已授权 MAC 地 址发送IP分配确认消息时,将给深信服系统发送“IP ,MAC”的消 息。 4) 深信服将以终端认证账号或 MAC地址为审计依据,改变以IP地址 为审计依据的管理模式。
网络准入控制的方式主流的分为802.1x方式、DHCP+准入+Portal认证方式 802.1x方式主要是一些桌面安全厂家的产品配合交换机内置的802.1x端口访 问控制协议实现网络准入,效果是安装了桌面安全终端的客户机并通过认证 授权的可以通过802.1x认证,未通过认证的将会被拒绝,主流厂家有中软、 联软等; DHCP+准入控制方式是 近几年的一种新技术解决方案,通过 DNS/DHCP/IPAM核心网络服务设备,实现IP地址管理、DNS管理、DHCP 管理,同时利用DHCP+技术、 DHCP指纹识别控制,DHCP SNOOPING技 术和DAI技术,实现有线/无线IP的准入管理与控制; 网络准出控制的方式主要为上网行为控制方式。网络准出控制主要面向的应 用层,就是说要让你允许准入的用户对外访问具有权限控制。
2
实施上网行为管理的前提条件
1) 终端设备要尽量使用固定IP地址,网络中各级IP地址分配策略尽量 使用静态分配策略,最好是网络终端设备的IP地址和MAC地址相绑 定等技术手段来实现管理节点与使用管理人员相对应; 企业局域网中尽量不要使用路由器等网络转发设备,以防降低网络 行为管理的可追溯性,同时也要做好NAT管理工作;
2)
3)
针对具体企业部门尽量划分在一个逻辑IP地址段内,地理位置不同 的企业区域采用不同数字开头的私有IP地址群显著标明,以有效阻 断网络风暴及ARP病毒等在全网传播;
建立健全IP地址与使用管理人员关系表并加以动态完善,这也是实 施网络行为管理的基础性工作。
4)
3
增强型DHCP/DNS/IPAM解决方案