第二部分 H3C iMC UAM产品培训
合集下载
最新H3C官方基本配置及网络维护培训ppt课件
• 在高级访问控制列表视图下,删除一条子规则
– undo rule rule-id [ source ] [ destination ] [ soureport ] [ destination-port ] [ precedence ] [ tos ] | [ dscp ] [ fragment ] [ time-range ]
配置ACL进行包过滤的步骤
• 综上所述,在System交换机上配置ACL进行包过滤的 步骤如下:
– 配置时间段(可选) – 定义访问控制列表(四种类型:基本、高
级、基于接口、基于二层和用户自定义) – 激活访问控制列表
访问控制列表配置举例一
要求配置高级ACL,禁止员工在工作日8:00~18:00的时间段内访问新浪 网站( 61.172.201.194 )
Intranet
访问控制列表ACL
对到达端口的数据包进行分类,并打上不同的动作标记
访问列表作用于交换机的所有端口 访问列表的主要用途:
包过滤 镜像 流量限制 流量统计 分配队列优先级
流分类 通常选择数据包的包头信息作为流分类项
2层流分类项
以太网帧承载的数据类型 源/目的MAC地址 以太网封装格式
访问控制列表配置举例二
配置防病毒ACL 1. 定义高级ACL 3000 [System] acl number 3000 [System -acl-adv-3000] rule 1 deny udp destination-port eq 335 [System -acl-adv-3000] rule 3 deny tcp source-port eq 3365 [System -acl-adv-3000] rule 4 deny udp source 61.22.3.0 0.0.0.255
– undo rule rule-id [ source ] [ destination ] [ soureport ] [ destination-port ] [ precedence ] [ tos ] | [ dscp ] [ fragment ] [ time-range ]
配置ACL进行包过滤的步骤
• 综上所述,在System交换机上配置ACL进行包过滤的 步骤如下:
– 配置时间段(可选) – 定义访问控制列表(四种类型:基本、高
级、基于接口、基于二层和用户自定义) – 激活访问控制列表
访问控制列表配置举例一
要求配置高级ACL,禁止员工在工作日8:00~18:00的时间段内访问新浪 网站( 61.172.201.194 )
Intranet
访问控制列表ACL
对到达端口的数据包进行分类,并打上不同的动作标记
访问列表作用于交换机的所有端口 访问列表的主要用途:
包过滤 镜像 流量限制 流量统计 分配队列优先级
流分类 通常选择数据包的包头信息作为流分类项
2层流分类项
以太网帧承载的数据类型 源/目的MAC地址 以太网封装格式
访问控制列表配置举例二
配置防病毒ACL 1. 定义高级ACL 3000 [System] acl number 3000 [System -acl-adv-3000] rule 1 deny udp destination-port eq 335 [System -acl-adv-3000] rule 3 deny tcp source-port eq 3365 [System -acl-adv-3000] rule 4 deny udp source 61.22.3.0 0.0.0.255
H3C网络产品销售培训资料PPT(20张)
5、世上最美好的事是:我已经长大,父母还未老;我有能力报答,父母仍然健康。
•
6、没什么可怕的,大家都一样,在试探中不断前行。
•
7、时间就像一张网,你撒在哪里,你的收获就在哪里。纽扣第一颗就扣错了,可你扣到最后一颗才发现。有些事一开始就是错的,可只有到最后才不得不承认。
•
8、世上的事,只要肯用心去学,没有一件是太晚的。要始终保持敬畏之心,对阳光,对美,对痛楚。
主开发的无管理以太网交换产品,提供8个符 合IEEE802.3u标准的10/100M自适应以太网接 口,所有端口均支持全线速无阻塞交换以及端 口自动翻转功能。Aolynk S1008A-G交换机采 用桌面型塑胶壳设计。
S1008A-V 桌面型交换机
产品概述
Aolynk S1008A-V桌面型交换机是H3C公司自主 开发的无管理以太网交换产品,提供8个符合 IEEE802.3u标准的10/100M自适应以太网接口 ,所有端口均支持全线速无阻塞交换以及端口 自动翻转功能,1~7端口支持端口隔离。 Aolynk S1008A-V交换机采用桌面型塑胶壳设
计。
S1008A 桌面型交换机
产品概述 Aolynk S1008A桌面型交换机是H3C公司自主
开发的无管理以太网交换产品,提供8个符合 IEEE802.3u标准的10/100M自适应以太网接口 ,所有端口均支持全线速无阻塞交换以及端口 自动翻转功能。Aolynk S1008A交换机采用桌 面型塑胶壳设计。
企业级路由器
ER3100 ER3200 ER3260 ER5100 ER5200
网吧专用型
ER6300 ER8300
H3C网络产品—方案篇
网吧典型配置方案 普教校园网解决方案 中小企业网解决方案
H3C渠道精英业务软件培训(pdf 102页)
Publish
Service Provider
Service Registry
Find
Bind
Service Requestor
n 松散的组件
n 严格定义的服务
n 灵活易于创建的架构
n 资源的优化与再利用
11
Web 2.0
2004.10 Web2.0
Was brought to life by
预部署的设备配置 ACS服务器:iMC BIMS
TR069协议栈
9
ITIL概述
nITIL是CCTA(英国国家计算机和电信局)于20世纪80年代末开发的一套IT服务管理标准库,它 把英国各个行业在IT管理方面的最佳实践归纳起来变成规范,旨在提高IT资源的利用率和服务质量。 nITIL是一种规范或者框架,而不是具体的标准,不是“你必须怎么做”,而是“别人是怎么做 的”。 n ITIL把IT管理活动归纳为一项管理功能和十个核心流程。 nITIL的好处:
接入用户
接入设备
RADIUS 服务器
802.1x、PPPoE等
RADIUS协议
nRADIUS (Remote Authentication Dial-in User Service)是当前流行的安全服务器协议 n实现AAA(验证Authentication、授权Authorization和计费Accounting)功能
n工作更规范:IT部门的工作由服务台统一接受需求,统一分配给具体的工程师; n问题处理条理:先记录现象,再记录处理的过程,最后有经验总结; n工作可度量:IT部门的工作可以衡量,服务的速度、服务的过程、服务的质量都有了依据。
10
SOA概述
SOAP
vs
iMC智能管理中心培训
18
iCC组件概述 iCC组件概述
•iMC组件丰富,其中就有智能配置中心(Intelligent Configuration Center,简称为iCC)。 •iCC是针对网络配置进行统一管理的系统,系统定位于管理 设备的配置文件和软件(推荐配合使用“设备配置库和设备 软件库”),实现了对设备使用的配置文件和软件的高效管 理和灵活部署。 •iCC提出的“设备配置库”和“设备软件库”,可实现对设 备使用的配置文件和软件的统一管理。iCC易于管理、安全 可靠、操作方便,能够大幅提升工作效率。
基于SOAP的开放架构,通过向 第三方OSS或网管系统开放接口 构建增值价值链
增值价值链中的支撑管理中 间件
4
iMC智能管理中心系统架构 iMC智能管理中心系统架构
解 决 方 案 增 值 业 务 基 础 业 务 平 台 平 台 框 架 M iMC
M
按
iMC
需 装 配
iMC
17
用户管理与设备的拓扑融合
操作简单, 操作简单,提 高管理效率
融合网络资源与终端用户的拓扑管理,直观展现终端用户、 融合网络资源与终端用户的拓扑管理,直观展现终端用户、设 端口、链路的运行状态, 备、端口、链路的运行状态,方便用户及时发现网络异常提供 灵活、方便的自定义/业务拓扑定制,方便用户对关键业务、 灵活、方便的自定义/业务拓扑定制,方便用户对关键业务、 链路和用户进行集中监控和部署
iMC平台总体介绍 iMC平台总体介绍 iMC平台网管特性 iMC平台网管特性 EAD解决方案新特性 EAD解决方案新特性 APM组 APM组 件介绍 SOM组件介绍 SOM组件介绍
8
iMC智能管理中心平台功能概述 iMC智能管理中心平台功能概述
02-iMC智能管理中心
H3C iMC智能管理中心iMC平台H3C iMC智能管理中心(H3C Intelligent Management Center,以下简称H3C iMC)为业务软件产品线的核心产品。
作为H3C IToIP整体解决方案的重要组成部分,H3C iMC智能管理中心从根本上颠覆了传统网络管理软件的设计思想,采用面向服务架构(SOA)的设计思想,融合并统一管理业务、资源和用户这三大IT组成要素,通过按需装配业务组件与相应的硬件设备配合,形成一整套、一系列直接面向客户应用需求的解决方案。
H3C iMC智能管理中心将所有的IT资源统一的调度起来,达到了资源的最大化整合,进而升华了H3C IToIP整体解决方案的价值。
面向服务的架构,多组件灵活组合,形成丰富的解决方案组件简介用户管理组件UAM用户接入管理组件UAM用户接入管理组件将管理的范畴从网络设备延展到了网络用户的管理,通过网络设备管理和用户管理的深度融合和联动,在统一的平台上实现了用户、网络的集中管理,实现了两者之间的有机融合。
EAD终端准入控制组件EAD终端准入控制组件集安全认证、准入控制、桌面管理、智能联动、高可用性于一身,从控制用户终端安全接入网络的角度入手,整合网络接入控制与终端安全产品,通过联动,对接入网络的用户终端强制实施企业安全策略,严格控制终端用户的网络使用行为,有效地加强了用户终端的主动防御能力,为企业网络管理人员提供了有效、易用的管理工具和手段。
UBA用户行为审计组件UBA用户行为审计组件通过与多种网络设备共同组网,实现了对终端用户的上网行为进行事后审计,追查用户的非法网络行为的功能。
UBA支持多种日志格式,可实现2到7层的用户行为审计。
CAMS计费管理组件CAMS计费管理组件可以稳定、高效地完成对网络接入用户的认证计费管理等功能,满足各种网络可运营、可管理的需求。
同时,它还提供丰富和开放的第三方接口功能,帮助管理员快速有效地与第三方系统进行对接。
iMC-002 H3C iMC 平台介绍V2.0
增加自定义视图
点击“网络”页签,在左导航树上单击[自定义视图],在弹出的页面中, 单击<增加>按钮,弹出“增加视图”页面,输入“名称”字段,即可增 加自定义视图;在自定义视图列表中,点击[查看拓扑]链接,即可查看该 视图的拓扑。
拓扑导入导出
点击“网络”页签,在左导航树上单击[拓扑导入导出],在弹出的页面 中,选择要导入的文件,单击<拓扑导入>按钮,即可将文件中的拓扑信 息导入到系统中;导出则是反向过程,可将当前系统中内容导出到文件 中。
IP拓扑是从IP层协议
的角度,对系统所管理 的网络进行认识和分析 所自动形成的拓扑,显 示了三层设备(有两个 或以上IP地址,并启动 了IP转发的设备)之间 的逻辑连接关系。在IP 拓扑中展示了网络中的 三层设备与三层设备, 三层设备与子网的连接 关系,反映出网络中的 路由和子网划分情况。
拓扑分类——自定义拓扑
iMC专业版和标准版的区别有两点:专业版支持的操作系统有两
种:Windows和Solaris,但标准版只支持Windows操作系统。 标准版没有分级网管中的上级网管功能,只可做下级网管。因此, 没有建立分级网管关系、下级网管展示以及登录下级网管功能。
中小企业版除了没有上述的两点功能特性以外,还有很多功 能不提供。例如,没有自定义拓扑功能,没有设备分组和用 户分组功能等。
查看设备信息
对选中设备,右键弹出菜单中,点击 “设备信息”、“修改标签” 菜单,即可打开对应的页面。
设备 信息
修改 标签
查看设备面板信息
在网络拓扑图中,对选中设备右键弹出菜单中,点击 “打开设备面板” 即可打开设备面板。
设备 面板
实时告警、性能与在线用户数展示
在左键单击设备节点, 在弹出的Tooltip中显示了 当前设备的告警、性能相 关信息以及在线用户数。 点击对应链接(蓝色字体) 可跳转到详细信息页面, 查看更详细的数据。
02 H3C iMC智能管理中心平台介绍
iMC拓扑管理(1)
iMC智能管理平台提供多种类型的拓扑:提供传统的基于IP网络的IP拓扑、二 层拓扑和邻居拓扑。 用户可以根据实际组网情况,自由定义自己关注的网络拓扑视图(自定义拓 扑)
34
iMC拓扑管理(2)
拓扑上可显示设备的相关信息,也支持显示链路的流量。
iMC智能管理中心概述
iMC(Intelligent Management Center)智能管理中心是H3C推出的 下一代业务智能管理产品。它融合了当前多个产品,以统一风格提供 与网络相关的各类管理、控制、监控等功能;同时以全开放的、组件 化的架构原型,向平台及其承载业务提供分布式、分级式交互管理特 性;并为业务软件的下一代产品提供最可靠的、可扩展的、高性能的 业务平台 。智能管理中心的公共管理平台在以下将简称为平台。
32
第二章 iMC平台中的基础网络管理
第一节 资源和设备管理
第二节 拓扑管理 第三节 告警管理
第四节 性能管理
第五节 大屏展示 第六节 智能配臵中心 第七节 ACL管理 第八节 VLAN管理 第九节 虚拟化网络管理 第十节 报表管理 第十一节 分权管理 第十二节 分级管理 第十三节 OAA开放
15
设备导入/导出功能
iMC提供的设备导入/导出功能为系统升级和网管系统切换提供了便利, 尤其是导入文件的可定制化使得用户很容易手工编辑一个导入文件, 也可以对其他网管系统导出的设备进行快速编辑后导入iMC系统。
16
用户导入/导出功能
用户资源可通过简单的增加和批量导入的方式,加入iMC中进行管理。 iMC同时提供用户附加信息,可根据iMC的真实使用情况,为用户定 制更多的可用附加信息。批量操作功能可以一次性对多个用户进行批 量修改或注销。
H3CNE培训第二部分
网络设备及其操作系统介绍
日期:
杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播
H3C网络学院v3.0
引入
� 构建大、中、小型企业网络的主要设备是路由器和交 构建大、 换机 � H3C公司提供全系列路由器、交换机及其它网络设备 公司提供全系列路由器、 公司提供全系列路由器 � 控制路由器和交换机工作的核心软件是网络设备的操 作系统
连接多个以太网物理段, � 连接多个以太网物理段,隔离冲突域
� 对以太网帧进行高速而透明的交换转发
自行学习和维护MAC地址信息 地址信息 � 自行学习和维护
交换机的特点
� 主要工作在 主要工作在OSI模型的物理层、数据链路 模型的物理层 模型的物理
层
� 提供以太网间的透明桥接和交换
H3C产品的核心软件平台 产品的核心软件平台 对硬件驱动和底层操作系统进行屏蔽与 � 对硬件驱动和底层操作系统进行屏蔽与 封装 集成了丰富的链路层协议、以太网交换、 � 集成了丰富的链路层协议、以太网交换、 IP路由及转发、安全等功能模块 路由及转发、 路由及转发 制定了软硬件接口标准规范, � 制定了软硬件接口标准规范,对第三方 厂商提供开放平台与接口
使用SSH终端访问 � 使用 终端访问 通过异步串口访问 � 通过异步串口访问
使用Console口进行连接 口进行连接 使用 口进
串口
Console口
终端
Console线缆
Router/Switch
创建新连接
选择COM口 口 选择
� � � 路由器与交换机的作用与特点 H3C路由器与交换机介绍 路由器与交换机介绍 H3C网络设备操作系统 网络设备操作系统Comware 网络设备操作系统
日期:
杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播
H3C网络学院v3.0
引入
� 构建大、中、小型企业网络的主要设备是路由器和交 构建大、 换机 � H3C公司提供全系列路由器、交换机及其它网络设备 公司提供全系列路由器、 公司提供全系列路由器 � 控制路由器和交换机工作的核心软件是网络设备的操 作系统
连接多个以太网物理段, � 连接多个以太网物理段,隔离冲突域
� 对以太网帧进行高速而透明的交换转发
自行学习和维护MAC地址信息 地址信息 � 自行学习和维护
交换机的特点
� 主要工作在 主要工作在OSI模型的物理层、数据链路 模型的物理层 模型的物理
层
� 提供以太网间的透明桥接和交换
H3C产品的核心软件平台 产品的核心软件平台 对硬件驱动和底层操作系统进行屏蔽与 � 对硬件驱动和底层操作系统进行屏蔽与 封装 集成了丰富的链路层协议、以太网交换、 � 集成了丰富的链路层协议、以太网交换、 IP路由及转发、安全等功能模块 路由及转发、 路由及转发 制定了软硬件接口标准规范, � 制定了软硬件接口标准规范,对第三方 厂商提供开放平台与接口
使用SSH终端访问 � 使用 终端访问 通过异步串口访问 � 通过异步串口访问
使用Console口进行连接 口进行连接 使用 口进
串口
Console口
终端
Console线缆
Router/Switch
创建新连接
选择COM口 口 选择
� � � 路由器与交换机的作用与特点 H3C路由器与交换机介绍 路由器与交换机介绍 H3C网络设备操作系统 网络设备操作系统Comware 网络设备操作系统
【培训】H3C培训PPT课件
交换机基本配置及网络维护培训
ISSUE 1.0
.
杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播
欢迎你来访 谢谢下载 1
目录
第一章 VLAN原理及基本配置 第二章 STP原理及基本配置 第三章 ACL原理及基本配置 第四章 设备管理基本配置 第五章 常用维护方法和命令
.
欢迎你来访 谢谢下载 2
• Hybrid link:允许多个VLAN的tagged数据 流和多个VLAN的untagged数据流通过。
• Hybrid端口可以允许多个VLAN的报文发送时不携带标签,而Trunk端 口只允许缺省VLAN的报文发送时不携带标签。
• 三种类型的端口可以共存在一台设备上
.
欢迎你来访 谢谢下载 6
Access Link和Trunk Link
Host B
172.16.1.2/24
Switch
Vlan-int1 172.16.1.1/24 172.16.2.1/24 sub
172.16.2.2/24
172.16.2.0/24
Host A
.
欢迎你来访 谢谢下载 15
VLAN配置举例
Server2
Server1
SwitchA
Eth1/0/2
port Ethernet 2/0/1
在VLAN中删除端口.
undo port Ethernet 2/0/1
将端口加入VLAN
port access vlan 100 (1-4094) 将端口脱离VLAN
undo port access vlan 100 (1-4094) 显示VLAN信息
display vlan VLAN ID (1-4094)
ISSUE 1.0
.
杭州华三通信技术有限公司 版权所有,未经授权不得使用与传播
欢迎你来访 谢谢下载 1
目录
第一章 VLAN原理及基本配置 第二章 STP原理及基本配置 第三章 ACL原理及基本配置 第四章 设备管理基本配置 第五章 常用维护方法和命令
.
欢迎你来访 谢谢下载 2
• Hybrid link:允许多个VLAN的tagged数据 流和多个VLAN的untagged数据流通过。
• Hybrid端口可以允许多个VLAN的报文发送时不携带标签,而Trunk端 口只允许缺省VLAN的报文发送时不携带标签。
• 三种类型的端口可以共存在一台设备上
.
欢迎你来访 谢谢下载 6
Access Link和Trunk Link
Host B
172.16.1.2/24
Switch
Vlan-int1 172.16.1.1/24 172.16.2.1/24 sub
172.16.2.2/24
172.16.2.0/24
Host A
.
欢迎你来访 谢谢下载 15
VLAN配置举例
Server2
Server1
SwitchA
Eth1/0/2
port Ethernet 2/0/1
在VLAN中删除端口.
undo port Ethernet 2/0/1
将端口加入VLAN
port access vlan 100 (1-4094) 将端口脱离VLAN
undo port access vlan 100 (1-4094) 显示VLAN信息
display vlan VLAN ID (1-4094)
10 H3C iMC APM产品介绍解析
(备注:升级后,早期APM授权未注册激活的不再支持注册激活,已注册激活 的不再支持换机器和扩容等)
5
APM整体
SAP PSFT
Siebel Network Load Balancer
Firewall
Switch
Portal
Mainframe
Router Web Servers Applications
14
应用监视—自定义视图续
15
Hale Waihona Puke 应用报告(一)监视报告提供对应用/自定义视图进行动态展示的功能,包括图、表等展现 形式。
16
应用报告(二)
17
应用报告---可用性和健康定义和历史
可用性 可用:应用可正常连接,可获取到应用基础数据。 不可用:应用可正常连接,不能获取应用基础数据。 产生应用不可用告警,以备根因 分析查询。 此时健康状态为“紧急”。 无法访问:应用无法连接。无法访问时产生应用无法连接告警,以备根因分析查询。 此时健康状态为“--”。 未管理:应用处于未管理状态。此时健康状况为“--”。 健康状况 健康:应用可用,指标可正常获取,并且不触发阈值。 次要:应用可用但采集指标信息失败发送次要告警。 重要:应用可用但指标数据触发一级阈值 。此时发送基于指标的重要告警。 紧急:应用不可用,此时发送应用不可用的紧急告警。 应用可用但指标数据触发二级阈值 。此时发送基于指标的紧急告警。 未知:界面上显示“--”。
10
应用监视
系统中提供了多角度的监视方法,包括应用监视、主机监视、分类监视、自定义 视图等 应用监视以列表的形式展示了当前操作员可查看的所有应用,并给出了最近一小 时的应用可用性和健康状况情况
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Portal方式下的证书认证需要设备支持Portal EAP
Portal
身份认证协议
客户端证书
Portal Server
RADIUS
iNode 客户端 认证设备 UAM
根证书 服务器证书 服务器证书私钥
12
用户接入认证-LDAP认证方式
UAM支持与微软AD等多种LDAP服务器对接,可以定期或手工将LDAP服务器 上的用户信息同步到UAM中,大大减轻了管理员创建账号的工作量 认证方式分为在UAM本地认证与送到LDAP服务器上认证两种方式 UAM支持主备LDAP服务器,支持主备切换.
H3C iMC-用户接入管理组件(不含认证用户)-纯软件(CD)中文 版
备注
0231A99U
必配
3130A209
LIS-IMCUAMA-CN-1K
H3C iMC-用户接入管理组件license费用-管理1000认证用户
3130A31G
LIS-IMCUAMB-CN-2K
H3C iMC-用户接入管理组件License费用-管理2000认证用户
入设备端口”,UAM会自动将终端用户第一次认证时使用的接入设备端口添加
到账号信息中.
终端 认证设备
UAM
tom 接入设备端口:2
Access Request
19
用户接入授权-下发VLAN
UAM上账号对应的服务中配置vlan号或vlan name 终端用户认证时,UAM下发vlan号或vlan name给接入设备,由接入设备将终 端用户划入对应的vlan
终端
认证设备
UAM
tom 服务 下发VLAN:1000
Access Request
身份认证协议 UserName=tom
Access Accept Tunnel-Type=xx Tunnel-Medium-Type=xx Tunnel-Private-Group-ID(81)=1000
20
用户接入授权-下发ACL
UAM上账号对应的服务中配置下发ACL,有手工输入与列表选择两种方式 终端用户认证时,UAM下发acl号给接入设备(该acl需要提前在设备上配置好), 由接入设备动态将该acl作用于终端用户 终端用户下线后设备释放该acl,取消该ACL对终端用户的控制
LDAP UAM LDAP Server
14
用户接入认证-漫游认证方式
UAM支持标准的Radius Proxy-state方式将认证,计费报文漫游到上级UAM或 第三方的3A服务器上 UAM根据终端认证用户的域名来判断漫游到哪个3A服务器 支持记录漫游用户的漫游上网明细
UAM的LDAP同步策略支持过滤条件,支持自动同步,按需同步,新增用户及接
入账号,为已存在的用户新增接入账号,仅同步某节点下的账号等多个选项. 支持将LDAP服务器上的用户信息导出为文件
Portal
身份认证协议
Portal Server RADIUS LDAP 认证设备
iNode 客户端
UAM
LDAP Server
6
UAM配套的操作系统,数据库及服务器情况
UAM有Windows及Linux两种版本.由于其基于iMC平台运行,所以配套的操作系统及数据库
情况同iMC平台
一般UAM用户接入管理需要和iMC PLAT分布式部署,如果平台管理的设备小于50个,可以 将UAM用户接入管理与iMC平台部署在一台服务器上. 在存在大量用户访问用户自助的场景(特别是教育网计费局点),需要将用户自助服务 分布式部署在一台单独的服务器上. 不同场景的UAM对服务器的数量及硬件要求不一样.主要考虑因素有:管理用户数,在线 用户数,是否启用用户自助,是否启动Portal认证,Portal认证是否包含网页认证.
22
认证绑定检查-绑定接入设备IP
UAM上账号中配置接入设备IP地址,服务中勾选“绑定接入设备IP” 终端用户认证时,UAM检查设备认证请求中的设备IP地址与UAM账号信息中 的“接入设备IP”是否一致,如果不一致则该账号不能上线 在服务中勾选“绑定接入设备IP”的情况下,如果UAM账号中没有配置“接入
Portal Portal Portal Server
RADIUS
客户端 认证设备 UAM
11
用户接入认证-证书认证方式
证书认证支持基于EAP和WAPI二种方式 基于EAP的证书认证可以选择802.1x/portal/l2tp三种身份认证协议,支持EAPTLS与EAP-PEAP两种认证类型. 客户端只能采用iNode PC客户端
User_name User-password tom@beijing 123
UAM(南京)
第三方3A(北京)
用户名 密码
tom@beijing 123
15
用户接入认证-设备管理用户认证
支持Telnet/SSH/FTP/Terminal四种认证方式 终端账号认证成功后可以下账号对应的发权限级别给H3C设备 认证账号支持绑定用户IP及设备IP 设备管理用户认证日志
终端
认证设备
UAM
tom
Access Request(00:01:00)
服务
接入时段(01:00:0002:00:00)
身份认证协议 UserName=tom
Access Reject
18
用户接入授权-上下行速率限制
UAM上账号对应的服务中配置上行速率与下行速率 终端用户认证时,UAM下发上,下行速率给接入设备,由接入设备对终端用户 的上,下行速率进行控制(需要设备同时支持该特性)
UAM
tom 服务 下发ACL:3000
终端
认证设备
Access Request
身份认证协议 UserName=tom
Access Accept
Filter-ID(11)=3000
21
目录
UAM产品概述 UAM产品的主要功能
用户身份认证方式 用户接入授权
认证绑定检查
客户端类功能 用户管理
Radius
Uam.exe
5
UAM在iMC中的位置
功 功能组件 功能组件 能 组 件 UAM
功能组件 EAD CAMS NTA UBA WSM 功 功 功 能 能 能 组 组 组 件 件 件 QoS 功 能 … 组 件
产品 平台
iMC平台 (专业版)
iMC平台 (标准版)
UAM作为iMC的一个组件基于iMC平台运行,同时也是EAD与CAMS组件的基础. 用户接入管理提供对UAM组件的配置管理界面及Radius协议报文处理功能 Portal服务器,Portal web/代理支持多次部署,可以部署在多个iMC从机上分担性能 用户自助服务提供UAM组件的用户自助功能 策略服务器及代理负责处理EAD报文,同时也是EAD组件的基础.
802.1x认证支持pap/chap/eap三种方式 客户端一般采用iNode
802.1x
RADIUS
客户端
认证设备
UAM
ห้องสมุดไป่ตู้
10
用户接入认证-Portal方式(用户名/密码方式)
Portal认证支持pap/chap/eap三种方式 客户端可以采用iNode或网页方式 终端用户网页认证时可以根据终端的无线SSID,操作系统类型弹出不同的认证 页面.
13
用户接入认证-域统一认证
域统一认证采用Windows Gina技术,支持802.1x/portal认证场景 终端需要安装iNode PC客户端并配置域统一认证连接 终端用户在登陆域时iNode自动发起采用终端登陆时使用的户用户名@域名/密 码作为身份认证协议使用的认证用户名/密码进行认证.
接入请求
合法用户
网络
非法用户 拒绝入网 不同用户享 受不同的网 络使用权限
你是谁?
4
UAM产品系统架构
LDAP协议
LDAP管理
用户自助服务
LDAP服务器
Portal
Portal proxy
策略服务 器代理
Portal Server 策略服务器
DB
身份认证协议
EAD
终端
认证设备
目录
UAM产品概述 UAM产品的主要功能
UAM产品概述
UAM全称用户接入管理(User Access Manager),是由H3C针对企业网、校 园网和运营商等多种网络运营环境开发的一套基于Radius的集中网络接入认证管 理系统. UAM本身除了是一个扩展的3A服务器,完成对终端用户的认证与授权外,同时 也是EAD,CAMS组件的基础.
telnet/ssh……
RADIUS
终端
认证设备
UAM
16
目录
UAM产品概述 UAM产品的主要功能
用户身份认证方式 用户接入授权
认证绑定检查
客户端类功能 用户管理
17
用户接入授权-接入时段控制
UAM侧对账号配置灵活的接入时段 终端用户认证时,如果认证时间不在接入时段内,则认证被拒绝
23
认证绑定检查-绑定接入设备端口
UAM上账号中配置接入设备端口,服务中勾选“绑定接入设备端口” 终端用户认证时,UAM检查设备认证请求中的“用户接入端口” 与UAM账号 信息中的“接入设备端口”是否一致,如果不一致则该账号不能上线 在服务中勾选“绑定接入设备端口”的情况下,如果UAM账号中没有配置“接
详细内容请见< iMC部署和硬件配置方案>
PLAT
UAM/Portal
PortalN
selfservice
7
UAM License策略