【正文】 能，同時可以對所管理的接入層交換機(jī)進(jìn)行批量配置，避免用戶繁瑣的工作，同時IMC可以對端口流量進(jìn)行設(shè)置閥值告警，發(fā)現(xiàn)用戶端口流量較大（如：病毒攻擊），可以通過網(wǎng)管將端口關(guān)閉避免大量垃圾報文，維護(hù)網(wǎng)絡(luò)安全。. 業(yè)務(wù)認(rèn)證、授權(quán)管理描述認(rèn)證管理是接入層交換機(jī)和認(rèn)證軟件平臺重要的特性。，標(biāo)準(zhǔn)的起草者包括Microsoft，Cisco，Extreme，Nortel等；（port based network access control），該協(xié)議適用于接入設(shè)備與接入端口間點到點的連接方式，其中端口既可以是物理端口，也可以是邏輯端口。，使其可以基于MAC地址進(jìn)行網(wǎng)絡(luò)接入控制。IEEE ：(1) Supplicant System用戶接入設(shè)備(2) Authenticator System接入控制單元(3) Authentication Sever System認(rèn)證服務(wù)器接入層LANSWITCH設(shè)備需要實現(xiàn) ；用戶接入設(shè)備(PC)；，也可以是傳統(tǒng)的Radius服務(wù)器；傳輸介質(zhì)為點對點以太網(wǎng)（即PC直接通過網(wǎng)線連接到LSW的端口），如果是共享式以太網(wǎng)，則需要采用加密的方式（MD5）傳遞認(rèn)證信息。概念解釋：PAE，即port access entity之縮寫，意為端口接入實體Supplicant PAE：發(fā)起接入請求的PAE，指一般PCAuthenticator PAE：駐留在接入設(shè)備上的驗證模塊PAE(1) Authenticator 內(nèi)部有受控端口（Controlled Port）和非受控端口（Uncontrolled Port）。(2) 非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞 EAPOL 協(xié)議幀，可保證 Supplicant 始終可以發(fā)出或接受認(rèn)證。受控端口只有在認(rèn)證通過的狀態(tài)下才打開，用于傳遞網(wǎng)絡(luò)資源和服務(wù)。(3) 受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應(yīng)不同的應(yīng)用環(huán)境。輸入受控應(yīng)用在集中桌面管理的應(yīng)用場合,例如管理員即使在客戶端關(guān)機(jī)的情況下也能將通過受控端口向用戶計算機(jī)發(fā)送遠(yuǎn)程開機(jī)命令。(4) ,以支持復(fù)雜的應(yīng)用環(huán)境。：端口認(rèn)證模式：ForceAuthorized：常開模式。端口一直維持授權(quán)狀態(tài)，設(shè)備端不主動發(fā)起認(rèn)證；ForceUnauthorized：常關(guān)模式。端口一直維持非授權(quán)狀態(tài)，忽略所有客戶端發(fā)起的認(rèn)證請求；Auto：協(xié)議控制模式。設(shè)置端口初始狀態(tài)為非授權(quán)狀態(tài)，使端口僅允許EAPOL報文收發(fā)，如果認(rèn)證流程通過，端口切換到授權(quán)狀態(tài)；，在一個物理端口下的所有受控端口只能配置成相同的端口認(rèn)證模式，這種限制是為了方便管理員配置。，在協(xié)議中允許允許一個物理端口下有多個受控端口，如在物理端口下開發(fā)基于MAC地址的認(rèn)證，每個MAC地址將有一個動態(tài)的邏輯端口，邏輯端口的狀態(tài)是受控的。也可以開發(fā)基于VLAN的認(rèn)證，等等。端口類型：(1) 邏輯端口(默認(rèn))：一個邏輯端口對應(yīng)一個物理端口，對應(yīng)一個Authenticator PAE狀態(tài)機(jī)實體。，有缺陷，無法靈活地應(yīng)用到運營商的寬帶城域網(wǎng)(可參考H3C技術(shù)報上的一文)。(2) 邏輯端口＋源MAC： 這種類型的受控端口為每一個客戶端創(chuàng)建一個Authenticator PAE狀態(tài)機(jī)實體。每個物理端口上受控端口的個數(shù)是有限制的(可配置)，當(dāng)有客戶端發(fā)送EAPOLStart請求認(rèn)證報文時提取客戶端源MAC地址，做為受控端口的標(biāo)識?？蛻舳俗N時對應(yīng)的受控端口資源被釋放。(3) 邏輯端口＋VLANID+源MAC： 這種擴(kuò)展的受控端口類型,主要是配合S3000+LANSWITCH方式組網(wǎng), ，邏輯端口+VLANID可以定位到下層LANSWITCH的物理和邏輯端口，源MAC地址可以區(qū)分到客戶端。H3C公司網(wǎng)絡(luò)產(chǎn)品支持以下的基本認(rèn)證方式：本地認(rèn)證：接入設(shè)備根據(jù)用戶名在本設(shè)備的數(shù)據(jù)庫查找，若存在相同的用戶名和密碼則驗證通過,否則驗證失敗。Radius認(rèn)證：接入設(shè)備通過Radius報文與Radius服務(wù)器交互報文，由Radius服務(wù)器完成對用戶身份合法性的驗證。PAP認(rèn)證：Password Authentication Protocol，用戶以明文的形式把用戶名和他的密碼傳遞給接入設(shè)備的驗證方式。 CHAP認(rèn)證：Challenge Handshake Authentication Protocol，當(dāng)用戶請求上網(wǎng)時，接入設(shè)備生成一個16字節(jié)的隨機(jī)碼給用戶，同時還有一個ID號及接入設(shè)備的host name?？蛻舳说玫竭@個包后使用自己獨用的設(shè)備或軟件對傳來的各域進(jìn)行加密，生成一個response傳給接入設(shè)備，接入設(shè)備根據(jù)用戶名在本端或Radius服務(wù)器查找，得到和用戶端進(jìn)行加密所用的一樣的密碼，然后根據(jù)原來的16字節(jié)的隨機(jī)碼進(jìn)行加密，將其結(jié)果與Response作比較，若相同表明驗證通過，否則驗證失敗。 CHAP認(rèn)證時，密碼經(jīng)過了MD5算法加密處理，防止報文被截獲。 首先南京藝術(shù)學(xué)院校園的端口模式采用常關(guān)模式，、 server，在接入交換機(jī)上終結(jié)EAP報文，然后從接入交換機(jī)再次發(fā)起Raduis報文至認(rèn)證服務(wù)器Raduis Sver，由Raduis Server來驗證用戶名、密碼是否匹配，在認(rèn)證通過以后由認(rèn)證服務(wù)器下發(fā)Raduis報文至接入交換機(jī)上通知該用戶認(rèn)證通過，接入交換機(jī)上再將相對應(yīng)的端口打開，允許學(xué)習(xí)MAC地址，允許用戶上網(wǎng)。 的認(rèn)證方式最為主要的三點是：。；。 . CAMS對用戶上網(wǎng)認(rèn)證的管理用戶需求分析南京藝術(shù)學(xué)院校園校園網(wǎng)的管理基本上分為以下幾個方面：用戶信息的搜集用戶信息的搜集是網(wǎng)絡(luò)開通前網(wǎng)管人員的首要任務(wù)，此時需要搜集的信息可能包含有：學(xué)生的學(xué)號、用戶主機(jī)的MAC地址、用戶接入的端口、分給用戶的IP地址、用戶的性別、用戶的宿舍號、用戶的學(xué)院、或是我們需要用戶提供的相關(guān)特性。此過程可能是用戶工作量最大的一個過程。學(xué)生用戶的開戶開戶的過程是網(wǎng)絡(luò)人員的針對用戶的需求進(jìn)行開戶，用戶把錢交給網(wǎng)絡(luò)中心為用戶提供開戶業(yè)務(wù)，提供給用戶網(wǎng)絡(luò)資源。網(wǎng)絡(luò)安全控制該過程是網(wǎng)管人員對上網(wǎng)用戶進(jìn)行實時檢測的過程，網(wǎng)管人員要確保網(wǎng)絡(luò)的安全，要對用戶上網(wǎng)的動作進(jìn)行監(jiān)控，并有效的防止網(wǎng)絡(luò)當(dāng)中存在的各種非法操作用戶?！傊?，整個網(wǎng)絡(luò)的開通、運行、維護(hù)是一個持續(xù)、巨大工作量的過程，網(wǎng)管人員是這些任務(wù)的承擔(dān)者。下面我們再來看一下CAMS是如何解決用戶的相關(guān)問題。用戶相關(guān)信息的搜集CAMS的“用戶預(yù)注冊”解決網(wǎng)管人員搜集用戶信息中遇到的問題，傳統(tǒng)的方式是通過網(wǎng)管人員的信息錄入來搜集客戶的信息，這種方式使得網(wǎng)管人員的工作量劇增。舉例來說，一個5000用戶的開戶工作，我們假設(shè)1個用戶的錄入工作需要2分鐘（包括檢查用戶提供的信息是否正確）,5000用戶需要的工作量就是50002＝10000分鐘，共計166小時，按照一天8小時工作時間計算，共需要21天，這樣的工作量對網(wǎng)管人員來說是不可忍受的，CAMS支持用戶預(yù)注冊功能，所有的用戶名密碼等信息都由用戶自己輸入，而且用戶如果我們還需要部分信息還可以進(jìn)行定制。用戶預(yù)注冊：用戶預(yù)注冊可以幫助用戶在開戶前的相關(guān)信息的搜集，用戶可以通過固定的網(wǎng)上申請用戶名、密碼等相關(guān)信息，而且網(wǎng)管人員需要搜集的信息可以在“用戶附加信息”中進(jìn)行自行定義，定義的方式也是可選的，可以是下拉菜單方式的、也可以是輸入的，為了避免用戶輸錯，可規(guī)定輸入文檔的格式，詳見“用戶附加信息”。我們可以在用戶預(yù)注冊的時候要求用戶輸入我們要搜集的相關(guān)MAC、學(xué)號、學(xué)院等信息。 用戶附加信息： 用戶附加信息是為了給網(wǎng)管人員自助定義用戶信息的工具，每個網(wǎng)管人員標(biāo)識用戶的方法、種類可能各不相同，用戶附加信息如下所示： 網(wǎng)管人員可以在用戶附加信息選項中靈活定義需要用戶輸入的信息，同時可以選擇這些字段是否在用戶預(yù)注冊時必須輸入。這樣用戶信息的搜集就由網(wǎng)管人員主動搜集變?yōu)橛脩糁鲃由蠄?，網(wǎng)管人員需要作的更多的是用戶開戶時信息的確認(rèn)。1) 開戶過程我們剛才講了用戶通過預(yù)注冊的功能可以實現(xiàn)在網(wǎng)上進(jìn)行預(yù)注冊，那接下來應(yīng)該做些什么呢？接下來網(wǎng)管人員要在CAMS上先定義用戶群的服務(wù)（即：計費策略及管理策略），如：用戶群體A，采用包月的方式；用戶群體B采用按時長收費的方式；用戶群體C ……。服務(wù)策略的配置：服務(wù)的配置當(dāng)中含有多種的策略，包括：計費策略、綁定策略、安全策略等等。如圖所示：在服務(wù)策略中，我們可以講用戶的IP、MAC、交換機(jī)端口、VALN、賬號等多種元素進(jìn)行綁定，也可以選擇性的進(jìn)行綁定；計費策略中我們可以規(guī)定按時長收費還是包月收費；同時CAMS也是配置是否對客戶端的Proxy檢測啟用安全策略，對于Proxy的防止同樣也是多種方式的；同時CAMS可以實現(xiàn)用戶的獲取IP地址方式的定義。 用戶繳費開戶（三“點”一“輸入”） 用戶繳費開戶對于CAMS來說再簡單不過了，一個用戶的開戶只需要進(jìn)行鼠標(biāo)輕輕的點擊三下、輸入一次，就可以實現(xiàn)。具體的步驟如下：首先，在用戶預(yù)注冊清單中找到用戶提交的預(yù)注冊信息：我們在預(yù)注冊用戶管理中找到了剛才剛剛預(yù)注冊的用戶名為“xulixian”的用戶，下面我們來進(jìn)行所謂的“三點一輸入”來進(jìn)行開戶。 正式注冊：一點擊“正式注冊”一輸入用戶的繳費信息，二點擊用戶的服務(wù)（學(xué)生包月），三點擊確定。一個用戶的開戶過程就是如此簡單，加上用戶預(yù)注冊中的相關(guān)信息的檢查，一個用戶10秒鐘就可以輕松的開戶，5000用戶的網(wǎng)絡(luò)10幾個小時就可以完成開戶工作，大大減少了網(wǎng)管人員的額工作量。自定義開戶。用戶的開戶還可以通過CAMS進(jìn)行自定義的開戶，也就是每個賬號是由網(wǎng)管人員進(jìn)行開戶的，所有的信息都時網(wǎng)管人員自己錄入，當(dāng)然，網(wǎng)管人員可以通過CAMS進(jìn)行批量的用戶開戶，或是采用與原有的數(shù)據(jù)庫批量導(dǎo)入。這種方式與用戶預(yù)注冊的方式相比就顯得有些麻煩。2) 網(wǎng)絡(luò)安全控制CAMS除了可以大大減少用戶的工作量以外，還可以給用戶提供強(qiáng)大的安全管理措施。元素的綁定技術(shù)。CAMS可以實現(xiàn)通過AAA服務(wù)器的IP、MAC、VLAN地址等綁定技術(shù)，在實際應(yīng)用的過程當(dāng)中，CAMS可以對接入用戶的各種元素進(jìn)行綁定對于各種元素的靈活綁定可以實現(xiàn)各種接入方式，如：綁定MAC與賬號，就可以實現(xiàn)賬號與主機(jī)的對應(yīng)；綁定IP、MAC、端口、VLAN、賬號，就可規(guī)定用戶采用自己的主機(jī)、規(guī)定的IP、從規(guī)定的端口進(jìn)行接入。元素的綁定技術(shù)對于網(wǎng)絡(luò)的管理安全起了重要的作用，通過元素的綁定技術(shù)可以大大提高網(wǎng)絡(luò)的安全性。訪問時間的控制。CAMS可以實現(xiàn)對接入用戶的上網(wǎng)時間的規(guī)定，網(wǎng)管人員可以規(guī)定用戶允許接入的時間段，如：上午6：00—晚上12：00，在這段時間內(nèi)允許用戶接入網(wǎng)絡(luò)，其余時間，禁止接入。Proxy用戶的禁止。CAMS可以對接入層用戶進(jìn)行有效的控制。屏蔽非H3C客戶端，可以實現(xiàn)對于非H3C客戶端的用戶禁止接入；屏蔽IE代理，對于在IE中設(shè)置代理的用戶可以實時進(jìn)行檢測，一旦發(fā)見，禁止用戶進(jìn)行上網(wǎng)操作；屏蔽雙網(wǎng)卡，對于存在兩個活動網(wǎng)卡的用戶，CAMS可以通知用戶存在兩個活動的網(wǎng)卡，用戶必須對其中的一個網(wǎng)卡進(jìn)行禁用才能夠接入網(wǎng)絡(luò)；對于任何形式代理的禁止，CAMS可以實現(xiàn)對任何形式的Proxy用戶的禁止，無論用戶采用何種Proxy的方式，如果不產(chǎn)生Proxy動作就不進(jìn)行操作，當(dāng)用戶一旦發(fā)生了Proxy的動作，CAMS就下發(fā)下線通知，強(qiáng)制用戶下線，對于以上的Proxy禁止方式，是可以進(jìn)行靈活選擇，滿足不同組網(wǎng)需要。黑名單。CAMS支持對用戶的非法動作進(jìn)行判斷，屏蔽的功能，當(dāng)某用戶通過自己的主機(jī)驗證別人的用戶名、密碼時，當(dāng)其三次認(rèn)證不通過就將自動屏蔽該用戶在這臺主機(jī)的認(rèn)證，只有第二天才能夠重新認(rèn)證，認(rèn)證的同時并將該用戶賬號以及對應(yīng)驗證主機(jī)的MAC地址進(jìn)行記錄，便于事后的追查。3) 靈活、開放的計費策略CAMS系統(tǒng)采用開放、抽象的計費模型，具有良好的適應(yīng)性和擴(kuò)充性，能夠滿足不同應(yīng)用場合的計費需求，用戶可以根據(jù)運營的需要輕松定制計費方式和費率。l 支持純包月、包月限時、包月限流量等易于管理的包月型計費方式。l 支持包月暫停的功能，可以使用戶的包月截止日期順延，并支持用戶認(rèn)證上網(wǎng)自動取消暫停。包月計費。l CAMS可以實現(xiàn)包月計費的策略，對于用戶來說可以實現(xiàn)包月計費策略，同時CAMS可以支持包月暫停功能，用戶可以自助登陸到自助服務(wù)頁面，點擊“暫?！保憧梢詫崿F(xiàn)用戶的包月暫停，無需通過網(wǎng)管中心工作人員，大大減輕了工作人員的工作量。l CAMS可以實現(xiàn)按流量計費的策略，CAMS與MA5200或MA5200配合可以實現(xiàn)用戶按流量收費的計費策略，同樣可以限制用戶的流量，即包月限流量，當(dāng)用戶的流量達(dá)到包月數(shù)值時，CAMS可強(qiáng)制用戶下線。l 支持按使用量分檔計費和獎勵：對不同的使用量設(shè)置不同的費率，用的越多越便宜。l 支持時段優(yōu)惠：在正常費率的基礎(chǔ)上對在某些時段的接入給予一定的折扣優(yōu)惠，如周末優(yōu)惠、假日優(yōu)惠等。l 基于不同目的IP地址的流量計費策略。CAMS可以實現(xiàn)基于不同目的IP或源IP地址采用不同計費策略的方式，滿足用戶的不同需求。l 不同賬號不同網(wǎng)段訪問權(quán)的策略。CAMS可以根據(jù)用戶需求，與BAS配合實現(xiàn)對于不同賬號對應(yīng)不同目的訪問權(quán)的功能，用戶的賬號可以分為多種權(quán)限賬號進(jìn)行設(shè)定。4) 批量操作功能為了減少用戶的工作量，CAMS可以支持賬號的批量配置，網(wǎng)管人員可以通過網(wǎng)絡(luò)對用戶進(jìn)行批量的賬號續(xù)費、批量的賬號注冊、批量的時間補償、加入黑名單等工作，大大減少了用戶的工作量，提高了工作效率。5) 完善的用戶行為監(jiān)控l CAMS提供強(qiáng)大的“黑名單”管理策略，可以將惡意猜測密碼的用戶加入黑名單，并可按MAC、IP地址跟蹤非法行為的來源。l 管理員可以實時監(jiān)控在線用戶，強(qiáng)制非法用戶下線。l 支持消息下發(fā)，管理員可以通過CAMS向上網(wǎng)用戶發(fā)布通知消息，如“系統(tǒng)升級，網(wǎng)絡(luò)將在10分中后切斷”、“您的密碼遭惡意試探，請注意保護(hù)密碼安全”等。l CAMS記錄認(rèn)證失敗日志