【正文】 能，同時可以對所管理的接入層交換機進行批量配置，避免用戶繁瑣的工作，同時IMC可以對端口流量進行設置閥值告警，發(fā)現(xiàn)用戶端口流量較大（如：病毒攻擊），可以通過網管將端口關閉避免大量垃圾報文，維護網絡安全。. 業(yè)務認證、授權管理描述認證管理是接入層交換機和認證軟件平臺重要的特性。，標準的起草者包括Microsoft，Cisco，Extreme，Nortel等；（port based network access control），該協(xié)議適用于接入設備與接入端口間點到點的連接方式，其中端口既可以是物理端口，也可以是邏輯端口。，使其可以基于MAC地址進行網絡接入控制。IEEE ：(1) Supplicant System用戶接入設備(2) Authenticator System接入控制單元(3) Authentication Sever System認證服務器接入層LANSWITCH設備需要實現(xiàn) ；用戶接入設備(PC)；，也可以是傳統(tǒng)的Radius服務器；傳輸介質為點對點以太網（即PC直接通過網線連接到LSW的端口），如果是共享式以太網，則需要采用加密的方式（MD5）傳遞認證信息。概念解釋：PAE，即port access entity之縮寫，意為端口接入實體Supplicant PAE：發(fā)起接入請求的PAE，指一般PCAuthenticator PAE：駐留在接入設備上的驗證模塊PAE(1) Authenticator 內部有受控端口（Controlled Port）和非受控端口（Uncontrolled Port）。(2) 非受控端口始終處于雙向連通狀態(tài)，主要用來傳遞 EAPOL 協(xié)議幀，可保證 Supplicant 始終可以發(fā)出或接受認證。受控端口只有在認證通過的狀態(tài)下才打開，用于傳遞網絡資源和服務。(3) 受控端口可配置為雙向受控、僅輸入受控兩種方式，以適應不同的應用環(huán)境。輸入受控應用在集中桌面管理的應用場合,例如管理員即使在客戶端關機的情況下也能將通過受控端口向用戶計算機發(fā)送遠程開機命令。(4) ,以支持復雜的應用環(huán)境。：端口認證模式：ForceAuthorized：常開模式。端口一直維持授權狀態(tài)，設備端不主動發(fā)起認證；ForceUnauthorized：常關模式。端口一直維持非授權狀態(tài)，忽略所有客戶端發(fā)起的認證請求；Auto：協(xié)議控制模式。設置端口初始狀態(tài)為非授權狀態(tài)，使端口僅允許EAPOL報文收發(fā)，如果認證流程通過，端口切換到授權狀態(tài)；，在一個物理端口下的所有受控端口只能配置成相同的端口認證模式，這種限制是為了方便管理員配置。，在協(xié)議中允許允許一個物理端口下有多個受控端口，如在物理端口下開發(fā)基于MAC地址的認證，每個MAC地址將有一個動態(tài)的邏輯端口，邏輯端口的狀態(tài)是受控的。也可以開發(fā)基于VLAN的認證，等等。端口類型：(1) 邏輯端口(默認)：一個邏輯端口對應一個物理端口，對應一個Authenticator PAE狀態(tài)機實體。，有缺陷，無法靈活地應用到運營商的寬帶城域網(可參考H3C技術報上的一文)。(2) 邏輯端口＋源MAC： 這種類型的受控端口為每一個客戶端創(chuàng)建一個Authenticator PAE狀態(tài)機實體。每個物理端口上受控端口的個數(shù)是有限制的(可配置)，當有客戶端發(fā)送EAPOLStart請求認證報文時提取客戶端源MAC地址，做為受控端口的標識。客戶端注銷時對應的受控端口資源被釋放。(3) 邏輯端口＋VLANID+源MAC： 這種擴展的受控端口類型,主要是配合S3000+LANSWITCH方式組網, ，邏輯端口+VLANID可以定位到下層LANSWITCH的物理和邏輯端口，源MAC地址可以區(qū)分到客戶端。H3C公司網絡產品支持以下的基本認證方式：本地認證：接入設備根據用戶名在本設備的數(shù)據庫查找，若存在相同的用戶名和密碼則驗證通過,否則驗證失敗。Radius認證：接入設備通過Radius報文與Radius服務器交互報文，由Radius服務器完成對用戶身份合法性的驗證。PAP認證：Password Authentication Protocol，用戶以明文的形式把用戶名和他的密碼傳遞給接入設備的驗證方式。 CHAP認證：Challenge Handshake Authentication Protocol，當用戶請求上網時，接入設備生成一個16字節(jié)的隨機碼給用戶，同時還有一個ID號及接入設備的host name?？蛻舳说玫竭@個包后使用自己獨用的設備或軟件對傳來的各域進行加密，生成一個response傳給接入設備，接入設備根據用戶名在本端或Radius服務器查找，得到和用戶端進行加密所用的一樣的密碼，然后根據原來的16字節(jié)的隨機碼進行加密，將其結果與Response作比較，若相同表明驗證通過，否則驗證失敗。 CHAP認證時，密碼經過了MD5算法加密處理，防止報文被截獲。 首先南京藝術學院校園的端口模式采用常關模式，、 server，在接入交換機上終結EAP報文，然后從接入交換機再次發(fā)起Raduis報文至認證服務器Raduis Sver，由Raduis Server來驗證用戶名、密碼是否匹配，在認證通過以后由認證服務器下發(fā)Raduis報文至接入交換機上通知該用戶認證通過，接入交換機上再將相對應的端口打開，允許學習MAC地址，允許用戶上網。 的認證方式最為主要的三點是：。；。 . CAMS對用戶上網認證的管理用戶需求分析南京藝術學院校園校園網的管理基本上分為以下幾個方面：用戶信息的搜集用戶信息的搜集是網絡開通前網管人員的首要任務，此時需要搜集的信息可能包含有：學生的學號、用戶主機的MAC地址、用戶接入的端口、分給用戶的IP地址、用戶的性別、用戶的宿舍號、用戶的學院、或是我們需要用戶提供的相關特性。此過程可能是用戶工作量最大的一個過程。學生用戶的開戶開戶的過程是網絡人員的針對用戶的需求進行開戶，用戶把錢交給網絡中心為用戶提供開戶業(yè)務，提供給用戶網絡資源。網絡安全控制該過程是網管人員對上網用戶進行實時檢測的過程，網管人員要確保網絡的安全，要對用戶上網的動作進行監(jiān)控，并有效的防止網絡當中存在的各種非法操作用戶。……總之，整個網絡的開通、運行、維護是一個持續(xù)、巨大工作量的過程，網管人員是這些任務的承擔者。下面我們再來看一下CAMS是如何解決用戶的相關問題。用戶相關信息的搜集CAMS的“用戶預注冊”解決網管人員搜集用戶信息中遇到的問題，傳統(tǒng)的方式是通過網管人員的信息錄入來搜集客戶的信息，這種方式使得網管人員的工作量劇增。舉例來說，一個5000用戶的開戶工作，我們假設1個用戶的錄入工作需要2分鐘（包括檢查用戶提供的信息是否正確）,5000用戶需要的工作量就是50002＝10000分鐘，共計166小時，按照一天8小時工作時間計算，共需要21天，這樣的工作量對網管人員來說是不可忍受的，CAMS支持用戶預注冊功能，所有的用戶名密碼等信息都由用戶自己輸入，而且用戶如果我們還需要部分信息還可以進行定制。用戶預注冊：用戶預注冊可以幫助用戶在開戶前的相關信息的搜集，用戶可以通過固定的網上申請用戶名、密碼等相關信息，而且網管人員需要搜集的信息可以在“用戶附加信息”中進行自行定義，定義的方式也是可選的，可以是下拉菜單方式的、也可以是輸入的，為了避免用戶輸錯，可規(guī)定輸入文檔的格式，詳見“用戶附加信息”。我們可以在用戶預注冊的時候要求用戶輸入我們要搜集的相關MAC、學號、學院等信息。 用戶附加信息： 用戶附加信息是為了給網管人員自助定義用戶信息的工具，每個網管人員標識用戶的方法、種類可能各不相同，用戶附加信息如下所示： 網管人員可以在用戶附加信息選項中靈活定義需要用戶輸入的信息，同時可以選擇這些字段是否在用戶預注冊時必須輸入。這樣用戶信息的搜集就由網管人員主動搜集變?yōu)橛脩糁鲃由蠄?，網管人員需要作的更多的是用戶開戶時信息的確認。1) 開戶過程我們剛才講了用戶通過預注冊的功能可以實現(xiàn)在網上進行預注冊，那接下來應該做些什么呢？接下來網管人員要在CAMS上先定義用戶群的服務（即：計費策略及管理策略），如：用戶群體A，采用包月的方式；用戶群體B采用按時長收費的方式；用戶群體C ……。服務策略的配置：服務的配置當中含有多種的策略，包括：計費策略、綁定策略、安全策略等等。如圖所示：在服務策略中，我們可以講用戶的IP、MAC、交換機端口、VALN、賬號等多種元素進行綁定，也可以選擇性的進行綁定；計費策略中我們可以規(guī)定按時長收費還是包月收費；同時CAMS也是配置是否對客戶端的Proxy檢測啟用安全策略，對于Proxy的防止同樣也是多種方式的；同時CAMS可以實現(xiàn)用戶的獲取IP地址方式的定義。 用戶繳費開戶（三“點”一“輸入”） 用戶繳費開戶對于CAMS來說再簡單不過了，一個用戶的開戶只需要進行鼠標輕輕的點擊三下、輸入一次，就可以實現(xiàn)。具體的步驟如下：首先，在用戶預注冊清單中找到用戶提交的預注冊信息：我們在預注冊用戶管理中找到了剛才剛剛預注冊的用戶名為“xulixian”的用戶，下面我們來進行所謂的“三點一輸入”來進行開戶。 正式注冊：一點擊“正式注冊”一輸入用戶的繳費信息，二點擊用戶的服務（學生包月），三點擊確定。一個用戶的開戶過程就是如此簡單，加上用戶預注冊中的相關信息的檢查，一個用戶10秒鐘就可以輕松的開戶，5000用戶的網絡10幾個小時就可以完成開戶工作，大大減少了網管人員的額工作量。自定義開戶。用戶的開戶還可以通過CAMS進行自定義的開戶，也就是每個賬號是由網管人員進行開戶的，所有的信息都時網管人員自己錄入，當然，網管人員可以通過CAMS進行批量的用戶開戶，或是采用與原有的數(shù)據庫批量導入。這種方式與用戶預注冊的方式相比就顯得有些麻煩。2) 網絡安全控制CAMS除了可以大大減少用戶的工作量以外，還可以給用戶提供強大的安全管理措施。元素的綁定技術。CAMS可以實現(xiàn)通過AAA服務器的IP、MAC、VLAN地址等綁定技術，在實際應用的過程當中，CAMS可以對接入用戶的各種元素進行綁定對于各種元素的靈活綁定可以實現(xiàn)各種接入方式，如：綁定MAC與賬號，就可以實現(xiàn)賬號與主機的對應；綁定IP、MAC、端口、VLAN、賬號，就可規(guī)定用戶采用自己的主機、規(guī)定的IP、從規(guī)定的端口進行接入。元素的綁定技術對于網絡的管理安全起了重要的作用，通過元素的綁定技術可以大大提高網絡的安全性。訪問時間的控制。CAMS可以實現(xiàn)對接入用戶的上網時間的規(guī)定，網管人員可以規(guī)定用戶允許接入的時間段，如：上午6：00—晚上12：00，在這段時間內允許用戶接入網絡，其余時間，禁止接入。Proxy用戶的禁止。CAMS可以對接入層用戶進行有效的控制。屏蔽非H3C客戶端，可以實現(xiàn)對于非H3C客戶端的用戶禁止接入；屏蔽IE代理，對于在IE中設置代理的用戶可以實時進行檢測，一旦發(fā)見，禁止用戶進行上網操作；屏蔽雙網卡，對于存在兩個活動網卡的用戶，CAMS可以通知用戶存在兩個活動的網卡，用戶必須對其中的一個網卡進行禁用才能夠接入網絡；對于任何形式代理的禁止，CAMS可以實現(xiàn)對任何形式的Proxy用戶的禁止，無論用戶采用何種Proxy的方式，如果不產生Proxy動作就不進行操作，當用戶一旦發(fā)生了Proxy的動作，CAMS就下發(fā)下線通知，強制用戶下線，對于以上的Proxy禁止方式，是可以進行靈活選擇，滿足不同組網需要。黑名單。CAMS支持對用戶的非法動作進行判斷，屏蔽的功能，當某用戶通過自己的主機驗證別人的用戶名、密碼時，當其三次認證不通過就將自動屏蔽該用戶在這臺主機的認證，只有第二天才能夠重新認證，認證的同時并將該用戶賬號以及對應驗證主機的MAC地址進行記錄，便于事后的追查。3) 靈活、開放的計費策略CAMS系統(tǒng)采用開放、抽象的計費模型，具有良好的適應性和擴充性，能夠滿足不同應用場合的計費需求，用戶可以根據運營的需要輕松定制計費方式和費率。l 支持純包月、包月限時、包月限流量等易于管理的包月型計費方式。l 支持包月暫停的功能，可以使用戶的包月截止日期順延，并支持用戶認證上網自動取消暫停。包月計費。l CAMS可以實現(xiàn)包月計費的策略，對于用戶來說可以實現(xiàn)包月計費策略，同時CAMS可以支持包月暫停功能，用戶可以自助登陸到自助服務頁面，點擊“暫停”，便可以實現(xiàn)用戶的包月暫停，無需通過網管中心工作人員，大大減輕了工作人員的工作量。l CAMS可以實現(xiàn)按流量計費的策略，CAMS與MA5200或MA5200配合可以實現(xiàn)用戶按流量收費的計費策略，同樣可以限制用戶的流量，即包月限流量，當用戶的流量達到包月數(shù)值時，CAMS可強制用戶下線。l 支持按使用量分檔計費和獎勵：對不同的使用量設置不同的費率，用的越多越便宜。l 支持時段優(yōu)惠：在正常費率的基礎上對在某些時段的接入給予一定的折扣優(yōu)惠，如周末優(yōu)惠、假日優(yōu)惠等。l 基于不同目的IP地址的流量計費策略。CAMS可以實現(xiàn)基于不同目的IP或源IP地址采用不同計費策略的方式，滿足用戶的不同需求。l 不同賬號不同網段訪問權的策略。CAMS可以根據用戶需求，與BAS配合實現(xiàn)對于不同賬號對應不同目的訪問權的功能，用戶的賬號可以分為多種權限賬號進行設定。4) 批量操作功能為了減少用戶的工作量，CAMS可以支持賬號的批量配置，網管人員可以通過網絡對用戶進行批量的賬號續(xù)費、批量的賬號注冊、批量的時間補償、加入黑名單等工作，大大減少了用戶的工作量，提高了工作效率。5) 完善的用戶行為監(jiān)控l CAMS提供強大的“黑名單”管理策略，可以將惡意猜測密碼的用戶加入黑名單，并可按MAC、IP地址跟蹤非法行為的來源。l 管理員可以實時監(jiān)控在線用戶，強制非法用戶下線。l 支持消息下發(fā)，管理員可以通過CAMS向上網用戶發(fā)布通知消息，如“系統(tǒng)升級，網絡將在10分中后切斷”、“您的密碼遭惡意試探，請注意保護密碼安全”等。l CAMS記錄認證失敗日志