H3C用户安全运营管理解决方案

图4 H3C用户安全运营管理解决方案

　　H3C综合考虑集中式、分布式认证的适用条件，推荐新校区建设采用分布式认证，根据不同区域的使用需求部署不同的认证技术，学生宿舍区使用802.1X客户端方式进行严格管控，而办公区采用Web认证方式实现无客户端即可认证上网。安全防御问题由防ARP技术和SAVI技术结合安全地址绑定、用户上网审计功能实现。在解决管理与维护工作量方面，采用H3C的分布式批量部署BIMS解决方案，通过与BIMS服务器的配合实现设备上电即可完成配置的批量下发。很容易完成复杂组网的零接触搭建。大大降低了网络管理员的部署工作量。老校区改造采用集中式认+QinQ方式，接入层交换机配置每端口VLAN，端口和端口之间分属不同的VLAN，实现用户的二层隔离，避免了ARP欺骗、二层攻击的行为。入层新交换机批量部署可采用零配置方案，旧有交换仅仅手工配置基本功能以及划分VLAN即可。汇聚层设备开启Q i n Q 功能进行外层VLAN的标记，采用灵活QinQ方式实现每个接入层交换机一个外层VLAN。核心设备配置三层功能实现不同VLAN互访，同时开启ARP欺骗防御和扫描攻击防御。核心设备采用热备技术保证了关键认证点的可靠性。

　　ARP攻击防御

　　集中式认证通过PUPV+QinQ实现了全网二层隔离，避免了二层报文的攻击与欺骗。通过在核心交换机上部署ARP防御功能，同时过滤外网的未知IP、ARP报文，实现扫描攻击防护，来实现整网安全防御。分布式认证在接入层交换机部署ARP Detection来实现用户合法性检查、ARP报文有效性检查等功能，部署SAVI技术，来避免IPv6环境下的地址欺骗、报文攻击的问题。

　　无线用户接入

　　无线用户接入的整体策略还是以自身的认证以及安全为主体。AC上不需要开启QinQ功能，只需要保证无线用户VLAN和QinQ外层VLAN不同即可完成互访。无线用户间的安全防护以及用户隔离通过非法AP检测、黑名单、白名单、无线协议攻击防御等功能来实现。

　　组播业务部署

　　全网接入层和汇聚层已经部署了PUPV，所有用户都在单独的二层网络，所以在进行组播VLAN设计的时候，配置基于端口的组播VLAN，避免组播在多个VLAN的重复复制，并将之延伸到核心交换机。

　　计费网关部署

　　H3C安全运营解决方案中的计费部分组件包括iMC UAM/CAMS、出口流量网关。出口流量计费网关统一交由第三方软件来实现，内网认证由iMC UAM承担，iMC UAM和第三方软件通过LDAP服务器、RADIUS代理等方式对接来实现用户身份的统一管理，整个体系只有一套用户名和密码，最终实现用户数据的一体化管理。

　　高校校园网在采用集中式认证要特别考虑核心设备的可靠性以及安全性；分布式认证技术能更好的将压力分担到各个接入层设备，安全防御手段多种多样。两者结合，做到内网准入认证保证网络接入的可信可靠，外网流量计费保证网络的精细化运营。

　　（作者单位为杭州华三通信技术有限公司）