華三EAD系統(tǒng)成功應用于電信上海研究院全院網(wǎng)絡

2015-06-04 14:18:25 作者：來源：CTI論壇評論：0 　點擊：

　　中國電信股份有限公司上海研究院是中國電信集團公司產(chǎn)品開發(fā)和業(yè)務研究的主要科研機構，是中國電信集團研發(fā)和創(chuàng)新體系的重要組成部分，是中國電信股份有限公司上海公司的主要科研基地。

　　研究院擁有雄厚的科研基礎設施，強大的科研開發(fā)團隊和高水平的研發(fā)成果，院內(nèi)目前擁有產(chǎn)品開發(fā)、業(yè)務研究、技術支撐等各類專業(yè)人員300余名。研究院一直致力于中國電信產(chǎn)品創(chuàng)新，不斷為公司開發(fā)出可贏利的產(chǎn)品，成為“創(chuàng)新能力強、價值貢獻大”的行業(yè)一流研發(fā)機構。

　　在07到08年兩年時間內(nèi)，電信上海研究院考察、測試了多家廠商的桌面安全系統(tǒng)，并最終選擇H3C作為終端準入控制解決方案的供應商，并成功應用于全院網(wǎng)絡。

　　網(wǎng)絡現(xiàn)狀

　　研究院終端分為有線接入網(wǎng)絡和無線接入網(wǎng)絡兩種，其中，不同的終端分布于不同的部門，因此對于不同終端的訪問權限，需要進行嚴格的控制。

　　網(wǎng)絡中還存在一些HUB設備，研究院希望在保留HUB應用的同時，可以對HUB下的終端也同樣可以實施管理策略。

　　由于來研究院交流的外來用戶很多，導致網(wǎng)絡中會存在大量的病毒，而終端上部署的Norton殺毒軟件往往不能及時更新病毒庫，因此給研究院內(nèi)網(wǎng)正常運轉帶來很大的困擾，隨病毒泛濫的還有ARP攻擊報文。

　　研究院盡管在先前部署了微軟的WSUS補丁服務器，但仍然存在大量終端未及時更新補丁導致系統(tǒng)崩潰的問題。

　　上述問題的存在，給研究院終端管理帶來了很大工作量，研究院考察和測試了多家廠商的解決方案，經(jīng)過充分的交流和論證，最終選擇了H3C的EAD終端準入控制解決方案。

　　EAD解決方案實施

　　H3C針對研究院網(wǎng)絡部署的特點，提出了綜合的解決措施，其網(wǎng)絡拓撲示意圖所示：

　　研究院網(wǎng)絡接入分成三個部分，包括通過思科設備有線接入、華為設備有線接入以及寬迅設備無線接入。對于支持標準802.1X認證的思科設備和華為設備，EAD直接與其配合進行終端準入控制；對于寬訊設備，EAD通過在線部署EAD網(wǎng)關S5500-28C-EI的方式對無線接入用戶進行終端準入控制。同時，EAD可以與Norton病毒服務器和WSUS補丁服務器進行了配合聯(lián)動。

　　EAD應用效果

依賴于標準協(xié)議的設備配合

　　在整個實施方案中，EAD系統(tǒng)使用標準802.1X協(xié)議以及Portal協(xié)議與設備交互，能夠與設備無縫配合來控制用戶終端，且不會造成設備的性能問題。EAD系統(tǒng)支持終端用戶通過有線或無線聯(lián)入網(wǎng)絡，兩種接入方式對于管理員和使用者而言都沒有操作上的區(qū)別，屏蔽了操作差異化的同時還支持對HUB下掛接入用戶的支持，保證了系統(tǒng)的安全。

統(tǒng)一直觀的終端管理

　　EAD系統(tǒng)可以對全網(wǎng)設備和接入用戶終端進行統(tǒng)一管理，對于設備狀態(tài)、端口狀態(tài)、用戶上線/下線狀態(tài)、終端安全狀態(tài)、終端資產(chǎn)狀態(tài)一目了然，十分方便于管理員進行報表生成、匯總等。

靈活而人性化的準入控制

　　EAD系統(tǒng)支持對“非法”接入用戶進行多種處理模式，除了傳統(tǒng)的下線、隔離“硬處理“模式外，還支持提醒、記錄等”軟處理“模式（而不影響用戶正常上網(wǎng)），這樣靈活的處理方式十分適合于管理員初次部署EAD系統(tǒng)，也十分適合于一些高層領導以及一些對IT操作不是十分熟練的老專家使用。

　　同時，系統(tǒng)支持將不同部門終端用戶進行網(wǎng)絡層面的區(qū)分，保證用戶可訪問網(wǎng)絡權限的安全性。

功能豐富的終端控制功能

　　EAD系統(tǒng)支持客戶端快速部署、遠程軟件分發(fā)等功能，管理員不需要趕赴最終用戶現(xiàn)場就可以幫助最終用戶解決從安裝到調(diào)試的多種問題。同時，EAD系統(tǒng)支持補丁的及時快速下發(fā)，并能夠為最終用戶進行病毒庫的升級，保證用戶終端是一個安全的系統(tǒng)。