虚拟园区网中接入访客的管理.pdfVIP

虚拟园区网中外部接入访客的管理 杭州华三通信技术有限公司 目 录 1 概述 3 1.1 虚拟园区网中外来访客接入需求 3 2 虚拟园区网中的访客管理技术3 3 总结 6 虚拟园区网中外部接入访客的管理 内部公开 1 概述 1.1 虚拟园区网中外来访客接入需求 现代企业中，对各种资料的权限及用户的权限都有明确的划分。在外来人员接入企业网 络时，必然需要对这些接入用户的身份进行区分，并赋予与内部用户不同的接入权限。H3C 针对这些对外部访客的接入需求，配合H3C 的虚拟园区网解决方案的功能，推出了访客管理 系统，可以帮助管理员有效、方便得管理这些外来人员。不仅可以限制外来人员的接入区域、 访问权限，还可以为他们定制安全策略，实现了从身份认证到安全认证的全面监管。 2 虚拟园区网中的访客管理技术 在虚拟园区网解决方案中，各种权限对应到不同的VPN上，并且通过认证手段能够将不 同权限的用户划分到不同的VPN 中，获得相应的访问内容。 在访客用户接入网络上，访客用户一般都使用无线方式进行接入，少部分使用有线方式 进行接入，H3C 的访客管理技术既可以针对无线访客的接入也可以针对有线访客的接入进行 管理。 H3C 访客管理系统的特点如下： 企业内每个员工都与接入用户一一对应，只需将有接待任务的员工指定为访客管 理员，这部分员工就能分管所接待的访客。做到分权管理，提高使用效率。 iMC UAM 管理员指定访客允许使用的服务列表，访客管理员只能从此列表中为 访客选择服务。既限制了访客的接入权限，保证了全局的安全性；也保证了局部 管理的灵活性。 访客支持黑名单功能、在线列表功能、漫游功能、日志记录功能、接入明细记录 功能。 支持批量导出接入明细、批量导出认证失败日志、批量导出在线用户等批量操作， 便于对访客进行监管。 接入访客控制组件在应用方式主要有两种： 来访人员自行预注册访客 访客管理员直接为来访人员创建访客帐号 2007-04-27 H3C 机密，未经许可不得扩散 第 3 页, 共 6 页 虚拟园区网中外部接入访客的管理 内部公开 在虚拟园区网中部署访客管理系统时，赋予用户合适的权限的手段在有线连接与无线连 接中是不同的： 针对无线连接，当访客用户接入网络时，通过不同的 SSID 进行接入，不同 SSID 接入 的用户在无线控制器上会被划分到不同的 VLAN 中进行接入，不同 VLAN 接入的用户会被 映射到不同的VPN 中进行转发，不同访问权限的用户通过VPN 被隔离开。 针对有线连接，针对用户种类的不同在管理服务器上配置不同的安全服务，根据不同的 安全服务中所配置的 VLAN 号，在用户的接口上自动切换 VLAN ，将接入用户划分到不同的 VLAN 中进行接入，不同VLAN 接入的用户会被映射到不同的 VPN 中进行转发，不同访问 权限的用户通过 VPN 被隔离开。 下面简要描述针对不同应用方式的接入访客管理流程 2.1.1 来访人员自行预注册访客的流程 首先需要在 iMC UAM 中将接待人员使用的接入用户指定为访客管理员。 首先Admin （或其他拥有权限的管理员/维护员）登录iMC配置管理台，对访客管理员进 行配置。 图1 增加访客管理员 选择“访客管理员类型”，其中访客管理员只能管理与之关联的访客（由该访客管理员 激活或创建的访客），超级访客管理员可以管理所有访客。 如上图所示，单击选择接入用户按钮，可以将接入用户设置为访客管理员。 第二步添加为访客用户添加访客服务，单击左侧导航树中的[访客管理/访客服务]菜单 项，进入下图页面。 图2 添加访客服务 2007-0