网络准入系统集中式管理方案.docxVIP

下载本文档

0
0
约3.54千字
约 8页
2025-09-25 发布于江苏
举报
版权申诉

网络准入系统集中式管理方案.docx

1、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

网络准入系统集中式管理方案

1、项目背景

1.1目前网络安全概况

自从在股份公司和下属分公司在业务系统上大力推广信息化发展策略，目前公司运作的网络是由17家公司的内部网络通过MPLSVPN网络构成的广域网，规模庞大。同时信息技术的快速发展导致信息网络所起的作用越来越巨大，股份公司及下属分公司的连接密度越来越大，人员交流和业务系统的使用网络更为频繁，终端所面临的各种安全问题也越来越突出。各个公司的内网构建因规模大小和建设时间的不同，网络的使用情况也不一样，特别是网络设备的品牌和型号各异，而且员工和访客携带的电脑或者手机终端等可以随意接入公司网络，在信息安全管理上存在很大的管理难度和安全风险。2017年6月1日，《国家网络安全法》颁布，明确要求各单位加强网络安全建设，而且股份公司属于上市公司，在网络安全上必须加强安全防范措施，增加网络准入控制和审计手段，完善公司的信息化安全体系。

1.2网络架构概况

基于业务需求和网络稳定性需求，整个股份公司的各分支公司都是通过租用联通公司的MPLSVPN专线网络解决公司之间的网络连接，其中股份公司和南沙公司的网络访问需求最大。

MPLSVPN网络拓扑图大概如下：

图1MPLSVPN网络拓扑图概图

各公司内网网络架构概图如下图2所示：

图2各公司内部网络拓扑图概图

1.3各公司的调研情况

经调研统计，各公司的设备使用的情况如下表1:

公司名称

网络交换机品牌

网络设备数量

接入终端数量

电脑办公人员数量

是否支持802.1X

广州股份公司

H3C、华为、TP-LINK、D-LINK

250

300

H3C、华为支持，12台其他不支持。

南沙分公司

H3C，TP-LINK无线

400

500

4台不支持

从化分公司

神州数码

129

支持

海丰分公司

3COM

不支持

珠丰分公司

华为

支持

新丰分公司

3COM

不支持

中山分公司

3com，TP-link

不支持

东莞分公司

3COM

不支持

梅州分公司

3COM、华为、科思

140

160

华为支持、3com和科思不支持

阳江分公司

3com

不支持

湛江分公司

神州数码

149

165

支持

永信分公司

Sunsea1台

不支持

图3网络准入系统的网络架构图

本方案部署详解如下：

（1）股份公司的网络准入系统集中管控中心，其他分公司的网络准入系统为不可管控的准入代理设备，其由管控中心集中管理。

（2）分别在股份公司和南沙公司搭建AD域控服务器，提供员工域用户信息给员工用来做认证准入功能，这两台服务器进行数据同步。其他分公司也是由网络准入系统通过网络连接AD域控制服务器读取员工域用户信息做认证。

（3）逃生机制原理处理方法：当网络准入系统失效时，系统自动切换到无认证的网络模式，使已经准入认证过后的终端设备或新接入网的终端设备不受通信影响。

（4）故障点详细分析和应紧处理方式：

故障点1、股份公司的网络准入系统故障时，作为管控中心的单点故障将会直接影响到所有公司包括股份公司本地内网的网络准入失效，会对新需要入网的终端设备无法认证入网，而已经认证后的设备在不中断内网连接的情况下其公司的内部网络通信不受影响。此时单点故障发生后，所有公司各自启用网络逃生机制，取消网络认证功能，自动切换到无认证的网络接入模式，保证内网的正常使用。当设备系统恢复后，可切换回认证模式，恢复网络准入控制。

故障点2、本方案采用的是单控制中心，当股份公司VPN线路端出现故障时，16家分公司的网络准入系统将无法通过VPN线路连接到管控中心，这会导致16家分公司的网络准入系统同时失效，会对新需要入网的终端设备无法认证入网，而已经认证后的设备在不中断内网连接的情况下在其公司的内部网通信不受影响，当此故障点发生后，16家分公司都会启用逃生机制自动切换到无认证模式的接入。

故障点3、当某个分公司的VPN线路端发生单点网络故障或者网络准入系统发生的单点设备故障，此时此分公司内部的网络准入系统都会失效，会对于新需要入网的终端设备无法认证入网，而已经认证后的设备在不中断内网连接的情况下在其公司的内网通信不受影响，此分公司会启用逃生机制自动切换到无认证模式的接入。

4招标技术要求

股份公司原有一套网络准入系统（使用标准的DHCP和802.1X准入技术），但是不能满足此方案中的所有需求。为了做到利旧的原则，原有的网络准入系统原则上不做淘汰，新准入系统最好能兼容或者最大限度的利用原有的准入系统。具体的准入系统技术要求如下：

总体要求：

支持总共不少于3500终端的准入性能许可，准入方案中需要说明是