无线网络覆盖方案

图3.1无线网络拓扑示意图

增加运维难度,影响运维效率的因素有大量的网络节点,复杂的网络拓扑和网络覆盖的地理范围。

网络节点越多意味着网络管理员要维护的设备越多，同时某一节点出现问题的概率越大，从而提升了管理员的工作量。而复杂的网络拓扑让基于业务变更的网络策略调整与优化变的复杂，网络管理员不得不看 4分片分区的自下而上的逐层修改配置，由于复杂的网络拓扑导致的错综复杂的网络协议关系给问题排查带来不小的难度。

网络所覆盖的地址范围是不能人为控制的,但是从运维的角度看，减少运维压力提高运维效率就是网络管理员尽量少的跑到接入端去进行问题排查,实现方法就是前端设备尽量少或不需要进行配置,只要接入网络就可通过网络中心进行统一管理，这样当前端接入设备出现故障，只需要找工程人员做简单的设备更换，而不需要管理员到现场在进行复杂的配置，网络管理运维效率得以提升。

在以上三个因素中网络覆盖的地理范围是不可改变的，而网络节点数和网络拓扑是可以从方案设计上进行优化，因此神州数码在某市教育城域网网项目中在满足教学应用的需求下以简化后期运维量为出发点,在方案设计中使用最少的设备，最简单的拓扑来满足应用需求.

如图2。1所示,在某市教育无线网建设中神州数码采用教育局集中管理，集中运维的思路进行网络设计，学校只作为网络前端进行AP和PoE交换机的部署，无线控制器,实名认证系统、网络管理系统、安全运维审计系统以及无线应用加

速系统等网络管理、运维系统将统一部署在某市教育局，实现对全市无线网的统一管理，统一运维。

采用这种网络设计当管理员需要修改网络策略对网络进行调整或优化时，他只需要对教育局数据中心的设备进行调整即可全网生效，而不需要从接入端逐层的进行配置修改.能实现如此的管理方式也得益于当前无线网络的部署架构.

当前主流的无线网络全部采用无线控制器+瘦AP的架构，无线控制器就像无线网络的大脑，它负责管理与其连接的所有AP的配置策略,而瘦AP只是运算和执行策略，基于此架构，无线网络可直接通过对中心端的无线控制器的配置操作达到修改接入点网络策略的目的,从而实现中心的统一管理，统一运维。

3.2 无线控制器的选择与部署

3.4.1 0无线控制器的选择

在中大型无线网络环境中采用无线控制器+瘦AP的网络架构已经成为不争的事实。从无线控制器的形态上分类从目前市场上的产品来看可分为两类：硬件形态的无线控制器和软件形态的无线控制器。

硬件形态的无线控制器是从无线控制器+瘦AP架构正是发布后一直延续到现在的一种无线控制器物理形态,目前市场上主要以X86工控机或多核+交换板作为硬件架构.这种架构的产生源于第一代瘦AP架构，第一代瘦AP的数据转发模式采用的是集中式转发，即无线AP所有的数据都要流经无线控制器,再由无线控制器转发到上层网络当中，这种模式就需要无线控制器就较好的数据转发性能，而服务器网卡在数据转发上的性能与带有交换架构的工控机来比就要差一些，因此，无线控制器是以硬件形态出现的.

第一代瘦AP主要采用的是IEEE 802.11g无线传输协议，IEEE 802.11g协议在TCP传输协议下的最大带宽在25Mbps左右，第一代无线控制器采用集中式转发模式不会产生网络瓶颈。

随着单一项目的无线网络规模的扩大，双频双模无线AP的出现以及IEEE 802。11n协议的无线AP的问世，无线AP的上行带宽越来越高。因此，集中式转发已经成为数据传输瓶颈,为了解决这一问题，提高无线网络传输性能，瘦AP开始采用本地转发，集中管理的架构，即从瘦AP上行的业务数据都有AP直接通过交换机转发到网关，不在经由无线控制器进行转发。只有瘦AP的管理数据和是在无线控制器和AP之间交互，这种交互数据的数据流非常小,因此无线控制器开始采用单臂旁挂核心交换机的方式进行部署，我们称这种部署方式为旁路部署。

图3.2-1 集中转发＆本地转发示意图

前面讲到数据采用本地转发的瘦AP与无线控制器之间的管理数据流量很小，无线控制器的数据转发性能,随着服务器性能的大幅提升以及虚拟化技术的

完善和普及，软件形态的无线控制器应运而生.很多人把简单的认为软件形态的无线控制器就是把硬件形态无线控制器里的系统抽离出来形成的，所以除了形态上的差别之外其他都是一样的。其实这是一个简单而且错误的理解，软件形态的无线控制器的产生更多由于虚拟化技术和云数据中心的普及而产生的，因此软件形态的无线控制器自身的首要特性就是虚拟化特性，云特性。例如一台软件形态的无线控制器，可以根据不同用户群定制属于自己的虚拟化控制器,用于实现对自己区域的无线AP的个性化管理。我们把这种虚拟化称为1：N虚拟化.而当一个大型网络中有多台软件形态的无线控制器，他们可以形成一个统一无线管理控制器池，任何一个控制节点出现问题都不会出现瘦AP脱管的现象，形成一个统一的,整体的无线网络控制云平台，我们把这种虚拟化称为N：1虚拟化。

由此我们可以看出软件形态的无线控制器的基本特性就是支持虚拟化和云特性.基于这些虚拟化特性我们也把软件形态的无线控制器成为“云”无线控制器.目前采用“云”无线控制器的主要代表厂家有思科和神州数码。

两种形态的无线控制具有哪些特性差异，如表3。2.1，我们对两种无线控制器的主要差异特性做了简单的对比。

表3.2.1 无线控制器特性对比： 特性

具有虚拟化特性 管理AP数量 端口配置 硬件形态无线控制器 不具备 单台≤4000(主流产品） 千兆电/光口≥4； 具有万兆端口或扩展插槽 AP数据转发方式 支持本地转发和集中转发 支持本地转发 具备 软件系统无AP管理上限 端口依托于服务器配置的网卡类型 “云”无线控制器

AP部署方式 二层部署、三层部署 二层部署、三层部署、跨NAT部署 根据两种形态的无线控制器的特性差异我们来做一个简单的综合分析. 传统的硬件形态无线控制器一台设备可管理的最大AP数量一般在4000台左右,市场上目前主流销售的硬件无线控制器最大管理AP数量在2000台以下，由此可以看出传统硬件无线控制器主要用于园区无线网络的部署.

某市教育城域网项目的大型城域级的无线网络如果采用硬件无线控制器由于管理AP数的限制，就只能采用分布式部署的方式，即以学校或者更小的区域为单位,将无线控制器分别部署在这些单位中，或者采用集中式分组部署，即将多台无线控制器集中放置在区教育局中心机房，以管理地址段作为划分手段将AP分别指不同的无线控制器来管理。

以上两种部署方法确实可以解决无线AP的管理问题，但是如前面所讲,从后期管理运维的角度考虑，这两种部署方式在网络中增加了多台无线控制器，网络拓扑变的复杂,网络管理员需要维护的设备数量增加。网路认证策略，QoS策略需要在每台控制器上配置一次，在网络出现问题时，需要做大量的数据检测和排除工作,运维效率降低。

“云”无线控制器从功能设计上并没有AP管理上限。AP管理上限取决于承载“云”无线控制器的服务器硬件性能。而“云\"无线控制器的虚拟化特性允许采用服务器横向扩展(Scale out）的方式来提升管理性能，同时还实现了冗余。

由于“云”无线控制器的虚拟化特性，即使服务器采用横向扩展方式进行扩容，它从管理运维的角度看只是一个管理节点,网络管理员看到的管到的始终是一台无线控制器，不需要为学校的AP归哪个控制器管而划分群组。

从端口配置上看，某市教育城域网这种大型的无线网络部署无线控制器都会

采用旁路部署，无线AP采用本地数据转发的方式，这种方式无线AP与无线控制器之间之交互管理数据，数据流量小，只需要1到2个万兆接口接入核心交换就可以完成链路部署。因此硬件控制器上所配置的丰富的接口和高速的数据转发性能都起不到什么作用.

基于以上分析可以看出，在某市教育城域网项目中，使用“云”无线控制器具有扩容更容易,拓扑更简单的特点，更易于后期的网络维护。

3.4.2 无线控制器的部署

某市教育城域网骨干

图3.2。2—1 “云”无线控制器部署示意图

如图3.2。2-1所示，“云“无线控制器只需要部署在教育局网络中心的运维

管理区。建议配置两台服务器运行“云\"无线控制器，服务器前端配合一台链路负载均衡，两台服务器对AP管理实现负载均衡，并且避免单点故障引起网络问题。

3.3 无线AP的选择与部署

无线AP首先要满足某市教育局无线控制器管理要求，能通过CAPWAP协议与某市教育局的无线控制器进行对接。

AP需要满足50人同时接入，因此无线AP要采用IEEE802.11n/IEEE 802。11ac协议的无线AP，并且支持2。4GHz和5。8GHz双频双模,AP要采用2x2：2或以上MIMO架构。

无线AP支持IEEE 802.3af或IEEE802。3at供电协议,通过PoE方式供电.由于无线AP的最大传输带宽已经超过百兆,所以上行PoE交换机建议采用千兆PoE交换机。交换机要支持至少370W的PoE功率输出，并且支持IEEE 802.3af和IEEE 802.3at协议。

在本项目中推荐采用神州数码的DCWL-8200系列AP和S5750E系列PoE交换机。

3.4 实名认证系统部署

要满足全市内账户漫游,就需要一个统一的实名认证系统对某市所辖学校所有网络账户进行统一管理和统一认证，网络用户不管身处哪所学校都可以使用自己的账户登陆网络。

现在主流的认证系统一般分为两类，一类是网关型认证系统，以硬件形态为

主，一般串行在网络出口。第二类是软件型认证系统,一般部署在网络中心机房的管理区,通过与作为认证发起设备的联动实现认证。

某市信息化教学应用非常丰富，干网带宽已经达到万兆，如果采用网关型认证系统可能会产生网络瓶颈，鉴于此,本项目中推荐使用软件型认证计费系统.

神州数码的软件计费系统是有DCSM—RS 认证服务平台和DCSM-BW综合业务管理平台两部分组成。

DCSM-RS提供集中的宽带网络用户认证，授权和计费，及接入策略管理，为电信运营商和大中型园区网提供类型丰富、配置灵活的宽带运营业务模式，如集中认证、漫游认证、内外网准入准出认证、Portal认证、免认证Portal推送、无感知认证等，以及WLAN、远程/VPN、PPPoE拨号、IPoE、802。1x等各种基于身份的认证支持。

DCSM-BW是作为DCSM—RS配套使用的综合业务管理后台软件,实现宽带运营中的策略配置、用户管理、用户业务办理、账务处理、统计输出等综合业务功能，是用户对宽带运营管理的统一操作界面。

3.4.1 DCSM—RS实名认证系统部署方式:

图3.4.1—1 实名认证系统部署示意图

DCSM-RS Radius平台一般与DCSM-BW宽带业务管理平台同时部署，DCSM—RS Radius平台负责用户实时认证、计费、控制策略下发以及Portal页面推送，DCSM—BW宽带业务管理平台则负责用户管理、业务策略配置、账务处理、统计报表输出、自助服务、数据维护等后台业务功能。

DCSM-RS与DCSM-BW服务器均需旁路部署在受防火墙等网络安全设备保护的数据中心中，原网络的部署与结构无需调整，只需接入控制层的网络设备支持相关的Radius和Portal协议,另外防火墙等网络安全设备须允许RADIUS、PORTAL报文通信。

3.4.2 网络认证方式

主流的认证方式有802。1x认证,Portal认证，无感知认证,PPPOE认证，

手机短信认证,二维码认证.

802。1x认证一般需要采用客户端或者配置启用终端系统自带的802.1x客户端来进行认证，对终端用户的技术要求较高,多系统平台的兼容性较低，管理员维护工作量增加。因此在本项目中不建议采用。

Poral认证采用WEB页面重定向方式用浏览器为用户推送认证页面,用户终端不需要其他第三方软件就可实现认证。市场上主流的视窗类系统都支持，兼容性高。由于认证时通过用户常用浏览器进行认证，对用户的技术要求低，管理员维护工作量很小。

在保证网络安全认证的同时，用户要求简化认证流程，因此神州数码推出了无感知认证，用户在第一次通过Protal认证之后，再次连接网络就不需要在进行认证，直接就可以接入网络，大幅简化认证流程。是本项目中作为首选的认证方式。

PPPOE认证同样需要使用客户端进行拨号上网，对于移动终端系统的兼容性低，后期维护工作量大。

手机短信认证主要用于外来访客的上网认证需求。例如，学生家长，其他地区的参观团，当这些用户有接入网络需求，如果通过管理员一个一个的开通账户效率低，工作量大。采用手机短信认证的方式，用户通过自己的手机按需开通账户，管理员只需要预设好账户有效时间，账户到期后会自动销户。不需要管理员花时间精力去管理这些账户 .管理员可根据实际情况随时打开或关闭短信认证方式。

二维码认证是目前基于移动终端应用的一种认证方式,系统将访客终端的MAC地址信息以二维码的方式表现出来，网络授权由用户通过手机扫描二维码

的方式进行授权。

下面对Portal认证，二维码认证，手机短信认证和二维码认证做一个讲解.

A. Portal认证

Portal认证是通过浏览器重定向用户访问页面，将通过网页浏览的方式进行用户认证的方式。

用户上线认证方式有两种：CHAP和PAP，其中CHAP方式为必选功能,PAP方式为可选功能。PAP是明文认证方式，所以一般建议采用CHAP加密认证方式。

以Chap为例的用户上线认证流程,如下图所示：

接入控制器（AC）用户请求，认证页面推送连接请求请求Challenge分配Challenge请求认证RADIUS认证流程认证结果DCSM-RS（Portal）WLAN用户告诉用户认证结果图 3.4。2—1 认证流程示意图

1. 用户访问网站，经过AC重定向到DCSM—RS，DCSM—RS推

送认证页面;

2. 用户填入用户名、密码,提交页面，向DCSM—RS发起连接请求； 3. DCSM—RS向AC请求Challenge； 4. AC分配Challenge给DCSM—RS； 5. DCSM-RS向AC发起认证请求；

6. 而后AC进行RADIUS认证，获得RADIUS认证结果; 7. AC向DCSM-RS送认证结果；

8. DCSM-RS将认证结果填入页面,和门户网站一起推送给客户； 9. DCSM-RS回应确认收到认证结果的报文.

DCSM-RS集成功能完整的Portal门户推送平台，支持运营商及厂家接入设备Portal协议,可基于位置（VLAN/IP）和终端类型推送指定的页面，使之成为运营商优异的基于Portal门户页面的广告运营、业务推广等增值业务平台.

DCSM-RS Portal功能特性: 快捷便利的Portal页面编辑

内置Portal页面编辑工具，可针对不同网络位置或商户选择或编辑Portal，实时动态定义页面风格、样式、内容及使用方式等等，充分展现用户的个性，使运营商能够快速更新门户信息， 快速响应市场及合作商的需求,同时也促使终端用户感受有效的信息体验，增加用户对Portal门户的粘度。

WEB Portal认证和兼容性

支持行业标准的Portal通讯协议和漫游认证协议规范。

遵循《中国移动WLAN业务PORTAL协议规范》、《中国移动WLAN Portal设备规范》、《中国电信WLAN漫游认证WISPr协议规范》

支持Cisco、Aruba、华三等主流无线设备厂家Portal协议

基于终端类型的页面推送

自动匹配用户终端类型的页面推送,如智能手机、平板电脑、笔记本电脑等，为用户提供优质便利的接入体验。

基于位置的内容推送

根据用户的位置（VLAN/IP段）推送不同的内容，为场地运营者(如公共区域的不同商户、企业等)提供个性化的网络门户,实现广告运营、消费者互动等增值业务和商业模式。

B. 无感知认证

用户无感知认证方式，解决用户需要提升使用者体验的同时，又保证了网络使用的安全性。

用户无感知认证，用户在第一次portal认证后，后续上网行为无需再输入账号密码，在用户无感知的情况下认证通过上网，保证安全性的同时提升了用户体验。

具体实现设计如下图所示：

3. MAC地址认证，返回认证失败MAC绑定服务器6.认证成功，将终端MAC地址作为用户名密码进行开户2. AC发现HTTP流量，发起MAC认证请求4.AC将HTTP请求重定向到portal认证页面，输入用户名密码发起认证AP1. 客户端打开浏览器上网UWS5. radius认证STAAAA serverPortal server

图3.4.2—2用户首次认证示意图

3. MAC地址认证，返回认证成功MAC绑定服务器AP1. 客户端打开浏览器上网2. AC发现HTTP流量，发起MAC认证请求UWSSTAAAA serverPortal server

图3。4.2—3用户再次上线认证示意图

注意：图中的MAC绑定服务器并不是单独的一个设备，是在AAA server中的扩展功能,为了表述清晰，将其单独提出.

用户使用体验流程：

图3.4.2—4 无感知认证流程图

如流程图所示，用户在第一次连接网络的时候，需要弹出portal，输入账号密码,点击确认，认证通过后可以访问网络;后续上网，无需再弹出portal，输入账号名密码等繁琐操作,给用户的感觉是连接wifi，就直接上网了；实际底层是经过了安全身份认证.该种方式,确保无线网络的安全性，网络用户使用可追溯，保证了用户管理的需要，又避免了网络用户的繁琐操作，提升了用户上网体验。

C. 手机短信认证

无线上网用户主要分成内部固定用户、外来访客用户两种,在无线覆盖环境中，由于用户流动性强，如何有效的对外来访客进行管理，体现无线的便捷性及安全性，成为重中之重。

对于外来访客，为了网络安全，接入企业的无线网自然需要经过身份认证,以便监控与管理。为了提供给访客简单快捷的获取上网账号密码的方式，特别是对于办公区域面积比较大的园区，像拥有多个办公楼的园区，让访客只能在一个固定的地方且需要经过人工办理的方式获取上网账号密码，既费时又占用人力，所以访客自助获取账号密码是比较简便快捷的方式。

短信认证是指通过短信发送密码，由后台服务器通过短信猫和短信通道发送，短信猫用的最多是socket接口,短信通道一般为http接口,三大运营商基本都是用http接口，具体调用接口的内容各有不同。

DCN无线网络运营方案提供多种短信认证接口,包含通过短信猫方式、与当地运营商对接方式以及与短信运营公司对接方式.

a) 与当地运营商购买短信网关服务

一般在用户当地运营商，都有短信网关服务，无线网络管理者直接跟运营商进行短信购买即可。

短信发送账号密码拓扑示意图如下：

图3。4.2-5 短信网关认证流程图

如图所示，在短信网关使用的情况下，网络架构是无需变化调整的,只需后台Radius Server软件开通短信通道接口即可.

b) 与短信运营公司对接

为节省运营管理者的成本，Radius Server软件的短信通道也支持与该类运营公司对接，通过运营公司的固有出口连接到移动、联通等各大运营商网，实现短信下发到最终用户。无线网的运营管理者只需与短信类运营公司进行资费洽谈以及短信量购买，该费用会低于直接与各大运营商直接购买费用,同时无需多个运营商洽谈的麻烦.

拓扑示意图如下:

图3。4.2—6 短信运营公司认证流程图

c) 短信猫方式.

单独购买一台短信猫设备，通过socket接口与认证计费系统对接.通常不建议用短信猫方式，短信猫相当于一个手机，单条短信成本高，按普通短信价格收，用户体验不好，且容易被运营商屏蔽。

d) 用户短信认证步骤：

打开手机，portal推送，短信申请 短信获取账号密码 输入后，上网冲浪

图3。4.2—7 认证步骤

DCN方案同时支持终端portal页面推送的定制，方式便捷易用。通过手机申请帐号，便于对流动用户的管理，对网络访问问题可有效追查定位.

用户自助完成上网账号获取,可以节省企业管理方的人力成本和维护成本，下面以本系统在珠海移动无线城市的案例为例，介绍自助上网获取的过程：

无线用户访问任意网址后，通过Portal强制重定向指定页面,输入个人手机号码，如下图：

第一步：输入珠海移动本地手机号 第二步：点击获取密码

图3。4。2-8 认证界面

如果输入手机号码正确，则提示动态密码发送成功，如下图:

图3.4.2-9 认证密码发送提示

登录成功后页面如下提示：

图3。4.2—10 用户通过认证

Portal页面可自动匹配用户的终端类型，如手机用户，则系统推送的Portal页面如下：

图3。4.2—11手机认证页面

D. 二维码认证

二维码认证可以授权人可以通过手机扫描认证系统为被授权人生成的二维码来对被授权人进行授权，当通过授权后被授权人就可以使用自己的终端直接访问网络.这种方式避免了管理员为来访者逐一开户，管理员只需要将网络授权时间设定好，超时后临时账户自动删除。

认证流程如下图：

3.4.3 认证系统分权管理

在认证和账户管理上某市教育局要求进行统一认证，统一管理.但是使用主体是学校，学校因为一些临时要求需要对账户进行开户，销户等操作，而如果每次都通过教育局管理员来操作效率低下，不能满足需求.

而DCSM校园宽带认证计费系统支持完善的角色权限管理.可以为学校管理员分配一定的账户权限，让学校管理员可以针对本校需求进行简单的账户开户，

销户的操作。

DCSM—RS可以为角色信息配置工号、姓名、别名，可以分别用其中之一登录系统。可以配置系统使用者是否可以多点登录系统及源地址范围绑定等.

功能权限:系统导航的每个功能点都可以在权限中进行具体配置；

内容权限：对各种套餐组、资费组、地区组等组属性可以具体配置各个系统使用者允许操作与查看的组，从而决定可以管理的用户范围。方便实现不同校区的权限管理.

图 认证系统分权管理界面

3.4.4 用户自服务平台

自助服务系统支持丰富的自助查询与自助业务办理功能,自助系统开放的功

能可以在后台管理界面上由系统管理员统一配置，比如允许开放的自助查询业务、自助变更套餐、停/开机等.此外,还可以灵活配置允许自助维护用户资料的选项,比如哪些用户资料允许变更，哪些允许一次性变更等。

支持界面的换肤功能,用户可以选择自己喜欢的界面风格，为最终上网用户提供友好的使用感受。

3.5 无线管理系统部署

神州数码的DCLM是一套有线无线一体化的综合网络管理平台，可从计划、实施、监控、配置、问题处理、报告等对企业网络进行全面的管理。通过集中、直观、易于使用的用户管理界面显著地降低了网络运营成本。

提供清晰的网络管理和控制平台，无线管理组件DCLM-Wlan，支持包括AC、AP和移动客户端的位置的实时监控,wlan安全实施和防御的网络实时监控，

网络自动化和调度范围内的配置，快速、高效的故障排除。

支持发现并管理有线设备,DCLM-Lan组件提供有线服务,包含设备的状

态、设备名称、设备组、IP地址、MAC地址、位置、联系人、设备类型、供应商、型号、软件版本、硬件版本、固件版本、配置版本、设备序列号、TOP10告警信息、CPU和内存使用率、响应时间和丢包率、交换机的所有的接口信息等等功能。倘若当前交换机是POE设备，还可以对接口进行开关设置。

支持位置服务功能,其DCLM—Location组件支持在热点地图上定位客户端、流氓客户端或流氓AP的位置等功能。

图3.5—1 无线终端定位

支持无线规划功能：DCLM-Planner组件能够帮助用户在地图上手动或

自动的规划AP的位置,保证满足热点覆盖率。

DCLM产品主要配合神州数码设备使用，提供简易的图形化的配置界面，实现通过智能的按时按需方式对单个或批量设备进行配置修改， 配置文件备份/恢复, 和固件升级,从而大大降低管理员的维护强度和难度.可以满足从小型，中型，大型wlan和lan部署多达数万的网络设备的需求，支持神州数码全系列无线AC和AP产品, 以及全系列路由和交换产品，并支持第三方网络设备的发现， 拓扑和统一监控。

3.6 安全运维审计部署

由于信息系统的脆弱性、技术的复杂性、操作的人为因素，在设计以预防、减少或消除潜在的风险或风险暴露的安全控制时，还应考虑运维管理与操作监控机制以预防、发现错误或违规事件，对IT风险进行事前防范、事中控制、事后监督和纠正的组合控制。IT运维审计作为预防性控制的有效补充，并检查、监控控制的适当性与充分性，在信息科技风险管理中发挥极重要作用。

对IT系统运维进行审计，是控制内部风险的一个重要手段,但大型机构的IT系统构成复杂，操作人员众多,如何有效地执行审计工作，是长期困扰各组织信息科技和风险稽核部门的一个重大课题。

对任意组织而言,采用基于计算机的审计技术或工具（CAATs, Computer Assisted Audit Techniques/Tools)无疑是实现监管信息化、提升工作绩效的重要途径。但首先需要解决的问题是：组织需要关心哪些类型的审计信息？哪些信息或行为对组织尤为关键？目前通用的审计工具大多从网络层面或服务器日志层面获取较为庞杂的信息，往往会导致关键的管理信息或敏感操作淹没于日常业

务数据中，或无法追溯操作行为轨迹、了解操作行为意图,可能影响审计的有效性或效率.

我们因应市场对IT运维审计的需求，集其多年信息安全领域运维管理与安全服务的经验,结合行业最佳实践与合规性要求，率先推出基于硬件服务器平台的“安全审计系统(DCSAS）\"，针对于核心资产的运维管理，再现关键行为轨迹,探索操作意图，集全局实时监控与敏感过程回放等功能特点，有效解决了信息化监管中的一个核心问题。

“安全审计系统（DCSAS）” 目标是为组织IT系统核心服务器的运维操作提供强有力的监控、审计手段，使其切实满足内控管理中的合规性要求.

安全审计系统（DCSAS）可对主机、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计，对策略配置、系统维护、内部访问等进行详细的记录，提供细粒度的审计，并支持操作过程的全程回放。安全审计系统（DCSAS)弥补了传统审计系统的不足，将运维审计由事件审计提升为内容审计，并将身份认证、授权、管理、审计有机地结合，保证只有合法用户才能使用其拥有运维权限的关键资源。安全审计系统（DCSAS）为组织在IT操作风险控制、内控安全和合规性等方面提供一套完善、有效的审计手段.

鉴于网络及管理架构的复杂性，安全审计系统（DCSAS）系统提供了灵活的部署方式，既可以采取串连模式，也可以采用单臂模式接入到企业内部网络中。采用串连模式部署时，安全审计系统(DCSAS）具备一定程度上的网络控制的功能，可提高核心服务器访问的安全性;采用单臂模式部署时，不改变网络拓扑,安装调试过程简单，可按照网络架构的实际情况灵活接入.

图3.6-1：单臂模式接入

图3。6—2:串联模式接入

无论串连模式还是在单臂模式，通过安全审计系统（DCSAS）访问IT基础服务资源的操作都将被详细的记录和存储下来，作为审计的基础数据。安全审计

系统（DCSAS）的部署不会对业务系统、网络中的数据流向、带宽等重要指标产生负面影响，无需在核心服务器上安装任何软硬件系统。

系统特性：

完整的身份管理和认证

为了确保合法用户才能访问其拥有权限的后台资源，解决IT系统中普遍存在的交叉运维而无法定位到具体人的问题，满足审计系统“谁做的”要求，系统提供一套完整的身份管理和认证功能。

➢ ➢

支持静态口令、动态口令、LDAP、AD域认证方式；

支持密码强度、密码效期、口令尝试死锁、用户激活等安全管理功能； ➢ ➢

支持用户分组管理；

支持用户信息导入导出，方便批量处理。

灵活、细粒度的授权

系统提供基于用户、运维协议、目标主机、运维时间段（年、月、日、周、时间）、会话时长、运维客户端IP等组合的授权功能，实现细粒度授权功能，满足用户实际授权的需求.

实时监控

提供在线运维的操作的实时监控功能。针对命令交互性协议可以图像方式实时监控正在运维的各种操作，其信息与运维客户端所见完全一致.

违规操作实时告警与阻断

针对运维过程中可能存在潜在操作风险，安全审计系统根据用户配置的安全策略实施运维过程中的违规操作检测，对违规操作提供实时告警和阻断，从而达

到降低操作风险及提高安全管理与控制的能力。

➢ ➢

提供用户可配置的告警规则； 告警动作支持操作阻断、通知告警等.

完整记录网络会话过程

系统提供运维协议Telnet、FTP、SSH、SFTP、RDP（Windows Terminal）、Xwindows、VNC等网络会话的完整会话记录，完全满足内容审计中信息百分百不丢失的要求.会话信息包括运维用户、运维地址、后台资源地址、资源名、协议、起始时间、终止时间、流量大小信息。

详尽的会话审计与回放

运维操作审计以会话为单位，提供当日和条件查询定位，条件查询支持按关键字等组合方式。审计记录提供图像形式的回放，真实、直观、可视地重现当时的操作过程；针对命令交互方式的协议，提供按命令进行定位回放。

3.7 无线加速系统部署

本次某市教育城域网建设的一个重点内容是用于未来班班通资源推送到班级中的每个学生，改善信息化教学环境，探索新的教学模式。教学资源最佳的展示方法就是视频和动画,如果大量用户并发访问资源平台进行数据下载，对资源平台和干网带宽都是一个不小的压力,师生在访问资源是可能会出现以下问题：

➢

视频、流媒体点播、在线观看：文件放映不流畅、拖卡、多次缓冲，严重影响学生的观看情绪，随着高清时代的到来,这种问题愈发显得严重。 ➢

资源下载:实际的资源下载速度与带宽标称值相差较大，大文件下载

耗时过长，对于HTTP资源的下载则可能会出现下载中断或源站失去响应的情况。 ➢

网页浏览:打开页面需要等待的时间过久。该问题的存在对于高校用户的影响尤为严重。 ➢

互联网访问应用速度慢，影响正常办公效率，而且造成了网络流量的极大浪费。

为了改善以上问题，缓解教育局班班通资源平台和干网压力，在教育局部署一台安全缓存系统，将师生经常访问的网络资源缓存到本地，当有用户访问这些资源是，直接从缓存上将资源发送给用户，不需要占用上层干网的资源.

部署方案: A. 网络要求

核心交换机需要做端口镜像,把所有用户请求流量镜像到连接DCCache的端口，使DCCache可获得所有用户的互联网请求流量并进行分析。在这种情况下，缓存服务器部署位置只要满足如下要求:

1) IP路由可达 2）

提供千兆骨干带宽连接

3) 所服务的用户响应较好（ping值小于10ms为宜） B. 部署要求

➢ 部署在中心机房即可；

➢ 单台缓存服务器为一标准2U设备。各类机柜均可正常放置,需置于一固

定托板上，缓存服务器自身提供固定耳。

➢ 缓存服务器要求的供电方式为冗余双220V电源。单电源情况下亦可工

作，但会报警。