《渠道培训H3C3G无线宽带及MSR新特性文档资料》由会员分享,可在线阅读,更多相关《渠道培训H3C3G无线宽带及MSR新特性文档资料(63页珍藏版)》请在金锄头文库上搜索。
1、H3C 3GH3C 3G无线宽带及无线宽带及MSRMSR新特性培训新特性培训H3C 商业技术部马达 1目录3G无线宽带接入方案无线宽带接入方案金融金融POS接入方案接入方案可定制可定制IVR解决方案解决方案SSL VPN解决方案解决方案ARP病毒防御解决方案病毒防御解决方案以上均为基于H3C MSR多业务路由器实现,支持上述功能的最新MSR软件版本已经正式发布。23G来了请问,以下请问,以下3G宣传口号各是哪家运营商的?宣传口号各是哪家运营商的?请问,各家运营商分别采用的是哪种请问,各家运营商分别采用的是哪种3G标准?标准?中国电信中国移动中国联通中国电信中国移动中国联通CDMA2000TD-
2、SCDMAWCDMAH3C 也已正式发布了也已正式发布了3G宽带接入方案!宽带接入方案! 全面支持三种全面支持三种3G标准!标准!3更多3G背景知识移动通信技术发展历程。更多知识请参考本页更多知识请参考本页PPT备注说明。备注说明。中联通当前主中联通当前主流流2G技术:技术:中移动当前主中移动当前主流流2G技术:技术:速率速率上限上限85.6k7.2M速率速率上限上限153k3.1M2.8M4H3C 哪些产品支持3G?n MSRMSR融合融合3G3G方式:方式: MSRMSR通过外接通过外接3G-Modem3G-Modem客户自购USB接口3G上网卡,插入MSR USB接口,简单配置即可使用!
3、操作类似MSR接入ADSL modem的使用方式。一些运营商会打包销售3G包月服务送上网卡,总体成本可能会便宜。 MSRMSR提供专用的提供专用的3G3G无线模块无线模块客户采购H3C SIC-3G无线模块,插入MSR SIC插槽,简单配置即可使用!操作类似MSR插入一块ADSL SIC模块。 内置于路由器更安全,和普通MSR接口一样可提供全面网管手段需另外向运营商购买3G上网服务费,总体成本略贵。H3C MSR 全系列产品均可支持全系列产品均可支持3G!该接口将被运营商分配一个动态公网该接口将被运营商分配一个动态公网IP地址,可直接上地址,可直接上Internet或配置或配置VPN互联。互联
4、。5H3C MSR支持3G有哪些优势?nMSRMSR融合融合3G3G优势:优势: 可以直接提供灵活、方便的高速无线上网; 对有线通信链路提高智能备份、负载分担等,提高链路高可靠性。 采用路由器强大的安全和数据加密功能,在3G自身安全措施基础上,进一步大幅提升3G无线通信应用安全性。 结合MSR-W款型或SIC-wifi插卡,一台MSR仅需连接电源线就能提供3G无线和WiFi无线直接的信息交换,带来了组网的极大便利性。 3G通信接口的标准化保证了3G模块功能的完善性。 灵活的USB方式,可以让客户既能平时自用笔记本上网,又能应急。 在监控编解码器后配合MSR+3G组网,可以提供非常灵活的无线监控
5、。6n 接入特性接入特性 NAT、包过滤防火墙、状态防火墙、攻击防范、p2p限流、QoS、链路备份、 多链路负载分担。n 业务特性业务特性 L2TP、IPsec VPN、SSL VPN、各种路由协议、策略路由、 WLAN接入、VLAN隔离、端口安全、WiFi语音。n 管理特性管理特性 TR069远程管理、WEB本地管理配置、链路和接口状态监测。H3C 3GH3C 3G宽带接入如何应用?宽带接入如何应用?中国移动在固网接入资源上的缺乏,导致其将大力推动3G宽带接入。运营商竞争及3G网日渐成熟,3G接入势必在更多组网中替代或补充有线接入。几种典型组网,供参考:独立小企业、总部独立小企业、总部/分支
6、互联、金融分支互联、金融ATM机、移动或野外通信机、移动或野外通信组网中常用到的MSR软件特性:7独立的中小企业组网应用独立的中小企业组网应用1、MSR实现内部联网,既可以采用以太网有线连接方式,也可以采用WLAN无线连接方式;2、MSR上行可以采用独立的3G无线通信方式,也可以采用3G无线接口作为有线连接的备份及负载分担方式进行通信;InternetMSR路由器WLAN无线WCDMACDMA2000TD-SCDMAWiFi PDA8总部总部/ /分支型企业组网应用分支型企业组网应用1、企业利用设备实现总部和分支之间的联网,分支节点的设备可以采用3G无线或与有线通信结合的方式;2、考虑到应用安
7、全,分支机构可以和总部设备采用VPN技术,具体采用哪种VPN技术根据实际情况和应用需求而定。一般来说,对于分支有网点路由器时适合采用IPSec VPN;3、公司总部运维中心可采用SNMP或TR069方式实现路由器的集中管理。网管中心企业分支企业分支2CAMS服务器应用服务器企业中心企业中心MSRMSRMSR企业分支企业分支1数据加密隧道9金融金融ATMATM机无人值守银行应用机无人值守银行应用1、金融网点无人值守银行的ATM机采用MSR作为接入设备,该设备放到ATM机里面,通过3G无线连到银行网络中心;2、考虑到应用安全,ATM机里面的MSR路由器与中心的设备实现IPsec数据加密功能。骨干路
8、由器骨干路由器WANWAN区域中心或总中心区域中心或总中心至上级节点或至上级节点或成员机构成员机构3G无线MSRIPsec数据加密ATM机机10野外或移动通信应用场景野外或移动通信应用场景1、对于物理位置不固定的网络通信业务,很合适采用MSR路由器的3G通信方案,如救护车、如救护车、警车、公交、移动指挥车、警车、公交、移动指挥车、获取有线资源的场所也适合采用这种3G无线通信方案;2、考虑到应用安全,MSR路由器与中心的设备实现IPsec数据加密功能。总部总部MSRInternetIPsec数据加密SSL VPNMSRMSR移动指挥车海上采油平台11H3C MSR 3GH3C MSR 3G配置复
9、杂吗?配置复杂吗?配置很简单:用配置很简单:用MSR WEB网管直接配置和管理3G SIC接口卡、3G USB上网卡步骤1:步骤2:步骤3:12H3C MSR 3GH3C MSR 3G接口状态可实时掌握接口状态可实时掌握以上即为MSR采用中国电信 CDMA2000 3G上网卡( EC1260 )的状态信息13H3C MSRH3C MSR已支持哪些已支持哪些SIC-3GSIC-3G模块?模块?支持的标准850/1900/2100MHz WCDMA/HSDPA/HSUPA850/900/1800/1900MHz GSM/GPRS/EDGE速率GPRS: Uplink: 85.6 kbit/s Do
10、wnlink: 85.6 kbit/sEDGE: Uplink: 236.8 kbit/s Downlink: 236.8 kbit/sUMTS PS domain: Uplink: 384 kbit/s Downlink: 384 kbit/sHSDPA: 7.2 Mbit/sHSUPA: 2 Mbit/s物理接口SICSIM卡接口外型尺寸功耗SIC-3G-GSMSIC-3G-GSM模块模块: :SIC-3G-GSM是MSR路由器产品的SIC 3G接入模块。在SIC-3G-GSM卡中嵌入一个3G模块,使MSR全系列路由器产品平滑升级支持3G无线接入,其功能与外置3G Modem完全一致。支持
11、3GPP Release99、Release5标准。支持UMTS(WCDMA)UMTS(WCDMA)、HSDPAHSDPA、HSUPAHSUPA、EDGEEDGE、GPRSGPRS五五种数据业务模式。种数据业务模式。14H3C MSR H3C MSR 已支持哪些已支持哪些 3G 3G 上网卡?贵吗?上网卡?贵吗?3G3G协议协议生产厂家生产厂家型号型号参考市场价格参考市场价格外接天线外接天线WCDMAWCDMA华为华为E226E226未知未知不支持不支持E156E156¥420.00420.00支持支持E160E160¥400.00400.00支持支持E169E169¥1,200.001,20
12、0.00支持支持E170E170¥760.00760.00不支持不支持E172E172¥895.00895.00不支持不支持E176E176未知未知支持支持SierraSierraAC875UAC875U¥920.00920.00CDMA2000CDMA2000华为华为EC226EC226¥550.00550.00不支持不支持EC169EC169¥450.00450.00不支持不支持EC1260EC1260¥430.00430.00不支持不支持中兴中兴AC8710AC8710¥460.00460.00不支持不支持TD-SCDMATD-SCDMA华为华为ET128ET128¥650.00650.
13、00不支持不支持套餐月费套餐月费 包含国内包含国内流量流量 超出后超出后资费资费 150元/月 3GB 0.1元/MB 200元/月5GB300元/月10GB3G上网卡资费套餐供参考: (中国联通)可见,通过可见,通过H3C MSR,企业用,企业用户可以用较低的成本就能实现户可以用较低的成本就能实现3G无线宽带接入!无线宽带接入!15目录3G无线宽带接入方案无线宽带接入方案金融金融POS接入方案接入方案可定制可定制IVR解决方案解决方案SSL VPN解决方案解决方案ARP病毒防御解决方案病毒防御解决方案以上均为基于H3C MSR多业务路由器实现16H3CH3C金融金融POSPOS接入业务接入业
14、务H3CH3C于于20022002年年6 6月份推出基于中低端路由器的月份推出基于中低端路由器的POSPOS接入方案,它是全球第一家也是目前接入方案,它是全球第一家也是目前唯一的一家提供基于通用网络设备平台的唯一的一家提供基于通用网络设备平台的POSPOS接入方案。接入方案。POSPOS应用情况:近应用情况:近2000块FCM单板,共10000多个模拟接入端口 1000多台路由器提供POS接入设备的应用研发维护队伍:研发维护队伍:200人的中低端路由器产品开发和维护队伍售后支持队伍:售后支持队伍: 统一纳入到公司的整个维护服务体系 17PSTNPSTN拨号接入方式拨号接入方式 满足省集中模式和
15、地市分布模式两满足省集中模式和地市分布模式两种方式的种方式的POSPOS拨号接入应用;拨号接入应用; 通信资源丰富,有电话的地方就可通信资源丰富,有电话的地方就可以部署以部署 交易业务稳定,交易时间比较长交易业务稳定,交易时间比较长酒店酒店加油站加油站骨干路由器骨干路由器WANWAN小型商户小型商户区域中心或总中心区域中心或总中心至上级节点或至上级节点或成员机构成员机构PSTNMSRMSR路由器路由器18PBXPBX拨号接入方式拨号接入方式 使用小交换机拨号,节省通信费用 接入POS机的数量易于控制,不受外面商户的影响大型商场大型商场PBX小交换机骨干路由器骨干路由器WANWAN区域中心或总中
16、心区域中心或总中心至上级节点或至上级节点或成员机构成员机构MSRMSR路由器路由器19无线无线POSPOS接入方式接入方式WLAN无线APWANGPRS/CDMA 不需要布线,适合于场所不固定或有线通信线路资源紧缺的场合交易速度快但线路不是很稳定,另外,安全性需要加以考虑骨干路由器骨干路由器WANWAN区域中心或总中心区域中心或总中心至上级节点或至上级节点或成员机构成员机构MSRMSR路由器路由器20异步串口专线接入方式异步串口专线接入方式 使用小交换机拨号,节省通信费用 接入POS机的数量易于控制,不受外面商户的影响大型商场大型商场异步串口骨干路由器骨干路由器WANWAN区域中心或总中心区域
17、中心或总中心至上级节点或至上级节点或成员机构成员机构MSRMSR路由器路由器21H3C H3C 金融金融POSPOS接入功能接入功能 下联方式:下联方式:支持PSTN的模拟拨号接入方式支持无线CDMA/GPRS/3G的接入方式支持异步串口的专线接入方式支持以太网POS机接入方式支持POSPAD接入方式 上联方式:上联方式:支持基于任何接口和通信链路的TCP/IP连接方式(以太网、DDN专线、E1等等)支持基于异步串口方式的上行连接方式 业务特性和功能:业务特性和功能:支持ISO8583标准协议支持EMV标准(允许转发2K大小的报文)支持SDLC协议、V.22bis Modem协议(同步1200
18、bps)支持基于TPDU机制的多应用映射功能支持智能拨号备份功能22H3CH3C方案主要特点方案主要特点基于基于H3C路由器的路由器的POS接入方案主要有如下特点:接入方案主要有如下特点:基于标准和通用的网络通信平台,易于配置和维护管理,适应网络IP化和一体化潮流支持标准的协议:ISO8583协议、V.22Bis Modem、SDLC协议等支持EMV标准,能够转发2K大小的POS报文主机设备系列丰富,接入密度高(单机最高支持48路模拟接入)配置简单方便,通过命令行或SNMP网管即可实现可管理性强,并实现对设备、板卡和业务的统一的SNMP网管23H3CH3C方案主要优势方案主要优势基于基于H3C
19、路由器的路由器的POS接入方案主要有如下优势:接入方案主要有如下优势: 相对于专用接入设备,具有很高的性价比优势 路由器处理性能强,硬件资源配置高,能够适应高负荷的业务 兼容性好,对现有的POS应用环境不需要做任何改动,有效保护用户的投资 数据网络功能强大,提供其它丰富的网络增值服务,如哑终端接入、ATM接入、语音等业务 安全性高,可利用路由器的认证、加密等手段保证业务的安全 依赖网络设备灵活多样的备份技术和机制提供金融POS接入的高可靠性24支持的路由器和单板模块支持的路由器和单板模块MSR 50-60MSR 30-606个MIM插槽,最大可提供6*6=36路POS拨号接入端口,同时支持两个
20、固定的千兆以太网接口,转发性能为360Kpps(64字节),提供外置冗余电源FCM模块(MIM-4FCMMIM-6FCMFIC-4FCMFIC-6FCM)支持每个模块上4、6个接口两种规格,其中MIM-4/6FCM拨用于MSR系列设备,FIC-4/6FCM用于MSR系列,支持模块热插拔功能。6个FIC插槽,最大可提供6*6=36路POS拨号接入端口,同时支持两个固定的千兆以太网接口,转发性能为800Kpps/2MKpps(64字节,提供两种转发性能的主控板),该设备提供物理硬件的高可靠性:冗余双电源,电源模块、风散和接口模块的热插拔功能25兼容的兼容的POSPOS终端终端基于基于H3CH3C中
21、低端路由器的中低端路由器的POSPOS接入方案同国内市场出现的几乎所有接入方案同国内市场出现的几乎所有POSPOS终端类型有个兼终端类型有个兼容测试或配合使用,并得到了网上实际应用的检验和验证。容测试或配合使用,并得到了网上实际应用的检验和验证。兼容的终端型号有:兼容的终端型号有: HYPERCOM VERIFONE 实达 瑞柏 国光 PHILIP SAGEM 安智 百富 利普门 新大陆 银达 26和传统基于网控器的和传统基于网控器的POSPOS接入方案对比接入方案对比对比项目对比项目路由器方案路由器方案网控器方案网控器方案单路接入端口成本单路接入端口成本2000-5000元(接口密度越高,成
22、本越低)10000元以上模拟接入密度模拟接入密度单台设备可支持48路模拟接入最大可支持30路模拟接入(16个槽位的NAC)接入速度和接通率接入速度和接通率1、通过实验室同样环境试验,交易时间要比网控器快1秒以上2、得到很多用户反馈,路由器比网控器的交易快和接通率高同左设备通用性设备通用性基于通用的路由器网络设备专用设备配置管理和维护配置管理和维护1、基于命令行(串口和Telnet)方式配置、调试和信息查询2、基于通用的SNMP网管方式需要采购单独的管理软件易用性易用性配置简单,几条命令即可完成业务配置需要通过专门的软件进行配置,比较烦琐和复杂,增值功能和安全性增值功能和安全性提供除POS接入之
23、外的路由器通信功能及增值服务,并可以利用路由器的安全特性加强数据的安全和可靠性功能专一,其它增值功能较少E1E1高密接入功能高密接入功能暂时不支持(预计2009年三季度末提供)支持27H3CH3C公司公司POSPOS接入方案的应用案例介绍接入方案的应用案例介绍H3CH3C公司于公司于20022002年年6 6月份就推出基于中低端路由器的月份就推出基于中低端路由器的POSPOS接入方案,在国内几乎全部的接入方案,在国内几乎全部的金融系统中得到了广泛的应用,包括四大银行、中小行及邮政等各个金融系统,并金融系统中得到了广泛的应用,包括四大银行、中小行及邮政等各个金融系统,并且利用且利用H3CH3C路
24、由器完成全省范围内改造的案例很多。路由器完成全省范围内改造的案例很多。安徽建行全省POS联网河北建行全省POS联网山西省建行全省POS联网四川建行POS网控器升级改造贵州建行POS接入改造广东建行外币卡收单业务处理系统POS接入改造天津建行POS接入改造吉林建行POS接入改造工行POS接入EMV改造福建分行工行POS接入EMV改造四川分行工行POS接入EMV改造辽宁分行工行POS接入EMV改造云南分行江西省工行POS接入改造青岛工行POS接入改造广西农行POS接入河南农行POS接入安徽农行POS接入北京银行POS接入攀枝花商业银行西安商业银行河北交通银行POS联网改造贵州邮政POS接入项目山东
25、中行部分地市的改造广西中行全省POS接入改造28目录3G无线宽带接入方案无线宽带接入方案金融金融POS接入方案接入方案可定制可定制IVR解决方案解决方案SSL VPN解决方案解决方案ARP病毒防御解决方案病毒防御解决方案以上均为基于H3C MSR多业务路由器实现29可定制可定制 IVR介绍介绍IVRIVR(Interactive Voice ResponseInteractive Voice Response,交互式语音应答系统)在语音应用中使用非,交互式语音应答系统)在语音应用中使用非常广泛,主要用来定制交互的操作过程,协助其它业务达到更人性化的目的。常广泛,主要用来定制交互的操作过程,协助
26、其它业务达到更人性化的目的。可定制语音可定制语音IVRIVR功能实现由用户根据自己的实际需求定制满足不同业务需要的交互功能实现由用户根据自己的实际需求定制满足不同业务需要的交互式语音操作过程,例如添加,修改,删除声音文件及流程等。使得用户在拨打式语音操作过程,例如添加,修改,删除声音文件及流程等。使得用户在拨打IVRIVR接入号,处理各类业务时,操作更加清晰,易懂。在语音的提示指导下,接入号,处理各类业务时,操作更加清晰,易懂。在语音的提示指导下,快速完成相关的业务办理。快速完成相关的业务办理。30IVR应用举例应用举例用户拨打XXXX接入IVR系统播放提示音”欢迎访问XX系统, 查号请拨0,
27、转接张三请按1,转接李四请按 2,转接王五请按3转接张三用户按1用户按2转接李四人工台用户按0IVRIVR应用举例:应用举例:用户按3转接王五31可定制可定制 IVR技术技术传统的交互式语音系统采用固定的操作流程,用户不能根据自己的需求改变声音文件及流程。语音传统的交互式语音系统采用固定的操作流程,用户不能根据自己的需求改变声音文件及流程。语音IVRIVR系系统可以由用户根据自己业务需要定制符合自己的交互式语音系统,主要功能如下:统可以由用户根据自己业务需要定制符合自己的交互式语音系统,主要功能如下:可定制提示音可定制提示音-本系统中的提示音可以采用独立文件的形式存储在设备上,用户可根据自己的
28、需求录制个性化的提示音,然后使用H3C公司提供的转换工具对录制的声音文件进行格式转换,最后再将转换后的文件下载到语音设备上,就能够播放用户定制的提示音。系统中的提示音文件的添加、删除、修改操作简单,使用方便,即时生效。可定制流程可定制流程-用户可以根据业务需求轻松定制人机交互流程,可以配置自己的IVR接入号,可以定制提示声音,可以配置同提示音结合的按键流程等。可定制出错处理机制可定制出错处理机制-在Call节点和Jump节点下可以定制当前节点用户出错后的处理方式,目前提供的出错处理机制有三种方式:结束呼叫;跳转到某个指定节点;返回上级节点。出错处理机制既可以在节点下配置,也可以进行全局配置。可
29、定制超时处理机制可定制超时处理机制-在Call节点和Jump节点下可以定制当前节点用户按键超时后的处理方式,目前提供的超时处理机制有三种方式:结束呼叫;跳转到某个指定节点;返回上级节点。超时处理机制既可以在节点下配置,也可以进行全局配置。32可定制可定制 IVR技术技术编码格式丰富编码格式丰富-系统提供丰富的编码格式,目前支持的四种提示音语音格式:G.711alaw、G.711ulaw、G.723r53和G.729r8。这些格式可以使用H3C公司提供的转换工具进行相互转换。各种格式优缺点互补,G.711alaw,G.711ulaw格式音质好,但是占用的存储空间大;G.723r53、G.729r
30、8格式音质稍差点,但是占用存储空间小。采用节点方式采用节点方式-IVR主要以节点为单位进行配置活动,简化用户的配置,便于使用。共有三类节点,Call节点、Jump节点、Service节点,每类节点完成单一功能,组合在一起可以实现复杂的IVR功能。 Call节点:实现二次呼叫功能。 Jump节点:定制用户选择按键流程。 Service节点:实现立即二次呼叫、自动跳转、结束呼叫和放音等功能。支持的跳转级别多支持的跳转级别多-可以配置连续8级的跳转。二次呼叫类型丰富二次呼叫类型丰富-支持立即二次呼叫、普通二次呼叫和扩展二次呼叫。-立即二次呼叫:用户不需要拨入任何电话按键即可进行的二次呼叫为立即二次呼
31、叫,立即二次呼叫通过Service节点实现。-普通二次呼叫:输入两次号码才能完成的呼叫称为普通二次呼叫,可以根据实际业务需要,选择根据匹配号码的长度、配置结束符或随时匹配号码三种方式中的一种来实现普通二次呼叫,普通二次呼叫通过Call节点实现。-扩展二次呼叫:通过配置输入的号码和扩展二次呼叫的电话号码的对应关系,可以实现通过拨打扩展号的扩展二次呼叫。33H3C MSR IVR典型组网应用典型组网应用总部分支机构MSR 50 IVRMSR30 IVRIM客户端IM客户端IVR为MSR自带软件特性,无需另配硬件模块。通常应用在VOIP、OCS整网方案中。34目录3G无线宽带接入方案无线宽带接入方案
32、金融金融POS接入方案接入方案可定制可定制IVR解决方案解决方案SSL VPN解决方案解决方案ARP病毒防御解决方案病毒防御解决方案以上均为基于H3C MSR多业务路由器实现35SSL VPNSSL VPN是以是以HTTPSHTTPS(Secure HTTPSecure HTTP,安全的,安全的HTTPHTTP,即支,即支持持SSLSSL的的HTTPHTTP协议)为基础的协议)为基础的VPNVPN技术,工作在传输层技术,工作在传输层和应用层之间。和应用层之间。SSL VPNSSL VPN充分利用了充分利用了SSLSSL协议提供的基协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,于证
33、书的身份认证、数据加密和消息完整性验证机制,可以为应用层之间的通信建立安全连接。可以为应用层之间的通信建立安全连接。与企业现有认证服务器结合、对用户行为进行审计,与企业现有认证服务器结合、对用户行为进行审计,从功能上有网络访问、网上应用程序、从功能上有网络访问、网上应用程序、WindowsWindows文文件共享、移动电子邮件、应用程序访问、传统主机、件共享、移动电子邮件、应用程序访问、传统主机、终端服务器等众多功能,可以提供终端服务器等众多功能,可以提供C/SC/S应用和应用和B/SB/S应应用访问,用访问,并非只能解决并非只能解决webweb应用。应用。1 12 23 3什么是什么是SSL
34、 VPNSSL VPNSSL VPNSSL VPN能提供什么功能能提供什么功能谁需要用谁需要用SSL VPN SSL VPN SSL VPNSSL VPN概述概述企业的员工可以在家中、路上、网吧、旅馆,使用企业的员工可以在家中、路上、网吧、旅馆,使用自己的、别人的、公用的电脑或手机,通过自己的、别人的、公用的电脑或手机,通过ADSLADSL网网络、小区宽带网络、移动电话网络、无线网络等多络、小区宽带网络、移动电话网络、无线网络等多种接入网络,远程访问公司的信息系统。种接入网络,远程访问公司的信息系统。合作伙伴等非员工有限访问某些服务器、合作伙伴等非员工有限访问某些服务器、WebWeb页面页面或
35、文件,提高企业生产率。或文件,提高企业生产率。 36SSL VPN系统一般由五部分组成:1)远程主机:是用户远程接入的终端设备,可以是个人电脑、手机、PDA等,其上运行主要的客户端软件有: Web浏览器、主机检查器、 缓存清除器、TCP接入客户端、 IP接入客户端2)SSL VPN网关:是建立SSL VPN所需的唯一网络设备,它包括: 用户登录管理模块、 Web接入模块、 TCP接入模块、 IP接入模块。3)CA服务器:SSL VPN网关需要CA服务器提供的公钥证书,才能建立SSL加密连接。此外,企业还可以部署PKI系统,使用户通过PKI证书进行身份认证。 4)认证服务器:SSL VPN网关一
36、般都支持本地认证,即使用SSL VPN网关上的认证数据库对用户的身份进行认证。此外,为了更好地与原有网络系统集成,SSL VPN网关还支持通过外部的认证服务器对用户的身份进行认证。一般支持的认证方式有:Radius、LDAP、AD等。 5)网络服务器:可以是各种应用服务器,如:Web服务器、数据库服务器、文件共享服务器、Telnet、FTP等等。 SSL VPN系统组成37lMSR路由器跨接在内网和外网之间,作为网关设备。处在内外通讯的关键路径上,其性能和稳定性对内外网之间的数据传输有很大的影响。SSL VPN典型部署双臂模式MSR路由器认证服务器应用服务器InternetInternet企业
37、网络38lMSR路由器只相当于一台代理服务器,代理远程的请求,与内部服务器进行通讯。此时不处在网络通讯的关键路径上,不会造成单点故障。SSL VPN典型组网单臂模式MSR 路由器认证服务器应用服务器InternetInternet企业网络39MSR SSL VPN优点优点 SSL VPN利用SSL协议提供的基于证书的身份认证、数据加密和消息完整性验证机制,为用户远程访问公司内部网络提供了安全保证。H3C MSR系列路由器SSL VPN具有如下优点:1 1、支持各种应用协议、支持各种应用协议 任何一个应用程序都可以直接享受SSL VPN提供的安全性而不必理会具体细节。SSL VPN将应用协议提供
38、的服务资源划分为三类: Web接入方式下的访问资源:是指用户使用浏览器以HTTPS方式通过SSL VPN网关对服务器提供的资源进行访问。Web接入方式下的访问资源有两种:文件共享资源和Web代理服务器资源。 TCP接入方式(也称“端口转发”方式)下的访问资源:用于实现用户应用程序对服务器开放端口的安全访问,包括远程访问服务、桌面共享服务、邮件服务和通用应用程序服务资源。 IP接入方式(也称“网络扩展”方式)下的访问资源:用于实现用户终端与服务器网络层之间的安全通信,进而实现所有基于IP的应用与服务器的互通。40优点续优点续12 2、部署简单、部署简单 目前SSL协议已被集成到大部分的浏览器中,
39、如IE、Netscape、Firefox等。这就意味着几乎任意一台装有浏览器的计算机都支持SSL连接,通过它们访问Web接入方式下的资源(Web资源、共享文件资源等)时不需要安装额外的客户端软件;访问TCP接入方式下和IP接入方式下的资源时,需要在客户端安装专用的软件,安装过程非常简单。3 3、个性化的用户界面、个性化的用户界面 SSL VPN个人页面为用户提供了非常灵活的界面显示方式。管理员可以为用户设计多种不同风格的界面,如修改页面的图片、欢迎页面的文字内容、文字字体和颜色等。用户根据自己的喜好选择合适的风格模板、修改个人界面的标题,从而满足不同用户的个性化需求。4 4、支持多种用户认证方
40、式、支持多种用户认证方式 除了可以利用SSL协议本身提供的证书认证机制,对SSL客户端进行身份确认外,SSL VPN还支持四种认证方式:本地认证、RADIUS认证、LDAP认证、AD认证5 5、实现了对网络资源的细粒度的控制访问、实现了对网络资源的细粒度的控制访问 SSL VPN采用基于角色的权限管理方法,根据登录用户的身份,限制用户访问的资源,从而方便灵活地控制用户访问权限。 41优点续优点续26 6、对客户端主机进行安全评估、对客户端主机进行安全评估 在远程主机请求接入时,网关会在客户端下载一个小程序对主机的安全状态进行检查。可以检查主机的操作系统版本及其补丁、浏览器版本及其补丁、防火墙版
41、本、杀毒软件版本等等。通过对主机安全状态的评估,可以判断远程主机是否安全,以及安全程度的高低。进而对用户访问权限进行限制。 7 7、 动态授权动态授权 传统的权限控制主要是根据用户的身份进行授权,同一身份的用户在不同的地点登录,行使相同的权限,故称之为静态授权。而动态授权是指:对用户授权时,在静态授权的基础上,结合用户登录时远程主机的安全状态,对所授权利进行动态地调整。当发现远程主机不够安全时,应当开放较小的访问权限;在远程主机安全性较高时,则开放较大的访问权限。8 8、高性能的加密能力、高性能的加密能力 MSR SSL VPN特性支持多种加密算法、摘要算法和数字签名算法,同时可以加装采用专业
42、的高性能SSL加密协议处理芯片的加密扣卡,大大增强了网关处理SSL报文的能力。42MSR SSL VPN卖点强大的平台MSR路由器是H3C公司专门面向行业分支机构和大中型企业推出的全新一代路由器网络产品,该系列产品将安全、交换、语音、无线和开放式业务完美地集成在一起,能够为企业用户提供一体化的网络解决方案,同时可充分满足未来业务扩展的多元化应用需求。强大的路由转发平台提供保证强大的路由转发平台提供保证43MSR SSL VPN卖点丰富的模块接口SSL VPN作为MSR路由器安全业务下的一个子功能模块,不仅具有SSL VPN本身强大的功能和丰富的特性,而且具有同MSR路由器其它业务模块配合提供更
43、多的业务能力,如结合MSR路由器的QoS技术可提供灵活和可靠的业务保证,结合VoIP技术可以提供基于SSL VPN的IP语音电话,结合MSR路由器独特的NQA、BFD技术可以提供高可靠性的保障等等,总之,基于MSR路由器的SSL VPN完全可以等同于一个专业SSL VPN产品,同时还具有专业VPN产品所不具有的高性价比特点,用户用较低的成本不仅买到了等同于专业SSL VPN的设备,而且还得到了更多的产品附加的增值功能,真正体现的是“物超所值”! 丰富的模块接口实现功能扩展丰富的模块接口实现功能扩展44MSR SSL VPN卖点多种VPN技术一体实现多种实现多种VPNVPN技术的统一和硬件加速方
44、案的共享技术的统一和硬件加速方案的共享 MSR路由器设备的安全功能和VPN技术最为丰富和完善,几乎囊括目前实际组网应用中的各种VPN技术,目前支持MPLS VPN、IPSec、L2TP、GRE和SSL VPN几种VPN技术,特别是在实际应用组网过程中会同时需要部署和实施几种VPN技术时,如总部和分支机构之间采用IPsec VPN实现通信,而对于移动办公和出差人员则采用SSL VPN技术来实现通信,对于这种组合VPN应用,MSR路由器提供了最为灵活的选择方案。 MSR路由器在实现VPN技术的同时也充分地考虑到了硬件资源的共享以最大程度地保护用户投资和提高部署实施的便利性。基于MSR路由器的加密扣
45、卡不仅可以实现IPsec VPN的硬件加速,也可以实现SSL VPN的硬件加密功能,这不仅提高了IPSec VPN和SSL VPN的加密效率,还保证可以共享相同的硬件资源,这种价值保护对于用户来说是最需要的。 45MSR SSL VPN卖点全面的安全性传输加密 采用标准的 SSL协议,建立SSL加密连接。SSL协议具有反中间人攻击、反TCP劫持等较强的抗攻击能力。身份认证 用户使用Web页面登录,可以提交用户名和密码进行身份认证。如果采用符合Windows标准的智能卡,通过IE浏览器就可以轻松实现对用户身份的证书认证。权限管理 终结SSL连接,解析远程请求,向内部服务器进行转发。因而可以有较高
46、的应用识别和访问控制能力。防病毒入侵 对客户端进行安全状态的检查,对不安全的客户端可以限制其访问权限或者拒绝访问,从而避免网络危害的入侵。全面的安全性全面的安全性 46MSR SSL VPN卖点方便的接入方式任何地点 SSL协议报文承载于TCP报文之中,传输时不改变IP报文头和TCP报文头,因而不会受到NAT的影响,产生互联方面的问题。在穿越防火墙时,只需要防火墙打开TCP的443端口即可,减少了外部入侵的危险。任何时间 SSL VPN可以比较容易地实现用户名/密码认证,或者证书认证,因而可以有效保证动态创建起来的SSL连接是安全的。任何设备如果用户只打算访问Web应用,通过Web浏览器就可以
47、使用SSL VPN了。如果用户需要运行一些基于TCP/IP通讯的应用程序,则可以在登录SSL VPN网关后,通过网页下载相应的客户端做到。由于大多数操作系统都提供浏览器,因而SSL VPN在各种硬件平台(台式机、笔记本、手机、PDA)和软件平台(Windows、Linux、Unix)上得到广泛的支持。方便的接入方式方便的接入方式47MSR SSL VPN卖点灵活的使用维护免安装 SSL VPN为了支持某些TCP/IP应用程序,需要使用客户端。但这些客户端可以通过网页自动下载,自动配置,自动运行。免维护 在用户退出SSL VPN系统时,SSL VPN的客户端会将下载的客户端程序以及各种配置、临时
48、文件一并清除。下次登录时,会重新下载最新的客户端程序。这样一来SSL VPN的维护工作都集中在网关上,减少了维护VPN客户端的工作量。灵活的使用维护灵活的使用维护48MSR SSL VPN卖点完善的功能集成认证的集成 SSL VPN采用Portal方式进行登录认证,在获取用户名和密码后,可以通过与认证服务器的交互进行验证,从而很好地实现了与网络中已有认证系统的集成。应用的集成IP接入方式提供类似IPsec VPN的远程接入功能,可以实现远程主机与内部网络IP层的互联。TCP接入方式可以在不开放内部IP网络的情况下,支持TCP应用程序的远程访问。Web接入方式可以限制远程主机只能访问有限的URL
49、地址或文件目录,避免了内部网络资源对外部的暴露。完善的功能集成完善的功能集成49目录3G无线宽带接入方案无线宽带接入方案金融金融POS接入方案接入方案可定制可定制IVR解决方案解决方案SSL VPN解决方案解决方案ARP病毒防御解决方案病毒防御解决方案以上均为基于H3C MSR多业务路由器实现50ARP病毒根源在病毒根源在ARP协议自身缺乏安全机制协议自身缺乏安全机制硬件类型字段:表示硬件地址的类型,如果是以太网地址,此字段值为1。协议类型字段:表示要映射的协议地址类型,如果是IP地址,此字段值为0x0800。硬件地址长度和协议地址长度:分别表示硬件地址和协议地址的字节长度,报文中占用的字段长
50、度都是1个字节。对应于以太网中的ARP请求和应答,两个字段的值分别是6和4,即分别是MAC地址和IP地址的字节长度。OP(操作类型)字段用来表示ARP报文的类型。1表示ARP请求,2表示ARP应答。 51ARP自身缺陷自身缺陷ARP协议机制,在满足灵活性和可扩展性的同时,也引入了安全隐患广播方式Stateless无确认/认证机制动态更新,喜新厌旧52仿冒网关攻击仿冒网关攻击53欺骗网关欺骗网关54其他用户的攻击其他用户的攻击55ARP泛洪攻击泛洪攻击网络设备在处理ARP报文时需要占用系统资源,同时因为系统内存和查找ARP缓存表效率的要求,一般网络设备会限制ARP缓存表的大小。攻击者就利用这一点
51、,通过一些构造报文的设备和软件,大量发送源IP地址变化的ARP报文,导致设备ARP缓存表溢出,合法用户的ARP报文不能生成有效的ARP缓存表项,导致正常通信中断。出口路由器IP:10.0.0.1MAC: 01-01-01-01-01-01主机BIP:10.0.0.2MAC: 02-02-02-02-02-02ARP缓存表10.0.0.1 01-01-01-01-01-01ARP缓存表10.0.0.2 02-02-02-02-02-02Spoofed ARP Packages主机A(攻击者)IP:10.0.0.3MAC: 03-03-03-03-03-56MSR ARP防攻击防攻击-免费免费AR
52、P主机A(攻击者)IP:10.0.0.3MAC: 03-03-03-03-03-03主机BIP:10.0.0.2MAC: 02-02-02-02-02-02主机CIP:10.0.0.4MAC: 04-04-04-04-04-04独立或内置于MSR中的DHCP ServerIPIP地址地址MACMAC地址地址10.0.0.210.0.0.202-02-02-02-02-0202-02-02-02-02-0210.0.0.410.0.0.404-04-04-04-04-0404-04-04-04-04-04免费ARP报文是一种特殊的ARP报文,该报文中携带的发送端IP地址和目标IP地址都是本机IP
53、地址,报文源MAC地址是本机MAC地址,报文的目的MAC地址是广播地址设备通过对外发送免费ARP报文,实现以下功能:确定其它设备的IP地址是否与本机IP地址冲突。设备改变了硬件地址,通过发送免费ARP报文通知其他设备更新ARP表项。设备通过学习免费ARP报文,实现以下功能:对于收到的免费ARP报文,如果ARP表中没有与此报文对应的ARP表项,就将免费ARP报文中携带的信息添加到本地动态ARP映射表中。网关ARP表项MSR57MSR ARP防攻击防攻击-授权授权ARP主机A(攻击者)IP:10.0.0.3MAC: 03-03-03-03-03-03主机BIP:10.0.0.2MAC: 02-02
54、-02-02-02-02主机CIP:10.0.0.4MAC: 04-04-04-04-04-04Spoofed ARP PackagesIPIP地址地址MACMAC地址地址10.0.0.210.0.0.202-02-02-02-02-0202-02-02-02-02-0210.0.0.410.0.0.404-04-04-04-04-0404-04-04-04-04-04主机A和主机B通过DHCP Server获得IP地址的同时,网关生成ARP缓存表项。授权表项不能通过被主机A伪造的报文动态修改主机A冒用其它合法主机的IP地址发送ARP请求,因为MAC地址不是网关所记录的授权ARP表项中的合法M
55、AC地址,伪造的ARP请求将不能得到应答,从而限制冒用合法IP地址的主机上网主机A(攻击者)IP:10.0.0.2MAC: 03-03-03-03-03-03授权ARP表项独立或内置于MSR中的DHCP ServerMSR58MSR ARP防攻击防攻击-自动扫描与静态自动扫描与静态ARP主机A(攻击者)IP:10.0.0.3MAC: 03-03-03-03-03-03主机BIP:10.0.0.2MAC: 02-02-02-02-02-02主机CIP:10.0.0.4MAC: 04-04-04-04-04-04Spoofed ARP PackagesIPIP地址地址MACMAC地址地址10.0.
56、0.210.0.0.202-02-02-02-02-0202-02-02-02-02-0210.0.0.410.0.0.404-04-04-04-04-0404-04-04-04-04-04ARP自动扫描,就是对于局域网内的邻居进行扫描,向邻居发送ARP请求报文,获取邻居的MAC地址。自动扫描通常与静态ARP配合使用。可以对网络中重要的服务器或者主机进行保护,将主机B和主机C的IP地址和MAC地址的映射关系配置为静态ARP缓存表项。这种静态映射关系不但不能被伪造的ARP报文动态改写,而且同样会限制对非法ARP请求的应答。静态ARP的配置可以保护本设备的ARP缓存表不被改写,但是配置工作量大,且
57、不适用于主机IP地址可能发生更改的网络环境主机A(攻击者)IP:10.0.0.2MAC: 03-03-03-03-03-03静态ARP缓存表项独立或内置于MSR中的DHCP ServerMSR59MSR ARP防攻击防攻击-ARP主动确认主动确认主机A(攻击者)IP:10.0.0.3MAC: 03-03-03-03-03-03主机BIP:10.0.0.2MAC: 02-02-02-02-02-02主机CIP:10.0.0.4MAC: 04-04-04-04-04-04Spoofed ARP PackagesIPIP地址地址MACMAC地址地址10.0.0.210.0.0.202-02-02-0
58、2-02-0202-02-02-02-02-0210.0.0.410.0.0.404-04-04-04-04-0404-04-04-04-04-04ARP主动确认特性同样适用于网关设备防范欺骗网关的攻击:当网关收到的ARP报文会修改已有的ARP缓存表项时,并不马上修改。而是针对设备上已有的ARP映射发送一个单播请求,目的IP就是映射关系中的IP地址,以太封装中的目的MAC地址也是记录中的MAC地址。如果在5秒内收到了此探测的ARP应答报文,则不修改原有的缓存表项,并且此表项在一分钟之内都不允许被再次修改。如果没有收到此探测的应答,则向新的映射关系发送一个单播ARP请求,如果收到这次探测的应答报
59、文,才修改原有的ARP缓存表项;否则不修改,保持原有的映射记录。主机A(攻击者)IP:10.0.0.2MAC: 03-03-03-03-03-03ARP缓存表项独立或内置于MSR中的DHCP ServerMSR60源源MAC地址固定地址固定ARP攻击防范攻击防范主机A(攻击者)IP:10.0.0.3MAC: 03-03-03-03-03-03主机BIP:10.0.0.2MAC: 02-02-02-02-02-02主机CIP:10.0.0.4MAC: 04-04-04-04-04-04Spoofed ARP PackagesIPIP地址地址MACMAC地址地址10.0.0.210.0.0.202
60、-02-02-02-02-0202-02-02-02-02-0210.0.0.410.0.0.404-04-04-04-04-0404-04-04-04-04-04主机A发起以侦听为目的的ARP攻击,使用自己的MAC地址作为非法ARP报文的发送者MAC地址,以便窃取原本应该是主机B接收的报文。因此当网关设备在短时间内收到同一个发送者发送的大量ARP报文时,就认定为发生了源MAC地址固定ARP攻击。源MAC地址固定ARP攻击检测特性被使能后,该特性会对本设备接收到的ARP报文按照MAC地址和所属VLAN进行统计。当检测到在一定时间内(5秒)以某MAC地址为发送者MAC地址的ARP报文超过了设定的
61、阀值,就会根据特性的配置,采取不同的措施。Filter模式和Monitor模式。在源MAC地址固定ARP攻击检查特性中,还可以配置保护源MAC地址。使用保护源MAC地址作为发送者MAC地址的ARP报文不受源MAC地址固定ARP攻击防范的检查,以保护有特别应用的主机不会因为发送大量的ARP报文而被检测为攻击发起者。主机A(攻击者)IP:10.0.0.2MAC: 03-03-03-03-03-03ARP缓存表项独立或内置于MSR中的DHCP ServerMSR61ARP学习计数限制学习计数限制主机A(攻击者)IP:10.0.0.3MAC: 03-03-03-03-03-03主机BIP:10.0.0
62、.2MAC: 02-02-02-02-02-02主机CIP:10.0.0.4MAC: 04-04-04-04-04-04Spoofed ARP PackagesIPIP地址地址MACMAC地址地址10.0.0.210.0.0.202-02-02-02-02-0202-02-02-02-02-0210.0.0.410.0.0.404-04-04-04-04-0404-04-04-04-04-04此特性支持在指定接口下配置ARP表项计数限制,可以用于防范ARP泛洪攻击。当指定接口下的动态ARP表项计数达到限制后,将不允许新增动态学习表项,以保证当一个接口所接入的某一台主机发起ARP泛洪攻击时不会导致整个设备的ARP缓存表资源都被耗尽。主机A(攻击者)IP:10.0.0.3MAC: 03-03-03-03-03-03ARP缓存表项独立或内置于MSR中的DHCP ServerMSR杭州华三通信技术有限公司
