VIP功能(IPv4、IPv6) - CureLan Technology :: 治科資訊
Download
Report
Transcript VIP功能(IPv4、IPv6) - CureLan Technology :: 治科資訊
IP Management System
( IPMS )
IP管理設備
CURELAN TECHNOLOGY
治科資訊(股)有限公司
www.curelan.com
1
安全認證機制常見問題
2
安全認證機制常見問題
內部IP遭合法使用者或非法使用者冒用,責任不易
釐清,影響合法用戶權益、造成網管人員與企業管
理負擔。
IP認證管理機制繁複,造成使用者經常性的重複認
證操作,形成使用者麻煩、管理者不勝其擾的困擾。
IP安全認證機制與網路管理者的審查機制整合度不
佳。
3
雖使用IP Spoofing技術,卻無法有效遏阻L3 Switch更
新動態ARP Table時的空窗時間(5分鐘)被Netcut(剪
刀手)及ARP Spoof病毒攻擊竄改動態ARP Table的問
題,使駭客趁虛而入。
無法有效設置DHCP管理時間,IP用戶的增刪常需重置
DHCP server,影響網路作業效率。
實務上的IP核發管理機制與安全認證管理整合不易。
(無法支援兩段式認證管理),且無動態式的使用者自
訂管理功能。
4
安全認證機制解決方案
及
設備主要功能與架構
5
安全認證機制解決方案(IPv4)
運用L3 Switch(或L3 Core Switch)上之Arp
Inspection、DHCP Snooping、DHCP Relay三種功能,來
達成IP + MAC綁定的功能,加上IPMS設備之二段式認證授
權方式,即可達成使用者姓名 + IP + MAC相互綁定功能。
Arp Inspection、DHCP Snooping、DHCP Relay功能,要
能同時啟動方可搭配IPMS設備使用,目前支援的廠牌有
CISCO、FOUNDRY、Extreme(xos)、Alcatel、Zyxel。
搭配Arp Inspection功能,可防止防止ARP病毒攻擊、
Netcut(剪刀手)、有人私自設定IP等安全機制。
搭配DHCP Snooping功能,可防止有人私自架設DHCP
Server。
6
安全認證機制解決方案(IPv6)
運用L3 Switch(或L3 Core Switch)上之DHCP
Snooping、DHCP Relay二種功能,來達成IP + DUID綁
定的功能,加上IPMS設備之二段式認證授權方式,即
可達成使用者姓名 + IP + DUID相互綁定功能。
DHCP Snooping、DHCP Relay功能,要能同時啟動方可
搭配IPMS設備使用,只要有支援這兩個功能的廠牌即
可。
搭配DHCP Snooping功能,可防止有人私自架設DHCP
Server。
7
設備主要功能
IPMS設備主要功能:
二段式認證授權方式 (IPv4、IPv6)
支援AD、LDAP、Radius認證 (IPv4、IPv6)
臨時用戶功能 (IPv4、IPv6)
VIP功能 (IPv4、IPv6)
IP/MAC自動學習功能 (IPv4)
主備機功能 (IPv4、IPv6)
非法IP紀錄功能 (IPv4)
分權管理系統 (IPv4、IPv6)
8
設備架構
9
IPMS設備功能介紹
10
二段式認證授權方式(IPv4)
第一階段認證:
採用使用者開啟Web頁面後直接顯示註冊認証畫面。
當使用者的IP為不被DHCP Server認可時,會將使用者自動導到
『申請畫面』來做申請動作(強制使用者來認證註冊)。
11
第二階段認證:
使用者上網填寫註冊個人基本資料後,資料會自動記錄在『未繳費用戶』
中,這時管理者確認基本資料無誤後,按下動作欄位中『繳費』功能,則
使用者才可正常上網。
當系統每次偵測到MAC為:AABBCC:DDEE12時,都會發出同一個固定IP,
以達到使用者姓名 + IP + MAC 相互綁定功能。
12
二段式認證授權方式(IPv6)
第一階段認證:
採用使用者開啟Web頁面後直接顯示註冊認証畫面。
當使用者的IP為不被DHCP Server認可時,會將使用者自動導到
『申請畫面』來做申請動作(強制使用者來認證註冊)。
13
第二階段認證:
使用者上網填寫註冊個人基本資料後,資料會自動記錄在『未繳費用戶』
中,這時管理者確認基本資料無誤後,按下動作欄位中『繳費』功能,則
使用者才可正常上網。
當系統每次偵測到DUID為:0001000117BCB4A9-000E0CB3F0B9時,都會
發出同一個固定IP,以達到使用者姓名 + IP + MAC 相互綁定功能。
14
支援AD、LDAP、Radius認證
(IPv4、IPv6)
使用者在做申請註冊時,可加上透過AD、LADP、Radius來做進一步的
認證,確認該使用者是否為合法申請用戶。
透過AD或LDAP或Radius認證,並配合二段式認證自動取得IP + MAC來使用。
AD 或 LDAP 或 Radius + 二段式認證
15
臨時用戶功能(IPv4)
本設備系統可讓管理者針對臨
時來洽公的人員,創建一組臨
時使用IP,當設定的使用時間
到達後,系統會自動停權該IP
的使用權限。
當管理者設定完畢後,即可在
用戶列表及臨時用戶處看到顯
示為綠色之用戶資料,即為臨
時用戶。
16
臨時用戶功能(IPv6)
本設備系統可讓管理者針對臨
時來洽公的人員,創建一組臨
時使用IP,當設定的使用時間
到達後,系統會自動停權該IP
的使用權限。
當管理者設定完畢後,即可在
用戶列表及臨時用戶處看到顯
示為綠色之用戶資料,即為臨
時用戶。
17
V I P功能(IPv4)
VIP功能:本設備系統為了更嚴謹資訊
安全,凡是由本系統DHCP Server核發
的IP是不能跨L3 Switch的VLAN,但是
為了使用單位有特別需求,多了此VIP
功能,只要在『使用VIP』打勾,之後
勾選需要創建資料的大樓(VLAN),則
本系統DHCP Server會自動在所勾選的
大樓(VLAN)核發一組核准的IP。
18
V I P功能(IPv6)
VIP功能:本設備系統為了更嚴謹資訊
安全,凡是由本系統DHCP Server核發
的IP是不能跨L3 Switch的VLAN,但是
為了使用單位有特別需求,多了此VIP
功能,只要在『使用VIP』打勾,之後
勾選需要創建資料的大樓(VLAN),則
本系統DHCP Server會自動在所勾選的
大樓(VLAN)核發一組核准的IP。
19
IP/MAC自動學習功能(IPv4)
透過自動學習L3 Switch上之動態ARP Table表,利用載入學習資料功
能把IP、MAC、Switch、Port、Port Name的資料匯入進來,方便管理
者快速建立使用者資料庫。
20
主備機功能 (IPv4、IPv6)
在雙機備援模式下,採
取主機(Master)和備機
(Slave)相互備援,一
但主機發生問題,備援
主機將自動調整內部組
態並取代主機的職務,
來保持網路不斷線的運
作。
網管人員亦可立即獲得
新主機的訊息,來對原
本故障的主機做修復的
工作,使其能夠盡快恢
復運作,保障網路永續
通暢。而設備也可以經
由循環使用來延續雙機
的壽命。
21
非法IP紀錄功能(IPv4)
管理者可利用此功能得知有哪些IP一直在試圖未經認證情況下上網且全世界
只有本產品有這項功能,可讓嘗試設定非法IP上網的人員無所遁形。
此功能須把有Arp Inspection功能的Switch,Syslog導到IPMS設備上,且因
只有Cisco設備的Log有非法IP紀錄,其他廠牌(如:Alcatel、Extreme、
Foundry)皆無該紀錄,所以目前只支援Cisco設備。
22
分權管理系統(IPv4、IPv6)
管理者可自行定義每個VLAN由哪些人去控管、可以控制的權限。
23
成功案例
24
25
機型
26
Curelan(治科資訊)價格(含稅)
品名
廠牌
型號
網路存取控制設備之500 user
Curelan
IPMS-500U
網路存取控制設備之1000 user
Curelan
IPMS-1000U
網路存取控制設備之2000 user
Curelan
IPMS-2000U
網路存取控制設備之3000 user
Curelan
IPMS-3000U
網路存取控制設備之5000 user
Curelan
IPMS-5000U
網路存取控制設備之無限 user
Curelan
IPMS-10000U
27