一、EAD全称,违约风险暴露。根据巴塞尔新资本协议的要求,内部评级法对国家、银行和公司风险暴露采用相同的风险加权资产计算方法。
该方法依靠四方面的数据:
1、违约概率。
2、违约损失率。
3、违约风险暴露。
4、有效期限。
二、违约风险敞口是对某项贷款承诺而言,发生违约时可能被提取的贷款额。对于信用风险而言,违约风险敞口(EAD)与借款人应偿还银行而尚未偿还的余额部分密切相关,所以即使假定挽回率为一个常数,则在信贷余额的变化为一个随机过程的情况下,挽回率为一个与信贷余额服从相同分布的随机过程。
扩展资料:
一、EAD产品的所有服务范围只限于EAD解决方案相关组件的服务,其它与EAD解决方案无关的设备硬件、软件安装、维保、故障排除不在此服务范围之内:对于主网络侧的设备现场支持则仅包括与EAD解决方案相关的设备配置部分排错,其它故障请参照主网络设备的服务内容。
EAD解决方案除搭建在CAMS平台上,还可搭建在IMC平台,两种平台所提供的服务项目、内容完全一致。
二、风险敞口的总额都以法律意义上借款人欠银行的数量来计量,不考虑专项准备或部分冲销。这一规则也适用于以和法律上所欠数量不同的价格从外部购买的资产,对购入资产敞口和记录在银行资产负债表上的净额之间的差异。
如果风险敞口大于净额,则计作减值;如果风险敞口小于净额,则计作增值。
参考资料来源:百度百科-EAD
注册资产管理师(CAM)资格认证CAM为中国注册资产管理师(CertifiedAssetsManager)的英文缩写,它是由位于北京的中国企业联合会(CEC\CEDA)面向中国国内的资产运营管理的中、高端从业人员,通过系统的课程教育、严格的考试和资格审核才可以获得该证书。
Oracle 主要配置文件介绍
profile文件 oratab 文件 数据库实例初始化文件 initSID ora 监听配置文件 sqlnet ora 文件 tnsnames ora 文件
Oracle 主要配置文件介绍 /etc/profile 文件 系统级的环境变量一般在/etc/profile 文件中定义 在 CAMS 系统 与数据库 相关的环境变量就定义在/etc/profile 文件中 如下所示 export ORACLE_BASE=/u /app/oracle export ORACLE_HOME=$ORACLE_BASE/product/ export PATH=$PATH:$ORACLE_HOME/bin export LD_LIBRARY_PATH=$ORACLE_HOME/lib:/usr/lib export ORACLE_SID=cams export ORACLE_TERM=vt export ORA_NLS =$ORACLE_HOME/omon/nls/admin/data export NLS_LANG=AMERICAN ZHS CGB & 说明 配置上述环境变量要注意定义的先后顺序 如 定义 ORACLE_HOME 时 用 到 了 ORACLE_BASE 那 么 ORACLE_HOME 的 定 义 应 该 在 ORACLE_BASE之后 在使用中文版 CAMS 时 环境变量 NLS_LANG 的值应该设置为 AMERICAN ZHS CGB 如上所示 在使用英文版 CAMS时 可 以不设置 NLS_LANG 即去掉 export NLS_LANG= 那一行 也可以 设置 NLS_LANG 的值为 AMERICAN_AMERICA US ASCII
/etc/oratab 文件 /etc/oratab 文件描述目前系统中创建的数据库实例 以及是否通过 dbstart 和 dbshut 来控制该实例的启动与关闭 如下所示 忽略以#开头的注释部分 : cams:/u /app/oracle/product/ :Y 其中 cams 为实例 ID /u /app/oracle/product/ 为 ORACLE_HOME目 录 Y表示允许使用 dbstart和 dbshut 启动和关闭该实例数据库 如果设置为 N 表示不通过 dbstart 和 dbshut 启动和关闭实例数据库 CAMS 系统要求在 安装完 ORACLE 后要求将该参数修改为 Y 以保证 ORACLE 数据库自启动 和关闭
数据库实例初始化文件 initSID ora 每个数据库实例都有一个初始化 参数文件 其缺省 存放的路径为 $ORACLE_BASE/admin/<SID>/pfile 其名称为 init<SID> ora 如 cams 实 例 对 应 的 参 数 文 件 为 initcams ora 缺 省 存 放 路 径 为 $ORACLE_BASE/admin/cams/pfile 即/u /app/oracle/admin/cams/pfile 但 在 CAMS 应 用 中 initcams ora 的 存 放 路 径 为 /u /app/oracle/admin/cams/pfile 这是基于数据与应用程序分开存放更好地 保护数据考虑的 尤其在 CAMS 双机应用模式下 能够保证数据的一致性 具体的修改 *** 作可参考 Linux与 Oracle 安装手册 初始化参数文件是一个包含实例配置参数的文本文件 这些参数被设置为特 定的值 用于初始化 Oracle 实例的多数内存和进程设置 以下是一些主要参 数的说明 实例的数据库名称 db_name = cams 实例名称 instance_name = cams 数据库控制文件的名称和位置 control_files = ( /u /app/oracle/oradata/cams/control ctl /u /app/oracle/oradata/cams/control ctl /u /app/oracle/oradata/cams/control ctl ) 调度作业队列的 SNP 进程的数量以及 SNP 进程觉醒时间间隔 秒 JOB_QUEUE_PROCESSES= JOB_QUEUE_INTERVAL=
存储追踪和告警文件的路径 user_dump_dest 指定记录 Oracle 用户进程产生的追踪和告警信息的文件的 存放路径 background_dump_dest 指定记录 Oracle 后台进程产生的追踪和 告警信息的文件的存放路径 core_dump_dest指定Oracle运行所产生的core dump 信息的文件的存放路径 background_dump_dest = /u /app/oracle/admin/cams/bdump core_dump_dest = /u /app/oracle/admin/cams/cdump user_dump_dest = /u /app/oracle/admin/cams/udump UTL_FILE_DIR 参数 UTL_FILE_DIR = UTL_FILE_DIR 参数指定一个或多个目录用于 Oracle 应用的文件 I/O 如备 份数据到文件 在 CAMS 系统中将该值设置为 表示可供 Oracle 应 用进行文件 I/O *** 作的目录为任意目录 因此 只要空间允许 可以将备份数 据存放到任意目录下
监听配置文件 为了使得外部进程 如 CAMS后台程序 能够访问 Oracle 数据库 必须配 置 Oracle 网络服务器环境 配置 Oracle 网络服务器环境是通过配置 listener ora sqlnet ora 和 tnsnames ora 共三个文件来进行的 listener ora 即监听配置文件 在本小节说明 另两个文件分别在随后的两个小节说明 监听配置文件 listener ora 的存放路径为 $ORACLE_HOME/neork/admin 以下是一个示例 LISTENER = #监听器名称 (DESCRIPTION_LIST = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC)) ) (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP) (HOST = localhost localdomain) (PORT = )) ) ) (DESCRIPTION = (PROTOCOL_STACK = (PRESENTATION = GIOP) (SESSION = RAW) ) (ADDRESS = (PROTOCOL = TCP) (HOST = localhost localdomain) (PORT = ))
) ) SID_LIST_LISTENER = #命名规则 SID_LIST_+上面定义的监听器名称 (SID_LIST = (SID_DESC = (SID_NAME = PLSExtProc ) (ORACLE_HOME = /u /app/oracle/product/ ) (PROGRAM = extproc) ) (SID_DESC = (GLOBAL_DBNAME = cams) (ORACLE_HOME = /u /app/oracle/product/ ) (SID_NAME = cams) ) (SID_DESC = (GLOBAL_DBNAME = oid) (ORACLE_HOME = /u /app/oracle/product/ ) (SID_NAME = oid) ) )
& 说明 listener ora 文件中定义一个监听器 其缺省的名称为 LISTENER 这个监听器缺省以tcp/ip为协议地址且端口号为 运行 在CAMS应用中监听文件定义的监听器就使用这个缺省名字 并且使用缺省的协议 tcp/ip和缺省的端口号 待配置好监听文件以及随后说明的 sqlnet ora 和tnsnames ora 文件之后 就可以用以下命令将监听文件中定义的监听器启动起来 $ lsnrctl start停止监听器的命令为 $ lsnrctl stop监测监听器当前状态的命令为 $ lsnrctl status当 lsnrctl status 命令有如下输出结果 STATUS of the LISTENER Alias LISTENER Version TNSLSNR for Linux: Version Production Start Date JAN : : Uptime days hr min sec 就说明监听器正在运行 否则说明监听器已经停止了 CAMS 系统的后台程序的正常运行不仅依赖于数据库实例的运行 还依赖于这个数据库监听器的运行 假如监听器没有启动 即使数据库已经启动 CAMS 后台程序仍然不能正常工作 如(ADDRESS = (PROTOCOL = IPC)(KEY = EXTPROC))所示的一个IPC 协议地址的监听 是为了外部进程调用用的 在数据库安装时自动设定不需要改动
在监听文件后部还有一个 SID_LIST_LISTENER 段 该段用于定义监听器的服务 即为哪些数据库实例提供监听服务 以 cams 实例为例 其对应的服务信息为 (SID_DESC = (GLOBAL_DBNAME = cams) #数据库名 (ORACLE_HOME = /u /app/oracle/product/ ) (SID_NAME = cams) #数据库实例名)
sqlnet ora 文件 sqlnet ora 文件的存放路径为 $ORACLE_HOME/neork/admin 以下是一 个示例
NAMES DEFAULT_DOMAIN = localdomainNAMES DIRECTORY_PATH= (TNSNAMES ONAMES HOSTNAME) & 说明 NAMES DEFAULT_DOMAIN 指定网络域名 NAMES DIRECTORY_PATH指定当解析客户端连接标识符时命名方法 naming metthods 采用的优先顺序 从左至右递减 在 CAMS 应用中 这两个参数采用上述所示的系统缺省值
tnsnames ora 文件tnsnames ora 文件的存放路径为 $ORACLE_HOME/neork/admin 以下是一个示例OID LOCALDOMAIN = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(HOST = localhost localdomain)(PORT = )) ) (CONNECT_DATA = (SERVICE_NAME = oid) ) )CAMS LOCALDOMAIN = (DESCRIPTION = (ADDRESS_LIST = (ADDRESS = (PROTOCOL = TCP)(HOST = localhost localdomain)(PORT = )) ) (CONNECT_DATA = (SERVICE_NAME = cams) ) )INST _>
华三做为核心交换机的,至少在S5500以上,三层功能全部具备。
推荐一下:
H3C S5500-EI系列以太网交换机目前包含如下型号:
• S5500-28C-EI:24 个10/100/1000Base-T以太网端口,4 个复用的SFP 千兆端口(Combo),两个扩展槽位;
• S5500-52C-EI:48 个10/100/1000Base-T以太网端口,4 个复用的SFP 千兆端口(Combo),两个扩展槽位;
• S5500-28C-PWR-EI:24 个10/100/1000Base-T以太网(PoE),4 个复用的SFP 千兆端口(Combo),两个扩展槽位;
• S5500-52C-PWR-EI:48 个10/100/1000Base-T以太网(PoE),4 个复用的SFP 千兆端口(Combo),两个扩展槽位;
• S5500-28F-EI:24 个SFP千兆端口,8 个复用的10/100/1000Base-T以太网端口(Combo),两个扩展槽位;
高扩展性保护投资
随着用户端速度不断提高,用户最终会使集群千兆链路达到饱和,而能够拥有多条集群10GE链路将是我们的未来发展方向。H3C S5500-EI系列交换机支持两个扩展槽位,每个槽位支持最大两端口的10GE扩展模块及两端口的CX4扩展模块,在实现千兆汇聚或接入时保留进一步支持10GE的扩展能力,尽力保护用户投资。
IPv4到IPv6的演变是以太网发展的大势所趋,网络设备对于IPv6的支持不仅是简单的可用就行,而是需要达到商用的标准,S5500-EI已经通过了国际最权威的IPv6 Ready第二阶段认证,而且通过了信息产业部严格的IPv6入网测试。这个系列产品是基于硬件的IPv4/IPv6双栈平台,支持丰富的IPv4和IPv6三层路由协议、组播协议和策略路由机制,实现IPv4到IPv6的平滑升级。
智能d性架构
H3C S5500-EI系列交换机支持IRF2(第二代智能d性架构)技术,就是把多台物理设备互相连接起来,使其虚拟为一台逻辑设备,也就是说,用户可以将这多台设备看成一台单一设备进行管理和使用。IRF可以为用户带来以下好处:
• 简化管理 IRF架构形成之后,可以连接到任何一台设备的任何一个端口就以登录统一的逻辑设备,通过对单台设备的配置达到管理整个智能d性系统以及系统内所有成员设备的效果,而不用物理连接到每台成员设备上分别对它们进行配置和管理。
• 简化业务 IRF形成的逻辑设备中运行的各种控制协议也是作为单一设备统一运行的,例如路由协议会作为单一设备统一计算,而随着跨设备链路聚合技术的应用,可以替代原有的生成树协议,这样就可以省去了设备间大量协议报文的交互,简化了网络运行,缩短了网络动荡时的收敛时间。
• d性扩展 可以按照用户需求实现d性扩展,保证用户投资。并且新增的设备加入或离开IRF架构时可以实现“热插拔”,不影响其他设备的正常运行。
• 高可靠 IRF的高可靠性体现在链路,设备和协议三个方面。成员设备之间物理端口支持聚合功能,IRF系统和上、下层设备之间的物理连接也支持聚合功能,这样通过多链路备份提高了链路的可靠性;IRF系统由多台成员设备组成,一旦Master设备故障,系统会迅速自动选举新的Master,以保证通过系统的业务不中断,从而实现了设备级的1:N备份;IRF系统会有实时的协议热备份功能负责将协议的配置信息备份到其他所有成员设备,从而实现1:N的协议可靠性。
• 高性能 对于高端交换机来说,性能和端口密度的提升会受到硬件结构的限制。而IRF系统的性能和端口密度是IRF内部所有设备性能和端口数量的总和。因此,IRF技术能够轻易的将设备的交换能力、用户端口的密度扩大数倍,从而大幅度提高了设备的性能。
完备的安全控制策略
H3C S5500-EI系列交换机支持EAD(端点准入防御)功能,配合后台系统可以将终端防病毒、补丁修复等终端安全措施与网络接入控制、访问权限控制等网络安全措施整合为一个联动的安全体系,通过对网络接入终端的检查、隔离、修复、管理和监控,使整个网络变被动防御为主动防御、变单点防御为全面防御、变分散管理为集中策略管理,提升了网络对病毒、蠕虫等新兴安全威胁的整体防御能力。
H3C S5500-EI交换机支持集中式MAC地址认证、8021x认证、PORTAL认证,支持用户帐号、IP、MAC、VLAN、端口等用户标识元素的动态或静态绑定,同时实现用户策略(VLAN、QoS、ACL)的动态下发;支持配合H3C公司的CAMS系统对在线用户进行实时的管理,及时的诊断和瓦解网络非法行为。
H3C S5500-EI系列交换机提供增强的ACL控制逻辑,支持超大容量的入端口和出端口ACL,并且支持基于VLAN的ACL下发,在简化用户配置过程的同时,避免了ACL资源的浪费。另外,S5500-EI系列还将支持单播反向路径查找技术(uRPF),原理是当设备的一个接口上收到一个数据包时,会反向查找路径来验证是否存在从该接收接口到包中制定的源地址之间的路由,即验证了其真实性,如果不存在就将数据包删除,这样我们就可以有效杜绝网络中日益泛滥的源地址欺骗。
H3C S5500-EI交换机支持端口隔离功能,即便是在同一VLAN内,也可以实现端口之间的隔离,从而避免广播风暴和病毒在VLAN内地扩散从而影响所有端口。支持MAC地址学习限制和安全MAC地址功能,可以保证只有真正的业务主机才能够接入网络,而其他新接入主机即使连接到交换机上也无法获取地址并连通网络。
多重可靠性保护
S5500-EI系列交换机还具备设备级和链路级的多重可靠性保护。所有机型都支持冗余电源,其中S5500-28F-EI支持可插拔的冗余电源模块,也就是说我们可以根据实际环境的需要灵活配置交流或直流电源模块,此外整机还支持电源和风扇的故障检测及告警,可以根据温度的变化自动调节风扇的转速,这些设计使我们这款盒式交换机具备了机柜式交换机的高可靠性。
除了设备级可靠性以外,还支持丰富的链路可靠性以外,还支持丰富的链路可靠性技术,比如华三通信独创的RRPP快速环网保护机制。当网络上承载多业务、大流量的时候也不影响网络的收敛时间,保证业务的正常开展。
多业务支持能力
支持PoE(Power over Ethernet)技术,通过以太网对所连接的设备(如IP Phone, Wireless AP等)进行远程供电,从而使得不必在使用现场为设备部署单独的电源系统,能够极大地减少部署终端设备的布线和管理成本。支持Voice VLAN技术,交换机通过识别端口的语音流,将对应的接入端口加入Voice VLAN(专用语音VLAN)中,为语音流量提供专门通道,并自动下发优先级规则保证语音流的优先传输来保证通话质量。同时通过设置Voice VLAN安全特性,只允许语音流量通过,可以有效防止突发数据流量对Voice VLAN内的语音流量的冲击。
H3C S5500-EI系列交换机支持MCE功能,可以有效解决多网络带来的用户数据安全与网络成本之间的矛盾,它使用CE设备本身的VLAN接口编号与网络内的进行绑定,并为每个创建和维护独立的路由转发表(Multi-VRF)。这样不但能够隔离私网内不同的报文转发路径,而且通过与PE间的配合,也能够将每个的路由正确发布至对端PE,保证报文在公网内的传输。
丰富的QoS策略
H3C S5500-EI系列交换机支持支持L2(Layer 2)~L4(Layer 4)包过滤功能,提供基于源MAC地址、目的MAC地址、源IP地址、目的IP地址、TCP/UDP端口号、协议类型、VLAN的流分类。提供灵活的对列调度算法,可以同时基于端口和队列进行设置,支持SP(Strict Priority)、WRR(Weighted Round Robin)、SP+WRR三种模式。支持CAR(Committed Access Rate)功能。支持出、入两个方向的端口镜像,用于对指定端口上的报文进行监控,将端口上的数据包复制到监控端口,以进行网络检测和故障排除。
出色的管理性
H3C S5500-EI系列交换机支持SNMPv1/v2/v3(Simple Network Management Protocol),可支持Open View等通用网管平台以及iMC智能管理中心。支持CLI命令行,Web网管,TELNET,HGMP,使设备管理更方便,并且支持SSH20等加密方式,使得管理更加安全。
H3C S5500-EI系列交换机支持基于MAC地址划分VLAN,很好的解决了移动办公的智能灵活管理;结合特有的基于全局和VLAN下发ACL策略,在简化用户配置的同时,也大幅节约了硬件资源。该系列交换机还支持sFlow功能,可以对出入方向的报文按比例随机抽样,灵活实现报文采集。
S5800交换机:
H3C S5800系列交换机
S5800系列机箱式交换机支持H3C创新的IRF2(Intelligent Resilient Framework 2,第二代智能d性架构)技术,用户可以将多台S5800交换机连接,形成一个逻辑上的独立实体,从而构建具备高可靠性、易扩展性和易管理性的新型智能网络。包括以下型号:
• S5800-60C-PWR:48个10/100/1000Base-T以太网端口(中功率PoE),4个100/1000 M SFP端口,3个业务插槽;
• S5800-56C-PWR:48个10/100/1000Base-T以太网端口(中功率PoE),4个1/10G SFP+端口,1个业务插槽;
• S5800-56C:48个10/100/1000Base-T以太网端口,4个1/10G SFP+端口,1个业务插槽;
• S5800-32C-PWR:24个10/100/1000Base-T以太网端口(中功率PoE),4个1/10G SFP+端口,1个业务插槽;
• S5800-32C:24个10/100/1000Base-T以太网端口,4个1/10G SFP+端口,1个业务插槽;
• S5800-32F:24个100/1000M SFP端口,4个1/10G SFP+端口,1个业务插槽。
其实我推荐最好用S7503E-S,有三个业务插槽,可以先上一块24口业务板,价格跟S5800差不多。如果能用机框式设备最好不要考虑盒式设备。
H3C S7500E系列产品是杭州华三通信技术有限公司(以下简称H3C公司)面向融合业务网络的高端多业务路由交换机,该产品基于H3C自主知识产权的Comware V5 *** 作系统,以IRF2(Intelligent Resilient Framework 2,第二代智能d性架构)技术为系统基石的虚拟化软件系统,进一步融合MPLS 、IPv6、网络安全、无线、无源光网络等多种网络业务,提供不间断转发、不间断升级、优雅重启、环网保护等多种高可靠技术,在提高用户生产效率的同时,保证了网络最大正常运行时间,从而降低了客户的总拥有成本(TCO)。H3C S7500E符合“限制电子设备有害物质标准(RoHS)”,是绿色环保的路由交换机。
H3C S7500E系列包括S7510E(12槽)、S7506E(8槽)、S7506E-V(垂直8槽)、H3C S7506E-S(8槽)、S7503E(5槽)、7503E-S(3槽)和S7502E(4槽)7款产品,除了7503E-S所有产品均支持冗余主控。H3C S7500E可广泛应用于城域网、数据中心、园区网核心和汇聚等多种网络环境,为用户提供了有线无线一体化、有源无源一体化的行业解决方案。
丰富的业务,适应融合业务网络发展趋势
基于IRF2(第二代智能d性架构)技术的虚拟化架构
H3C S7500E面向数据中心技术的演进,推出了IRF2为代表的软件虚拟化技术,提供多台主机的协同工作、统一管理和不间断维护功能;IRF2不仅成为数据中心交换设备高性能、虚拟化的关键技术,而且对于传统企业网应用,IRF2所提供的高可靠性和无缝升级、扩展能力,也成为H3C用户增值服务的重要组成部分。
全面的MPLS、VPLS业务能力
H3C S7500E所有产品均支持Multi-VRF特性,可以作为MCE设备使用;支持三层的MPLS 和二层的MPLS (Martini、Kompella);支持MPLS OAM特性,方便用户的管理和维护;与H3C MPLS Manager配合,实现图形化的MPLS部署与维护。
全面支持VPLS,VLL,支持1K VPLS实例,4K VLL,还支持分层VPLS以及QINQ+VPLS接入方式,提供端到端2层接入方案,支持MPLS/VPLS全线速转发,满足VPLS规模部署要求。
高性能IPv4/IPv6业务能力
H3C S7500E支持IPv4/IPv6双协议栈,支持多种隧道技术,支持IPv4/IPv6的组播技术,为用户提供完善的IPv4/IPv6解决方案;H3C S7500E采用分布式体系架构,实现IPv4/IPv6业务的线速无阻塞转发;H3C S7500E已经通过了信息产业部的IPv6入网认证和IPv6 Ready第二阶段认证,是成熟商用的IPv6产品。
有线无线一体化,有源无源一体化
H3C S7500E集成的无线控制模块提供丰富的业务能力,包括精细的用户控制管理、完善的RF管理及安全机制、快速漫游、超强的QoS和对IPv6的支持等;无线控制模块通过与安全策略服务器的联动,实现对无线接入用户的端点准入防御,提高了整网的安全性。
H3C S7500E是业界最高密度的以太网无源光网络(EPON)设备,单台最大可接入10240个FTTH用户;H3C S7500E是高可靠的EPON系统,采用分布式体系结构、模块化设计,主控板冗余热备份、无源背板、冗余电源支持双路供电,具有电信级可靠性。
EAD端点准入防护技术
H3C S7500E支持大容量的Portal认证功能,可以在数千用户的局域网中做为EAD网关设备,为全网用户提供EAD安全认证功能;可以在大中型的校园网中担任汇聚/核心设备的同时,为学生宿舍区的认证计费提供Portal认证功能。
全方位的安全保障,抵御多种网络安全威胁
三平面安全保障机制
H3C S7500E提供完善的安全防护机制,可从控制、管理、转发三平面全面保障网络的安全:在控制平面,内置协议报文攻击识别模块,防止TCN、ARP等协议报文攻击,OSPF/BGP/IS-IS路由协议采用MD5验证,防止非法路由更新报文导致的网络瘫痪;在管理平面,SNMPv3网管协议,SSH V2,基于8021x、AAA/Radius的用户身份认证以及分级的用户权限管理保证了设备管理的安全性;在转发平面,支持IP、VLAN 、MAC和端口等多种组合精细绑定;支持uRPF单播反向路径转发,防止非法流量访问网络,采用最长匹配逐包转发机制,有效抵御病毒的攻击。H3C S7500E还支持内置的高性能防火墙、异常流量清洗等模块,将专业的安全融入到交换机之中。
有线无线全面支持EAD
H3C S7500E是EAD端点准入防御解决方案的重要组成部分,S7500E可以动态的接收来自安全策略服务器的控制策略,根据终端的安全状态给予下发相应的访问权限。H3C S7500E既支持有线终端用户的EAD,也支持无线终端用户的EAD,能够做到终端安全防范无漏洞。
增强的ACL特性
H3C S7500E系列产品支持强大的ACL能力:支持标准和扩展ACL;支持基于VLAN的ACL,方便用户配置,节省ACL资源;支持出方向和入方向的ACL,满足金融等行业访问权限严格控制的需求。
电信级的高可靠性,保障用户业务长期稳定运行
电信级高可靠性设计
H3C S7500E采用无单点故障设计,所有关键部件,如主控板、交换网、电源和风扇等采用冗余设计;无源背板避免了机箱出现单点故障;所有单板和电源模块支持热插拔功能;H3C S7500E系列可以在恶劣的环境下长时间稳定运行,达到99999%的电信级可靠性。
多业务高可靠性运行
H3C S7500E支持不间断转发和优雅重启,提供毫秒级的切换时间;支持等价路由,可帮助用户建立多条等值路径,实现流量的负载均衡及冗余备份;支持RRPP快速环网保护协议;支持Smart-Link协议,保证双上行网络拓扑的业务毫秒级快速切换。通过上述技术,H3C S7500E可以在承载多业务的情况下不间断运行,实现业务的永续。
基于IRF2架构的HA
IRF2技术可以把多台S7500E虚拟成一个“联合设备”,使用和配置都如同一台机器,而且扩展端口数量和交换能力,同时也通过多台设备之间的互相备份增强了设备的可靠性,提供毫秒级的链路收敛能力。简化了管理过程,降低管理成本,并可根据实际需求平滑扩容网络容量。支持基于硬件的丰富的OAM故障检测机制,实现毫秒级链路故障检测。
8021X是基于Client/Server的访问控制协议,简称dot1x。通俗的讲,它是一种认证技术,怎么认证的?交换机上的一个端口连接到PC,开启交换机端口的8021X功能,PC需要输入正确的用户名和密码通过服务器认证,才能访问网络。那么,我们所熟悉的PPPoE也是类似于这种方式的,他们有什么区别呢?先不说,我们接着讲8021X协议。这里我们将PC称为客户端,交换机称为设备端。
有协议就有报文,8021X对应的数据包是EAP(Extensible Authentication Protocol)和EAPOL(Extensible Authentication Protocol over LAN),EAPOL是对EAP的封装(报文可以看出来)使其能够在局域网中以广播包或组播包的形式传输。通过EAP数据包再与远端的RADIUS(用户远程拨号接入服务系统)服务器进行认证,设备端与认证服务器之间交互信息采用的是radius数据包。
8021x用户的RADIUS认证、授权和计费配置实例
本示例拓扑如图20-6所示。现需要实现使用RADIUS服务器对通过交换机接入的8021x用户进行认证、授权和计费。具体要求如下:
l 在接入端口GigabitEthernet1/0/1上对接入用户进行8021x认证,同时采用基于MAC地址的接入控制方式;
l 交换机与RADIUS服务器交互报文时使用的共享密钥为expert,认证/授权、计费的端口号分别为1812和1813,向RADIUS服务器发送的用户名携带域名;
l 用户认证时使用的用户名为dot1x@bbb。
l 用户认证成功后,认证服务器授权下发VLAN 4,将用户所在端口加入该VLAN,允许用户访问该VLAN中的网络资源。
l 对8021x用户进行包月方式计费,费用为120元/月,以月为周期对用户上网服务的使用量按时长进行统计,允许每月最大上网使用量为120个小时。
图20-6 8021x用户RADIUS认证、授权和计费配置示例
对比上一节的示例可以看出,本示例的要求明显高于上节示例,尽管它们都是使用iMC RADIUS服务器。另外,本示例相对上节的示例还多了两项要求,那就是基于MAC地址接入控制的IEEE 8021x认证和RADIUS计费,特别是RADIUS计费功能的配置比较复杂,要配置计费策略。有关H3C以太网交换机的IEEE 8021x认证具体配置方法将在本书第21章介绍。
综合分析本示例的要求,可以得出它的基本配置思路。总体来说包括以下四个方面:在交换机和对应的端口上启用IEEE 8021x认证和基于MAC地址的接入控制;配置iMC RADIUS认证/授权、计费服务器功能;配置RADIUS方案;配置IEEE 8021x用户ISP域AAA方案。下面分别予以介绍。
1.交换机上8021x认证配置
[Switch] dot1x !---开启全局8021x认证
[Switch] interface gigabitethernet 1/0/1
[Switch-GigabitEthernet1/0/1] dot1x !---开启端口GigabitEthernet1/0/1的8021x认证
[Switch-GigabitEthernet1/0/1] quit
[Switch] dot1x port-method macbased interface gigabitethernet 1/0/1 !---设置接入控制方式(该命令可以不配置,因为端口的接入控制在默认情况下就是基于MAC地址的)
2 配置iMC RADIUS服务器
本示例中的iMC服务器配置与上节示例中的iMC服务器配置主要多了计费功能的配置。下面以iMC为例(使用iMC版本为:iMC PLAT 320-R2606、iMC UAM 360-E6206、iMC CAMS 360-E6206),说明本示例的RADIUS 服务器的基本配置。
(1)登录进入iMC管理平台,选择“业务”标签页,单击导航栏中的[接入业务/接入设备配置]菜单项,进入“接入设备配置”页面,然后单击增加按钮,进入“增加接入设备”页面,如图20-7所示。然后进行如下配置:
l 在“共享密钥”文本框中设置与交换机交互报文时使用的认证、计费共享密钥为“expert”;
l 在“认证端口”和“计费端口”两文本框中设置RADIUS认证及计费的端口号分别为“1812”和“1813”;
l 在“业务类型”下拉列表中选择业务类型为“LAN接入业务”选项;
l 在“接入设置类型”下拉列表中选择接入设备类型为“H3C”选项;
l 在“组网方式”下拉列表中选择“不启用混合组网”选项;
l 在“设备列表”栏中单击选择或手工增加按钮添加IP地址为10112的接入设备;
其它参数采用默认值,然后单击确定按钮完成 *** 作。
图20-7 iMC增加接入设备页面
(2)添加计费策略。选择“业务”标签页,单击导航栏中的[计费业务/计费策略管理]菜单项,进入“计费策略管理”页面,单击增加按钮,进入“计费策略配置”页面,如图20-8所示。然后进行如下配置:
l 在“策略名称”文本框中输入计费策略名称“UserAcct”;
l 在“计费策略模板”下拉列表中选择计费策略模板为“包月类型”选项;
l 在“包月基本信息”栏中设置:计费方式为“按时长”、计费周期为“月”、周期内固定费用为“120元”;
l 在“包月使用量限制”栏中设置:允许每月最大上网使用量为120个小时。
其它参数采用默认值,然后单击页面底部的确定按钮完成 *** 作。
图20-8 iMC增加计费策略页面
(3)配置LAN接入业务类型和用户。选择“业务”标签页,单击导航栏中的[接入业务/服务配置管理]菜单项,进入“服务器配置管理”页面,单击增加按钮,进入“增加服务配置”页面,如图20-9所示。然后进行如下配置:
图20-9 iMC增加服务配置页面
l 在“服务名”文本框中输入服务名为“Dot1x auth”、在“服务后缀”文本框中输入“bbb”(ISP域名)。指定服务后缀的情况下,RADIUS方案中必须指定向服务器发送的用户名中携带域名;
l 在“计费策略”下拉列表中选择为“UserAcct”,这是上一步配置的计费策略;
l 在“下发VLAN”文本框中配置授权下发的VLAN ID为“4”(这是根据本示例要求而定的);
其他选项根据需要配置,然后单击页面底部的确定按钮(图中未显示)完成 *** 作。
(4)添加8021x用户。选择“用户”标签页,单击导航栏中的[接入用户视图/所有接入用户]菜单项,进入“接入用户列表”页面,单击增加按钮,进入“增加接入用户”页面,如图20-10所示。 然后进行如下配置:
l 在“用户姓名”栏中单击选择或者增加用户按钮添加用户姓名为“test”;
l 在“帐号名”和“密码”两文本框中依次输入“dot1x”和密码;
l 在“接入服务”栏中选择该用户所关联的接入服务为“Dot1x auth”(这是上一步配置的服务名);
其他选项可根据需要配置,然后在页面底部单击确定按钮完成 *** 作。
图20-10 iMC增加接入用户页面
通过以上配置,本示例中的iMC服务器配置就全部完成了。
3.配置RADIUS方案
system-view
[Switch] radius scheme rad
[Switch-radius-rad] server-type extended
[Switch-radius-rad] primary authentication 10111
[Switch-radius-rad] primary accounting 10111
[Switch-ra
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)