【IT168】对于很多中小企业而言，网络管理和网络安全一直是两大难题。一方面由于企业规模所限，缺乏高级运维技术人才和团队，另一方面，业内很多管理和安全产品，不管从价格还是易用性方面，都不适合中小企业部署和使用。那么，中小企业到底该如何解决自身网络的管理和安全呢?

　　今天我们为大家介绍H3C推出的一款特别针对中小企业网络安全的产品——WiNet安全局域网解决方案。为此，我们特别邀请了H3C资深产品专家杜伟先生，为大家具体解读H3C WiNet的产品特点和技术优势：

▲H3C产品经理杜伟

　　记者：请您为我们先概述一下，H3C的WiNet到底是什么?它的一个典型应用场景是怎样的?

　　杜伟：WiNet本质上是一套内嵌网络和用户管理系统，2009年我们先发布的是WiNet网络管理功能部分的软件，2010年我们又增加了用户管理的功能，因此先有了面向中小企业的内嵌式网管，后有了为中小企业量身定做的管理系统的宣传语，当我们完善了用户管理功能后，这套软硬件配合使用便形成一个具有用户安全接入认证，并且可以针对不同用户区分网络访问权限的安全局域网，从而使得一个产品演进为一套解决方案。

　　WiNet的典型应用场景是要求实施部署安全接入认证的中小型企事业单位的局域网或小型园区网，通过这种手段来保障网络安全和信息安全。

　　记者：既然是面向企业特别是中小企业，那就避不开这类用户自身的一些需求和特征，比如企业规模小，发展迅速，IT运维基础差等等。WiNet针对中小企业这些基本情况，如何来适应这一领域的客户?(可以从即插即用、图形化、免客户端、内嵌式等几个产品特征方面来谈)

　　杜伟：中小企业的IT投资预算总体而言是有限的，同时缺少专业的网络管理人员，用户的计算机使用水平更是参差不齐，我们经常看到很多用户买了比较智能昂贵的设备，但实际部署的时候，并没有启用里面的安全功能，导致了网络安全事件，信息安全事件的出现，根本原因是设备命令配置和调试比较复杂，网络管理员不愿意去调试配置，针对这个问题，我们推出了图形化，免客户端的内嵌式WINET网络管理软件，用户只要粗通网络基础知识，就可以对网络进行配置调试，把原来复杂的功能调试配置过程简单化。

　　记者：我还记得在H3C WiNet上市推广的时候，用到过“智能安全局域网解决方案”这样一个产品的描述和定位。虽然这款产品已经推出了一年多，但今天还是想再问一下，H3C如何定义这款产品的“智能化”?

　　杜伟：从应用的角度讲，智能化就是指这个网络能自动识别用户身份，并根据用户的身份自动的执行属于这个用户的网络访问控制规则，并且和这个用户从网络的那个端口接入是无关的，这里的智能化还隐含了一定程度的虚拟化的意思，启动了WiNet的网络可以说也是一朵云。

　　从设备系统运行的角度讲，这里的智能化是指在网络管理员只需要给网络设备初始运行时加载了一些业务规则，在实际运行中无需人工再配置干预网络设备，这些网络设备能够根据预设规则自动的启用一些配置，完成网络内成员设备之间的管理，以及针对交换机端口或者用户MAC地址加载相应的访问规则的过程。

　　比如：WINET网络拓扑的自动发现技术的实现：为了实现网络设备自动发现、即插即用功能，H3C WiNet网络管理/用户管理方案采用HGMP集群协议用来发现网络设备并自动生成网络拓扑，在一个运行集群协议的网络中，设备被分为三种角色：管理设备、成员设备、和候选设备。管理设备为集群内所有的交换机提供管理接口，具有发现邻接信息、收集整个网络的拓扑结构、管理集群、维护集群状态等功能，成员设备和候选设备只收集和上报邻居信息。

　　再如：WINET用户认证功能中，采用单键启动Radius服务：通常RADIUS服务器需要安装单独服务器上并进行数个参数配置才能够启动，这些参数包括：接入设备的IP地址、共享密钥等，WiNet用户管理方案可以通过HGMP集群协议自动查询接入设备的IP地址并写上共享密钥，因此管理员仅仅需要在WEB界面上点击 “启动认证中心”即可一键式启动Radius服务，其余工作交由系统自动完成。

　　记者：困扰企业的另一个内网安全问题，就是认证和权限划分。WiNet在这方面有哪些功能可以提供给我们的用户?

　　杜伟：我们提供的是基于web的portal认证模式，这种认证过程是基于用户帐号和密码的过程，有点类似电子邮件或者网银的登录认证过程，并且与传统的802.1x基于端口的认证不同，WiNet认证管理是基于用户帐号所管理的MAC地址的，所以是更细粒度的认证，也就是说更加安全的认证接入过程。由于细粒度的认证，所以权限管理也就做的比较细了，所有的访问控制规则是和用户的帐号(MAC地址)管理的。此外要说一下权限管理，这块我们是灵活运用了交换机里面的ACL(访问控制列表)功能，用户想不是什么样的规则，可以通过自定义ACL就可以实现，不是模板化固定化的，因此我们的权限管理可以做的十分灵活。

　　记者：去年在和H3C的专家聊WiNet的时候，了解到这套系统是免费搭载在H3C的网络设备上提供给用户的，并没有单独独立销售。目前这一策略是否有变化?另外， WiNet目前支持H3C哪些系列的产品?未来是否考虑提升产品的开放性和兼容性?

　　杜伟：目前这个策略没有变化，一个好功能就是要用户来用的，越多的人用，H3C的网络设备就卖的越好，苹果手机卖的好，不是因为苹果手机硬件好，是它承载运行的软件足够多，足够好。目前WINET核心系统设备H3C的S55以及MSR20,30系列路由器都支持，接入设备以千兆为主如S5120-SI和LI系列，百兆有一款S3100-26TP-UM。未来如果用户需求进一步提高，我们可能会做一个基于OAA架构的升级的产品，哪时候开放性和兼容性基本都可以解决，目前WINET仅是H3C自己的游戏，就像苹果的itunes。

　　记者：WiNet目前积累的用户数量大概有多少?另外，WiNet的推出，对于H3C的网络设备的销量是否有明显的促进作用?

　　杜伟：目前我们了解到的部署WiNet的用户约有2000家，只是我们用户的很少一部分，很多用户对他还不了解。由于WiNet的推广我们千兆交换机的销量增长了70%，很多用户都惊讶我们的设备会提供这样的功能。

　　记者：WiNet的后续开发计划是怎样的?和最初的产品相比，我们有哪些新的功能和设想会集成到WiNet上面来?

　　杜伟：后续计划会在我们多业务路由器上通过OAA开放平台(也就是一台紧凑型服务器)来做，还在预研阶段，可能会进一步完善网络管理功能，同时增加客户端的安全检测。