精选-体验中心iMC演示讲解操作指导

1、1. 演示及解说关键点:（1）iMC将资源、用户、业务统一结合，通过一个界面就可以完成全部网络管理工作；（2）基于SOA架构，支持分布式安装，客户可以根据自己的需要灵活选配；（3） 必须演示项目：iMC平台，EAD（含桌面资产管理），流量管理（NTA）,用户行为审计（UBA、无线业务管理（WSM、应用性能管理（APM、SOM服务运维管理（SOM。2. EAD终端准入控制EAD简介EAD主要由四个部分组成：iNode智能客户端、策略服务器、网络设备、防 病毒软件等第三方服务器。EAD通过事前认证、事中控制和事后审计等步骤，使得每个接入网络的终端身份可知、权限可管、行为可控，保障网络安全、规范终端

2、管理。iNode智能客户端，集身份认证、安全检查、桌面资产收集等功能为一体，可用于局域网、广域网、无线、VPN等多种环境。iNode认证流程演示EAD终端准入解决方案可以把内网管理工作从被动变为主动，现在H3C每位员工每天早上都会通过这个 iNode智能客户端登陆。（点击USB-Key账号，Pin码 000000.目前使用的是智能卡认证，即USBKey里放的是用户名和密码，未来将放 客户端的证书。）EAD首先会检查我们的身份是否合法，您可以使用最简单的用户名、密码认证，也可以绑定终端IP/MAC、设备IP、所在VLAN等多要素，也可以使用数字证书认 证来进一步提高认证的安全性和便利性。接着服务

3、器会对终端的安全性进行检验， 包括了操作系统的补丁升级，防病毒软件的病毒库升级， 及运行的黑白软件问题等。所有检查都通过之后才能正常连接到内部网络开始一天办公。若检查不通过，根据 安全策略，可以让用户下线或者访问隔离区资源，系统自动打好补丁之后联入内网。不同用户的不同安全策略演示EAD充分考虑国内的应用场景，将终端对网络的使用进行分权管理，不同的部门或级别享有不同网络访问权限。这里我们以BT软件来演示。同样打开并运行BT软件，我们可以看到普通账号不能接入网络而VIP账号可以正常使用网络。（在后续iMC网管演示时，可在 EAD业务配置这部分，可以打开 EAD业务配置页面，给 用户展示EAD可以基

4、于任一安全检查项灵活的定制策略，包括：下线、隔离、Guest、提醒、监控等）断开usb-key账号，运行ead账号，运行Bitcomet，在iNode上点击“ i按钮显示最新安全检查结果，运行 VIP账号，再次点击“ i按钮显示最新安全检查 结果。EAD无客户端方案企业、政府、金融等单位经常有客户、外协以及合作方人员进入。通常，他们只做短暂停留，往往也需要接入网络，比如访问In ternet，或者通过SSL VPN远程办公。但这时无法要求其必须安装客户端软件；尤其是在一些大规模部署或终端设备上自身软件情况复杂等应用场景中，安装客户端软件的开销较大；另外客户端的个人操作系统越来越多样化，单纯对微

5、软Windows客户端进行控制已经满足不了需求。如何对临时访问网络的终端设备进行更好的控制和管理，如何更方便地部署终端管理系统，如何满足多种客户端操作系统用户的接入需求，H3C提供EAD无客户端方式。EAD无客户端方案通过 JAVA技术来驱动客户端的下载及自动运行。用户上网时，在终端的IE地址栏上输入网页 URL地址后，联动设备就会向终端返回一个 指向Portal认证页的HTTP重定向回应报文，将用户访问转向Portal认证门户网页。在第一次使用时，IE将自动下载并运行 JRE （JAVA运行环境）和EAD JAVA 客户端，然后将安装文件缓存在本地，以便加快下次客户登录的进行。SCC安全联动

6、演示（可在IPS端演示）通过EAD已经给每个接入终端打了预防针。但如何实时抵御已经接入网络内部的攻击，并为用户带来智能化的管理，已成为业界关注的问题。H3C能整合各类网络安全资源：桌面客户端iNode、交换机、路由器、防火墙、IPS以及后台安全管理平台，为客户带来统一的安全联动方案，实现统一融合。通过安全管理平台制定有效的安全策略和联动机制，对安全事件进行统一响应和处理，实现对内网安全的一个智能化联动。当我们正常连接到网络中之后，如果客户端在内网中的目标服务器发送一些恶意的4-7层攻击报文，我们也可以通过与安全设备联动来智能处理。现在我们可以看到，这个恶意发送攻击报文的客户端已经被踢下线。同时

7、iNode会提示这个客户端感染了 IP WORM病毒，马上会被强制下线，同时网络断开。（iNode下线，用户看到提示）。3. iMC智能管理中心概述iMC是业界第一款将网络中的 资源（点击iMC的资源”标签页）、使用网络的 用户、以 及用户在网络上开展的各种 业务，这三者统一结合起来的一款产品。因为这样的结合，iMC结束了传统网络管理软件的有工具、无管理”的时代，在提供了一系列管理工具基础之上，从用户安全的 鉴权、到用户业务的快速 部署、以及对网络的实时 监控、出现问题后的及时 调 整、再到最后的历史 审计，定义了一系列BP （ Business Process ）业务流程，使得管理员 在网络

8、中遇到的各种问题，在iMC里都可以得到一个闭环的解决。同时它基于SOA的架构， 支持分布式安装。每位客户可以灵活选配需要的组件。（点击“资源”，进入资源一栏表）iMC不仅可以管理H3C的网络设备，还可以管理安 全网关、无线、服务器等设备，真正做到了一体化管理。（点击“用户”，进入用户一栏表）在这里可以统一管理网络中的用户。从宏观上对用 户使用网络的情况，用户的安全情况进行一览，从微观上可以详细了解每一个用户登记注册的信息，使用网络的流量分析及安全状况分析。点击VIP账号，打开接入信息。（点击“业务”，进入业务一栏表）在这里可以统一管理网络中的业务。iMC是模块化设计，每个用户都可以根据自己的需

9、要选择不同的业务模块。EAD服务策略设置我们首先来介绍下 EAD部分（点击EAD进入EAD安全管理）那么这里显示就是 EAD 的业务流程，我们点击一下防病毒管理，可以看到EAD可以和业界主流的 防病毒软件 厂家，像瑞星、金山、江民，以及国外的诺顿、趋势、卡巴斯基都可以联动，刚才您看到的黑白软件的定义也是在这里设置、系统补丁可以手动添加最近最重要的补丁，也可以选择和微软 WSUS联动。在这里还有流量异常的设置，如果在 EAD客户端所在的机器开启一个ARP泛洪攻击，iNode客户端也能够检查到流量异常而使该用户下线从而从源头上切断了威胁的 产生。（回到“业务”栏）通过安全认证后，EAD还可以对用户

10、终端运行情况和网络使用情况进行审计和监控，其中就包括终端的桌面资产管理（点击桌面资产业务）（注意强调这里所涉及的资产是指接入网络的各类终端，如PC、服务器等，并非广义上资产 ）。EAD解决方案提供了对终端资产全方位的监控和管理的功能，可以对终端软硬件使用情况、变更情况进行监控，同时还支持终端资产的配置管理和软件的统一分发、远程桌面控制，实现对桌面资产的有效管理。EAD解决方案还提供了对 U盘、光驱、串口等其他外设的管理功能，可以对终端用户的各种外设进行控制，有效防止重要信息的泄密，同时提供U盘文件的监控功能，可以查看重要文件通过 U盘拷贝时，有无存在不当使用行为。 分别点击“所有资产”、 “资

11、产硬件变更情况”、“资产统计”、“外设管理策略”进行功能展示。拓扑展示：概述iMC将设备、业务和用户进行了统一的管理，三者之间互相联系，相辅相成，从而实现 了网络的立体管理。我们来看一个综合应用的例子。（打开网络拓扑）这是体验中心的网络的拓扑图，可以看到iMC提供自定义和自动生成2种拓扑图。（点击任何一台设备）点击任何一台设备， 我们可以查看其运行的基础信息，运行是否正常，在这个平台上实现对设备的管理。拓扑展示：无线管理（点击ws查看无线拓扑图）这里看到的是体验中心无线网络拓扑情况，可以看到每个 AP接入多少用户，查看每个用户的具体信息；也可以查看无线控制器信息。（如果用户对无线管理比较感兴趣

12、，请专门参考无线管理的操作和讲解指导，如下：体验中心iMCiMCWS无线业务管理讲解WS无线业务管理操作拓扑展示：链路管理（点击IP拓扑图，查看体验中心组网图，点击链路，显示流量信息 ）我们也可以在这 个界面上直接看到网络链路资源占用情况。可以设置链路拥塞值， 当流量大于该值时， 该条链路会变粗或者变红，进行告警；（点击业务进入流量管理）这里显示的就是流量管理业务。 点击柱状图进入流量业务查看界面，在这个里，我们可以看到网络中各种业务的流量，查看哪些IP的业务流量最大，并且可以看到该主机的MAC地址。通过网络流量的分析，实现了对业务使用情况的监控。拓扑展示：用户管理（点击接入层交换机）同时在接

13、入拓扑这里还可以让您看到接入层交换机下面的用户情 况，包括总共接入的用户数，以及多少用户是安全的，再点击这个数字，就会弹出这个用户 的WEB界面，那么我可以对这个用户作很多操作，比如提醒一下这个 VIP用户，现在他开启了 BT软件，或者对这个 VIP客户的机器做一个详细的安全检查，在弹出的报告中，我们可以看到这台PC机是否启用了屏保，硬盘分区，共享目录、安装了哪些软件、补丁、正在 运行的进程和服务名。拓扑展示：APM应用管理（点击iMC服务器）除了设备信息和用户信息之外，我们还可以在拓扑图上看到应用 的信息。以前的网管软件只能看到服务器是否在运行，而对于服务器上跑的是什么应用、这些应用为什么运

14、行缓慢等等问题是无法回答的，现在iMC通过应用信息与拓扑管理的融合，Apache网页服务、SQL数很好地解答了这些问题。可以看到，这台服务器上有三个应用,据库服务和端口号为 8080的服务。当我们想查看具体某个应用的运行情况时，就可以点击 进去；（点击MSSQL_DB_ SERVER ，选择弹出的“应用管理”页面）可以看到SQL数据 库服务的详细信息，包括内存利用情况、SQL参数统计等，这可以让管理员对数据库的方方面面有足够的了解， 从而判断应该对哪些参数的设置进行优化。顺便说一句，iMC采用了agentless无代理的监控技术，不需要安装代理就可以收集应用信息，管理员可以不用担心 在服务器上

15、安装监控软件所造成的不良影响。用户行为审计（点击“业务” Tab栏）刚才已经跟各位领导已经讲过，iMC是业界唯一统一管理资源、 用户和业务的软件解决方案。接下来给各位领导演示用户行为审计。用户行为审计对于日益增多的网络设施和复杂的业务应用环境，提供了一个简单、高效的日志审计工具，帮助操作员快速、准确地查看网络访问信息，定位网络问题。（点击“用户行为审计”业务 ）用户行为审计支持 NAT、Flow、NetStream 和探针日志，可以对用户访问的网页（ HTTP ）、收发 的邮件（SMTP ）、传输的文件（FTP ）、地址转换（NAT）等信息进行记录。（点击“ WebAudit ” 链接）比如，

16、在这里各位领导可以看到iMC用户行为审计为您记录了网络里被访问站点SOM运维管理（点击“告警” Tab栏）信息中心的日常运维管理是很多领导关注的内容，iMC将IT运维管理模型和具体的网络管理流程结合起来，提供了一套以服务为中心、可控可审计的运维管理方案。比如告警的响应，以前都是无序的，哪些管理员负责处理，采取了哪些排除故障的措施，花了多长时间等，没人能说清楚。有了iMC之后，能够对告警的处理过程进行控制，实现更有序的管理。（点击“告警” Tab栏-点击“告警信息”下的任意一条信息-点击右上角的“分发”动作-点击“确定”）现在我们收到了一条告警，就可以指定由admin 管理员来处理这件事情。（打

17、开IE收藏夹“iMC SOM ”页面，用户名admin ,密码h3ctyzx） 我们看看admin有没有收到通知。（点击“我的工作区”- “待处理的任务”）admin管理 员看到这条信息后， 提出修复方案，经过领导审核后，就可以指定某个操作员进行实施，当 故障修复完成后，整个流程就关闭了，其中的流程和维护经验都可以记录下来。iAR智能分析报表（点击“报表” Tab栏）各位领导可能有亲身体会，随着网络规模的不断扩大和新业务的不断涌现，管理人员面对是海量的数据，而每个领导可能关注的信息点不同，这个时侯您可能会想要是有一套智能的报表系统就好了。而iMC iAR智能分析报表恰恰提供了这样的功能，从数据采集、数据分析、报表设计、报表展现到报表发布，iAR提供“所见即所得”的报表解决方案。（点击“所有报表模板” 一）“设备总表”），这张表展示的是当前我们体验 中心所有设备组成的情况（ 在柱状图上双击可向下钻取 ）。您可以在报表上将自己的单位名