CAMS综合访问管理服务器-新华三集团-H3C

产品特点

CAMS综合管理服务器是一个集事前认证、事中监控、事后审计和业务管理为一体的多业务安全接入管理平台，可以与H3C系列交换机、路由器和VPN网关等网络设备共同组网，满足不同应用场景的身份识别、权限控制、安全准入和运营管理的需求。

• 可靠的用户身份认证

支持802.1x、Portal、VPN接入、无线接入等多种认证接入方式，支持多业务统一认证。

支持PAP、CHAP、EAP-MD5、EAP-TLS、PEAP等多种身份验证方式，适应不同安全要求的应用场景。

支持用户与设备IP地址、接入端口、VLAN、用户IP地址和MAC地址等硬件信息的绑定认证，增强用户认证的安全性，防止帐号盗用和非法接入。

支持与Windows域管理器、第三方邮件系统（必须支持LDAP协议）的统一认证。

• 严密的端点安全防御

支持终端准入控制（EAD）解决方案，确保所有接入网络的用户终端符合企业的安全策略。

提供自动补丁管理、多厂商防病毒联动防御等系统漏洞管理能力，确保终端的自防御能力。

提供桌面管理代理，支持软件安装合法性检查、网络服务合法性检查、终端安全设置检查等功能，确保终端的运行环境符合企业安全标准，防止滥用网络游戏，私设DHCP、代理等网络服务。

支持安全级别的个性化设置，可以根据实际需要进行各种安全策略的灵活配置。

• 严格的用户权限控制

支持基于用户的权限控制策略，可以为不同用户定制不同网络访问权限。

可以控制用户的上网带宽（仅802.1x认证支持）、限制用户的同时在线数、禁止用户设置和使用代理服务器，有效防止个别用户对网络资源的过度占用。

可以实现对用户ACL、VLAN的动态控制，限制用户对内部敏感服务器和外部非法网站的访问（仅802.1x认证支持）。

可以限制用户IP地址分配策略，防止IP地址盗用和冲突。

可以限制终端用户使用多网卡和拨号网络，防止内部信息泄露。

• 融合的多业务统一管理

支持对LAN/WLAN接入的业务管理，提供基于Radius的LAN接入业务的认证、授权、计费与安全准入控制。

支持基于身份与角色的VLAN、ACL、QoS的动态部署，提供LAN/WLAN接入运营管理支撑（仅802.1x认证支持）。

支持对VPN接入的业务管理，提供基于Radius的VPN接入业务的基本认证与计费功能。

• 简单、易用的用户管理

丰富的批量操作，提供批量开户、批量续费、批量销户、批量修改等功能，便于用户数据的集中维护。

可定制的用户信息管理，管理员可根据网络运营的习惯进行用户信息定制：如学校可以定制学号、年级等信息，企业可以定制部门、职务等信息。

基于WEB的用户自助预注册，保证用户信息的准确性，减轻管理员的维护工作量。

提供卡号管理功能，可以批量生成和发布，降低管理成本。

提供丰富的图形和表格样式的业务报表，可以方便的生成、导出和打印。

• 灵活的计费策略

开放、抽象的计费模型，能够满足不同应用场景的计费需求，用户可以根据运营的需要轻松定制计费方式和费率。

支持纯包月、包月限时、包月限流量等易于管理的包月型计费方式。

支持包月暂停的功能，可以使用户的包月截止日期顺延，并支持用户认证上网自动取消暂停。

支持自适应包月，用户使用包月计费策略时，其包月费用的收取根据用户的实际使用情况而定。

支持按使用量（时长/流量）计费、分档计费、奖励和时段优惠，可以适应不同用户群体的需求。

• 实用的帐务处理

支持实时预付费和后付费两种付费方式，满足不同用户群体的消费习惯。

支持营业厅缴费、充值卡缴费以及批量缴费，简化管理员和用户的续费操作。

提供详尽的用户上网明细、帐单和缴费信息，支持查询与打印功能，有效避免帐务纠纷。

支持欠费催缴，用户欠费、余额不足或包月即将到期时，可以通过邮件和客户端进行费用催缴。

支持用户信息、上网明细、用户帐单和缴费记录的手工和自动导出，方便与第三方帐务管理系统的对接。

• 高性能、可扩展的解决方案

CAMS采用“PC服务器+Windows”的软硬件平台，数据库采用SQL Server，为用户提供了一种高可用性的解决方案。

另外，CAMS采用分布式、组件化的体系结构，在CAMS平台之上，认证、授权、计费、安全准入等各业务模块可以独立加载、平滑扩容，能够满足各种规模企业网络的授权、认证、计费和安全准入的要求。

• 灵活、方便的二次开发接口

CAMS CSI 3.0提供了标准、通用的基于Web Services二次开发接口，经过简单的二次开发工作，客户可以轻易将CAMS系统集成到现有运营管理系统中，如企业中的员工管理系统，学校中的学籍管理系统等。目前大多数企业或学校都有一套核心的帐号管理系统，通过基于CAMS CSI 3.0的二次开发，客户可以实现由现有的用户管理系统对CAMS系统进行功能调用，成功将CAMS的功能合入现有管理系统，真正实现多系统的统一管理。

产品规格

功能类别	功能项目
身份认证	支持802.1x、Portal、VPN等多种认证方式
	支持用户与设备IP地址、端口、VLAN、用户IP地址和MAC地址的绑定认证
	支持与LDAP服务器的统一认证
	支持免绑定区域
	PKI安全证书认证（EAP-TLS/PEAP支持）
	Windows域统一认证
	证书认证（EAP-TLS、PEAP）
权限控制	基于用户的权限控制策略
	支持用户同时在线数限制
	最大闲置时长控制
	支持用户ACL、VLAN动态下发
	用户IP地址分配策略控制
	用户的接入时段和接入区域控制
	终端用户使用多网卡和拨号网络控制
	用户使用和设置代理服务器控制
	iNode客户端版本限制
行为监控	强大的“黑名单”管理策略
	支持实时监控在线用户，强制非法用户下线
	支持消息下发
	支持用户认证失败日志记录和上网流程分析
计费功能	支持纯包月、包月限时、包月限流量
	支持包月暂停与恢复
	支持自适应包月及自适应扣费
	支持按使用量（时长/流量）计费
	支持按使用量分档计费和奖励
	支持时段优惠，可以按天、按周、按月、按年设置周期性时段优惠
	支持组合费率（套餐）
帐务功能	支持实时预付费和后付费两种付费方式
	支持营业厅缴费、充值卡缴费以及批量缴费
	支持手工出帐及自动出帐
	提供上网明细、帐单和缴费信息的查询与打印
	支持欠费催缴
	支持用户信息、上网明细、用户帐单和缴费记录的手工和自动导出
用户管理	提供丰富的批量操作
	支持用户信息定制
	支持用户预注册
	提供卡号管理功能
	提供丰富的查询功能
统计报表	统计每小时平均在线用户数
	统计每天（月）的上网流量和时长
	统计用户每月的消费情况
	统计系统注册用户和新注册用户数
	统计操作员收费情况
系统管理	提供灵活的业务运行参数配置
	支持操作级的管理员权限控制
	系统运行状况实时监控
	支持管理员访问控制列表
	支持系统备份
	支持邮件告警
	支持数据库自动备份与恢复
	故障报修处理及FAQ管理
用户自助	支持用户信息和上网明细查看
	支持通过Email取回密码
	用户信息维护
	充值卡充值
	用户自助包月暂停、恢复
	余额不足和欠费提醒
	支持缴费记录查询
	支持用户预注册
	支持用户网络故障报修
	支持网络故障解决FAQ查询
二次开发接口	支持多语言（Delphi、VC、Java、C#）客户端
	用户信息管理
	帐号用户开户、销户、服务管理
	用户黑名单管理
	提供在线用户信息查询
	向第三方系统同步CAMS用户信息
	增加认证失败日志查询接口
	增加LDAP用户同步配置接口
	预付费用户余额查询
	后付费用户欠费查询
	用户缴费
	用户认证失败日志查询
EAD终端准入控制	详细信息请参见EAD终端准入控制解决方案概述

组网应用

l 接入层交换机组网应用（802.1x）

CAMS可以与接入层交换机配合组网完成认证、计费和终端准入控制解决方案的组网与部署。在这种组网方式下，由接入层交换机进行用户网络访问的通断、隔离与开放，由CAMS进行认证、计费以及EAD准入策略控制和安全状态检测。由接入层交换机完成网络访问控制，对用户的接入控制严格，安全性更高。

接入层交换机组网示意图

l 汇聚层交换机组网应用（802.1x）

CAMS可以与汇聚层交换机配合组网完成认证计费和终端准入控制解决方案的组网与部署。在这种组网方式下，由汇聚层交换机进行用户网络访问的通断、隔离与开放，由CAMS进行认证、计费以及EAD准入策略控制和安全状态检测。由汇聚层交换机完成网络访问控制，管理上更为方便。

汇聚层交换机组网示意图

l Portal方式组网应用

CAMS认证、计费和EAD解决方案同样适用于采用Portal进行身份认证的组网环境，在这种组网环境下由AR46路由器/S3528交换机完成基于Portal的接入控制，进行用户网络访问的通断与开放，由CAMS进行认证、计费以及EAD准入策略控制和安全状态检测。在这种组网方式下，AR46/S3528一般位于汇聚层或网络出口，对用户的隔离采用AR46/S3528的开放地址进行控制，管理和组网相对简单。

Portal方式组网示意图

选配信息

CAMS组件选购一览表：

描述	数量	备注
CAMS平台	1	必配，CAMS 公用平台
LAN接入业务组件	1	必配，支持LAN 接入业务
计费组件	1	选配，需要对最终用户计费时选择
EAD组件	1	选配，开展EAD业务时选择
Portal业务组件	1	选配，开展Portal业务时选择
CAMS教育网专用基础套件（含CAMS平台、LAN接入业务组件和计费组件，含5000用户）	1	必配，CAMS教育网专用软件包