ASM入网规范管理系统准入控制技术快速配置手册.docx
《ASM入网规范管理系统准入控制技术快速配置手册.docx》由会员分享,可在线阅读,更多相关《ASM入网规范管理系统准入控制技术快速配置手册.docx(16页珍藏版)》请在冰豆网上搜索。
ASM入网规范管理系统准入控制技术快速配置手册
ASM
盈高入网规范管理系统
网络联动控制快速配置手册
INFOGOAccessStandardManagementSystem
Ver2010.0831
版权声明:
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。
任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。
商标:
盈高、INFOGO是盈高科技的注册商标,未经允许,不得引用。
第一章策略路由快速配置
1.1ASM系统界面配置
1.1.1网卡配置
启用ETH0和ETH2两块网卡并配置IP地址:
ETH0与联动网络设备相连,配置的IP地址作为策略路由的下一跳地址;ETH2配置的IP地址需要全网或者控制的网段能够访问。
1.1.2策略路由参数配置
a)认证参数设置
1、配置重定向URL地址:
http:
//eth2口ip地址。
2、配置下一跳IP地址:
该地址为与ASM系统eth0口直连的网络联动设备的IP地址。
3、配置好下一跳IP地址后点击“获取下一跳MAC地址”按钮,若能网络正常则网络联动设备的MAC地址将显示于“下一条MAC地址”文本框中。
4、当您在开启策略路由认证技术后又希望放开所有设备,则可“启用紧急模式”。
5、其余配置项使用默认配置即可。
6、点击“完成配置”。
b)例外设备管理
1、配置隔离服务器:
若您希望设备被隔离后仍然可以访问指定的服务器,则可以在“开始IP”、“结束IP”处填写该服务器的IP地址,然后选择“添加”按钮。
同样,选择“删除”按钮进行删除。
2、配置不管理网段:
若你希望将指定的设备不进行入网控制,则可以在“开始IP:
”、“结束IP”处填写该设备的IP地址,然后选择“添加”按钮。
同样,选择“删除”按钮进行删除。
1.2网络联动设备配置
1.2.1CISCO交换机配置
方法一、(不具备逃生方案)
建立ACL
ipaccess-listextendedpolicy-route-acl
permitipanyany
exit
配置route-map路由图
route-mappolicy-route
matchipaddresspolicy-route-acl
setipnext-hop192.168.100.123
exit
在接口上应用route-map
interfacevlan54
ippolicyroute-mappolicy-route
exit
方法二、(具备逃生方案)
建立ACL
access-list101permitip192.168.36.00.0.0.255any
ipaccess-listextendedpolicy-route-acl
permitipanyany
exit
配置带下跳检测的route-map路由图
ipslamonitor1
typeechoprotocolipIcmpEcho172.28.1.11
frequency8
ipslamonitorschedule1lifeforeverstart-timenow
track123rtr1reachability
ipslamonitor2
typeechoprotocolipIcmpEcho172.28.1.12
frequency8
ipslamonitorschedule2lifeforeverstart-timenow
track223rtr2reachability
route-mappolicy_route
matchipaddresspolicy-route-acl
setipnext-hopverify-availability172.28.1.1110track123
setipnext-hopverify-availability172.28.1.1220track223
在接口上应用route-map
interfacevlan200
ippolicyroute-mappolicy-route
1.2.2H3C交换机配置
1.2.2.1policy-based-route方法配置
建立ACL
aclnumber3040
rule0permitipsourceany
quit
配置policy-based-route路由图
policy-based-routepolicy-routepermitnode10
if-matchacl3040
applyip-addressnext-hop192.168.100.123
quit
在接口应用policy-based-route
interfaceEthernet0/3.40
ippolicy-based-routepolicy-route
quit
1.2.2.2qospolicy方法配置
配置ACL策略
[H3C7506E]aclnumber3040
[H3C7506E-acl-adv-3040]rule10permitipsourceany
[H3C7506E-acl-adv-3040]quit
配置匹配ACL的流分类1
[H3C7506E]trafficclassifier1
[H3C7506E-classifier-1]if-matchacl3040
[H3C7506E-classifier-1]quit
配置刚才定义的流分类1的行为,定义如果匹配就下一跳至192.168.100.123
[H3C7506E]trafficbehavior1
[H3C7506E-behavior-1]redirectnext-hop192.168.100.123
[H3C7506E-behavior-1]quit
将刚才设置的流分类及行为应用至QOS策略中,定义policy1
[H3C7506E]qospolicy1
[H3C7506E-qospolicy-1]classifier1
[H3C7506E-qospolicy-1]behavior1
[H3C7506E-qospolicy-1]quit
在接口上应用定义的QOS策略policy1
[H3C7506E]interfaceGigabitEthernet2/0/11
[H3C7506E-GigabitEthernet2/0/11]qosapplypolicy1inbound
[H3C7506E-GigabitEthernet2/0/11]quit
1.2.2.3routepolicy方法配置
建立ACL
aclnumber3000
rule0permitipsourceany
quit
配置routepolicy路由图
route-policypolicy-routepermitnode1
if-matchacl3000
applyip-addressnext-hop192.168.100.123
quit
在接口应用routepolicy
interfaceEthernet1/0
ippolicyroute-policypolicy-route
quit
1.2.2.4traffic-redirect方法配置
建立ACL
aclnumber3000
rule0permitipsourceany
quit
在接口应用traffic-redirec
interfaceGigabitEthernet6/1/1
traffic-redirectinboundip-group3000rule0next-hop192.168.100.123
quit
1.2.3华为交换机配置
1.2.3.1traffic-policy方法配置
配置ACL策略
aclnumber3040
rule10permitipsourceany
quit
配置匹配ACL的流分类1
trafficclassifier1
if-matchacl3040
quit
配置刚才定义的流分类1的行为,定义如果匹配就下一跳至192.168.100.123
trafficbehavior1
redirectnext-hop192.168.100.123
quit
将刚才设置的流分类及行为应用至traffic-policy策略中,定义policy1
trafficpolicy1
classifier1behavior1
quit
在接口上应用定义的QOS策略policy1
interfaceGigabitEthernet2/0/11
traffic-policy1inbound
quit
1.2.3.2traffic-redirect方法配置
建立ACL
aclnumber3000
rule0permitipsourceany
quit
在接口应用traffic-redirec
interfaceGigabitEthernet6/1/1
traffic-redirectinboundip-group3000rule0next-hop192.168.100.123
quit
1.2.3.3routepolicy方法配置
建立ACL
aclnumber3000
rule0permitipsourceany
quit
配置routepolicy路由图
route-policypolicy-routepermitnode1
if-matchacl3000
applyip-addressnext-hop192.168.100.123
quit
在接口应用routepolicy
interfaceEthernet1/0
ippolicyroute-policypolicy-route
quit
第二章VG虚拟网关快速配置
2.1ASM系统界面配置
2.1.1网卡配置
启用ETH0、ETH2和ETH3三块网卡:
ETH0和ETH3与联动网络设备的TRUNK口相连;ETH2配置的IP地址需要全网或者控制的网段能够访问。
2.1.2VG虚拟网关参数设置
a)基本参数设置
1、配置重定向URL地址:
http:
//eth2口ip地址。
2、配置隔离服务器:
若您希望设备被隔离后仍然可以访问指定的服务器,则可以在“开始IP”、“结束IP”处填写该服务器的IP地址,然后选择“添加”按钮。
同样,选择“删除”按钮进行删除。
3、点击“完成配置”。
b)VG交换机管理
配置好VG基本参数后,才能开始配置VG交换机管理。
进入“VG虚拟网关设置”栏,选择“VG交换机管理”,如下界面所示:
1、添加交换机:
选择“添加交换机”按钮进入如下界面:
2、填写完各参数配置选择“完成配置”后出现如下界面:
3、配置交换机:
选中添加的交换机后选择“配置交换机”按钮进入如下界面:
4、选中要在交换机上开启VG认证技术的端口,然后选择“保存配置”。
(若交换机上的端口更改了Vlan信息,则需点击“更新初始Vlan”按钮后再选择“保存配置”。
)
c)Vlan映射配置
配置完交换机管理后,还需要对Vlan映射进行配置,保证接入设备认证前后属于不同权限的Vlan,从而达到接入控制的目的。
2.2网络联动设备配置
配制用于通过SNMP查询交换机信息的共同体
snmp-servercommunityasmpublicro
配制用于通过snmp设置交机信息的共同体
snmp-servercommunityasmprivaterw
启用linkdowntrap
snmp-serverenabletrapssnmplinkdown
启用MACaddress通知Trap
snmp-serverenabletrapsmac-notification
指定将Trap报文发给ASM(192.168.56.14)
snmp-serverhost192.168.56.14version2casmtrap
macaddress-tablenotification
第三章EOU认证技术快速配置
3.1ASM系统界面配置
3.1.1网卡配置
启用ETH2网卡并配置IP地址:
ETH2配置的IP地址需要全网或者控制的网段能够访问。
3.1.2EOU参数配置
a)基本参数设置
1、配置重定向URL地址:
http:
//eth2口ip地址。
2、配置重定向的交换机ACL名称:
AsmEouUrlAcl。
3、当您在开启EOU认证技术后又希望放开所有设备,则可“启用紧急模式”。
4、其余配置项使用默认配置即可。
5、点击“完成配置”。
b)EOU全局参数设置
1、配置主认证服务器地址:
主ASM设备eth2口ip地址(若您有两台ASM设备,则配置备认证服务器地址:
备ASM设备eth2口ip地址)。
2、配置隔离服务器:
若您希望设备被隔离后仍然可以访问指定的服务器,则可以在“IP地址”处填写该服务器的IP地址,然后选择“添加”按钮。
3、同样,您也可以选中希望设备被隔离后不可以访问指定的服务器,然后选择“删除”按钮或者选择“清空”按钮,进行删除或清空。
4、点击“完成配置”。
c)EOU交换机管理
当您配置好EOU基本参数和全局参数后,才能开始配置EOU交换机管理。
进入“EOU认证技术设置”栏,选择“EOU交换机管理”,如下界面所示:
1、添加交换机:
选择“添加交换机”按钮进入如下界面:
当交换机型号选项中没有与网络联动设备型号向对应时,请参照3.2网络联动设备配置
2、填写完各参数配置选择“完成配置”后出现如下界面:
3、配置交换机:
选中添加的交换机后选择“配置交换机”按钮进入如下界面:
4、选中要在交换机上开启EOU认证技术的端口,然后选择“生效EOU配置”。
(至此,EOU认证技术已配置完成。
)
3.2网络联动设备配置
此处配置与ASM系统界面配置中EOU参数配置的C步骤具有相同作用,二者选其一。
aaanew-model
aaagroupserverradiusASMEOU
#下面这个地址要进行修改,另外如果有多个AMC可以进行增加(192.168.40.214)
server-private192.168.56.22auth-port1812acct-port1813keymsackey
exit
aaaauthorizationnetworkdefaultlocal
aaaaccountingnetworkdefaultnone
aaaauthenticationlogindefaultline
radius-serverattribute8include-in-access-req
radius-servervsasendauthentication
radius-serverdeadtime720
radius-serverdead-criteriatries3
ipaccess-listextendedAsmEouAllAcl
permitipanyany
exit
ipaccess-listextendedAsmEouDefaultAcl
remarkallowDHCP
permitudpanyanyeqbootps
remarkallowDNS
permitudpanyanyeqdomain
remarkallowtotheserverWWW
#这个地方要进行修改为实际的IP地址和端口
permittcpanyhost192.168.56.14eqwww
#另外如果有其它的修复机器要求可以访问,要求增加在这个地方
remarkallowtoserver
permitipanyhost192.168.56.245
remarkdenyother
denyipanyany
exit
ipaccess-listextendedAsmEouUrlAcl
#这个地方要进行修改,将不需要重定向的机器增加到这个地方
denytcpanyhost192.168.56.14eqwww
denytcpanyhost192.168.56.246eqwww
升级会员 