ImageVerifierCode 换一换
格式:DOCX , 页数:146 ,大小:473.91KB ,
资源ID:12362870      下载积分:3 金币
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,免费下载
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.bdocx.com/down/12362870.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(华为Agile Controller配置手册园区版.docx)为本站会员(b****5)主动上传,冰豆网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知冰豆网(发送邮件至service@bdocx.com或直接QQ联系客服),我们立即给予删除!

华为Agile Controller配置手册园区版.docx

1、华为Agile Controller配置手册园区版产品名称密级Agile Controller-Campus秘密产品版本共55页V100R002C00Agile Controller-CampusV100R002C00 配置手册(仅供内部使用)拟制:汪敦全、丁凌风、蒲俊杰日期:2014-4-2审核:日期:审核:日期:批准:日期:华为技术有限公司版权所有 XX日期修订版本描述作者2014-04-021.0初稿2014-05-201.13.2和4.6章节中增加终端安全和USB管控的License;产品更名调整汪敦全2014-07-031.1丁凌风2014-11-231.2在2.2和4.2章节增加E

2、9000刀片服务器的配置说明汪敦全2015-5-82.0增加Agile Controller-Campus V100R002的配置说明汪敦全表目录图目录 Agile Controller-Campus V100R002C00配置手册关 键 词:准入控制、补丁管理、软件分发、安全接入控制网关、 WEB认证客户端。摘 要:本文描述了Agile Controller-Campus V100R002C00的结构、配置、组网等内容,对Agile Controller 系统的销售、部署具有指导作用。文档管理:本文档由Agile Controller-Campus V100R002C00 团队编写和修订,研

3、发、电信设计(投标办)、成套、技术支援等部门共同参与审核,在试验局申请阶段提供第一稿,每季度至少更新一次。本文档纳入配置管理,经相关部门评审通过后在文档中心归档,同时通过市场技术资料平台3MS.HUAWEI.COM数据库进行发布,相关部门的资料接收人应做好保密工作,不得随意扩散。文档使用:本文档属于公司内部使用的机密资料,不可直接传给局方和落入竞争对手手中,否则,要追究相关部门和人员的责任(警告、罚款、降薪、劝退)。1Agile Controller-Campus V100R002C00总体介绍华为Agile Controller-Campus作为企业园区的控制器,实现整个园区网络全网策略控制

4、,同时实现网络的协同整体防护。提供统一的策略引擎,在整个组织内实施统一访问策略,实现基于用户、设备类型、接入时间、接入地点、接入方式多维度的认证和授权,满足企业接入认证多层次、泛终端接入的需求。同时系统提供全生命流程的访客管理,给访客提供一个随时随地上网的空间,提高访客工作效率,提升企业品牌形象,降低IT运维的压力。华为Agile Controller-Campus包括接入认证、访客管理、业务随行、业务编排、安全协防组件构成。其中安全协防为独立组件,在界面进行SSO集成,在系统部署配置原则上存在差异,该组件单独进行描述。在V100R002版本中,安全协防组件不再发货。1.1系统网络逻辑结构及接

5、口关系1.1.1Agile Controller-Campus服务器网络实体组成图1 Agile Controller-Campus系统网络实体组成Controller支持集中部署和分布式部署,集中部署可将SM/SC部署在单台服务器。同时支持多个SC分布式部署。SM:Service Manager (业务管理器)负责对Agile Controller-Campus的业务配置管理以及对业务控制器进行管理。采用B/S架构,系统管理员通过WEB管理界面可以完成终端用户管理、策略配置等业务管理工作。作为业务业务管理器,SM将管理其下的各个业务业务控制器SC向已经连接的节点发送实时指令,完成各种业务。S

6、C:Service Controller (业务控制器)负责接入认证以及设备配置管理,分为RadiusServer、PortalServer、AuthsServer 、NetworkServer组件。RadiusServer:提供标准的Radius服务,整个组织内实施统一访问策略,实现基于用户、设备类型、接入时间、接入地点、接入方式等多种维度的认证和授权。PortalServer:提供标准的Portal认证服务,提供WEB认证页面,跟接入设备进行Portal协议对接。AuthsServer:提供基本认证服务平台(提供基本的SACG接入控制以及终端升级等功能)。NetworkServer:提供网

7、络设备配置功能,在业务随行、业务编排功能中,通过NetwokServer完成设备业务配置,支持XMPP、Telnet、SNMP协议。1.1.2Agile Controller-Campus安全协防组件网络实体组成【V100R002版本不再提供】安全协防组件在界面以SSO方式集成到Agile Controller-Campus中, 安全协防组件包括SecView、iRadar、关联分析机、日志采集机。1.2组网方式和配置原则介绍1.2.1Controller服务器的组网和配置原则1. 单服务器集中组网方案图2 单服务器集中组网方案1)组网方式:说明:使用一台服务器,安装全部软件模块,包括数据库,

8、业务管理器以及业务控制器,适合较小型网络,以及不需要数据库备份的局点。服务器数量:1台服务器1安装组件:数据库,业务管理器SM,业务控制器SC2)选择该方案,需要满足如下条件:终端数量:建议单服务器集中组网时,被管理终端的数量小于2000。当终端数量大于2000终端时,网络的规模已经比较大,对可靠性的要求会更高,虽然一个业务控制器SC能够管理1万终端,但是从可靠性的角度考虑,不推荐使用该方案。网络环境:A)适用于网络相对集中,网络之间的带宽比较大的网络,例如典型的园区网。B)适用于小型多分支机构的网络,并且分支机构到总部之间的带宽比较小,典型的如金融行业的网络,分支机构到总部的带宽是2Mbps

9、。能够容忍因为分支机构到总部链路故障,导致无法提供有效的准入控制访问。小型多分支机构的定义:分支机构到总部的带宽=2Mbps,分支机构的终端数量=100分支机构到总部的带宽=10Mbps,分支机构的终端数量=500评估模型:需要计算终端对带宽的需求,需要保证在一般情况下(包括认证阶段,以及平时的业务阶段对带宽的占用率1%,认证阶段= 20000终端网络环境:存在多个分支结构,分支机构是典型的园区网,或者是银行的市级分行;分支机构到总部的网络带宽有限,评估采用集中组网,可能会占用大量分支机构之间的网络带宽;分支机构到总部之间的网络质量难以保障,总部和分支机构之间的网络可能中断,使得分支机构的终端

10、无法连接总部数据中心。方案的风险以及可靠性:方案的鞥小以及可靠性参照集中组网方案。3)分布式部署环境下数据同步对带宽的需求假设系统中存在10万账号,按照这样的规模计算,一个账号的数据量200字节,总量=20M字节,加上安全策略等各种缓存数据,估计数据量=30M字节。假设分支机构到总部之间的网络带宽是2Mbps,业务控制器SC从总部区所有的缓存数据,假设占用全部带宽,所需要的时间=30M*8bit/2Mbps=120秒。所需要的时间约等于2分钟。业务控制器SC每四个小时从总部同步一次数据,因此数据同步部分对分支机构到总部之间的网络占用=2/(4*60)*100%=0.83%1.2.2802.1X

11、准入控制的组网和配置原则1. 在接入层交换机上实施802.1X图6 在接入层交换机上实施802.1X1)方案说明:在最靠近终端的交换机上启用802.1X,终端正常接入网络前,需要先部署安全代理(一般情况下,不支持Windows自带的安全代理,除非在服务器端进行特殊的配置)。该部署方案能够达到的控制效果,与交换机的特性有关,一般来说可以区分两种类型的交换机:只支持端口关闭的802.1X交换机只支持端口关闭的交换机,有两种选择:第一种是身份认证通过后,开通交换机端口,而不管安全检查的结果是否满足企业的安全策略(可以选择使用其他的准入控制设备配合实现隔离和控制)。第二种是只有身份认证和安全认证通过后

12、开通交换机端口,其余情况均关闭交换机端口。这时候,终端无法通过网络实施修复,例如没有安装杀毒软件,被隔离的时候,只能通过光盘/U盘的方式,在终端安装杀毒软件,并且想办法更新病毒库。支持GUEST VLAN和动态VLAN的802.1X交换机支持GUEST VLAN和动态VLAN的交换机,通过配置,可以使得没有部署安全代理的终端能够访问GUEST VLAN,通过GUEST VLAN部署AnyOffice客户端。在认证过程中,根据安全检查的结果,给交换机下发隔离域VLAN或者认证后域VLAN,实现对问题终端的隔离。支持动态ACL的802.1X交换机支持动态ACL的交换机,通过配置,可以在认证成功后,

13、向交换机下发ACL控制用户的访问权限。2)配置原则:当满足如下条件,可以使用在接入层交换机上实施802.1X:客户要求终端在接入前,不允许访问任何网络资源,包括邻居的终端;客户具备实施和管理802.1X的能力,包括部署AnyOffice客户端的能力;客户的所有接入层交换机都支持802.1X,不存在使用HUB的情况;3)其他局限性:对于只支持端口关闭的802.1X交换机,部署AnyOffice客户端比较困难,目前主要有两种方式:第一种:通过U盘/光盘等物理介质的方式,手工在终端PC上安装AnyOffice客户端;第二种:由专门的部门负责安装软件,例如在一个受控的区域内,交换机不启用802.1X,

14、使得终端在没有部署AnyOffice客户端的时候也能够接入网络,通过网络下载并且安装AnyOffice客户端,或者使用克隆工具重新安装系统。2. 在汇聚层交换机上实施802.1X图7 在汇聚层交换机上实施802.1X1)方案说明:在汇聚层交换机上实施802.1X(一般来说,汇聚层交换机都能够支持802.1X),这时候,下层交换机之间的终端在没有认证前可以互相访问。在汇聚层交换机上实施802.1X,可以减少802.1X的控制点,降低实施的复杂性。2)配置原则:当满足如下条件,可以使用在汇聚层交换机上实施802.1X:客户允许终端在认证前,可以访问接入交换机之间的终端;客户具备实施和管理802.1

15、X的能力,包括部署AnyOffice客户端的能力;接入层的交换机/HUB等设备,包括无线AP等,必须支持802.1X组播报文透传;3)其他限制和局限性:为了在汇聚层交换机实施802.1X,要求该交换机支持MACBASED的802.1X。从目前获得的资料来看,只有国内厂商的交换机才支持该特性。CISCO交换机没有发现能够支持该特性,海外其他厂商的交换机不清楚能否支持MAC BASE的802.1X特性。3. 接入层/汇聚层混合实施802.1X当客户的网络比较复杂的时候,如果强烈要求实施802.1X,也可以采用在接入层/汇聚层混合的方式,方案与配置原则与前面章节一致,这时候802.1X的管理会比较复

16、杂。1.2.3硬件SACG准入控制的组网和配置原则1. SACG直挂路由模式图8 SACG直挂路由模式部署方案1)组网方式:SACG直挂路由模式如图所示,SACG设备在这种组网模式下,通常充当两种类型的角色,第一是网关,要么是接入终端的网关/服务器设备的接入网关,另一种是互联网出口网关。根据部署的位置,如果作为终端的接入网关,可以控制终端访问网关范围外的网络资源;如果作为服务器设备的接入网关,可以控制终端PC对服务器设备的访问;如果作为企业的互联网出口网关,可以控制终端PC对互联网的访问。这样的部署方式,如果是现成的网络,则需要使用SACG设备替换网关,当网络的规模比较大的时候,可能需要替换比

17、较多的网关,成本较高。如果是新建的网络,则需要购买比较多的SACG设备,作为网关,性价比不高。除了部署在互联网出口位置,作为出口网关外,一般不推荐使用这种部署方案。2. SACG侧挂路由模式图9 SACG侧挂路由模式部署方案1)组网方式:SACG侧挂路由单机模式的组网如图所示,SACG设备侧挂在三层交换机或者路由器上。一般来说,通过在交换机上配置报文重定向,或者在路由器上配置策略路由,把来自终端PC的上行流量重定向到SACG设备,通过SACG设备过滤后,再回到交换机/路由器上执行正常的路由转发。对于来自业务系统,发到终端PC的数据报文,出于对性能的考虑,一般不走SACG,直接通过交换机/路由器

18、发送到合适的设备/终端上。出于成本的考虑,会根据客户的网络环境,把SACG设备侧挂在能够控制终端PC访问业务系统的关键网络设备上,如园区网的核心交换机/路由器,或者数据中心前的交换机/路由器。具体部署的位置,需要根据客户网络的情况,以及客户的业务目标,折中考虑。2)配置原则:满足如下条件,可以考虑采用侧挂路由模式部署方案:对终端之间的互相访问控制要求不严格,需要重点保护企业的业务系统;终端到业务系统之间的数据流量有比较集中的控制点;允许对网络的配置进行少量的调整;3)双机方案建议如果客户的网络是双平面的网络,通常能够找到两个对称的侧挂点,使用两个SACG设备,侧挂在两个对称的侧挂点上。如果客户

19、的网络本身没有提供双平面方案,不建议在同一个设备上部署两个SACG设备。通过配置,可以使得当一个SACG设备发生故障的时候,流量走正常路由,也不会导致网络中断,不会影响该网络的可靠性。3. SACG透明/混合模式图10 SACG透明/混合模式部署方案1)组网方式SACG透明/混合模式组网比较简单,在网络中找到一个控制点,然后把SACG设备直接串接在网络中,如图所示。所有通过SACG的流量,都会受到控制。这样的组网方式简单,而且不需要改变现网的网络拓扑结构,而且部署和实施简单。2)配置原则:当满足下列条件,可以考虑采用透明/混合模式的组网方案:对终端之间的互相访问控制要求不严格,重点保护企业的业

20、务系统;不希望对网络的拓扑和配置进行调整;链路的端口是GE口或者FE口(目前各个型号的SACG设备,没有支持10GE的接口);3)透明模式/混合模式双机方案建议如果客户的网络支持双平面,则可以通过在两个链路上分别部署SACG设备,实现双平面的需求。4)透明模式/混合模式组网局限性吞吐能力局限性:透明模式/混合模式组网的情况下,由于SACG设备串接在两个网络设备之间,网络的吞吐能力的扩展性首先与SACG设备的处理能力。以USG5300系列为例,USG5360产品最大处理能力标称值等于6G,USG5360提供了四个可以做聚合的端口,假设四个可以聚合的端口分为两组,两两聚合成一个2G的端口,分别连接

21、两个网络设备,这样USG5360的最大处理能力为2G。后续如果处理能力不足,将很难通过扩容的方式,提高设备的处理能力。接口数量局限性:SACG设备的接口数量有限,以USG5300系列为例,USG5300设备有6个GE接口,如果客户的网络环境比较复杂,例如没有一个可以串接在两个设备之间的链路用于准入控制,那么SACG设备可能需要连接多个网络设备,SACG设备的接口比较有限,在这种网络环境下,需要比较多的SACG设备。可靠性:由于原来的Eudemon 300/500/1000系列SACG设备已经停产,替换的USG系列产品没有提供BYPASS功能,在透明模式/混合模式下,当SACG设备异常掉电后,网络将会中断。4. 如何选择SACG设备选择SACG设备的时候,需要考察两个指标:第一:需要考察SACG设备的在线用户数,这可以通过SACG上标称支持的在线用户数进行选择。第二:需要考察SACG设备的处理能力,不同的组网方式,对SACG设备的处理能力要求不同,对SACG设备

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1