ASM入网规范管理系统准入控制技术快速配置手册.docx

1、ASM入网规范管理系统准入控制技术快速配置手册ASM盈高入网规范管理系统 网络联动控制快速配置手册INFOGO Access Standard Management SystemVer 2010.0831版权 声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属盈高科技所有，并受到有关产权及版权法保护。任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 商标：盈高、INFOGO是盈高科技的注册商标，未经允许，不得引用。第一章 策略路由快速配置1.1 ASM系统界面配置1.1.1 网卡配置启用ETH0和ETH2两块网卡并

2、配置IP地址：ETH0与联动网络设备相连，配置的IP地址作为策略路由的下一跳地址；ETH2配置的IP地址需要全网或者控制的网段能够访问。1.1.2 策略路由参数配置a) 认证参数设置1、 配置重定向URL地址：http:/eth2口ip地址。2、 配置下一跳IP地址：该地址为与ASM系统eth0口直连的网络联动设备的IP地址。3、 配置好下一跳IP地址后点击“获取下一跳MAC地址”按钮，若能网络正常则网络联动设备的MAC地址将显示于“下一条MAC地址”文本框中。4、 当您在开启策略路由认证技术后又希望放开所有设备，则可“启用紧急模式”。5、 其余配置项使用默认配置即可。6、 点击“完成配置”。

3、b) 例外设备管理1、 配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“开始IP”、“结束IP”处填写该服务器的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。2、 配置不管理网段：若你希望将指定的设备不进行入网控制，则可以在“开始IP：”、“结束IP”处填写该设备的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。1.2 网络联动设备配置1.2.1 CISCO交换机配置方法一、（不具备逃生方案）建立ACLip access-list extended policy-route-aclpermit ip any anyexit配置route

4、-map路由图route-map policy-routematch ip address policy-route-aclset ip next-hop 192.168.100.123exit在接口上应用route-mapinterface vlan 54ip policy route-map policy-routeexit方法二、（具备逃生方案）建立ACLaccess-list 101 permit ip 192.168.36.0 0.0.0.255 anyip access-list extended policy-route-aclpermit ip any anyexit配置带下跳

5、检测的route-map路由图ip sla monitor 1type echo protocol ipIcmpEcho 172.28.1.11 frequency 8ip sla monitor schedule 1 life forever start-time nowtrack 123 rtr 1 reachabilityip sla monitor 2type echo protocol ipIcmpEcho 172.28.1.12 frequency 8ip sla monitor schedule 2 life forever start-time nowtrack 223 rtr

6、 2 reachabilityroute-map policy_routematch ip address policy-route-aclset ip next-hop verify-availability 172.28.1.11 10 track 123set ip next-hop verify-availability 172.28.1.12 20 track 223在接口上应用route-mapinterface vlan 200ip policy route-map policy-route1.2.2 H3C交换机配置1.2.2.1 policy-based-route方法配置建

7、立ACLacl number 3040rule 0 permit ip source anyquit配置policy-based-route路由图policy-based-route policy-route permit node 10if-match acl 3040apply ip-address next-hop 192.168.100.123quit在接口应用policy-based-routeinterface Ethernet0/3.40ip policy-based-route policy-routequit1.2.2.2 qos policy方法配置配置ACL策略H3C75

8、06Eacl number 3040H3C7506E-acl-adv-3040 rule 10 permit ip source anyH3C7506E-acl-adv-3040quit配置匹配ACL的流分类1H3C7506E traffic classifier 1H3C7506E-classifier-1 if-match acl 3040H3C7506E-classifier-1 quit配置刚才定义的流分类1的行为，定义如果匹配就下一跳至192.168.100.123H3C7506E traffic behavior 1H3C7506E-behavior-1 redirect next

9、-hop 192.168.100.123H3C7506E-behavior-1 quit将刚才设置的流分类及行为应用至QOS策略中，定义policy 1H3C7506E qos policy 1H3C7506E-qospolicy-1 classifier 1 H3C7506E-qospolicy-1 behavior 1H3C7506E-qospolicy-1 quit在接口上应用定义的QOS策略policy 1H3C7506E interface GigabitEthernet 2/0/11H3C7506E-GigabitEthernet2/0/11 qos apply policy 1

10、inboundH3C7506E-GigabitEthernet2/0/11 quit1.2.2.3 route policy方法配置建立ACLacl number 3000rule 0 permit ip source anyquit配置route policy路由图route-policy policy-route permit node 1 if-match acl 3000apply ip-address next-hop 192.168.100.123quit在接口应用route policyinterface Ethernet1/0 ip policy route-policy po

11、licy-routequit1.2.2.4 traffic-redirect方法配置建立ACLacl number 3000 rule 0 permit ip source anyquit在接口应用traffic-redirecinterface GigabitEthernet6/1/1 traffic-redirect inbound ip-group 3000 rule 0 next-hop 192.168.100.123quit1.2.3 华为交换机配置1.2.3.1 traffic-policy方法配置配置ACL策略acl number 3040rule 10 permit ip so

12、urce anyquit配置匹配ACL的流分类1traffic classifier 1if-match acl 3040quit配置刚才定义的流分类1的行为，定义如果匹配就下一跳至192.168.100.123traffic behavior 1redirect next-hop 192.168.100.123quit将刚才设置的流分类及行为应用至traffic-policy策略中，定义policy 1traffic policy 1classifier 1 behavior 1quit在接口上应用定义的QOS策略policy 1interface GigabitEthernet 2/0/1

13、1traffic-policy 1 inboundquit1.2.3.2 traffic-redirect方法配置建立ACLacl number 3000 rule 0 permit ip source anyquit在接口应用traffic-redirecinterface GigabitEthernet6/1/1 traffic-redirect inbound ip-group 3000 rule 0 next-hop 192.168.100.123quit1.2.3.3 route policy方法配置建立ACLacl number 3000rule 0 permit ip sourc

14、e anyquit配置route policy路由图route-policy policy-route permit node 1 if-match acl 3000apply ip-address next-hop 192.168.100.123quit在接口应用route policyinterface Ethernet1/0 ip policy route-policy policy-routequit第二章 VG虚拟网关快速配置2.1 ASM系统界面配置2.1.1 网卡配置启用ETH0、ETH2和ETH3三块网卡：ETH0和ETH3与联动网络设备的TRUNK口相连；ETH2配置的IP地

15、址需要全网或者控制的网段能够访问。2.1.2 VG虚拟网关参数设置a) 基本参数设置1、 配置重定向URL地址：http:/eth2口ip地址。2、 配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“开始IP”、“结束IP”处填写该服务器的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。3、 点击“完成配置”。b) VG交换机管理配置好VG基本参数后，才能开始配置VG交换机管理。进入“VG虚拟网关设置”栏，选择“VG交换机管理”，如下界面所示：1、 添加交换机：选择“添加交换机”按钮进入如下界面：2、 填写完各参数配置选择“完成配置”后出现如下界面：3、

16、配置交换机：选中添加的交换机后选择“配置交换机”按钮进入如下界面：4、 选中要在交换机上开启VG认证技术的端口，然后选择“保存配置”。（若交换机上的端口更改了Vlan信息，则需点击“更新初始Vlan”按钮后再选择“保存配置”。）c) Vlan映射配置配置完交换机管理后，还需要对Vlan映射进行配置，保证接入设备认证前后属于不同权限的Vlan，从而达到接入控制的目的。2.2 网络联动设备配置配制用于通过SNMP查询交换机信息的共同体snmp-server community asmpublic ro配制用于通过snmp设置交机信息的共同体snmp-server community asmpriv

17、ate rw启用linkdown trapsnmp-server enable traps snmp linkdown启用MAC address通知Trapsnmp-server enable traps mac-notification 指定将Trap报文发给ASM(192.168.56.14)snmp-server host 192.168.56.14 version 2c asmtrapmac address-table notification第三章 EOU认证技术快速配置3.1 ASM系统界面配置3.1.1 网卡配置启用ETH2网卡并配置IP地址： ETH2配置的IP地址需要全网或者

18、控制的网段能够访问。3.1.2 EOU参数配置a) 基本参数设置1、 配置重定向URL地址：http:/eth2口ip地址。2、 配置重定向的交换机ACL名称: AsmEouUrlAcl。3、 当您在开启EOU认证技术后又希望放开所有设备，则可“启用紧急模式”。4、 其余配置项使用默认配置即可。5、 点击“完成配置”。b) EOU全局参数设置1、 配置主认证服务器地址：主ASM设备eth2口ip地址（若您有两台ASM设备，则配置备认证服务器地址：备ASM设备eth2口ip地址）。2、 配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“IP地址”处填写该服务器的IP地址，然

19、后选择“添加”按钮。3、 同样，您也可以选中希望设备被隔离后不可以访问指定的服务器，然后选择“删除”按钮或者选择“清空”按钮，进行删除或清空。4、 点击“完成配置”。c) EOU交换机管理当您配置好EOU基本参数和全局参数后，才能开始配置EOU交换机管理。进入“EOU认证技术设置”栏，选择“EOU交换机管理”，如下界面所示：1、 添加交换机：选择“添加交换机”按钮进入如下界面： 当交换机型号选项中没有与网络联动设备型号向对应时，请参照3.2网络联动设备配置2、 填写完各参数配置选择“完成配置”后出现如下界面：3、 配置交换机：选中添加的交换机后选择“配置交换机”按钮进入如下界面：4、 选中要在

20、交换机上开启EOU认证技术的端口，然后选择“生效EOU配置”。（至此，EOU认证技术已配置完成。）3.2 网络联动设备配置此处配置与ASM系统界面配置中EOU参数配置的C步骤具有相同作用，二者选其一。aaa new-modelaaa group server radius ASMEOU#下面这个地址要进行修改,另外如果有多个AMC可以进行增加（192.168.40.214）server-private 192.168.56.22 auth-port 1812 acct-port 1813 key msackeyexitaaa authorization network default loca

21、laaa accounting network default noneaaa authentication login default lineradius-server attribute 8 include-in-access-reqradius-server vsa send authenticationradius-server deadtime 720radius-server dead-criteria tries 3ip access-list extended AsmEouAllAcl permit ip any any exitip access-list extended

22、 AsmEouDefaultAcl remark allow DHCP permit udp any any eq bootps remark allow DNS permit udp any any eq domain remark allow to the server WWW #这个地方要进行修改为实际的IP地址和端口 permit tcp any host 192.168.56.14 eq www #另外如果有其它的修复机器要求可以访问，要求增加在这个地方 remark allow to server permit ip any host 192.168.56.245 remark deny other deny ip any any exitip access-list extended AsmEouUrlAcl#这个地方要进行修改，将不需要重定向的机器增加到这个地方 deny tcp any host 192.168.56.14 eq wwwdeny tcp any host 192.168.56.246 eq www