ASM入网规范管理系统_准入控制技术快速配置手册V1.0

更新时间:2023-05-27 05:58:01 阅读量: 实用文档 文档下载

说明:文章内容仅供预览,部分内容可能不全。下载后的文档,内容与下面显示的完全一致。下载之前请确认下面内容是否您想要的,是否完整无缺。

ASM入网规范管理系统配置手册

ASM盈高入网规范管理系统

网络联动控制快速配置手册

INFOGO Access Standard Management System

版权

声明:本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护。任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断。

目 录

ASM入网规范管理系统配置手册

第一章 策略路由快速配置 ------------------------------------------------------------------------------------- 3

1.1 ASM系统界面配置 --------------------------------------------------------------------------------- 3

1.1.1 网卡配置 ----------------------------------------------------------------------------------- 3 1.1.2 策略路由参数配置 ----------------------------------------------------------------------- 3 1.2 网络联动设备配置 -------------------------------------------------------------------------------- 4

1.2.1 CISCO交换机配置 ---------------------------------------------------------------------- 4 1.2.2 H3C交换机配置 ------------------------------------------------------------------------- 5

1.2.2.1 policy-based-route方法配置 ------------------------------------------------- 5 1.2.2.2 qos policy方法配置 ------------------------------------------------------------- 5 1.2.2.3 route policy方法配置 ---------------------------------------------------------- 6 1.2.2.4 traffic-redirect方法配置 ---------------------------------------------------- 6 1.2.3 华为交换机配置 -------------------------------------------------------------------------- 6

1.2.3.1 traffic-policy方法配置 ------------------------------------------------------- 6 1.2.3.2 traffic-redirect方法配置 ---------------------------------------------------- 7 1.2.3.3 route policy方法配置 ---------------------------------------------------------- 7

第二章 VG虚拟网关快速配置 ------------------------------------------------------------------------------- 9

2.1 ASM系统界面配置 ------------------------------------------------------------------------------ 9

2.1.1 网卡配置 -------------------------------------------------------------------------------------- 9 2.1.2 VG虚拟网关参数设置 --------------------------------------------------------------------- 9 2.2 网络联动设备配置 ---------------------------------------------------------------------------- 11 第三章 EOU认证技术快速配置 ----------------------------------------------------------------------------- 12

3.1 ASM系统界面配置 ----------------------------------------------------------------------------- 12

3.1.1 网卡配置 ---------------------------------------------------------------------------------- 12 3.1.2 EOU参数配置 --------------------------------------------------------------------------- 12 3.2 网络联动设备配置 ---------------------------------------------------------------------------- 14 第四章 PORTAL认证技术快速配置 ----------------------------------------------------------------------- 17

4.1 ASM系统界面配置 ----------------------------------------------------------------------------- 17

4.1.1 网卡配置 ------------------------------------------------------------------------------------- 17 4.1.2 PORTAL参数设置 -------------------------------------------------------------------------- 17 4.2 网络联动设备配置 ---------------------------------------------------------------------------- 18 第五章 透明网桥快速配置 ------------------------------------------------------------------------------------ 20

5.1 ASM系统界面配置 ----------------------------------------------------------------------------- 20

5.1.1 网卡配置 ------------------------------------------------------------------------------------- 20 5.1.2 透明网桥参数配置 ------------------------------------------------------------------------- 20

ASM入网规范管理系统配置手册

第一章 策略路由快速配置

1.1 ASM系统界面配置

1.1.1 网卡配置

启用ETH0和ETH2两块网卡并配置IP地址:ETH0与联动网络设备相连,配置的IP地址作为策略路由的下一跳地址;ETH2配置的IP地址需要全网或者控制的网段能够访问。

1.1.2 策略路由参数配置

a) 认证参数设置

1、 配置重定向URL地址:http://eth2口ip地址。

2、 配置下一跳IP地址:该地址为与ASM系统eth0口直连的网络联动设备的IP地址。 3、 配置好下一跳IP地址后点击“获取下一跳MAC地址”按钮,若能网络正常则网络

联动设备的MAC地址将显示于“下一条MAC地址”文本框中。

4、 当您在开启策略路由认证技术后又希望放开所有设备,则可“启用紧急模式”。

ASM入网规范管理系统配置手册

5、 其余配置项使用默认配置即可。 6、 点击“完成配置”。

b) 例外设备管理

1、 配置隔离服务器:若您希望设备被隔离后仍然可以访问指定的服务器,则可以在“开始IP”、“结束IP”处填写该服务器的IP地址,然后选择“添加”按钮。同样,选择“删除”按钮进行删除。 2、 配置不管理网段:若你希望将指定的设备不进行入网控制,则可以在“开始IP:”、“结

束IP”处填写该设备的IP地址,然后选择“添加”按钮。同样,选择“删除”按钮

进行删除。

1.2 网络联动设备配置

1.2.1 CISCO交换机配置

建立ACL

ip access-list extended policy-route-acl permit ip any any exit

配置route-map路由图 route-map policy-route

ASM入网规范管理系统配置手册

match ip address policy-route-acl set ip next-hop 192.168.100.123 exit

在接口上应用route-map interface vlan 54

ip policy route-map policy-route exit

1.2.2 H3C交换机配置

1.2.2.1 policy-based-route方法配置

建立ACL

acl number 3040

rule 0 permit ip source any quit

配置policy-based-route路由图

policy-based-route policy-route permit node 10 if-match acl 3040

apply ip-address next-hop 192.168.100.123 quit

在接口应用policy-based-route interface Ethernet0/3.40

ip policy-based-route policy-route quit

1.2.2.2 qos policy方法配置

配置ACL策略

[H3C7506E]acl number 3040

[H3C7506E-acl-adv-3040] rule 10 permit ip source any [H3C7506E-acl-adv-3040]quit 配置匹配ACL的流分类1 [H3C7506E] traffic classifier 1

[H3C7506E-classifier-1] if-match acl 3040 [H3C7506E-classifier-1] quit

配置刚才定义的流分类1的行为,定义如果匹配就下一跳至192.168.100.123 [H3C7506E] traffic behavior 1

[H3C7506E-behavior-1] redirect next-hop 192.168.100.123 [H3C7506E-behavior-1] quit

将刚才设置的流分类及行为应用至QOS策略中,定义policy 1 [H3C7506E] qos policy 1

ASM入网规范管理系统配置手册

[H3C7506E-qospolicy-1] classifier 1 [H3C7506E-qospolicy-1] behavior 1 [H3C7506E-qospolicy-1] quit

在接口上应用定义的QOS策略policy 1 [H3C7506E] interface GigabitEthernet 2/0/11

[H3C7506E-GigabitEthernet2/0/11] qos apply policy 1 inbound [H3C7506E-GigabitEthernet2/0/11] quit

1.2.2.3 route policy方法配置

建立ACL

acl number 3000

rule 0 permit ip source any quit

配置route policy路由图

route-policy policy-route permit node 1 if-match acl 3000

apply ip-address next-hop 192.168.100.123 quit

在接口应用route policy interface Ethernet1/0

ip policy route-policy policy-route quit

1.2.2.4 traffic-redirect方法配置

建立ACL

acl number 3000

rule 0 permit ip source any quit

在接口应用traffic-redirec interface GigabitEthernet6/1/1

traffic-redirect inbound ip-group 3000 rule 0 next-hop 192.168.100.123 quit

1.2.3 华为交换机配置

1.2.3.1 traffic-policy方法配置

配置ACL策略

ASM入网规范管理系统配置手册

acl number 3040

rule 10 permit ip source any quit

配置匹配ACL的流分类1 traffic classifier 1 if-match acl 3040 quit

配置刚才定义的流分类1的行为,定义如果匹配就下一跳至192.168.100.123 traffic behavior 1

redirect next-hop 192.168.100.123 quit

将刚才设置的流分类及行为应用至traffic-policy策略中,定义policy 1 traffic policy 1

classifier 1 behavior 1 quit

在接口上应用定义的QOS策略policy 1 interface GigabitEthernet 2/0/11 traffic-policy 1 inbound quit

1.2.3.2 traffic-redirect方法配置

建立ACL

acl number 3000

rule 0 permit ip source any quit

在接口应用traffic-redirec interface GigabitEthernet6/1/1

traffic-redirect inbound ip-group 3000 rule 0 next-hop 192.168.100.123 quit

1.2.3.3 route policy方法配置

建立ACL

acl number 3000

rule 0 permit ip source any quit

配置route policy路由图

route-policy policy-route permit node 1 if-match acl 3000

apply ip-address next-hop 192.168.100.123 quit

ASM入网规范管理系统配置手册

在接口应用route policy interface Ethernet1/0

ip policy route-policy policy-route quit

ASM入网规范管理系统配置手册

第二章 VG虚拟网关快速配置

2.1 ASM系统界面配置

2.1.1 网卡配置

启用ETH0、ETH2和ETH3三块网卡:ETH0和ETH3与联动网络设备的TRUNK口相连;ETH2配置的IP地址需要全网或者控制的网段能够访问。

2.1.2 VG虚拟网关参数设置

a) 基本参数设置

1、 配置重定向URL地址:http://eth2口ip地址。

2、 配置隔离服务器:若您希望设备被隔离后仍然可以访问指定的服务器,则可以在“开

始IP”、“结束IP”处填写该服务器的IP地址,然后选择“添加”按钮。同样,选择“删除”按钮进行删除。 3、 点击“完成配置”。

b) VG交换机管理

配置好VG基本参数后,才能开始配置VG交换机管理。进入“VG虚拟网关设置”栏,选择“VG交换机管理”,如下界面所示:

ASM入网规范管理系统配置手册

1、 添加交换机:选择“添加交换机”按钮进入如下界面:

2、 填写完各参数配置选择“完成配置”后出现如下界面:

3、 配置交换机:选中添加的交换机后选择“配置交换机”按钮进入如下界面:

4、 选中要在交换机上开启VG认证技术的端口,然后选择“保存配置”。(若交换机上

的端口更改了Vlan信息,则需点击“更新初始Vlan”按钮后再选择“保存配置”。)

ASM入网规范管理系统配置手册

c) Vlan映射配置

配置完交换机管理后,还需要对Vlan映射进行配置,保证接入设备认证前后属于不同权限的Vlan,从而达到接入控制的目的。

2.2 网络联动设备配置

配制用于通过SNMP查询交换机信息的共同体 snmp-server community asmpublic ro

配制用于通过snmp设置交机信息的共同体 snmp-server community asmprivate rw 启用linkdown trap

snmp-server enable traps snmp linkdown 启用MAC address通知Trap

snmp-server enable traps mac-notification 指定将Trap报文发给ASM(192.168.56.14)

snmp-server host 192.168.56.14 version 2c asmtrap mac address-table notification

ASM入网规范管理系统配置手册

第三章 EOU认证技术快速配置

3.1 ASM系统界面配置

3.1.1 网卡配置

启用ETH2网卡并配置IP地址: ETH2配置的IP地址需要全网或者控制的网段能够访问。

3.1.2 EOU参数配置

a) 基本参数设置

1、 配置重定向URL地址:http://eth2口ip地址。 2、 配置重定向的交换机ACL名称: AsmEouUrlAcl。

3、 当您在开启EOU认证技术后又希望放开所有设备,则可“启用紧急模式”。 4、 其余配置项使用默认配置即可。 5、 点击“完成配置”。

b) EOU全局参数设置

ASM入网规范管理系统配置手册

1、 配置主认证服务器地址:主ASM设备eth2口ip地址(若您有两台ASM设备,则配置

备认证服务器地址:备ASM设备eth2口ip地址)。

2、 配置隔离服务器:若您希望设备被隔离后仍然可以访问指定的服务器,则可以在“IP地

址”处填写该服务器的IP地址,然后选择“添加”按钮。

3、 同样,您也可以选中希望设备被隔离后不可以访问指定的服务器,然后选择“删除”按

钮或者选择“清空”按钮,进行删除或清空。 4、 点击“完成配置”。

c) EOU交换机管理

当您配置好EOU基本参数和全局参数后,才能开始配置EOU交换机管理。进入“EOU认证技术设置”栏,选择“EOU交换机管理”,如下界面所示:

1、 添加交换机:选择“添加交换机”按钮进入如下界面:

ASM入网规范管理系统配置手册

2、 填写完各参数配置选择“完成配置”后出现如下界面:

3、 配置交换机:选中添加的交换机后选择“配置交换机”按钮进入如下界面:

4、 选中要在交换机上开启EOU认证技术的端口,然后选择“生效EOU配置”。(至此,

EOU认证技术已配置完成。)

3.2 网络联动设备配置

此处配置与ASM系统界面配置中EOU参数配置的C步骤具有相同作用,二者选其一。

ASM入网规范管理系统配置手册

aaa new-model

aaa group server radius ASMEOU

#下面这个地址要进行修改,另外如果有多个AMC可以进行增加(192.168.40.214) server-private 192.168.56.22 auth-port 1812 acct-port 1813 key msackey exit

aaa authorization network default local aaa accounting network default none aaa authentication login default line

radius-server attribute 8 include-in-access-req radius-server vsa send authentication radius-server deadtime 720

radius-server dead-criteria tries 3

ip access-list extended AsmEouAllAcl permit ip any any exit

ip access-list extended AsmEouDefaultAcl remark allow DHCP

permit udp any any eq bootps remark allow DNS

permit udp any any eq domain remark allow to the server WWW

#这个地方要进行修改为实际的IP地址和端口 permit tcp any host 192.168.56.14 eq www

#另外如果有其它的修复机器要求可以访问,要求增加在这个地方 remark allow to server

permit ip any host 192.168.56.245 remark deny other deny ip any any exit

ip access-list extended AsmEouUrlAcl

#这个地方要进行修改,将不需要重定向的机器增加到这个地方 deny tcp any host 192.168.56.14 eq www deny tcp any host 192.168.56.246 eq www permit tcp any any eq www exit

identity policy AaaDown

access-group AsmEouAllAcl exit

identity profile eapoudp

#这个地方根据实际要求放开的来处理

device authorize ip-address 192.168.56.128 policy AaaDown exit

aaa authentication eou default group ASMEOU

ip admission name AsmEouNac eapoudp bypass event timeout aaa policy identity AaaDown

ASM入网规范管理系统配置手册

eou allow clientless eou logging

ip device tracking

#这个地方根据实际要处理的端口进行修改 interface range fa0/13 - 24 switchport mode access

ip access-group AsmEouDefaultAcl in ip admission AsmEouNac exit

ASM入网规范管理系统配置手册

第四章 PORTAL认证技术快速配置

4.1 ASM系统界面配置

4.1.1 网卡配置

启用ETH2网卡并配置IP地址: ETH2配置的IP地址需要全网或者控制的网段能够访问。

4.1.2 PORTAL参数设置

a) 基本参数设置

1、 配置重定向URL地址:http://eth2口ip地址。 2、 配置认证服务器地址:ASM设备eth2口ip地址。 3、 配置免认证服务器:若你希望将指定的设备不进行portal认证,则可以在“IP地址:”、

“掩码”处填写该设备的IP地址和掩码(IP地址段可通过掩码来控制),然后选择“添加”按钮。

4、 同样,您也可以选择“删除”或“清空”按钮,从列表中删除或清空免认证的设备。 5、 点击“完成配置”。

b) PORTAL路由器管理

当您配置好PORTAL基本参数后,才能开始配置EOU交换机管理。进入“PORTAL认证技术设置”栏,选择“PORTAL路由器管理”,如下界面所示:

ASM入网规范管理系统配置手册

1、 添加路由器:选择“添加路由器”按钮进入如下界面:

2、 填写完各参数配置选择“完成配置”后出现如下界面:

3、 配置路由器:选中添加的路由器后选择“配置路由器”按钮进入如下界面:

4、 选择要在路由器上开启PORTAL认证技术的端口,然后选择“生效PORTAL配置”。(至此,PORTAL认证技术已配置完成。)

4.2 网络联动设备配置

radius scheme AsmScheme nserver-type extended

primary authentication 192.168.54.191 key authentication msackey

user-name-format without-domain quit

domain AsmDomain

ASM入网规范管理系统配置手册

authentication portal radius-scheme AsmScheme authorization portal radius-scheme AsmScheme accounting portal none quit

(portal server AsmPortal ip 192.168.54.191 key msackey port 50100 url

http://192.168.54.191/portal.htlm#enforcement=portal&bas=192.168.54.219) interface Vlan-interface 54

portal server AsmPortal method layer3 quit

ASM入网规范管理系统配置手册

第五章 透明网桥快速配置

5.1 ASM系统界面配置

5.1.1 网卡配置

启用ETH0、ETH2和ETH3三块网卡:ETH0连接内部网络;ETH3连接外部网络;ETH2配置的IP地址需要全网或者控制的网段能够访问。

5.1.2 透明网桥参数配置

a) 认证参数设置

1、 配置重定向URL地址:http://eth2口ip地址。

2、 当您在开启透明网桥认证技术后又希望放开所有设备,则可“启用紧急模式”。 3、 其余配置项使用默认配置即可。 4、 点击“完成配置”。

b) 例外设备管理

ASM入网规范管理系统配置手册

1、 配置隔离服务器:若您希望设备被隔离后仍然可以访问指定的服务器,则可以在“开

始IP”、“结束IP”处填写该服务器的IP地址,然后选择“添加”按钮。同样,选择“删除”按钮进行删除。 2、 配置不管理网段:若你希望将指定的设备不进行入网控制,则可以在“开始IP:”、“结

束IP”处填写该设备的IP地址,然后选择“添加”按钮。同样,选择“删除”按钮进行删除。

本文来源:https://www.bwwdw.com/article/l7w4.html

Top