ASM入網(wǎng)規(guī)范管理系統(tǒng)準入控制技術(shù)快速配置手冊_第1頁
ASM入網(wǎng)規(guī)范管理系統(tǒng)準入控制技術(shù)快速配置手冊_第2頁
ASM入網(wǎng)規(guī)范管理系統(tǒng)準入控制技術(shù)快速配置手冊_第3頁
ASM入網(wǎng)規(guī)范管理系統(tǒng)準入控制技術(shù)快速配置手冊_第4頁
ASM入網(wǎng)規(guī)范管理系統(tǒng)準入控制技術(shù)快速配置手冊_第5頁
已閱讀5頁,還剩18頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、ASM盈高入網(wǎng)規(guī)范管理系統(tǒng) 網(wǎng)絡(luò)聯(lián)動控制快速配置手冊INFOGO Access Standard Management SystemVer 2010.0831 版權(quán) 聲明:本文中出現(xiàn)的任何文字敘述、文檔格式、插圖、照片、方法、過程等內(nèi)容,除另有特別注明,版權(quán)均屬盈高科技所有,并受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護。任何個人、機構(gòu)未經(jīng)盈高科技的書面授權(quán)許可,不得以任何方式復(fù)制或引用本文的任何片斷。 商標:盈高、INFOGO是盈高科技的注冊商標,未經(jīng)允許,不得引用。目 錄第一章 策略路由快速配置31.1ASM系統(tǒng)界面配置3網(wǎng)卡配置3策略路由參數(shù)配置31.2網(wǎng)絡(luò)聯(lián)動設(shè)備配置4CISCO交換機配置4H3C交換機配

2、置5policy-based-route方法配置5qos policy方法配置5route policy方法配置6traffic-redirect方法配置6華為交換機配置6traffic-policy方法配置6traffic-redirect方法配置7route policy方法配置7第二章 VG虛擬網(wǎng)關(guān)快速配置92.1ASM系統(tǒng)界面配置9 網(wǎng)卡配置9 VG虛擬網(wǎng)關(guān)參數(shù)設(shè)置92.2網(wǎng)絡(luò)聯(lián)動設(shè)備配置11第三章 EOU認證技術(shù)快速配置123.1ASM系統(tǒng)界面配置12網(wǎng)卡配置12EOU參數(shù)配置123.2網(wǎng)絡(luò)聯(lián)動設(shè)備配置14第四章 PORTAL認證技術(shù)快速配置174.1ASM系統(tǒng)界面配置17 網(wǎng)卡配置

3、17 PORTAL參數(shù)設(shè)置174.2網(wǎng)絡(luò)聯(lián)動設(shè)備配置18第五章 透明網(wǎng)橋快速配置205.1ASM系統(tǒng)界面配置20 網(wǎng)卡配置20 透明網(wǎng)橋參數(shù)配置20第一章 策略路由快速配置1.1 ASM系統(tǒng)界面配置1.1.1 網(wǎng)卡配置啟用ETH0和ETH2兩塊網(wǎng)卡并配置IP地址:ETH0與聯(lián)動網(wǎng)絡(luò)設(shè)備相連,配置的IP地址作為策略路由的下一跳地址;ETH2配置的IP地址需要全網(wǎng)或者控制的網(wǎng)段能夠訪問。1.1.2 策略路由參數(shù)配置a) 認證參數(shù)設(shè)置1、 配置重定向URL地址:http:/eth2口ip地址。2、 配置下一跳IP地址:該地址為與ASM系統(tǒng)eth0口直連的網(wǎng)絡(luò)聯(lián)動設(shè)備的IP地址。3、 配置好下一跳IP

4、地址后點擊“獲取下一跳MAC地址”按鈕,若能網(wǎng)絡(luò)正常則網(wǎng)絡(luò)聯(lián)動設(shè)備的MAC地址將顯示于“下一條MAC地址”文本框中。4、 當您在開啟策略路由認證技術(shù)后又希望放開所有設(shè)備,則可“啟用緊急模式”。5、 其余配置項使用默認配置即可。6、 點擊“完成配置”。b) 例外設(shè)備管理1、 配置隔離服務(wù)器:若您希望設(shè)備被隔離后仍然可以訪問指定的服務(wù)器,則可以在“開始IP”、“結(jié)束IP”處填寫該服務(wù)器的IP地址,然后選擇“添加”按鈕。同樣,選擇“刪除”按鈕進行刪除。2、 配置不管理網(wǎng)段:若你希望將指定的設(shè)備不進行入網(wǎng)控制,則可以在“開始IP:”、“結(jié)束IP”處填寫該設(shè)備的IP地址,然后選擇“添加”按鈕。同樣,選擇

5、“刪除”按鈕進行刪除。1.2 網(wǎng)絡(luò)聯(lián)動設(shè)備配置1.2.1 CISCO交換機配置方法一、(不具備逃生方案)建立ACLip access-list extended policy-route-aclpermit ip any anyexit配置route-map路由圖route-map policy-routematch ip address policy-route-aclexit在接口上應(yīng)用route-mapinterface vlan 54ip policy route-map policy-routeexit方法二、(具備逃生方案)建立ACLaccess-list 101 permit i

6、p .255 anyip access-list extended policy-route-aclpermit ip any anyexit配置帶下跳檢測的route-map路由圖ip sla monitor 1type echo protocol ipIcmpEcho 1 frequency 8ip sla monitor schedule 1 life forever start-time nowtrack 123 rtr 1 reachabilityip sla monitor 2type echo protocol ipIcmpEcho

7、2 frequency 8ip sla monitor schedule 2 life forever start-time nowtrack 223 rtr 2 reachabilityroute-map policy_routematch ip address policy-route-aclset ip next-hop verify-availability 1 10 track 123set ip next-hop verify-availability 2 20 track 223在接口上應(yīng)用route-mapinterf

8、ace vlan 200ip policy route-map policy-route1.2.2 H3C交換機配置 policy-based-route方法配置建立ACLacl number 3040rule 0 permit ip source anyquit配置policy-based-route路由圖policy-based-route policy-route permit node 10if-match acl 3040quit在接口應(yīng)用policy-based-routeinterface Ethernet0/3.40ip policy-based-route po

9、licy-routequit qos policy方法配置配置ACL策略H3C7506Eacl number 3040H3C7506E-acl-adv-3040 rule 10 permit ip source anyH3C7506E-acl-adv-3040quit配置匹配ACL的流分類1H3C7506E traffic classifier 1H3C7506E-classifier-1 if-match acl 3040H3C7506E-classifier-1 quitH3C7506E traffic behavior 1H3C7506E-behavior-1 quit將剛

10、才設(shè)置的流分類及行為應(yīng)用至QOS策略中,定義policy 1H3C7506E qos policy 1H3C7506E-qospolicy-1 classifier 1 H3C7506E-qospolicy-1 behavior 1H3C7506E-qospolicy-1 quit在接口上應(yīng)用定義的QOS策略policy 1H3C7506E interface GigabitEthernet 2/0/11H3C7506E-GigabitEthernet2/0/11 qos apply policy 1 inboundH3C7506E-GigabitEthernet2/0/11 quit1.2.

11、2.3 route policy方法配置建立ACLacl number 3000rule 0 permit ip source anyquit配置route policy路由圖route-policy policy-route permit node 1 if-match acl 3000quit在接口應(yīng)用route policyinterface Ethernet1/0 ip policy route-policy policy-routequit traffic-redirect方法配置建立ACLacl number 3000 rule 0 permit ip source

12、anyquit在接口應(yīng)用traffic-redirecinterface GigabitEthernet6/1/1 quit1.2.3 華為交換機配置 traffic-policy方法配置配置ACL策略acl number 3040rule 10 permit ip source anyquit配置匹配ACL的流分類1traffic classifier 1if-match acl 3040quittraffic behavior 1quit將剛才設(shè)置的流分類及行為應(yīng)用至traffic-policy策略中,定義policy 1traffic policy 1classifier

13、1 behavior 1quit在接口上應(yīng)用定義的QOS策略policy 1interface GigabitEthernet 2/0/11traffic-policy 1 inboundquit traffic-redirect方法配置建立ACLacl number 3000 rule 0 permit ip source anyquit在接口應(yīng)用traffic-redirecinterface GigabitEthernet6/1/1 quit route policy方法配置建立ACLacl number 3000rule 0 permit ip source

14、 anyquit配置route policy路由圖route-policy policy-route permit node 1 if-match acl 3000quit在接口應(yīng)用route policyinterface Ethernet1/0 ip policy route-policy policy-routequit第二章 VG虛擬網(wǎng)關(guān)快速配置2.1 ASM系統(tǒng)界面配置2.1.1 網(wǎng)卡配置啟用ETH0、ETH2和ETH3三塊網(wǎng)卡:ETH0和ETH3與聯(lián)動網(wǎng)絡(luò)設(shè)備的TRUNK口相連;ETH2配置的IP地址需要全網(wǎng)或者控制的網(wǎng)段能夠訪問。2.1.2 VG虛擬網(wǎng)關(guān)參數(shù)設(shè)置a) 基本參數(shù)設(shè)置

15、1、 配置重定向URL地址:http:/eth2口ip地址。2、 配置隔離服務(wù)器:若您希望設(shè)備被隔離后仍然可以訪問指定的服務(wù)器,則可以在“開始IP”、“結(jié)束IP”處填寫該服務(wù)器的IP地址,然后選擇“添加”按鈕。同樣,選擇“刪除”按鈕進行刪除。3、 點擊“完成配置”。b) VG交換機管理配置好VG基本參數(shù)后,才能開始配置VG交換機管理。進入“VG虛擬網(wǎng)關(guān)設(shè)置”欄,選擇“VG交換機管理”,如下界面所示:1、 添加交換機:選擇“添加交換機”按鈕進入如下界面:2、 填寫完各參數(shù)配置選擇“完成配置”后出現(xiàn)如下界面:3、 配置交換機:選中添加的交換機后選擇“配置交換機”按鈕進入如下界面:4、 選中要在交換

16、機上開啟VG認證技術(shù)的端口,然后選擇“保存配置”。(若交換機上的端口更改了Vlan信息,則需點擊“更新初始Vlan”按鈕后再選擇“保存配置”。)c) Vlan映射配置配置完交換機管理后,還需要對Vlan映射進行配置,保證接入設(shè)備認證前后屬于不同權(quán)限的Vlan,從而達到接入控制的目的。2.2 網(wǎng)絡(luò)聯(lián)動設(shè)備配置配制用于通過SNMP查詢交換機信息的共同體snmp-server community asmpublic ro配制用于通過snmp設(shè)置交機信息的共同體snmp-server community asmprivate rw啟用linkdown trapsnmp-server enable tr

17、aps snmp linkdown啟用MAC address通知Trapsnmp-server enable traps mac-notification 指定將Trap報文發(fā)給ASM(4)snmp-server host 4 version 2c asmtrapmac address-table notification第三章 EOU認證技術(shù)快速配置3.1 ASM系統(tǒng)界面配置3.1.1 網(wǎng)卡配置啟用ETH2網(wǎng)卡并配置IP地址: ETH2配置的IP地址需要全網(wǎng)或者控制的網(wǎng)段能夠訪問。3.1.2 EOU參數(shù)配置a) 基本參數(shù)設(shè)置1、 配置重定向UR

18、L地址:http:/eth2口ip地址。2、 配置重定向的交換機ACL名稱: AsmEouUrlAcl。3、 當您在開啟EOU認證技術(shù)后又希望放開所有設(shè)備,則可“啟用緊急模式”。4、 其余配置項使用默認配置即可。5、 點擊“完成配置”。b) EOU全局參數(shù)設(shè)置1、 配置主認證服務(wù)器地址:主ASM設(shè)備eth2口ip地址(若您有兩臺ASM設(shè)備,則配置備認證服務(wù)器地址:備ASM設(shè)備eth2口ip地址)。2、 配置隔離服務(wù)器:若您希望設(shè)備被隔離后仍然可以訪問指定的服務(wù)器,則可以在“IP地址”處填寫該服務(wù)器的IP地址,然后選擇“添加”按鈕。3、 同樣,您也可以選中希望設(shè)備被隔離后不可以訪問指定的服務(wù)器,

19、然后選擇“刪除”按鈕或者選擇“清空”按鈕,進行刪除或清空。4、 點擊“完成配置”。c) EOU交換機管理當您配置好EOU基本參數(shù)和全局參數(shù)后,才能開始配置EOU交換機管理。進入“EOU認證技術(shù)設(shè)置”欄,選擇“EOU交換機管理”,如下界面所示:1、 添加交換機:選擇“添加交換機”按鈕進入如下界面: 當交換機型號選項中沒有與網(wǎng)絡(luò)聯(lián)動設(shè)備型號向?qū)?yīng)時,請參照3.2網(wǎng)絡(luò)聯(lián)動設(shè)備配置2、 填寫完各參數(shù)配置選擇“完成配置”后出現(xiàn)如下界面:3、 配置交換機:選中添加的交換機后選擇“配置交換機”按鈕進入如下界面:4、 選中要在交換機上開啟EOU認證技術(shù)的端口,然后選擇“生效EOU配置”。(至此,EOU認證技術(shù)

20、已配置完成。)3.2 網(wǎng)絡(luò)聯(lián)動設(shè)備配置此處配置與ASM系統(tǒng)界面配置中EOU參數(shù)配置的C步驟具有相同作用,二者選其一。aaa new-modelaaa group server radius ASMEOU#下面這個地址要進行修改,另外如果有多個AMC可以進行增加(14)server-private 2 auth-port 1812 acct-port 1813 key msackeyexitaaa authorization network default localaaa accounting network default noneaaa au

21、thentication login default lineradius-server attribute 8 include-in-access-reqradius-server vsa send authenticationradius-server deadtime 720radius-server dead-criteria tries 3ip access-list extended AsmEouAllAcl permit ip any any exitip access-list extended AsmEouDefaultAcl remark allow DHCP permit

22、 udp any any eq bootps remark allow DNS permit udp any any eq domain remark allow to the server WWW #這個地方要進行修改為實際的IP地址和端口 permit tcp any host eq www #另外如果有其它的修復(fù)機器要求可以訪問,要求增加在這個地方 remark allow to server permit ip any host remark deny other deny ip any any exitip access-list extended AsmEouUrlAcl#這個地方

23、要進行修改,將不需要重定向的機器增加到這個地方 deny tcp any host eq wwwdeny tcp any host 46 eq wwwpermit tcp any any eq wwwexitidentity policy AaaDown access-group AsmEouAllAcl exitidentity profile eapoudp #這個地方根據(jù)實際要求放開的來處理 device authorize ip-address policy AaaDownexitaaa authentication eou default group ASME

24、OU ip admission name AsmEouNac eapoudp bypass event timeout aaa policy identity AaaDowneou allow clientlesseou loggingip device tracking#這個地方根據(jù)實際要處理的端口進行修改interface range fa0/13 - 24 switchport mode access ip access-group AsmEouDefaultAcl inip admission AsmEouNacexit第四章 PORTAL認證技術(shù)快速配置4.1 ASM系統(tǒng)界面配置4.

25、1.1 網(wǎng)卡配置啟用ETH2網(wǎng)卡并配置IP地址: ETH2配置的IP地址需要全網(wǎng)或者控制的網(wǎng)段能夠訪問。4.1.2 PORTAL參數(shù)設(shè)置a) 基本參數(shù)設(shè)置1、 配置重定向URL地址:http:/eth2口ip地址。2、 配置認證服務(wù)器地址:ASM設(shè)備eth2口ip地址。3、 配置免認證服務(wù)器:若你希望將指定的設(shè)備不進行portal認證,則可以在“IP地址:”、“掩碼”處填寫該設(shè)備的IP地址和掩碼(IP地址段可通過掩碼來控制),然后選擇“添加”按鈕。4、 同樣,您也可以選擇“刪除”或“清空”按鈕,從列表中刪除或清空免認證的設(shè)備。5、 點擊“完成配置”。b) PORTAL路由器管理當您配置好PORTAL基本參數(shù)后,才能開始配置EOU交換機管理。進入“PORTAL認證技術(shù)設(shè)置”欄,選擇“PORTAL路由器管理”,如下界面所示:1、 添加路由器:選擇“添加路由器”按鈕進入如下界面:當路由器型號選項中沒有與網(wǎng)絡(luò)聯(lián)動設(shè)備型號向?qū)?yīng)時,請參照4.2網(wǎng)絡(luò)聯(lián)動設(shè)備配置2、 填寫完各參數(shù)配置選擇“完成配置”后出現(xiàn)如下界面:3、 配置路由器:選中添加的路由器后選擇“配置路由器”按鈕進入如下界面:4、 選擇要在路由器上開啟PORTAL認證技術(shù)的端口,然后選擇“生效PORTAL配置”。(至

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論