盈高入網(wǎng)規(guī)范管理系統(tǒng)策略路由快速配置手冊

1、I盈高入網(wǎng)標(biāo)準(zhǔn)治理系統(tǒng)策略路由快速配置手冊INFOGOAccessStandardManagementSystem聲明：本文中出現(xiàn)的任何文字表達、文檔格式、插圖、照片、方法、過程等內(nèi)容,除另有特別注明,版權(quán)均屬盈高科技所有,并受到有關(guān)產(chǎn)權(quán)及版權(quán)法保護.任何個人、機構(gòu)未經(jīng)盈高科技的書面授權(quán)許可,不得以任何方式復(fù)制或引用本文的任何片斷.商標(biāo)：盈高、INFOGO是盈高科技的注冊商標(biāo),未經(jīng)允許,不得引用.目錄1. ASM系統(tǒng)界面配置11.1 網(wǎng)卡參數(shù)配置11.2 產(chǎn)品界面?zhèn)€性化定制12. 組織架構(gòu)與人員信息創(chuàng)立22.1 角色創(chuàng)立22.2 組織架構(gòu)治理22.3 用戶治理33. 準(zhǔn)入技術(shù)選擇33.1 準(zhǔn)入

2、模式選擇33.2 例外參數(shù)添加43.3 NAT穿越配置54. 網(wǎng)絡(luò)相關(guān)配置64.1 設(shè)備部署示意圖64.2 交換機策略路由命令74.3 防火墻端口開放85. 入網(wǎng)流程配置95.1 開啟身份認證95.2 控件安裝設(shè)置105.3 開啟注冊審核105.4 平安檢查設(shè)置126. 交換機聯(lián)動治理127. 告警信息配置131 .ASM系統(tǒng)界面配置1.1 網(wǎng)卡參數(shù)配置啟用ETH0和ETH2兩塊網(wǎng)卡并配置IP地址：ETH0與聯(lián)動網(wǎng)絡(luò)設(shè)備相連,配置的IP地址作為策略路由的下一跳地址；ETH2配置的IP地址需要全網(wǎng)或者限制的網(wǎng)段能夠訪問.界面操作步驟：點擊“系統(tǒng)設(shè)置“IP地址設(shè)置,如下列圖:布初；策略模式ETH口

3、口為數(shù)據(jù)通訊口,是交換機策略路由的下一跳地址ETIII咻Hl咻3f|MEKT掘ETKUI2.1%111.3<子網(wǎng)It購；KTK43nttt：孑*M；策略模匪TH?口為治理口,是作為重定向和首理用的接口網(wǎng)關(guān)為EIH2口的下一IWKJi圖1,網(wǎng)卡參數(shù)配置1.2 產(chǎn)品界面?zhèn)€性化定制設(shè)置準(zhǔn)入設(shè)備根本信息：單位名稱、界面名稱顯示等.點擊“系統(tǒng)設(shè)置“產(chǎn)品個性化定制,如下列圖:根本設(shè)置公司名稱安檢頁ffllogoSfe：安噬頁IHlLcjgcj廢.片S3平4口的名林甘慳平臺匕白煙片網(wǎng)留治理輻信息配置維至里話吩*0國最尢t博1.MB.I6式"jpg：國iff.png：fct±傳10嗎

4、寸;5O*135p圖2,網(wǎng)卡參數(shù)配置2 .組織架構(gòu)與人員信息創(chuàng)立2.1 角色創(chuàng)立創(chuàng)立“角色,盈高ASM等根據(jù)角色將人員、部門與角色一一對應(yīng)起來,便于后續(xù)準(zhǔn)入策略的下發(fā)、網(wǎng)絡(luò)訪問權(quán)限的限制等靈活限制.ASM可實現(xiàn)對于不同角色的人員進行不同的準(zhǔn)入策略與網(wǎng)絡(luò)訪問權(quán)限限制.點擊“用戶治理-“角色列表-“添加角色,如下列圖：組里席構(gòu)治理*矩妲型構(gòu)掰*導(dǎo)入俎組第構(gòu)珞色與用戶脖理*閭劉角色角色冊S*用戶賺戶列強.導(dǎo)A用戶外部認密器 LDAP展務(wù)Bigg WEB陽身器設(shè)置.RADIUSJESS踞色列患過濾條件+fgjofifeX航量刪除根本信且認證角色名粽：用色雇性二埒建后導(dǎo):圖3.國生一添加角色2.2 組織

5、架構(gòu)治理創(chuàng)立各單位的部門組織架構(gòu).點擊“用戶治理“組織架構(gòu)樹“添加新組織架構(gòu),創(chuàng)立部門,如下列圖:不觸I門箱頗常聞耐下熱根本屬住阻i的的名稱:上源纏碎巾.RADIL電噴7*日產(chǎn)由國+0f?向,IP藻作!提交圖4.創(chuàng)立部門ASM支持組織架構(gòu)以excel方式批量導(dǎo)入,模板中所使用字體均全部使用宋體,如下列圖：組織架構(gòu)導(dǎo)入模板制親人：admin制表時間2021-08-14102433矮翹鹿蟆楚夠黜觸縱部門二級部門圖5.批量導(dǎo)入部門2.3 用戶治理創(chuàng)立本地用戶名、密碼,用戶單位人員入網(wǎng)的身份認證.ASM支持批量用戶母喻fij感病J_傳文件為應(yīng)庫上楂的文件不碗上眩忖格式.點擊意狡斫;st鄒1板文謝新“嫡

6、導(dǎo)人.以g耍的物色與用戶總理.勘諭笆南色列表*用戶Hi戶列表.導(dǎo)A臚濟都認證看交之導(dǎo)入.點擊“用戶治理-“導(dǎo)入用戶,下載模板,填入相應(yīng)的信息,如下列圖：WBJ弼E次闞二遍:在號#面2.位件中國“序mrT可糜E立版stExol字符;請注念導(dǎo)入的&31五株中,Li虞川中的內(nèi)君心曬一ffi行為采科圖6.批量導(dǎo)入用戶電|由八二匕胡琳屏“白3014-1：=5-143：的口戶賽戶|史£1.戶步.加|皿.同用戶隹自可門小,|國子 EmilIP地址|屆止日均t小陰MM口舅戢*女、HZ班班班：短時承三一用超n3的的導(dǎo)人用戶模板至四-sanHHSC圖7.批量導(dǎo)入用戶模板注意：在導(dǎo)入用戶模板中,所

7、填入的部門,必須與之前新建的組織架構(gòu)中的“一級部門,否那么將在組織架構(gòu)樹中新增一個“一級部門；且導(dǎo)入模板中字體必須為宋體.3 .準(zhǔn)入技術(shù)選擇3.1 準(zhǔn)入模式選擇根據(jù)實際網(wǎng)絡(luò)的需要,本次實施我們均選用策略路由準(zhǔn)入技術(shù).點擊“平安標(biāo)準(zhǔn)-“準(zhǔn)入限制器治理,如下列圖:上vs-MBMfl-m年nAiw點擊“平安標(biāo)準(zhǔn)-“準(zhǔn)入限制器治理,選擇策略路由準(zhǔn)入技術(shù),如下列圖:ISMK9.*3MliBWrirt»AMAiumv.-VAJfWlVV圖8.準(zhǔn)入限制器治理隼曲曲一睇入m*MVG(Muhi-vendorMlrttulG,tewyl卡外丁1M*d+kpWWUMNK91W交-g*K*wg".

8、KSNMS收MnXW*u,m丁皮紳.交刷E/AOf.lk區(qū)曼屏UWSLn(RI+1Mti¥H,Lk,i.豪,K'Mfef.蛆HMM正常接itKiMftit留H跳國fft*l,*掘*/二M圖9.準(zhǔn)入技術(shù)選擇注：1、如果圖9中選擇的是全局配置,那么在圖8中請點擊全局參數(shù)配置進行根本參數(shù)配置、例外參數(shù)、NA3越配置.2、圖9中緊急模式為設(shè)備應(yīng)急逃生模式,在未正式開啟準(zhǔn)入之前,建議開啟緊急模式.3、準(zhǔn)入技術(shù)一旦選擇之后,請勿隨意更改每一種模式與交換機配置、設(shè)備接線方式均有關(guān)系！3.2例外參數(shù)添加將網(wǎng)絡(luò)打印機、網(wǎng)絡(luò)IP 、ATM設(shè)備、視頻監(jiān)控設(shè)備、效勞器等一些特殊終端IP地址添加到例外

9、終端列表當(dāng)中.將平安修復(fù)效勞器添加到例外效勞器列表中.點擊“平安標(biāo)準(zhǔn)-“準(zhǔn)入限制器治理-“全局參數(shù)配置-“例外參數(shù)設(shè)置,如下列圖：*-aAfdwmff乾丁竊f-0HCWu»ffAM已簽IHMW*trsmSHK交互*&*車罐*U$4M«£曹用詡SW切續(xù)t&atM*fHf99情起由fH用況/U匕I蛇考£E曜人原號NX:有daw的時U下前05W*謝下曲黃*+1崎J"E爆父；工七0幅hUH圖10.例外參數(shù)設(shè)置3.3NA松越配置ASM認阻止NA式線路由器的方式接入,對于需1口的IP地址參加到NA松越列表中.點擊“平安標(biāo)準(zhǔn)-“全局參數(shù)配置&

10、quot;-“NA磔越設(shè)置,如下列圖：特殊容許的,需要將wlan-“準(zhǔn)入限制器治理NAT膏*配汽7啟用MAT有爸聞:?皿?心13元心蛇匕圖11.例外參數(shù)設(shè)置4.網(wǎng)絡(luò)相關(guān)配置4.1 設(shè)備部署示意圖策珞路由網(wǎng)絡(luò)接線圖圖12.策略路由部署接線圖考慮到甘肅省電力公司的網(wǎng)絡(luò)結(jié)構(gòu),均存在雙核心的現(xiàn)象,因此盈高科技ASM對此擁有專門的解決方案-雙策略路由技術(shù).在每一個核心交換機上均接一根策略路由限制線,進行準(zhǔn)入限制.圖12.雙策略路由口部署方式4.2 交換機策略路由命令策略路由原理：通過ACL訪問限制列表,將匹配的數(shù)據(jù)流,通過策略路由方式,強制指向盈高ASM的ETH0口,進行準(zhǔn)入限制.因此,需要配置的是AC

11、L策略路由、vlan或者接口調(diào)用該策略路由.配置案例：下列圖列舉了幾種常見廠商交換機的策略路由方式,僅供參考.H3Cqps-policy配置案例配置ML策略H2C75O6EInumber3MoH3C750&E-acl-adv-3040rule10permitsource203,133,129-1&0destanvH3C750&E-acl-adv-3&40quit2、配比匹配"CL的流分類1H3C7506EtrafficclassifieriH3C7505E-classifier-lif-matchacl3040H3C7506E-classifier-l

12、quit九配置剛剛定義的潘分類1的行為,定義如果匹配就下一跳至2M.13*.1打.2.0H3C750&Etrafficbehavior1H3C750&E-behavior-lredirectnext-hop203.133.131200HiC7506E-behavior-lquit4,將剛剛謾量的流分類及行為應(yīng)用至CK招策略中,Xpohcv1H3C750&EQQ5policy1H3C750&E-qospolicy-lclassifierlHiC7506E-qospolicy-lbehaviorlH3C7506E-qo$policy-Lquit5,在接口上應(yīng)用定義的

13、Q05策略policy1H5C7506EinterfaceGipabitEthernet2/0/11H5C7506E-GigabitEthernet2/0/llcapplypolicy1inboundta-9麓氈特H3C7505E-GigabitEthernetWllquit圖13.H3CQOS策略路由配置方式H3Cpolicy-based-route配置案例 aclnumber3040 rule0permit policy-based-routepolicy-routepermitnode10 if-matchacl3040 applyip-addressnexbhop

14、23(ASM-ETHOIP) interfaceEtherneto/3.40 ippolicy-based-routepolicy-route圖14.H3Cpolicy-based-route策略路由配置方式H3Ctraffic-redirect配置案例aclnumber3000rule0permitipsource55interfaceGiabitEthemetfi/1/1traffic-redirectinboundip-groupJOOOruleQnext-hop2圖15.H3Cpolicy-based-route策略路由配置方式

15、Ciscx)route-map配置案例interfaceVlan54descriptionSonffbiandianipaddressippolicyroute-mapASMiinterfaceG1/0/1descriptionASM-ETH0ipaddress1S2.163J00.1255.255,255,0*access-list101permit10,162.40.00.0-042555anyroute-mapASMpermit10matchipaddress101setipnext-hopI圖16.ciscoro

16、ute-map策略路由配置方式4.3防火墻端口開放為保證盈高ASM效勞器與各終端的ASM小助手進行正常通行,需要在網(wǎng)絡(luò)當(dāng)中的防火墻上開發(fā)以下指定端口.ASMtoclient效勞名稱用途端口號HTTPClient認證端口TCP80HTTPSClient提交安檢信息端口TCP443Web請求小助手提交Web請求端口TCP36600P2P軟件修復(fù)、下載時采用的P2P端口TCP36599asmsvrASM限制端口TCP37527client通信端口與client一般通信端口TCP67/68UDP67/68ASMtoswitchsnmp簡單網(wǎng)管協(xié)議TCP161162telnettelnet效勞TCP23

17、SSHSSHK務(wù)TCP225.入網(wǎng)流程配置5.1開啟身份認證要求接入網(wǎng)絡(luò)的人員進行身份認證.點擊“平安標(biāo)準(zhǔn)-"入網(wǎng)流程治理-“身份認證設(shè)置,如下列圖：身加.垃珀nI"EM1出正6式猛進*&.聚*HL同刖E!置:ML一國-liXEEW*TCT-otKPirsg日便及田,田T.gMB-gHH我時用Ht平MJ4Uf"WS5EMM雙迎刃回衛(wèi)HIJflmwnunnHMT. 入網(wǎng)國而定制用于日和u.證驊wc4.自助聯(lián)I定創(chuàng)用戶名*曰認立UKcvl啦喧MJW訝l處值帶育上阿科認正本W(wǎng)Mt他與除*入EtMWBWH»twiDHCPWWIMAMLKSM計通LAMia

18、M*但事卑LXAU*«,麗*142M圖17.入網(wǎng)流程治理界面7拜城岳M江MWOtUidIPP認謫方苴*9尢用罔產(chǎn)認就43c.H-1.-4口UH4ffVUKQ皿1那么.MtUn用EemCi®KP*nHUUEm劃里梯I呻twmw二:rj：MHA*5依國獸稱內(nèi)明噌僵II.-l./.M»'T'.*：r-''."二：一生二f.3oStFJL12出煙設(shè)U力置事白己*Ff那么增嶗i冉I；,*戶籍訪.匚尻f戶阿T：Ss北洋卷f收*上梗用圖18.身份認證5.2 控件安裝設(shè)置要求接入終端均安裝盈高準(zhǔn)入客戶端ASM小助手程序.點擊“平安標(biāo)準(zhǔn)-&

19、quot;入網(wǎng)流程治理-“控件安裝設(shè)置,如下列圖：“萃3*桂悻安爰&司竄曲索柚WkM0*43.和*.單*圖19.控件安裝設(shè)置控伸談設(shè)置名稱控存靠小助手設(shè)置穿否安的能盹小助手：控超配小助手妾裝;殳百之林：備注：O無福女W任何閨7瓦古肛后o更求食左支金比結(jié)要求女裝小助手有串最大越班憫；反制建點無圖標(biāo)15晌7空面囪標(biāo)名程：小助手版根建：小明手版校月客圖20.編輯控件安裝設(shè)置5.3 開啟注冊審核針對相關(guān)角色的人員,終端第一次要求接入網(wǎng)絡(luò)時,終端需要進行注冊登記、并經(jīng)過治理員審核.點擊“平安標(biāo)準(zhǔn)-“入網(wǎng)流程治理-“設(shè)備注冊設(shè)置和設(shè)備審核設(shè)置,如下列圖：設(shè)制注冊角色設(shè)音g熟西向售來奔角以0b可信用

20、色5CU73不培增色喜要工工注冊注冊時顯示謖罟尋礪設(shè)蠡根本信息時新A酮說/.'.注冊要求嶼信息配置內(nèi)音期便用人頂部門君仁項：手拿 項：電子抽幅加計算以所國酶:史苦差里凰亦：顯示后擄莫里劇述椎作&U由7清品靛姓名冊亨在所用醋口必垣v德近擇部門聯(lián)茶電送謝.請溫后正通的 號自電子蹌精-7窿箱場址設(shè)替運姓v設(shè)雷所在位亙設(shè)建我甌7*注SSM員工工號兇a*X一添加更多信息圖21.設(shè)備注冊登記設(shè)置設(shè)言市裱角色設(shè)置位意需治理員手工由桂偌色：匣新店角色假設(shè)妾苜理員壬工審核回翻肖弗色來賓曲色0b可信角色市核設(shè)置移動透就系翌宙帔已南啜謾備再次入網(wǎng)時不帚要宙核匚在設(shè)備京桂之前先迸行方檢匚在饅備忘接之前

21、需要進行眩實F開啟設(shè)笛言曬捋至聞1髓都到期.|沃一天提曼提示信息：您的計8機率校即將到期,請掰寸底累官埋員0圖22.設(shè)備審核設(shè)置5.4平安檢查設(shè)置創(chuàng)立平安檢查標(biāo)準(zhǔn)庫,對接入終端進行平安檢查.點擊“平安標(biāo)準(zhǔn)-“安全標(biāo)準(zhǔn)列表-“添加平安標(biāo)準(zhǔn),創(chuàng)立平安標(biāo)準(zhǔn),如下列圖:,平安標(biāo)準(zhǔn)根本畬數(shù)宣全檢查項首鳴哨應(yīng)用角色更意管悝平安覿范列表標(biāo)準(zhǔn)與角色映射入網(wǎng)葡理*亶全域權(quán)限分配補丁治理DHCP治理計算機健康性檢查軟片檢追平安加固高級裁數(shù)十添加檢查項轅擊軟忤檢查設(shè)為關(guān)鍵檢查項圖22.平安標(biāo)準(zhǔn)庫創(chuàng)立注：1、根據(jù)單位平安標(biāo)準(zhǔn)要求,要求接入終端必須安裝指定殺毒軟件、指定桌面客戶端軟件,要求接入終端賬戶不容許存在弱口令、

22、密碼策略必須符合要求等.2、內(nèi)網(wǎng)終端不能私自連接外網(wǎng),因此需要在ASM上面開啟預(yù)防違規(guī)外聯(lián)的策略3、對于殺毒軟件、指定客戶端未安裝的終端,設(shè)置相應(yīng)的修復(fù)路徑,并開啟“自動修復(fù)功能,方便終端用戶進行修復(fù),完善終端平安.6 .交換機聯(lián)動治理為實現(xiàn)對各接入終端的快速、精準(zhǔn)定位,可通過SNMP、TELNET、SSH任意一種方式對交換機進行治理,ASM能夠呈現(xiàn)交換機圖形化面板信息.點擊“全網(wǎng)資源-“添加設(shè)備-“添加網(wǎng)絡(luò)設(shè)備,如下列圖：外咖-尸匿aH用嘴Rff-f-口在LQ5i:IU!VMS3人副.-pm-utttkS-VJMACmfiKWCRBlKiWa；£9419："E：m石呻：IJ144：染&ALftWTC：B=rdiB±：主二TILJMET«k«lOIKKTELNETIlftU'Sfld.JTEL&NTMKJJH工工MTELW盤.U£!4ff7TELN£F*MKHin：圖23.交換機添加治理文膜機面播示意圈【名稱：仃三口3垓的Wj篦.WE.MTl王鼾霖也交悔機而息已美閉前口一地M連推演口多必匡埃就口TrurkiKD計Jt機