華為上網(wǎng)行為管理器操作手冊

1、上網(wǎng)行為管理操作手冊2022年3月10日一、網(wǎng)絡(luò)拓撲圖1二、網(wǎng)絡(luò)規(guī)劃1三、IP地址分配1四、賬號分配表4五、主要設(shè)備賬戶及密碼61、上網(wǎng)行為管理路由器62、核心交換機63、研發(fā)交換機64、綜合交換機65、硬盤錄像機66、無線AP7六、主要配置71、上網(wǎng)行為管理器配置71、創(chuàng)建部門72、給每個部門創(chuàng)建用戶73、創(chuàng)建用戶組84、給用戶組添加部門95、新建上網(wǎng)認證策略96、配置認證選項97、配置外網(wǎng)接口網(wǎng)絡(luò)108、配置內(nèi)網(wǎng)接口網(wǎng)絡(luò)119、配置管理接口網(wǎng)絡(luò)1110、配置靜態(tài)路由1211、配置策略路由1212、配置帶寬策略1313、配置源NAT1514、配置虛擬服務(wù)器（端口映射）1615、配置域間規(guī)則1

2、716、配置本地策略172、交換機18一、網(wǎng)絡(luò)拓撲圖二、網(wǎng)絡(luò)規(guī)劃部門（設(shè)備）VLAN備注研發(fā)部一、二VLAN1054 禁止上外網(wǎng)研發(fā)部外網(wǎng)VLAN2054服務(wù)器VLAN30綜合部（總經(jīng)理、副總經(jīng)理、運營中心）VLAN4054機房核心交換機VLAN100研發(fā)部核心交換機VLAN100綜合交換機VLAN100上網(wǎng)行為管理器上網(wǎng)登錄地址:8888三、IP地址分配編號部門職位IP地址子網(wǎng)掩碼網(wǎng)關(guān)ZY001管理層總經(jīng)理

3、854ZY002副總經(jīng)理254ZY003項目部項目經(jīng)理354ZY004項目經(jīng)理454ZY005項目經(jīng)理554ZY006項目經(jīng)理654ZY007項目經(jīng)理192

4、.168.30.1754ZY008咨詢部總監(jiān)854ZY009咨詢顧問954ZY010咨詢顧問054ZY011咨詢顧問154ZY012咨詢顧問254ZY013咨詢顧問192.168.

5、30.2354ZY014研發(fā)部經(jīng)理154ZY015副經(jīng)理254ZY016總工354ZY017JAVA工程師454ZY018JAVA工程師554ZY019JAVA工程師192.168

6、.10.1654ZY020JAVA工程師754ZY021JAVA工程師854ZY022JAVA工程師954ZY023JAVA工程師054ZY024JAVA工程師154ZY025JA

7、VA工程師254ZY026JAVA工程師354ZY027JAVA工程師454ZY028JAVA工程師554ZY029JAVA工程師654ZY030Web工程師7192.168.10

8、.254ZY031Android工程師854ZY032GIS工程師954ZY033Web工程師054ZY034主管154ZY035主管254ZY036測試部部門主管3192.168

9、.10.254ZY037測試工程師454ZY038測試工程師554ZY039測試工程師654ZY040實施部經(jīng)理454ZY041副經(jīng)理554ZY042工程師6192.168.30.

10、254ZY043工程師754ZY044工程師854ZY045工程師954ZY046工程師054ZY047工程師154ZY048軟件實施工程師254ZY049

11、工程師354ZY050工程師454ZY051工程師554ZY052運營保障中心總監(jiān)654ZY053經(jīng)理754ZY054副經(jīng)理854ZY055人事專員192.

12、168.30.3954ZY056后勤專員054ZY057后勤專員154ZY058采購專員254ZY059采購專員354ZY060投標(biāo)專員454ZY061司機ZY062保潔ZY063

13、財務(wù)部會計354ZY064會計454四、賬號分配表登錄名所屬部門用戶描述所屬組2009000999/管理層總經(jīng)理管理層2009050401/管理層總經(jīng)理管理層2009081701/項目部副總經(jīng)理項目部2009071301/項目部項目經(jīng)理項目部2010110101/項目部項目經(jīng)理項目部2015031801/項目部項目經(jīng)理項目部2017040101/項目部項目經(jīng)理項目部2010081601/咨詢部總監(jiān)咨詢部2012071601/咨詢部咨詢顧問咨詢部20

14、17030801/咨詢部咨詢顧問咨詢部2017022001/咨詢部咨詢顧問咨詢部2017051601/咨詢部咨詢顧問咨詢部2017033001/咨詢部咨詢顧問咨詢部2012060401/研發(fā)部經(jīng)理研發(fā)部2011032101/研發(fā)部總工研發(fā)部2009100901/研發(fā)部數(shù)采工程師研發(fā)部2015102601/研發(fā)部JAVA工程師研發(fā)部2015120101/研發(fā)部JAVA工程師研發(fā)部2016061601/研發(fā)部JAVA工程師研發(fā)部2016061702/研發(fā)部JAVA工程師研發(fā)部2016070401/研發(fā)部JAVA工程師研發(fā)部2016101701/研發(fā)部JAVA工程師研發(fā)部2015072401/研發(fā)部

15、JAVA工程師研發(fā)部2016072701/研發(fā)部JAVA工程師研發(fā)部2016080301/研發(fā)部JAVA工程師研發(fā)部2016081501/研發(fā)部JAVA工程師研發(fā)部2016090501/研發(fā)部JAVA工程師研發(fā)部2016112101/研發(fā)部JAVA工程師研發(fā)部2016101702/研發(fā)部JAVA工程師研發(fā)部2016061703/研發(fā)部Web工程師研發(fā)部2016070402/研發(fā)部Web工程師研發(fā)部2016121201/研發(fā)部Android工程師研發(fā)部2017021501/研發(fā)部Android工程師研發(fā)部2015110201/研發(fā)部GIS工程師研發(fā)部2015120102/研發(fā)部GIS工程師研發(fā)部

16、2016062001/質(zhì)量部部門主管質(zhì)量部2013030401/質(zhì)量部測試工程師質(zhì)量部2015091701/質(zhì)量部測試工程師質(zhì)量部2015102602/質(zhì)量部測試工程師質(zhì)量部2011060701/實施部經(jīng)理實施部2012060402/實施部副經(jīng)理實施部2016030701/實施部工程師實施部2016032801/實施部工程師實施部2016112801/實施部工程師實施部2013052701/實施部工程師實施部2016051001/實施部工程師實施部2016083001/實施部工程師實施部2016121202/實施部工程師實施部2016092701/實施部工程師實施部2017050401/實施部

17、工程師實施部2017021601/實施部工程師實施部2010070101/人事行政部總監(jiān)人事行政部2013080701/人事行政部經(jīng)理人事行政部2016062301/人事行政部副經(jīng)理人事行政部2016082201/人事行政部人事專員人事行政部2016021501/人事行政部后勤專員人事行政部2015090201/人事行政部后勤專員人事行政部2015110202/人事行政部采購專員人事行政部2016081801/人事行政部采購專員人事行政部2016060101/人事行政部投標(biāo)專員人事行政部2011081601/財務(wù)部會計財務(wù)部2017051501/財務(wù)部會計財務(wù)部五、主要設(shè)備賬戶及密碼1、上網(wǎng)行

18、為管理路由器IP地址：2、核心交換機3、研發(fā)交換機4、綜合交換機5、硬盤錄像機6、無線AP六、主要配置1、上網(wǎng)行為管理器配置1、創(chuàng)建部門2、給每個部門創(chuàng)建用戶1） 創(chuàng)建賬號及密碼2） 加入所屬部門3） 加入所屬用戶組3、創(chuàng)建用戶組4、給用戶組添加部門5、新建上網(wǎng)認證策略1）填寫局域網(wǎng)的所有網(wǎng)段2）使用用戶名密碼認證6、配置認證選項1) 啟用radius單點登錄2) 配置密碼有效期3) 注銷無流量的已認證用戶時間7、配置外網(wǎng)接口網(wǎng)絡(luò)8、配置內(nèi)網(wǎng)接口網(wǎng)絡(luò)9、配置管理接口網(wǎng)絡(luò)10、配置靜態(tài)路由11、配置策略路由1）內(nèi)網(wǎng)口允許所有用戶通過2） 外網(wǎng)口允許所有用戶通過3） 管理口允許所有用

19、戶通過12、配置帶寬策略1） WAN-LAN允許所有用戶通過并且不限流2） LAN-WAN允許所有用戶通過并且不限流13、配置源NAT1)WAN->LAN2) LAN->WAN14、配置虛擬服務(wù)器（端口映射）15、配置域間規(guī)則WAN->LAN,LAN->WAN,DMZ->LAN,LAN->DMZ,WAN->DMZ,DMZ->WAN 所有動作都是放行（permit）16、配置本地策略1) 源安全域LAN口所有原地址動作都放行（permit）2) 源安全域WAN口所有原地址動作都放行（permit）3) 源安全域DMZ口所有原地址動作都放行（perm

20、it）2、交換機核心交換機#!Software Version V100R005C01SPC100 sysname HeXin# vlan batch 30 40 50 100 to 102# dhcp enable user-bind static ip-address 8 mac-address 0022-681c-eacf vlan 30 user-bind static ip-address 8 mac-address 0022-681c-eacf interface GigabitEthernet0/0/10# undo http serv

21、er enable# drop illegal-mac alarm# ip pool vlan30 ip pool vlan40 ip pool vlan50#acl number 2000 rule 5 deny source 55 rule 10 permit#acl number 2001# acl number 2002#acl number 2003#ip pool vlan30 gateway-list 54 network mask dns-list 221.228.

22、255.1 14#ip pool vlan40 gateway-list 54 network mask static-bind ip-address 7 mac-address 0022-681c-eacf dns-list 14#ip pool vlan50 gateway-list 54 network mask dns-list

23、 14#aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher 6)'BYE(;F31<%AOH#34Q! local-user admin privilege level 3#interface Vlanif1#interface Vlanif30 ip address

24、 dhcp select global#interface Vlanif40 ip address 54 dhcp select global#interface Vlanif50 ip address 54 #interface Vlanif100 ip address #interface Vlanif101 ip address #interf

25、ace Vlanif102#interface MEth0/0/1#interface GigabitEthernet0/0/1 port link-type access port default vlan 30#interface GigabitEthernet0/0/2 port link-type access port default vlan 30#interface GigabitEthernet0/0/3 port link-type access port default vlan 30#interface GigabitEthernet0/0/4 port link-typ

26、e access port default vlan 30#interface GigabitEthernet0/0/5 port link-type access port default vlan 30#interface GigabitEthernet0/0/6 port link-type access port default vlan 30#interface GigabitEthernet0/0/7 port link-type access port default vlan 30#interface GigabitEthernet0/0/8 port link-type ac

27、cess port default vlan 30#interface GigabitEthernet0/0/9 port link-type access port default vlan 30#interface GigabitEthernet0/0/10 port link-type access port default vlan 30# interface GigabitEthernet0/0/11 port link-type access port default vlan 40#interface GigabitEthernet0/0/12 port link-type ac

28、cess port default vlan 40#interface GigabitEthernet0/0/13 port link-type access port default vlan 40#interface GigabitEthernet0/0/14 port link-type access port default vlan 40#interface GigabitEthernet0/0/15 port link-type access port default vlan 40#interface GigabitEthernet0/0/16 port link-type ac

29、cess port default vlan 40 #interface GigabitEthernet0/0/17 port link-type access port default vlan 40#interface GigabitEthernet0/0/18 port link-type access port default vlan 40#interface GigabitEthernet0/0/19 port link-type access port default vlan 50#interface GigabitEthernet0/0/20 port link-type a

30、ccess port default vlan 50#interface GigabitEthernet0/0/21 port link-type trunk port trunk allow-pass vlan 2 to 4094#interface GigabitEthernet0/0/22 port link-type trunk port trunk allow-pass vlan 2 to 4094#interface GigabitEthernet0/0/23 port link-type access port default vlan 101#interface Gigabit

31、Ethernet0/0/24 port link-type trunk port trunk allow-pass vlan 2 to 4094#interface NULL0# ip route-static ip route-static 0 ip route-static 9 ip route-static ip route-static 192.1

32、68.20.0 ip route-static # snmp-agent snmp-agent local-engineid 000007DB7F000001000060DC snmp-agent sys-info version v3# user-interface con 0 idle-timeout 0 0user-interface vty 0 4 authentication-mode aaa user privilege level 15#port

33、-group 1 group-member GigabitEthernet0/0/1 group-member GigabitEthernet0/0/2 group-member GigabitEthernet0/0/3 group-member GigabitEthernet0/0/4 group-member GigabitEthernet0/0/5 group-member GigabitEthernet0/0/6 group-member GigabitEthernet0/0/7 group-member GigabitEthernet0/0/8 group-member Gigabi

34、tEthernet0/0/9 group-member GigabitEthernet0/0/10#port-group 2 group-member GigabitEthernet0/0/11 group-member GigabitEthernet0/0/12 group-member GigabitEthernet0/0/13 group-member GigabitEthernet0/0/14 group-member GigabitEthernet0/0/15 group-member GigabitEthernet0/0/16 group-member GigabitEtherne

35、t0/0/17 group-member GigabitEthernet0/0/18#port-group 3 group-member GigabitEthernet0/0/19 group-member GigabitEthernet0/0/20#return研發(fā)交換機# sysname YanFa# vlan batch 1 10 20 100 to 101# cluster enable ntdp enable ntdp hop 16 ndp enable# voice-vlan mac-address 0001-e300-0000 mask ffff-ff00-0000 descri

36、ption Siemens phone voice-vlan mac-address 0003-6b00-0000 mask ffff-ff00-0000 description Cisco phone voice-vlan mac-address 0004-0d00-0000 mask ffff-ff00-0000 description Avaya phone voice-vlan mac-address 0060-b900-0000 mask ffff-ff00-0000 description Philips/NEC phone voice-vlan mac-address 00d0-

37、1e00-0000 mask ffff-ff00-0000 description Pingtel phone voice-vlan mac-address 00e0-7500-0000 mask ffff-ff00-0000 description Polycom phone voice-vlan mac-address 00e0-bb00-0000 mask ffff-ff00-0000 description 3com phone# undo http server enable#acl number 2000#acl number 2001 rule 5 deny source 192

38、.168.30.0 55 rule 10 permit#acl number 2002#acl number 2003 rule 5 deny source 55 rule 10 permit#dhcp server ip-pool vlan#dhcp server ip-pool vlan10 network mask gateway-list 54 dns-list 14#dhcp server ip-po

39、ol vlan20 network mask gateway-list 54 dns-list 14#interface Vlanif1#interface Vlanif10 description yanfa ip address 54 #interface Vlanif20 ip address 54 #interface Vlanif100 ip addres

40、s #interface Vlanif101#interface MEth0/0/1#interface GigabitEthernet0/0/1 port link-type access port default vlan 10 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/2 port link-type access port default vlan 10 bpdu enable ntdp enable ndp enable#interface Gi

41、gabitEthernet0/0/3 port link-type access port default vlan 10 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/4 port link-type access port default vlan 10 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/5 port link-type access port default vlan 10 bpdu enable ntdp ena

42、ble ndp enable#interface GigabitEthernet0/0/6 port link-type access port default vlan 10 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/7 port link-type access port default vlan 10 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/8 port link-type access port default v

43、lan 10 bpdu enable ntdp enable ndp enable# interface GigabitEthernet0/0/9 port link-type access port default vlan 10 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/10 port link-type access port default vlan 10 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/11 port l

44、ink-type access port default vlan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/12 port link-type access port default vlan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/13 port link-type access port default vlan 20 user-bind static ip-address 0 v

45、lan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/14 port link-type access port default vlan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/15 port link-type access port default vlan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/16 port l

46、ink-type access port default vlan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/17 port link-type access port default vlan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/18 port link-type access port default vlan 20 bpdu enable ntdp enable ndp enable#interfac

47、e GigabitEthernet0/0/19 port link-type access port default vlan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/20 port link-type access port default vlan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/21 port default vlan 1 bpdu enable ntdp enable ndp enable#i

48、nterface GigabitEthernet0/0/22 port default vlan 1 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/23 port link-type access bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/24 port default vlan 1 port trunk allow-pass vlan 1 to 4094 bpdu enable ntdp enable ndp enable#i

49、nterface NULL0# traffic-filter vlan 10 inbound acl 2003 rule 5 traffic-filter vlan 10 inbound acl 2003 rule 10 traffic-filter vlan 10 outbound acl 2003 rule 5 traffic-filter vlan 10 outbound acl 2003 rule 10#aaa authentication-scheme default authorization-scheme default accounting-scheme default dom

50、ain default domain default_admin local-user admin password cipher E(/GLH9$P#'Q=QMAF4<1! local-user admin level 3 local-user admin ftp-directory flash:# dhcp server forbidden-ip 54 dhcp server forbidden-ip 54 dhcp enable# ip route-static ip route-static ip route-static ip route-static 9 ip route-static 0#user-interface con 0 user-interface vty 0 4 authentication-mode aaa user priv