准入网关部署操作指引.docx

准入网关部署操作指引一、 桌面管理系统服务器更新注意： 先备份C:VRVVRVEISVRVAuthorizeFileVRVAuthorizeFile.xml和C:VRVRegionManageedpLicense2.data,再替换临时序列号。1. ChangeCiphertextFile.xml替换到C:VRVVRVEISVRVAuthorizeFil目录下，把原VRVAuthorizeFile.xml文件删除。注意：VRVAuthorizeFile目录下只能有一个xml文件2. edpLicense2.data替换到区域C:VRVRegionManage3. 替换后把区域管理器退出，重启区域管理器，检查区域管理器标题上的点数是否为10000U。4. 重启IIS服务二、 桌面管理系统客户端更新将新的DeviceRegist.exe替换到服务器目录下：C:VRVVRVEISdownload目录下，在页面重新打包注册程序。登录北信源内网安全管理及补丁分发系统：输入登录IP，例如：41/VRVEIS/Login.aspx，输入用户名、密码。（详细安装说明请参考内网安全管理系统使用手册，此处不再说明服务器安装过程）。注意：在策略中心停掉IP/MAC绑定策略、硬件设备控制策略、普通文件分发策略、协议防火墙策略，之后再对终端进行更新。客户端更新：在策略中心找到软件分发策略，将UPagent.exe上传，选择需要分配的IP段，之后启动策略三、 桌面管理系统策略配置3.1网关接入认证配置：进入策略中心模块中安全准入管理-点击网关接入认证配置，在右面的界面中点击创建新规则，填写完成后，点击保存配置。网关接入配置：进入策略中心-安全准入管理-网关接入认证：在右面窗体中，输入策略名并点击创建新策略：在新的界面中填写信息，然后点击应用保存：将接入网关IP添加到列表，终端认证方式中选择“终端特征认证”，认证周期包发送周期可根据实际情况设置，建议默认设置为1-3分钟。点击对象，为该条策略分配对象，在界面中填写NAC网关要管理的IP范围：配置完成后保存，并启用该策略。虚拟隔离策略配置：保存策略后分配对像执行。终端安全检查策略配置：保存策略后分配对像执行。四、 准入网关上架安装 1.设备面板： 2.旁路监听部署： 将VRV-BMG旁路部署在核心交换机，通过在交换机配置基于端口、VLAN或者ACL的镜像，可以实现不同范围的准入控制： Core SwitchFWVRV-BMG内网区域业务边界Access SwitchAccess SwitchAccess SwitchEth0MGT说明：Eth0连接交换机的镜像口监听数据，MGT作为干扰和管理接口与核心交换机相连。建议配置上行镜像以减轻设备处理压力。3、常见交换机开启端口镜像配置Cisco交换机配置1、镜像口配置 Switchenable Switch#conf t Step3: 配置镜像源，可以是端口也可以是Vlan，本次将端口2到端口5设置设置成镜像源端口：Switch(config)#monitor session 1 source interface gigabitEthernet 0/2 - 5 rx上面命令最后一个参数:both 监听双向数据,默认为bothrx 接收tx 发送 Step4: 配置镜像目的端口Switch(config)#monitor session 1 destination interface gigabitEthernet 0/6 Switch(config)#exit Switch#wrtep7:查看配置结果Switch#show monitorSession 1-Type : Local SessionSource Ports : RX Only : Gi0/2-5Destination Ports : Gi0/6 Encapsulation : Native Ingress : Disabled Both 监听双向数据RX Only 监听接收Tx Only 监听发送2、删除镜像端口(非必须配置)Switch#conf tSwitch(config)#no monitor session 1Switch(config)#end Switch#wr Switch#show monitor No SPAN configuration is present in the system.H3C交换机配置S3026等交换机 S2008/S2016/S2026/S2403H/S3026等交换机支持的都是基于端口的镜像，有两种方法：方法一 SwitchAmonitor-port e0/8 / 配置镜像端口SwitchAport mirror Ethernet 0/1 to Ethernet 0/2 / 配置被镜像端口方法二 SwitchAport mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8 /可以一次性定义镜像和被镜像端口S3100/S3600/S6500/S7500交换机镜像源端口为gigabitethernet 1/0/1，对端口接收和发送的报文都进行镜像，镜像目的端口为gigabitethernet 1/0/4配置1：h3c system-viewh3c mirroring-group 1 localh3c interface gigabitethernet 1/0/4h3c-gigabitethernet1/0/4 mirroring-group 1 monitor-porth3c-gigabitethernet1/0/4 quith3c interface gigabitethernet 1/0/1h3c-gigabitethernet1/0/1 mirroring-group 1 mirroring-port bothh3c-gigabitethernet1/0/1 quith3csave配置2：h3c system-viewh3c mirroring-group 1 localh3c mirroring-group 1 monitor-port gigabitethernet 1/0/4h3c mirroring-group 1 mirroring-port gigabitethernet 1/0/1 bothh3c save五、 准入网关初始化配置 网关的MGT口IP地址为8；将电脑IP地址修改为192.168.2.X；子网掩码默认即可，用直连线将电脑与网关的MGT口连接，ping 8。确保网络连接正常；打开IE访问8进行登录，默认用户：admin,密码：admin如下图：1 准入网关版本升级 1.1先升级网关补丁更新文件NACGateway_snmp_sys_patch.tgz 点浏览选择NACGateway_snmp_sys_patch.tgz存放路径，点更新。1.2网关版本升级，NACGateway_update_v3.5.5.tgz选择网关v3.5.5.tgz版本，点升级，升级完成后，重启网关。2 快速部署网关2.1 给网关分配IP地址打开IE访问8进行登录，默认用户：admin,密码：admin如下图：打开系统设置网络设置输入IP、子网掩码和通信网关IP，点设置保存配置：将网关上架，核心交换机的镜像口连接准入网关的eth0口，网关的MGT口连接核心交换机的预留网口，接入内网通信。2.2准入网关快速初始化使用内网的计算机，访问https:/准入网关IP通过WEB登录到设备的管理平台，点击右上角的按钮，进入快速配置向导，首先系统会进入配置向导欢迎页：点击“下一步”，进入配置向导网络配置页：按照提示设置好IP地址后，获取网关MAC地址，点击“下一步”进入访客配置页：按照提示说明对访客参数进行设置，您可以手动登陆http:/ip：8080/ guest_login.php验证设置的参数内容是否正确。设置完成后，点击“下一步”进入注册配置页。注册配置是与内网安全管理服务器（EDP服务器）联动时必须配置的选项，如果采用无客户端部署模式可以不需配置，需要注意的是EDP服务器端口默认为6800,如果配置为非6800，可能会导致无法正常通讯，在点击“下一步”之前，最好点击“EDP服务器检测”按钮检测一下能否和EDP服务器正常通信。联动IP范围可以根据客户端实际注册的IP范围进行填写，配置完成后点击“下一步”进入认证配置页面。准入网关使用“本地认证”方式，设置完成后点击“下一步”进入网络准入配置页面。网络准入参数需要根据使用时的实际部署情况进行配置，如果采用的是旁路监听的部署模式，则在准入方式一栏选择“旁路监听”，并且选择镜像口为eth0（默认，视部署时与交换机镜像对接的网口而定），内网IP范围选择实际控制范围以过滤无关数据，干扰口选择MGT（默认，视实际使用接口而定）。配置准入策略：您可以点击“添加”按钮添加相应的准入策略，策略自上而下进行匹配，策略