ASM入网规范管理系统准入控制技术快速配置手册.doc

ASM盈高入网规范管理系统 网络联动控制快速配置手册INFOGO Access Standard Management SystemVer 2010.0831 版权 声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属盈高科技所有，并受到有关产权及版权法保护。任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 商标：盈高、INFOGO是盈高科技的注册商标，未经允许，不得引用。目 录第一章 策略路由快速配置31.1ASM系统界面配置31.1.1网卡配置31.1.2策略路由参数配置31.2网络联动设备配置41.2.1CISCO交换机配置41.2.2H3C交换机配置policy-based-route方法配置qos policy方法配置route policy方法配置traffic-redirect方法配置61.2.3华为交换机配置traffic-policy方法配置traffic-redirect方法配置route policy方法配置7第二章 VG虚拟网关快速配置92.1ASM系统界面配置92.1.1 网卡配置92.1.2 VG虚拟网关参数设置92.2网络联动设备配置11第三章 EOU认证技术快速配置123.1ASM系统界面配置123.1.1网卡配置123.1.2EOU参数配置123.2网络联动设备配置14第四章 PORTAL认证技术快速配置174.1ASM系统界面配置174.1.1 网卡配置174.1.2 PORTAL参数设置174.2网络联动设备配置18第五章 透明网桥快速配置205.1ASM系统界面配置205.1.1 网卡配置205.1.2 透明网桥参数配置20第一章 策略路由快速配置1.1 ASM系统界面配置1.1.1 网卡配置启用ETH0和ETH2两块网卡并配置IP地址：ETH0与联动网络设备相连，配置的IP地址作为策略路由的下一跳地址；ETH2配置的IP地址需要全网或者控制的网段能够访问。1.1.2 策略路由参数配置a) 认证参数设置1、 配置重定向URL地址：http:/eth2口ip地址。2、 配置下一跳IP地址：该地址为与ASM系统eth0口直连的网络联动设备的IP地址。3、 配置好下一跳IP地址后点击“获取下一跳MAC地址”按钮，若能网络正常则网络联动设备的MAC地址将显示于“下一条MAC地址”文本框中。4、 当您在开启策略路由认证技术后又希望放开所有设备，则可“启用紧急模式”。5、 其余配置项使用默认配置即可。6、 点击“完成配置”。b) 例外设备管理1、 配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“开始IP”、“结束IP”处填写该服务器的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。2、 配置不管理网段：若你希望将指定的设备不进行入网控制，则可以在“开始IP：”、“结束IP”处填写该设备的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。1.2 网络联动设备配置1.2.1 CISCO交换机配置方法一、（不具备逃生方案）建立ACLip access-list extended policy-route-aclpermit ip any anyexit配置route-map路由图route-map policy-routematch ip address policy-route-aclset ip next-hop 23exit在接口上应用route-mapinterface vlan 54ip policy route-map policy-routeexit方法二、（具备逃生方案）使用的是SLA配置，但配置需要IOS支持（实际使用：12.2(33)，网络查找：ios 12.3(8)T, 12.3(11)T, 和12.2(33)ios 12.3(14)T, 12.4, 12.4(2)T, and 12.2(33)ios 12.4(4)T或以后版本），且容易形成环路。ios 122（35）的ipservice版本建立ACLaccess-list 101 permit ip 55 anyip access-list extended policy-route-aclpermit ip any anyexit配置带下跳检测的route-map路由图ip sla monitor 1type echo protocol ipIcmpEcho 1 frequency 8（exit？）ip sla monitor schedule 1 life forever start-time nowtrack 123 rtr 1 reachabilityip sla monitor 2type echo protocol ipIcmpEcho 2 frequency 8ip sla monitor schedule 2 life forever start-time nowtrack 223 rtr 2 reachabilityroute-map policy_routematch ip address policy-route-aclset ip next-hop verify-availability 1 10 track 123set ip next-hop verify-availability 2 20 track 223在接口上应用route-mapinterface vlan 200ip policy route-map policy-route1.2.2 H3C交换机配置 policy-based-route方法配置(硬件型号+E，IOS版本5.1以上，)建立ACLacl number 3040rule 0 permit ip source anyquit配置policy-based-route路由图policy-based-route policy-route permit node 10if-match acl 3040apply ip-address next-hop 23 /eth0的IPquit在接口应用policy-based-routeinterface Ethernet0/3.40ip policy-based-route policy-routequit qos policy方法配置配置ACL策略H3C7506Eacl number 3040H3C7506E-acl-adv-3040 rule 10 permit ip source anyH3C7506E-acl-adv-3040quit配置匹配ACL的流分类1H3C7506E traffic classifier 1H3C7506E-classifier-1 if-match acl 3040H3C7506E-classifier-1 quit配置刚才定义的流分类1的行为，定义如果匹配就下一跳至23H3C7506E traffic behavior 1H3C7506E-behavior-1 redirect next-hop 23H3C7506E-behavior-1 quit将刚才设置的流分类及行为应用至QOS策略中，定义policy 1H3C7506E qos policy 1H3C7506E-qospolicy-1 classifier 1 H3C7506E-qospolicy-1 behavior 1H3C7506E-qospolicy-1 quit在接口上应用定义的QOS策略policy 1H3C7506E interface GigabitEthernet 2/0/11H3C7506E-GigabitEthernet2/0/11 qos apply policy 1 inboundH3C7506E-GigabitEthernet2/0/11 quit route policy方法配置建立ACLacl number 3000rule 0 permit ip source anyquit配置route policy路由图route-policy policy-route permit node 1 if-match acl 3000apply ip-address next-hop 23quit在接口应用route policyinterface Ethernet1/0 ip policy route-policy policy-routequit traffic-redirect方法配置建立ACLacl number 3000 rule 0 permit ip source anyquit在接口应用traffic-redirecinterface GigabitEthernet6/1/1 traffic-redirect inbound ip-group 3000 rule 0 next-hop 23quit1.2.3 华为交换机配置 traffic-policy方法配置配置ACL策略acl number 3040rule 10 permit ip source anyquit配置匹配ACL的流分类1traffic classifier 1if-match acl 3040quit配置刚才定义的流分类1的行为，定义如果匹配就下一跳至23traffic behavior 1redirect next-hop 23quit将刚才设置的流分类及行为应用至traffic-policy策略中，定义policy 1traffic policy 1classifier 1 behavior 1quit在接口上应用定义的QOS策略policy 1interface GigabitEthernet 2/0/11traffic-policy 1 inboundquit traffic-redirect方法配置建立ACLacl number 3000 rule 0 permit ip source anyquit在接口应用traffic-redirectinterface GigabitEthernet6/1/1 traffic-redirect inbound ip-group 3000 rule 0 next-hop 23quit route policy方法配置建立ACLacl number 3000rule 0 permit ip source anyquit配置route policy路由图route-policy policy-route permit node 1 if-match acl 3000apply ip-address next-hop 23quit在接口应用route policyinterface Ethernet1/0 ip policy route-policy policy-routequit今天又看到一个技术，可以解决逃生的问题，不过时间可能会稍微长一点我们可以针对策略路由的vlan接口/或者是物理接口设置其arp表的超时时间1.进入接口模式 int vlan 9982.设置超时 arp timeout 3第二章 VG虚拟网关快速配置2.1 ASM系统界面配置2.1.1 网卡配置启用ETH0、ETH2和ETH3三块网卡：ETH0和ETH3与联动网络设备的TRUNK口相连；ETH2配置的IP地址需要全网或者控制的网段能够访问。2.1.2 VG虚拟网关参数设置a) 基本参数设置1、 配置重定向URL地址：http:/eth2口ip地址。2、 配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“开始IP”、“结束IP”处填写该服务器的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。3、 点击“完成配置”。b) VG交换机管理配置好VG基本参数后，才能开始配置VG交换机管理。进入“VG虚拟网关设置”栏，选择“VG交换机管理”，如下界面所示：1、 添加交换机：选择“添加交换机”按钮进入如下界面：2、 填写完各参数配置选择“完成配置”后出现如下界面：3、 配置交换机：选中添加的交换机后选择“配置交换机”按钮进入如下界面：4、 选中要在交换机上开启VG认证技术的端口，然后选择“保存配置”。（若交换机上的端口更改了Vlan信息，则需点击“更新初始Vlan”按钮后再选择“保存配置”。）c) Vlan映射配置配置完交换机管理后，还需要对Vlan映射进行配置，保证接入设备认证前后属于不同权限的Vlan，从而达到接入控制的目的。2.2 网络联动设备配置配制用于通过SNMP查询交换机信息的共同体snmp-server community asmpublic ro配制用于通过snmp设置交机信息的共同体snmp-server community asmprivate rw启用linkdown trapsnmp-server enable traps snmp linkdown启用MAC address通知Trapsnmp-server enable traps mac-notification 指定将Trap报文发给ASM(4)snmp-server host 4 version 2c asmtrapmac address-table notification第三章 EOU认证技术快速配置3.1 ASM系统界面配置3.1.1 网卡配置启用ETH2网卡并配置IP地址： ETH2配置的IP地址需要全网或者控制的网段能够访问。3.1.2 EOU参数配置a) 基本参数设置1、 配置重定向URL地址：http:/eth2口ip地址。2、 配置重定向的交换机ACL名称: AsmEouUrlAcl。3、 当您在开启EOU认证技术后又希望放开所有设备，则可“启用紧急模式”。4、 其余配置项使用默认配置即可。5、 点击“完成配置”。b) EOU全局参数设置1、 配置主认证服务器地址：主ASM设备eth2口ip地址（若您有两台ASM设备，则配置备认证服务器地址：备ASM设备eth2口ip地址）。2、 配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“IP地址”处填写该服务器的IP地址，然后选择“添加”按钮。3、 同样，您也可以选中希望设备被隔离后不可以访问指定的服务器，然后选择“删除”按钮或者选择“清空”按钮，进行删除或清空。4、 点击“完成配置”。c) EOU交换机管理当您配置好EOU基本参数和全局参数后，才能开始配置EOU交换机管理。进入“EOU认证技术设置”栏，选择“EOU交换机管理”，如下界面所示：1、 添加交换机：选择“添加交换机”按钮进入如下界面： 当交换机型号选项中没有与网络联动设备型号向对应时，请参照3.2网络联动设备配置2、 填写完各参数配置选择“完成配置”后出现如下界面：3、 配置交换机：选中添加的交换机后选择“配置交换机”按钮进入如下界面：4、 选中要在交换机上开启EOU认证技术的端口，然后选择“生效EOU配置”。（至此，EOU认证技术已配置完成。）3.2 网络联动设备配置此处配置与ASM系统界面配置中EOU参数配置的C步骤具有相同作用，二者选其一。aaa new-modelaaa group server radius ASMEOU#下面这个地址要进行修改,另外如果有多个AMC可以进行增加（14）server-private 2 auth-port 1812 acct-port 1813 key msackeyexitaaa authorization network default localaaa accounting network default noneaaa authentication login default lineradius-server attribute 8 include-in-access-reqradius-server vsa send authenticationradius-server deadtime 720radius-server dead-criteria tries 3ip access-list extended AsmEouAllAcl permit ip any any exitip access-list extended AsmEouDefaultAcl remark allow DHCP permit udp any any eq bootps remark allow DNS permit udp any any eq domain remark allow to the server WWW #这个地方要进行修改为实际的IP地址和端口 permit tcp any host 4 eq www #另外如果有其它的修复机器要求可以访问，要求增加在这个地方 remark allow to server permit ip any host 45 remark deny other deny ip any any exitip access-list extended AsmEouUrlAcl#这个地方要进行修改，将不需要重定向的机器增加到这个地方 deny tcp any host 4 eq wwwdeny tcp any host 46 eq wwwpermit tcp any any eq wwwexitidentity policy AaaDown access-group AsmEouAllAcl exitidentity profile eapoudp #这个地方根据实际要求放开的来处理 device authorize ip-address 28 policy AaaDownexitaaa authentication eou default group ASMEOU ip admission name AsmEouNac eapoudp bypass event timeout aaa policy identity AaaDowneou allow clientlesseou loggingip device tracking#这个地方根据实际要处理的端口进行修改interface range fa0/13 - 24 switchport mode access ip access-group AsmEouDefaultAcl inip admission AsmEouNacexit第四章 PORTAL认证技术快速配置4.1 ASM系统界面配置4.1.1 网卡配置启用ETH2网卡并配置IP地址： ETH2配置的IP地址需要全网或者控制的网段能够访问。4.1.2 PORTAL参数设置a) 基本参数设置1、 配置重定向URL地址：http:/eth2口ip地址。2、 配置认证服务器地址：ASM设备eth2口ip地址。3、 配置免认证服务器：若你希望将指定的设备不进行portal认证，则可以在“IP地址：”、“掩码”处填写该设备的IP地址和掩码（IP地址段可通过掩码来控制），然后选择“添加”按钮。4、 同样，您也可以选择“删除”或“清空”按钮，从列表中删除或清空免认证的设备。5、 点击“完成配置”。b) PORTAL路由器管理当您配置好PORTAL基本参数后，才能开始配置EOU交换机管理。进入“PORTAL认证技术设置”栏，选择“PORTAL路由器管理”，如下界面所示：1、 添加路由器：选择“添加路由器”按钮进入如下界面：当路由器型号选项中没有与网络联动设备型号向对应时，请参照4.2网络联动设备配置2、 填写完各参数配置选择“完成配置”后出现如下界面：3、 配置路由器：选中添加的路由器后选择“配置路由器”按钮进入如下界面：4、 选择要在路由器上开启PORTAL认证技术的端口，然后选择“生效PORTAL配置”。（至