ASM入网规范管理系统-准入控制技术快速配置手册

ASMASM盈高入网规范管理系统盈高入网规范管理系统 网络联动控制快速配置手册网络联动控制快速配置手册 INFOGO Access Standard Management System VerVer 2010 08312010 0831 版权版权 声明 声明 本文中出现的任何文字叙述 文档格式 插图 照片 方法 过程等内容 除另有特别注 明 版权均属盈高科技所有 并受到有关产权及版权法保护 任何个人 机构未经盈高科技的书面授权许 可 不得以任何方式复制或引用本文的任何片断 商标 商标 盈高 INFOGO 是盈高科技的注册商标 未经允许 不得引用 目目 录录 第一章 策略路由快速配置 3 1 1ASM 系统界面配置 3 1 1 1网卡配置 3 1 1 2策略路由参数配置 3 1 2网络联动设备配置 4 1 2 1CISCO 交换机配置 4 1 2 2H3C 交换机配置 5 1 2 2 1policy based route 方法配置 5 1 2 2 2qos policy 方法配置 5 1 2 2 3route policy 方法配置 6 1 2 2 4traffic redirect 方法配置 6 1 2 3华为交换机配置 6 1 2 3 1traffic policy 方法配置 6 1 2 3 2traffic redirect 方法配置 7 1 2 3 3route policy 方法配置 7 第二章 VG 虚拟网关快速配置 9 2 1ASM 系统界面配置 9 2 1 1 网卡配置 9 2 1 2 VG 虚拟网关参数设置 9 2 2网络联动设备配置 11 第三章 EOU 认证技术快速配置 12 3 1ASM 系统界面配置 12 3 1 1网卡配置 12 3 1 2EOU 参数配置 12 3 2网络联动设备配置 14 第四章 PORTAL 认证技术快速配置 17 4 1ASM 系统界面配置 17 4 1 1 网卡配置 17 4 1 2 PORTAL 参数设置 17 4 2网络联动设备配置 18 第五章 透明网桥快速配置 20 5 1ASM 系统界面配置 20 5 1 1 网卡配置 20 5 1 2 透明网桥参数配置 20 第一章第一章 策略路由快速配置策略路由快速配置 1 11 1 ASMASM 系统界面配置系统界面配置 1 1 11 1 1 网卡配置网卡配置 启用 ETH0 和 ETH2 两块网卡并配置 IP 地址 ETH0 与联动网络设备相连 配置的 IP 地址作为策略路由的下一跳地址 ETH2 配置的 IP 地址需要全网或者控制的网段能够访问 1 1 21 1 2 策略路由参数配置策略路由参数配置 a 认证参数设置认证参数设置 1 配置重定向 URL 地址 http eth2 口 ip 地址 2 配置下一跳 IP 地址 该地址为与 ASM 系统 eth0 口直连的网络联动设备的 IP 地址 3 配置好下一跳 IP 地址后点击 获取下一跳 MAC 地址 按钮 若能网络正常则网 络联动设备的 MAC 地址将显示于 下一条 MAC 地址 文本框中 4 当您在开启策略路由认证技术后又希望放开所有设备 则可 启用紧急模式 5 其余配置项使用默认配置即可 6 点击 完成配置 b 例外设备管理例外设备管理 1 配置隔离服务器 若您希望设备被隔离后仍然可以访问指定的服务器 则可以在 开始 IP 结束 IP 处填写该服务器的 IP 地址 然后选择 添加 按钮 同样 选择 删除 按钮进行删除 2 配置不管理网段 若你希望将指定的设备不进行入网控制 则可以在 开始 IP 结束 IP 处填写该设备的 IP 地址 然后选择 添加 按钮 同样 选择 删除 按钮进行删除 1 21 2 网络联动设备配置网络联动设备配置 1 2 11 2 1 CISCO 交换机配置交换机配置 方法一 方法一 不具备逃生方案 不具备逃生方案 建立 ACL ip access list extended policy route acl permit ip any any exit 配置 route map 路由图 route map policy route match ip address policy route acl set ip next hop 192 168 100 123 exit 在接口上应用 route map interface vlan 54 ip policy route map policy route exit 方法二 方法二 具备逃生方案 具备逃生方案 建立 ACL access list 101 permit ip 192 168 36 0 0 0 0 255 any ip access list extended policy route acl permit ip any any exit 配置带下跳检测的 route map 路由图 ip sla monitor 1 type echo protocol ipIcmpEcho 172 28 1 11 frequency 8 ip sla monitor schedule 1 life forever start time now track 123 rtr 1 reachability ip sla monitor 2 type echo protocol ipIcmpEcho 172 28 1 12 frequency 8 ip sla monitor schedule 2 life forever start time now track 223 rtr 2 reachability route map policy route match ip address policy route acl set ip next hop verify availability 172 28 1 11 10 track 123 set ip next hop verify availability 172 28 1 12 20 track 223 在接口上应用 route map interface vlan 200 ip policy route map policy route 1 2 21 2 2 H3C 交换机配置交换机配置 1 2 2 1policy based routepolicy based route 方法配置方法配置 建立 ACL acl number 3040 rule 0 permit ip source any quit 配置 policy based route 路由图 policy based route policy route permit node 10 if match acl 3040 apply ip address next hop 192 168 100 123 quit 在接口应用 policy based route interface Ethernet0 3 40 ip policy based route policy route quit 1 2 2 2qosqos policypolicy 方法配置方法配置 配置 ACL 策略 H3C7506E acl number 3040 H3C7506E acl adv 3040 rule 10 permit ip source any H3C7506E acl adv 3040 quit 配置匹配 ACL 的流分类 1 H3C7506E traffic classifier 1 H3C7506E classifier 1 if match acl 3040 H3C7506E classifier 1 quit 配置刚才定义的流分类 1 的行为 定义如果匹配就下一跳至 192 168 100 123 H3C7506E traffic behavior 1 H3C7506E behavior 1 redirect next hop 192 168 100 123 H3C7506E behavior 1 quit 将刚才设置的流分类及行为应用至 QOS 策略中 定义 policy 1 H3C7506E qos policy 1 H3C7506E qospolicy 1 classifier 1 H3C7506E qospolicy 1 behavior 1 H3C7506E qospolicy 1 quit 在接口上应用定义的 QOS 策略 policy 1 H3C7506E interface GigabitEthernet 2 0 11 H3C7506E GigabitEthernet2 0 11 qos apply policy 1 inbound H3C7506E GigabitEthernet2 0 11 quit 1 2 2 3routeroute policypolicy 方法配置方法配置 建立 ACL acl number 3000 rule 0 permit ip source any quit 配置 route policy 路由图 route policy policy route permit node 1 if match acl 3000 apply ip address next hop 192 168 100 123 quit 在接口应用 route policy interface Ethernet1 0 ip policy route policy policy route quit 1 2 2 4traffic redirecttraffic redirect 方法配置方法配置 建立 ACL acl number 3000 rule 0 permit ip source any quit 在接口应用 traffic redirec interface GigabitEthernet6 1 1 traffic redirect inbound ip group 3000 rule 0 next hop 192 168 100 123 quit 1 2 31 2 3 华为交换机配置华为交换机配置 1 2 3 1traffic policytraffic policy 方法配置方法配置 配置 ACL 策略 acl number 3040 rule 10 permit ip source any quit 配置匹配 ACL 的流分类 1 traffic classifier 1 if match acl 3040 quit 配置刚才定义的流分类 1 的行为 定义如果匹配就下一跳至 192 168 100 123 traffic behavior 1 redirect next hop 192 168 100 123 quit 将刚才设置的流分类及行为应用至 traffic policy 策略中 定义 policy 1 traffic policy 1 classifier 1 behavior 1 quit 在接口上应用定义的 QOS 策略 policy 1 interface GigabitEthernet 2 0 11 traffic policy 1 inbound quit 1 2 3 2traffic redirecttraffic redirect 方法配置方法配置 建立 ACL acl number 3000 rule 0 permit ip source any quit 在接口应用 traffic redirec interface GigabitEthernet6 1 1 traffic redirect inbound ip group 3000 rule 0 next hop 192 168 100 123 quit 1 2 3 3routeroute policypolicy 方法配置方法配置 建立 ACL acl number 3000 rule 0 permit ip source any quit 配置 route policy 路由图 route policy policy route permit node 1 if match acl 3000 apply ip address next hop 192 168 100 123 quit 在接口应用 route policy interface Ethernet1 0 ip policy route policy policy route quit 第二章第二章 VG 虚拟网关快速配置虚拟网关快速配置 2 12 1 ASMASM 系统界面配置系统界面配置 2 1 12 1 1 网卡配置网卡配置 启用 ETH0 ETH2 和 ETH3 三块网卡 ETH0 和 ETH3 与联动网络设备的 TRUNK 口 相连 ETH2 配置的 IP 地址需要全网或者控制的网段能够访问 2 1 22 1 2 VG 虚拟网关参数设置虚拟网关参数设置 a 基本参数设置基本参数设置 1 配置重定向 URL 地址 http eth2 口 ip 地址 2 配置隔离服务器 若您希望设备被隔离后仍然可以访问指定的服务器 则可以在 开始 IP 结束 IP 处填写该服务器的 IP 地址 然后选择 添加 按钮 同样 选择 删除 按钮进行删除 3 点击 完成配置 b VG 交换机管理交换机管理 配置好 VG 基本参数后 才能开始配置 VG 交换机管理 进入 VG 虚拟网关设置 栏 选择 VG 交换机管理 如下界面所示 1 添加交换机 选择 添加交换机 按钮进入如下界面 2 填写完各参数配置选择 完成配置 后出现如下界面 3 配置交换机 选中添加的交换机后选择 配置交换机 按钮进入如下界面 4 选中要在交换机上开启 VG 认证技术的端口 然后选择 保存配置 若交换机 上的端口更改了Vlan信息 则需点击 更新初始 Vlan 按钮后再选择 保存配 置 c Vlan 映射配置映射配置 配置完交换机管理后 还需要对 Vlan 映射进行配置 保证接入设备认证前后属于不同 权限的 Vlan 从而达到接入控制的目的 2 22 2 网络联动设备配置网络联动设备配置 配制用于通过 SNMP 查询交换机信息的共同体 snmp server community asmpublic ro 配制用于通过 snmp 设置交机信息的共同体 snmp server community asmprivate rw 启用 linkdown trap snmp server enable traps snmp linkdown 启用 MAC address 通知 Trap snmp server enable traps mac notification 指定将 Trap 报文发给 ASM 192 168 56 14 snmp server host 192 168 56 14 version 2c asmtrap mac address table notification 第三章第三章 EOU 认证技术快速配置认证技术快速配置 3 13 1 ASMASM 系统界面配置系统界面配置 3 1 1 网卡配置网卡配置 启用 ETH2 网卡并配置 IP 地址 ETH2 配置的 IP 地址需要全网或者控制的网段能够 访问 3 1 2 EOU 参数配置参数配置 a 基本参数设置基本参数设置 1 配置重定向 URL 地址 http eth2 口 ip 地址 2 配置重定向的交换机 ACL 名称 AsmEouUrlAcl 3 当您在开启 EOU 认证技术后又希望放开所有设备 则可 启用紧急模式 4 其余配置项使用默认配置即可 5 点击 完成配置 b EOU 全局参数设置全局参数设置 1 配置主认证服务器地址 主 ASM 设备 eth2 口 ip 地址 若您有两台 ASM 设备 则配置 备认证服务器地址 备 ASM 设备 eth2 口 ip 地址 2 配置隔离服务器 若您希望设备被隔离后仍然可以访问指定的服务器 则可以在 IP 地址 处填写该服务器的 IP 地址 然后选择 添加 按钮 3 同样 您也可以选中希望设备被隔离后不可以访问指定的服务器 然后选择 删除 按钮或者选择 清空 按钮 进行删除或清空 4 点击 完成配置 c EOU 交换机管理交换机管理 当您配置好 EOU 基本参数和全局参数后 才能开始配置 EOU 交换机管理 进入 EOU 认证技术设置 栏 选择 EOU 交换机管理 如下界面所示 1 添加交换机 选择 添加交换机 按钮进入如下界面 当交换机型号选项中没有与网络联动设备型号向对应时 请参照当交换机型号选项中没有与网络联动设备型号向对应时 请参照 3 2 网络联动设备配置 2 填写完各参数配置选择 完成配置 后出现如下界面 3 配置交换机 选中添加的交换机后选择 配置交换机 按钮进入如下界面 4 选中要在交换机上开启 EOU 认证技术的端口 然后选择 生效 EOU 配置 至此 EOU 认证技术已配置完成 3 23 2 网络联动设备配置网络联动设备配置 此处配置与此处配置与 ASM 系统界面配置中系统界面配置中 EOU 参数配置的参数配置的 C 步骤具有相同作用 二者选其一 步骤具有相同作用 二者选其一 aaa new model aaa group server radius ASMEOU 下面这个地址要进行修改 另外如果有多个 AMC 可以进行增加 192 168 40 214 server private 192 168 56 22 auth port 1812 acct port 1813 key msackey exit aaa authorization network default local aaa accounting network default none aaa authentication login default line radius server attribute 8 include in access req radius server vsa send authentication radius server deadtime 720 radius server dead criteria tries 3 ip access list extended AsmEouAllAcl permit ip any any exit ip access list extended AsmEouDefaultAcl remark allow DHCP permit udp any any eq bootps remark allow DNS permit udp any any eq domain remark allow to the server WWW 这个地方要进行修改为实际的 IP 地址和端口 permit tcp any host 192 168 56 14 eq www 另外如果有其它的修复机器要求可以访问 要求增加在这个地方 remark allow to server permit ip any host 192 168 56 245 remark deny other deny ip any any exit ip access list extended AsmEouUrlAcl 这个地方要进行修改 将不需要重定向的机器增加到这个地方 deny tcp any host 192 168 56 14 eq www deny tcp any host 192 168 56 246 eq www permit tcp any any eq www exit identity policy AaaDown access group AsmEouAllAcl exit identity profile eapoudp 这个地方根据实际要求放开的来处理 device authorize ip address 192 168 56 128 policy AaaDown exit aaa authentication eou default group ASMEOU ip admission name AsmEouNac eapoudp bypass event timeout aaa policy identity AaaDown eou allow clientless eou logging ip device tracking 这个地方根据实际要处理的端口进行修改 interface range fa0 13 24 switchport mode access ip access group AsmEouDefaultAcl in ip admission AsmEouNac exit 第四章第四章 PORTAL 认证技术快速配置认证技术快速配置 4 14 1 ASMASM 系统界面配置系统界面配置 4 1 14 1 1 网卡配置网卡配置 启用 ETH2 网卡并配置 IP 地址 ETH2 配置的 IP 地址需要全网或者控制的网段能够 访问 4 1 24 1 2 PORTAL 参数设置参数设置 a 基本参数设置基本参数设置 1 配置重定向 URL 地址 http eth2 口 ip 地址 2 配置认证服务器地址 ASM 设备 eth2 口 ip 地址 3 配置免认证服务器 若你希望将指定的设备不进行 portal 认证 则可以在 IP 地址 掩码 处填写该设备的 IP 地址和掩码 IP 地址段可通过掩码来控制 然后选 择 添加 按钮 4 同样 您也可以选择 删除 或 清空 按钮 从列表中删除或清空免认证的设备 5 点击 完成配置 b PORTAL 路由器管理路由器管理 当您配置好 PORTAL 基本参数后 才能开始配置 EOU 交换机管理 进入 PORTAL 认证技术设置 栏 选择 PORTAL 路由器管理 如下界面所示 1 添加路由器 选择 添加路由器 按钮进入如下界面 当路由器型号选项中没有与网络联动设备型号向对应时 请参照当路由器型号选项中没有与网络联动设备型号向对应时 请参照 4 2 网络联动设备配置 2 填写完各参数配置选择 完成配置 后出现如下界面 3 配置路由器 选中添加的路由器后选择 配置路由器 按钮进入如下界面 4 选择要在路由器上开启 PORTAL 认证技术的端口 然后选择 生效 PORTAL 配置 至此 PORTAL 认证技术已配置完成 4 24 2 网络联动设备配置网络联动设备配置 此处配置与此