华为上网行为管理器操作手册

上网行为管理操作手册2020年4月8日一、网络拓扑图1二、网络规划1三、IP地址分配1四、账号分配表4五、主要设备账户及密码61、上网行为管理路由器62、核心交换机63、研发交换机64、综合交换机65、硬盘录像机66、无线AP7六、主要配置71、上网行为管理器配置71、创建部门72、给每个部门创建用户73、创建用户组84、给用户组添加部门95、新建上网认证策略96、配置认证选项97、配置外网接口网络108、配置内网接口网络119、配置管理接口网络1110、配置静态路由1211、配置策略路由1212、配置带宽策略1313、配置源NAT1514、配置虚拟服务器（端口映射）1615、配置域间规则1716、配置本地策略172、交换机18一、网络拓扑图二、网络规划部门（设备）VLAN备注研发部一、二VLAN1054 禁止上外网研发部外网VLAN2054服务器VLAN30综合部（总经理、副总经理、运营中心）VLAN4054机房核心交换机VLAN100研发部核心交换机VLAN100综合交换机VLAN100上网行为管理器上网登录地址:8888三、IP地址分配编号部门职位IP地址子网掩码网关ZY001管理层总经理854ZY002副总经理254ZY003项目部项目经理354ZY004项目经理454ZY005项目经理554ZY006项目经理654ZY007项目经理754ZY008咨询部总监854ZY009咨询顾问954ZY010咨询顾问054ZY011咨询顾问154ZY012咨询顾问254ZY013咨询顾问354ZY014研发部经理154ZY015副经理254ZY016总工354ZY017JAVA工程师454ZY018JAVA工程师554ZY019JAVA工程师654ZY020JAVA工程师754ZY021JAVA工程师854ZY022JAVA工程师954ZY023JAVA工程师054ZY024JAVA工程师154ZY025JAVA工程师254ZY026JAVA工程师354ZY027JAVA工程师454ZY028JAVA工程师554ZY029JAVA工程师654ZY030Web工程师754ZY031Android工程师854ZY032GIS工程师954ZY033Web工程师054ZY034主管154ZY035主管254ZY036测试部部门主管354ZY037测试工程师454ZY038测试工程师554ZY039测试工程师654ZY040实施部经理454ZY041副经理554ZY042工程师654ZY043工程师754ZY044工程师854ZY045工程师954ZY046工程师054ZY047工程师154ZY048软件实施工程师254ZY049工程师354ZY050工程师454ZY051工程师554ZY052运营保障中心总监654ZY053经理754ZY054副经理854ZY055人事专员954ZY056后勤专员054ZY057后勤专员154ZY058采购专员254ZY059采购专员354ZY060投标专员454ZY061司机ZY062保洁ZY063财务部会计354ZY064会计454四、账号分配表登录名所属部门用户描述所属组/管理层总经理管理层/管理层总经理管理层/项目部副总经理项目部/项目部项目经理项目部/项目部项目经理项目部/项目部项目经理项目部/项目部项目经理项目部/咨询部总监咨询部/咨询部咨询顾问咨询部/咨询部咨询顾问咨询部/咨询部咨询顾问咨询部/咨询部咨询顾问咨询部/咨询部咨询顾问咨询部/研发部经理研发部/研发部总工研发部/研发部数采工程师研发部/研发部JAVA工程师研发部/研发部JAVA工程师研发部/研发部JAVA工程师研发部/研发部JAVA工程师研发部/研发部JAVA工程师研发部/研发部JAVA工程师研发部/研发部JAVA工程师研发部/研发部JAVA工程师研发部/研发部JAVA工程师研发部/研发部JAVA工程师研发部/研发部JAVA工程师研发部/研发部JAVA工程师研发部/研发部JAVA工程师研发部/研发部Web工程师研发部/研发部Web工程师研发部/研发部Android工程师研发部/研发部Android工程师研发部/研发部GIS工程师研发部/研发部GIS工程师研发部/质量部部门主管质量部/质量部测试工程师质量部/质量部测试工程师质量部/质量部测试工程师质量部/实施部经理实施部/实施部副经理实施部/实施部工程师实施部/实施部工程师实施部/实施部工程师实施部/实施部工程师实施部/实施部工程师实施部/实施部工程师实施部/实施部工程师实施部/实施部工程师实施部/实施部工程师实施部/实施部工程师实施部/人事行政部总监人事行政部/人事行政部经理人事行政部/人事行政部副经理人事行政部/人事行政部人事专员人事行政部/人事行政部后勤专员人事行政部/人事行政部后勤专员人事行政部/人事行政部采购专员人事行政部/人事行政部采购专员人事行政部/人事行政部投标专员人事行政部/财务部会计财务部/财务部会计财务部五、主要设备账户及密码1、上网行为管理路由器IP地址：2、核心交换机3、研发交换机4、综合交换机5、硬盘录像机6、无线AP六、主要配置1、上网行为管理器配置1、创建部门2、给每个部门创建用户1） 创建账号及密码2） 加入所属部门3） 加入所属用户组3、创建用户组4、给用户组添加部门5、新建上网认证策略1）填写局域网的所有网段2）使用用户名密码认证6、配置认证选项1) 启用radius单点登录2) 配置密码有效期3) 注销无流量的已认证用户时间7、配置外网接口网络8、配置内网接口网络9、配置管理接口网络10、配置静态路由11、配置策略路由1）内网口允许所有用户通过2） 外网口允许所有用户通过3） 管理口允许所有用户通过12、配置带宽策略1） WAN-LAN允许所有用户通过并且不限流2） LAN-WAN允许所有用户通过并且不限流13、配置源NAT1)WAN-LAN2) LAN-WAN14、配置虚拟服务器（端口映射）15、配置域间规则WAN-LAN,LAN-WAN,DMZ-LAN,LAN-DMZ,WAN-DMZ,DMZ-WAN 所有动作都是放行（permit）16、配置本地策略1) 源安全域LAN口所有原地址动作都放行（permit）2) 源安全域WAN口所有原地址动作都放行（permit）3) 源安全域DMZ口所有原地址动作都放行（permit）2、交换机核心交换机#!Software Version V100R005C01SPC100 sysname HeXin# vlan batch 30 40 50 100 to 102# dhcp enable user-bind static ip-address 8 mac-address 0022-681c-eacf vlan 30 user-bind static ip-address 8 mac-address 0022-681c-eacf interface GigabitEthernet0/0/10# undo http server enable# drop illegal-mac alarm# ip pool vlan30 ip pool vlan40 ip pool vlan50#acl number 2000 rule 5 deny source 55 rule 10 permit#acl number 2001# acl number 2002#acl number 2003#ip pool vlan30 gateway-list 54 network mask dns-list 14#ip pool vlan40 gateway-list 54 network mask static-bind ip-address 7 mac-address 0022-681c-eacf dns-list 14#ip pool vlan50 gateway-list 54 network mask dns-list 14#aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher 6)BYE(;F31%AOH#34Q! local-user admin privilege level 3#interface Vlanif1#interface Vlanif30 ip address dhcp select global#interface Vlanif40 ip address 54 dhcp select global#interface Vlanif50 ip address 54 #interface Vlanif100 ip address #interface Vlanif101 ip address #interface Vlanif102#interface MEth0/0/1#interface GigabitEthernet0/0/1 port link-type access port default vlan 30#interface GigabitEthernet0/0/2 port link-type access port default vlan 30#interface GigabitEthernet0/0/3 port link-type access port default vlan 30#interface GigabitEthernet0/0/4 port link-type access port default vlan 30#interface GigabitEthernet0/0/5 port link-type access port default vlan 30#interface GigabitEthernet0/0/6 port link-type access port default vlan 30#interface GigabitEthernet0/0/7 port link-type access port default vlan 30#interface GigabitEthernet0/0/8 port link-type access port default vlan 30#interface GigabitEthernet0/0/9 port link-type access port default vlan 30#interface GigabitEthernet0/0/10 port link-type access port default vlan 30# interface GigabitEthernet0/0/11 port link-type access port default vlan 40#interface GigabitEthernet0/0/12 port link-type access port default vlan 40#interface GigabitEthernet0/0/13 port link-type access port default vlan 40#interface GigabitEthernet0/0/14 port link-type access port default vlan 40#interface GigabitEthernet0/0/15 port link-type access port default vlan 40#interface GigabitEthernet0/0/16 port link-type access port default vlan 40 #interface GigabitEthernet0/0/17 port link-type access port default vlan 40#interface GigabitEthernet0/0/18 port link-type access port default vlan 40#interface GigabitEthernet0/0/19 port link-type access port default vlan 50#interface GigabitEthernet0/0/20 port link-type access port default vlan 50#interface GigabitEthernet0/0/21 port link-type trunk port trunk allow-pass vlan 2 to 4094#interface GigabitEthernet0/0/22 port link-type trunk port trunk allow-pass vlan 2 to 4094#interface GigabitEthernet0/0/23 port link-type access port default vlan 101#interface GigabitEthernet0/0/24 port link-type trunk port trunk allow-pass vlan 2 to 4094#interface NULL0# ip route-static ip route-static 0 ip route-static 9 ip route-static ip route-static ip route-static # snmp-agent snmp-agent local-engineid DB7F0DC snmp-agent sys-info version v3# user-interface con 0 idle-timeout 0 0user-interface vty 0 4 authentication-mode aaa user privilege level 15#port-group 1 group-member GigabitEthernet0/0/1 group-member GigabitEthernet0/0/2 group-member GigabitEthernet0/0/3 group-member GigabitEthernet0/0/4 group-member GigabitEthernet0/0/5 group-member GigabitEthernet0/0/6 group-member GigabitEthernet0/0/7 group-member GigabitEthernet0/0/8 group-member GigabitEthernet0/0/9 group-member GigabitEthernet0/0/10#port-group 2 group-member GigabitEthernet0/0/11 group-member GigabitEthernet0/0/12 group-member GigabitEthernet0/0/13 group-member GigabitEthernet0/0/14 group-member GigabitEthernet0/0/15 group-member GigabitEthernet0/0/16 group-member GigabitEthernet0/0/17 group-member GigabitEthernet0/0/18#port-group 3 group-member GigabitEthernet0/0/19 group-member GigabitEthernet0/0/20#return研发交换机# sysname YanFa# vlan batch 1 10 20 100 to 101# cluster enable ntdp enable ntdp hop 16 ndp enable# voice-vlan mac-address 0001-e300-0000 mask ffff-ff00-0000 description Siemens phone voice-vlan mac-address 0003-6b00-0000 mask ffff-ff00-0000 description Cisco phone voice-vlan mac-address 0004-0d00-0000 mask ffff-ff00-0000 description Avaya phone voice-vlan mac-address 0060-b900-0000 mask ffff-ff00-0000 description Philips/NEC phone voice-vlan mac-address 00d0-1e00-0000 mask ffff-ff00-0000 description Pingtel phone voice-vlan mac-address 00e0-7500-0000 mask ffff-ff00-0000 description Polycom phone voice-vlan mac-address 00e0-bb00-0000 mask ffff-ff00-0000 description 3com phone# undo http server enable#acl number 2000#acl number 2001 rule 5 deny source 55 rule 10 permit#acl number 2002#acl number 2003 rule 5 deny source 55 rule 10 permit#dhcp server ip-pool vlan#dhcp server ip-pool vlan10 network mask gateway-list 54 dns-list 14#dhcp server ip-pool vlan20 network mask gateway-list 54 dns-list 14#interface Vlanif1#interface Vlanif10 description yanfa ip address 54 #interface Vlanif20 ip address 54 #interface Vlanif100 ip address #interface Vlanif101#interface MEth0/0/1#interface GigabitEthernet0/0/1 port link-type access port default vlan 10 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/2 port link-type access port default vlan 10 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/3 port link-type access port default vlan 10 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/4 port link-type access port default vlan 10 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/5 port link-type access port default vlan 10 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/6 port link-type access port default vlan 10 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/7 port link-type access port default vlan 10 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/8 port link-type access port default vlan 10 bpdu enable ntdp enable ndp enable# interface GigabitEthernet0/0/9 port link-type access port default vlan 10 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/10 port link-type access port default vlan 10 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/11 port link-type access port default vlan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/12 port link-type access port default vlan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/13 port link-type access port default vlan 20 user-bind static ip-address 0 vlan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/14 port link-type access port default vlan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/15 port link-type access port default vlan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/16 port link-type access port default vlan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/17 port link-type access port default vlan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/18 port link-type access port default vlan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/19 port link-type access port default vlan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/20 port link-type access port default vlan 20 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/21 port default vlan 1 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/22 port default vlan 1 bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/23 port link-type access bpdu enable ntdp enable ndp enable#interface GigabitEthernet0/0/24 port default vlan 1 port trunk allow-pass vlan 1 to 4094 bpdu enable ntdp enable ndp enable#interface NULL0# traffic-filter vlan 10 inbound acl 2003 rule 5 traffic-filter vlan 10 inbound acl 2003 rule 10 traffic-filter vlan 10 outbound acl 2003 rule 5 traffic-filter vlan 10 outbound acl 2003 rule 10#aaa authentication-scheme default authorization-scheme default accounting-scheme default domain default domain default_admin local-user admin password cipher E(/GLH9$P#Q=QMAF41! local-user admin level 3 local-user admin ftp-directory flash:# dhcp server forbidden-ip 54 dhcp server forbidden-ip 54 dhcp enable# ip route-static ip route-static ip route-static ip route-static 9 ip route-static 0#user-interface con 0 user-interface vty 0 4 authentication-mode aaa user privilege level 15# port-group 1 group-member GigabitEthernet0/0/1 group-member GigabitEthernet0/0/2 group-member GigabitEthernet0/0/3 group-member GigabitEthernet0/0/4 group-member GigabitEthernet0/0/5 group-member GigabitEthernet0/0/6 group-member GigabitEthernet0/0/7 group-member GigabitEthernet0/0/8 group-member GigabitEthernet0/0/9 group-member GigabitEthernet0/0/10# port-group 2 group-member GigabitEthernet0/0/11 group-member GigabitEthernet0/0/12 group-member GigabitEthernet0/0/13 group-member GigabitEthernet0/0/14 group-member Gigabi