盈高入网规范管理系统策略路由快速配置手册

1、I盈高入网标准治理系统策略路由快速配置手册INFOGOAccessStandardManagementSystem声明：本文中出现的任何文字表达、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属盈高科技所有,并受到有关产权及版权法保护.任何个人、机构未经盈高科技的书面授权许可,不得以任何方式复制或引用本文的任何片断.商标：盈高、INFOGO是盈高科技的注册商标,未经允许,不得引用.目录1. ASM系统界面配置11.1 网卡参数配置11.2 产品界面个性化定制12. 组织架构与人员信息创立22.1 角色创立22.2 组织架构治理22.3 用户治理33. 准入技术选择33.1 准入

2、模式选择33.2 例外参数添加43.3 NAT穿越配置54. 网络相关配置64.1 设备部署示意图64.2 交换机策略路由命令74.3 防火墙端口开放85. 入网流程配置95.1 开启身份认证95.2 控件安装设置105.3 开启注册审核105.4 平安检查设置126. 交换机联动治理127. 告警信息配置131 .ASM系统界面配置1.1 网卡参数配置启用ETH0和ETH2两块网卡并配置IP地址：ETH0与联动网络设备相连,配置的IP地址作为策略路由的下一跳地址；ETH2配置的IP地址需要全网或者限制的网段能够访问.界面操作步骤：点击“系统设置“IP地址设置,如下列图:布初；策略模式ETH口

3、口为数据通讯口,是交换机策略路由的下一跳地址ETIII咻Hl咻3f|MEKT掘ETKUI2.1%111.3<子网It购；KTK43nttt：孑*M；策略模匪TH?口为治理口,是作为重定向和首理用的接口网关为EIH2口的下一IWKJi图1,网卡参数配置1.2 产品界面个性化定制设置准入设备根本信息：单位名称、界面名称显示等.点击“系统设置“产品个性化定制,如下列图:根本设置公司名称安检页ffllogoSfe：安噬页IHlLcjgcj废.片S3平4口的名林甘悭平台匕白烟片网留治理辐信息配置维至里话吩*0国最尢t博1.MB.I6式"jpg：国iff.png：fct±传10吗

4、寸;5O*135p图2,网卡参数配置2 .组织架构与人员信息创立2.1 角色创立创立“角色,盈高ASM等根据角色将人员、部门与角色一一对应起来,便于后续准入策略的下发、网络访问权限的限制等灵活限制.ASM可实现对于不同角色的人员进行不同的准入策略与网络访问权限限制.点击“用户治理-“角色列表-“添加角色,如下列图：组里席构治理*矩妲型构掰*导入俎组第构珞色与用户脖理*闾刘角色角色册S*用户赚户列强.导A用户外部认密器 LDAP展务Bigg WEB阳身器设置.RADIUSJESS踞色列患过滤条件+fgjofifeX航量删除根本信且认证角色名粽：用色雇性二埒建后导:图3.国生一添加角色2.2 组织

5、架构治理创立各单位的部门组织架构.点击“用户治理“组织架构树“添加新组织架构,创立部门,如下列图:不触I门箱颇常闻耐下热根本属住阻i的的名称:上源缠碎巾.RADIL电喷7*日产由国+0f?向,IP藻作!提交图4.创立部门ASM支持组织架构以excel方式批量导入,模板中所使用字体均全部使用宋体,如下列图：组织架构导入模板制亲人：admin制表时间2021-08-14102433矮翘鹿蟆楚够黜触纵部门二级部门图5.批量导入部门2.3 用户治理创立本地用户名、密码,用户单位人员入网的身份认证.ASM支持批量用户母喻fij感病J_传文件为应库上楂的文件不碗上眩忖格式.点击意狡斫;st邹1板文谢新“嫡

6、导人.以g耍的物色与用户总理.勘谕笆南色列表*用户Hi户列表.导A胪济都认证看交之导入.点击“用户治理-“导入用户,下载模板,填入相应的信息,如下列图：WBJ弼E次阚二遍:在号#面2.位件中国“序mrT可糜E立版stExol字符;请注念导入的&31五株中,Li虞川中的内君心晒一ffi行为采科图6.批量导入用户电|由八二匕胡琳屏“白3014-1：=5-143：的口户赛户|史£1.户步.加|皿.同用户隹自可门小,|国子 EmilIP地址|届止日均t小阴MM口舅戢*女、HZ班班班：短时承三一用超n3的的导人用户模板至四-sanHHSC图7.批量导入用户模板注意：在导入用户模板中,所

7、填入的部门,必须与之前新建的组织架构中的“一级部门,否那么将在组织架构树中新增一个“一级部门；且导入模板中字体必须为宋体.3 .准入技术选择3.1 准入模式选择根据实际网络的需要,本次实施我们均选用策略路由准入技术.点击“平安标准-“准入限制器治理,如下列图:上vs-MBMfl-m年nAiw点击“平安标准-“准入限制器治理,选择策略路由准入技术,如下列图:ISMK9.*3MliBWrirt»AMAiumv.-VAJfWlVV图8.准入限制器治理隼曲曲一睇入m*MVG(Muhi-vendorMlrttulG,tewyl卡外丁1M*d+kpWWUMNK91W交-g*K*wg".

8、KSNMS收MnXW*u,m丁皮绅.交刷E/AOf.lk区曼屏UWSLn(RI+1Mti¥H,Lk,i.豪,K'Mfef.蛆HMM正常接itKiMftit留H跳国fft*l,*掘*/二M图9.准入技术选择注：1、如果图9中选择的是全局配置,那么在图8中请点击全局参数配置进行根本参数配置、例外参数、NA3越配置.2、图9中紧急模式为设备应急逃生模式,在未正式开启准入之前,建议开启紧急模式.3、准入技术一旦选择之后,请勿随意更改每一种模式与交换机配置、设备接线方式均有关系！3.2例外参数添加将网络打印机、网络IP 、ATM设备、视频监控设备、效劳器等一些特殊终端IP地址添加到例外

9、终端列表当中.将平安修复效劳器添加到例外效劳器列表中.点击“平安标准-“准入限制器治理-“全局参数配置-“例外参数设置,如下列图：*-aAfdwmff乾丁窃f-0HCWu»ffAM已签IHMW*trsmSHK交互*&*车罐*U$4M«£曹用诩SW切续t&atM*fHf99情起由fH用况/U匕I蛇考£E曜人原号NX:有daw的时U下前05W*谢下曲黄*+1崎J"E爆父；工七0幅hUH图10.例外参数设置3.3NA松越配置ASM认阻止NA式线路由器的方式接入,对于需1口的IP地址参加到NA松越列表中.点击“平安标准-“全局参数配置&

10、quot;-“NA磔越设置,如下列图：特殊容许的,需要将wlan-“准入限制器治理NAT膏*配汽7启用MAT有爸闻:?皿?心13元心蛇匕图11.例外参数设置4.网络相关配置4.1 设备部署示意图策珞路由网络接线图图12.策略路由部署接线图考虑到甘肃省电力公司的网络结构,均存在双核心的现象,因此盈高科技ASM对此拥有专门的解决方案-双策略路由技术.在每一个核心交换机上均接一根策略路由限制线,进行准入限制.图12.双策略路由口部署方式4.2 交换机策略路由命令策略路由原理：通过ACL访问限制列表,将匹配的数据流,通过策略路由方式,强制指向盈高ASM的ETH0口,进行准入限制.因此,需要配置的是AC

11、L策略路由、vlan或者接口调用该策略路由.配置案例：下列图列举了几种常见厂商交换机的策略路由方式,仅供参考.H3Cqps-policy配置案例配置ML策略H2C75O6EInumber3MoH3C750&E-acl-adv-3040rule10permitsource203,133,129-1&0destanvH3C750&E-acl-adv-3&40quit2、配比匹配"CL的流分类1H3C7506EtrafficclassifieriH3C7505E-classifier-lif-matchacl3040H3C7506E-classifier-l

12、quit九配置刚刚定义的潘分类1的行为,定义如果匹配就下一跳至2M.13*.1打.2.0H3C750&Etrafficbehavior1H3C750&E-behavior-lredirectnext-hop203.133.131200HiC7506E-behavior-lquit4,将刚刚谩量的流分类及行为应用至CK招策略中,Xpohcv1H3C750&EQQ5policy1H3C750&E-qospolicy-lclassifierlHiC7506E-qospolicy-lbehaviorlH3C7506E-qo$policy-Lquit5,在接口上应用定义的

13、Q05策略policy1H5C7506EinterfaceGipabitEthernet2/0/11H5C7506E-GigabitEthernet2/0/llcapplypolicy1inboundta-9麓毡特H3C7505E-GigabitEthernetWllquit图13.H3CQOS策略路由配置方式H3Cpolicy-based-route配置案例 aclnumber3040 rule0permit policy-based-routepolicy-routepermitnode10 if-matchacl3040 applyip-addressnexbhop

14、23(ASM-ETHOIP) interfaceEtherneto/3.40 ippolicy-based-routepolicy-route图14.H3Cpolicy-based-route策略路由配置方式H3Ctraffic-redirect配置案例aclnumber3000rule0permitipsource55interfaceGiabitEthemetfi/1/1traffic-redirectinboundip-groupJOOOruleQnext-hop2图15.H3Cpolicy-based-route策略路由配置方式

15、Ciscx)route-map配置案例interfaceVlan54descriptionSonffbiandianipaddressippolicyroute-mapASMiinterfaceG1/0/1descriptionASM-ETH0ipaddress1S2.163J00.1255.255,255,0*access-list101permit10,162.40.00.0-042555anyroute-mapASMpermit10matchipaddress101setipnext-hopI图16.ciscoro

16、ute-map策略路由配置方式4.3防火墙端口开放为保证盈高ASM效劳器与各终端的ASM小助手进行正常通行,需要在网络当中的防火墙上开发以下指定端口.ASMtoclient效劳名称用途端口号HTTPClient认证端口TCP80HTTPSClient提交安检信息端口TCP443Web请求小助手提交Web请求端口TCP36600P2P软件修复、下载时采用的P2P端口TCP36599asmsvrASM限制端口TCP37527client通信端口与client一般通信端口TCP67/68UDP67/68ASMtoswitchsnmp简单网管协议TCP161162telnettelnet效劳TCP23

17、SSHSSHK务TCP225.入网流程配置5.1开启身份认证要求接入网络的人员进行身份认证.点击“平安标准-"入网流程治理-“身份认证设置,如下列图：身加.垃珀nI"EM1出正6式猛进*&.聚*HL同刖E!置:ML一国-liXEEW*TCT-otKPirsg日便及田,田T.gMB-gHH我时用Ht平MJ4Uf"WS5EMM双迎刃回卫HIJflmwnunnHMT. 入网国而定制用于日和u.证骅wc4.自助联I定创用户名*曰认立UKcvl啦喧MJW讶l处值带育上阿科认正本WMt他与除*入EtMWBWH»twiDHCPWWIMAMLKSM计通LAMia

18、M*但事卑LXAU*«,丽*142M图17.入网流程治理界面7拜城岳M江MWOtUidIPP认谪方苴*9尢用罔产认就43c.H-1.-4口UH4ffVUKQ皿1那么.MtUn用EemCi®KP*nHUUEm划里梯I呻twmw二:rj：MHA*5依国兽称内明噌僵II.-l./.M»'T'.*：r-''."二：一生二f.3oStFJL12出烟设U力置事白己*Ff那么增崂i冉I；,*户籍访.匚尻f户阿T：Ss北洋卷f收*上梗用图18.身份认证5.2 控件安装设置要求接入终端均安装盈高准入客户端ASM小助手程序.点击“平安标准-&

19、quot;入网流程治理-“控件安装设置,如下列图：“萃3*桂悻安爰&司窜曲索柚WkM0*43.和*.单*图19.控件安装设置控伸谈设置名称控存靠小助手设置穿否安的能盹小助手：控超配小助手妾装;殳百之林：备注：O无福女W任何闺7瓦古肛后o更求食左支金比结要求女装小助手有串最大越班悯；反制建点无图标15晌7空面囱标名程：小助手版根建：小明手版校月客图20.编辑控件安装设置5.3 开启注册审核针对相关角色的人员,终端第一次要求接入网络时,终端需要进行注册登记、并经过治理员审核.点击“平安标准-“入网流程治理-“设备注册设置和设备审核设置,如下列图：设制注册角色设音g熟西向售来奔角以0b可信用

20、色5CU73不培增色喜要工工注册注册时显示谡罟寻砺设蠡根本信息时新A酮说/.'.注册要求屿信息配置内音期便用人顶部门君仁项：手拿 项：电子抽幅加计算以所国酶:史苦差里凰亦：显示后掳莫里剧述椎作&U由7清品靛姓名册亨在所用醋口必垣v德近择部门联茶电送谢.请温后正通的 号自电子跄精-7窿箱场址设替运姓v设雷所在位亘设建我瓯7*注SSM员工工号凶a*X一添加更多信息图21.设备注册登记设置设言市裱角色设置位意需治理员手工由桂偌色：匣新店角色假设妾苜理员壬工审核回翻肖弗色来宾曲色0b可信角色市核设置移动透就系翌宙帔已南啜谩备再次入网时不帚要宙核匚在设备京桂之前先迸行方检匚在馒备忘接之前

21、需要进行眩实F开启设笛言晒捋至闻1髓都到期.|沃一天提曼提示信息：您的计8机率校即将到期,请掰寸底累官埋员0图22.设备审核设置5.4平安检查设置创立平安检查标准库,对接入终端进行平安检查.点击“平安标准-“安全标准列表-“添加平安标准,创立平安标准,如下列图:,平安标准根本畲数宣全检查项首鸣哨应用角色更意管悝平安觌范列表标准与角色映射入网葡理*亶全域权限分配补丁治理DHCP治理计算机健康性检查软片检追平安加固高级裁数十添加检查项辕击软忤检查设为关键检查项图22.平安标准库创立注：1、根据单位平安标准要求,要求接入终端必须安装指定杀毒软件、指定桌面客户端软件,要求接入终端账户不容许存在弱口令、

22、密码策略必须符合要求等.2、内网终端不能私自连接外网,因此需要在ASM上面开启预防违规外联的策略3、对于杀毒软件、指定客户端未安装的终端,设置相应的修复路径,并开启“自动修复功能,方便终端用户进行修复,完善终端平安.6 .交换机联动治理为实现对各接入终端的快速、精准定位,可通过SNMP、TELNET、SSH任意一种方式对交换机进行治理,ASM能够呈现交换机图形化面板信息.点击“全网资源-“添加设备-“添加网络设备,如下列图：外咖-尸匿aH用嘴Rff-f-口在LQ5i:IU!VMS3人副.-pm-utttkS-VJMACmfiKWCRBlKiWa；£9419："E：m石呻：IJ144：染&ALftWTC：B=rdiB±：主二TILJMET«k«lOIKKTELNETIlftU'Sfld.JTEL&NTMKJJH工工MTELW盘.U£!4ff7TELN£F*MKHin：图23.交换机添加治理文膜机面播示意圈【名称：仃三口3垓的Wj篦.WE.MTl王鼾霖也交悔机而息已美闭前口一地M连推演口多必匡埃就口TrurkiKD计Jt机