hcie-security内容修订20套提交hc agile controller准入控制特性

1、修订记录课程编码适用产品产品版本课程版本ISSUEHC13031093Agile ControllerV1R11.00开发/优化者时间审核人开发类型（新开发/优化）王锐2014-9-25姚传哲新开发丁祖贤2015-03-30优化本页不打印讲师授课建议：1、xxxHC13031093 Agile Controller准入控制特性 前言企业网络中，对接用户接入网络的安全管控变得越来越重要，传统的网络管理直接通过VLAN和ACL在设备上静态控制用户权限，随着企业网络变得复杂和无线网络的兴趣，这样的网络安全管控越来越低效，为此华为提供了基于Who、When、What、Where、Whose、How的5

2、W1H准入控制的Agile Controller。本课程介绍Agile Controller准入控制软硬件组成和常见组网应用。 目标学完本课程后，您将能够:了解准入控制的应用场景了解准入控制的功能实现掌握准入控制配置部署方法掌握准入控制故障处理方法 目录准入控制应用场景准入控制功能实现准入控制配置部署准入控制故障处理无线准入控制(员工、访客)InternetAP员工笔记本分支AC总部园区EDCASGWAN访客AP员工访客SSIDEmployeeSSID GuestACGREGREAgile Controller员工CAPWAP访客CAPWAPGRE隧道1234SSIDEmployeeSSIDG

3、uest已有有线网络的准入控制核心层汇聚层接入层访客区域研发区域财务区域市场区域NAC认证点园区出口1NAC认证点Agile Controller服务器认证前域补丁/病毒/软件等服务器隔离域市场/研发/财务等服务器认证后域2新建园区准入控制核心层汇聚层接入层PC/哑终端研发区域PC/哑终端市场区域园区出口21认证前域补丁/病毒/软件等服务器隔离域市场/研发/财务等服务器认证后域L3路由L2交换Agile Controller服务器新建园区准入控制(续)核心层汇聚层接入层PC/哑终端研发区域PC/哑终端市场区域园区出口21认证前域补丁/病毒/软件等服务器隔离域市场/研发/财务等服务器认证后域L3

4、路由L2交换Agile Controller服务器 目录准入控制应用场景准入控制功能实现准入控制配置部署准入控制故障处理Agile Controller准入组件架构Agile ControllerService ManagerAuthServerPortalRADIUSNetworkServerSCSMHttps物理网络RADIUS/Portal/COPS终端EAP/HttpAgile Controller准入控制主要技术准入控制BECDAMAC认证802.1xRADIUSSACG准入PortalAgile Controller 准入模型授权规则授权结果ACLVLAN授权条件时间地点接入方式终

5、端接入设备IP段无线有线Windows认证厂商类型操作系统人组织身份帐号部门角色安全组SSID终端安全带宽RADIUS属性动态ACL 目录准入控制应用场景准入控制功能实现Radius802.1XPortalSACG准入MAC认证准入控制配置部署准入控制故障处理RADIUS协议概述NASRADIUS ServerRemote UserUsersClientsDictionaryRADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常应用在既要求较高

6、安全性、又允许远程用户访问的各种网络环境中。RADIUS工作流程NAS / RADIUS ClientRADIUS ServerRemote User6.用户访问网络资源1.用户输入用户名/密码2.认证请求3.认证接受/拒绝4.计费开始请求5.计费开始请求响应7.计费结束请求8.计费结束请求响应9.通知访问结束RADIUS报文结构RADIUS通过Code域来区分不同类型的报文（共5种）：Access-Request认证请求包。Access-Accept认证接受包。Access-Reject认证拒绝包。Accounting-Request计费请求包。Accounting-Response计费响应

7、包。CodeIdentifierLengthAuthenticator(16 Bytes)Attribute071531RADIUS属性RADIUS用于认证、授权和计费的具体信息通过报文的“属性(Attribute)”字段携带。RADIUS的属性采用TLV(Type、Length、Value)结构：类型（Type），1个字节，取值为1255，用于表示属性的类 型，表1-2列出了RADIUS认证、授权、计费常用的属性。长度（Length），表示该属性（包括类型、长度和属性）的长 度，单位为字节。属性值（Value），表示该属性的信息，其格式和内容由类型和长度决定，最大长度为253字节。RADIU

8、S扩展属性RADIUS协议具有良好的可扩展性，RFC 2865中定义的26号属性（Vendor-Specific）用于设备厂商对RADIUS进行扩展，以实现标准RADIUS没有定义的功能。设备厂商可以封装多个自定义的TLV子属性来扩展RADIUS。TypeLengthVender-IDVender-ID(Cont.)Vender-TypeVender-LengthVender-Data(Specified Attribute)071531 目录准入控制应用场景准入控制功能实现Radius802.1XPortalSACG准入MAC认证准入控制配置部署准入控制故障处理802.1X协议概述802.1

9、X认证，又称EAPOE（Extensible Authentication Protocol Over Ethernet）认证，主要目的是为了解决局域网用户的接入认证问题。802.1X系统为典型的Client/Server结构，包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Server）。ClientServerDeviceEAPOLRADIUS802.1X基本概念认证模式：基于接口基于MAC认证方式：EAP终结EAP透传端口控制方式：自动识别强制授权强制非授权EAP体系结构EAP802.1XPPP802.11MD5TLSTTLSPEAPMS-CHAPv2PAPCH

10、APEAPEAP802.1X认证触发机制客户端主动触发：组播方式广播方式设备端主动触发：组播触发单播触发802.1X：EAP终结认证ClientServerDeviceEAPOL-StartRADIUSEAPOLEAP-Request/IdentifyEAP-Response/IdentifyEAP-Request/MD5 ChallengeEAP-Response/MD5 ChallengeRADIUS Access-Request(CHAP-Response/MD5 Challenge)RADIUS Access-Accept(CHAP-Success)EAP-SuccessPort Au

11、thorizedHandshake timerHandshake RequestEAP-Request/IdentifyHandshake ResponseEAP-Response/IdentifyEAPOL-LogoffPort Unauthorized802.1X：EAP透传认证ClientServerDeviceEAPOL-StartEAPOREAPOLEAP-Request/IdentifyEAP-Response/IdentifyEAP-Request/MD5 ChallengeEAP-Response/MD5 ChallengeRADIUS Access-Request(EAP-R

12、esponse/Identify)RADIUS Access-Challenge(EAP-Request/MD5 Challenge)EAP-SuccessPort AuthorizedHandshake timerHandshake RequestEAP-Request/IdentifyHandshake ResponseEAP-Response/IdentifyEAPOL-LogoffPort UnauthorizedRADIUS Access-Request(EAP-Response/MD5 Challenge)RADIUS Access-Accept(EAP-Success)EAP-M

13、D5EAP-TLSEAP-TTLSEAP-PEAPEAP-GTC协议说明建立TLS会话，并且验证客户端和服务器证书1、建立TLS通道2、客户端服务器交换属性对1、建立TLS通道2、在TLS通道中运行其他的EAP协议客户端将明文用户名、密码传给服务器进行验证服务器证书不要求要求要求要求不要求客户端证书不要求要求可选可选不要求双向认证否是是是否对服务器认证否证书证书证书否对客户端认证密码证书PAP、CHAP、MS-CHAPV2、EAP等MS-CHAPV2、GTC、TLS等用户名、密码复杂性低中高高安全性中高高高802.1x协议对比 目录准入控制应用场景准入控制功能实现Radius802.1XPor

14、talSACG准入MAC认证准入控制配置部署准入控制故障处理Portal认证概述802.1X认证要求认证终端安装专门的软件：802.1X客户端软件的安装部署是一个很实际的问题。对于网络的临时访问者，要求安装专门软件更不可取。Portal认证不需要安装专门的软件。用户首次打开浏览器，输入任何网址，都被强制重定向到Web服务器的认证页面，只有在认证通过后，用户才能访问网络资源。Portal认证架构PC接入设备AAA ServerWeb ServerPolicy ServerPortal认证流程PC接入设备AAA ServerWeb ServerPolicy Server任意浏览器请求Web重定向认

15、证页面交互认证交互RADIUS认证交互认证请求认证应答通知用户上线成功认证应答确认安全监测信息交互授权 目录准入控制应用场景准入控制功能实现Radius802.1XPortalSACG准入MAC认证准入控制配置部署准入控制故障处理SACG准入控制概述ClientServerSACGSACG 准入，是Controller和防火墙配合实现的用户准入控制，主要针对的网络是有线网络，并且不改造网络架构的场景，实现对有线网络接入用户的准入控制。本质上是通过防火墙上的ACL来控制用户的权限。SACG 准入包括三个实体：客户端（Client）、设备端（SACG）和认证服务器（Server）。SACG认证流程

16、ClientSACGServer通知用户上线成功用户流量获取控制策略认证用户授权用户所属角色识别角色控制策略输入用户名密码认证SACG认证中域的概念用户域网络域认证前域受控域隔离域认证后域SACG准入控制-原理介绍受控域与FW上的ACL的对应关系：lqs-rightmdis right-manager role-info20:39:37 2011/06/28 All Role count:8 Role ID ACL3xxx Rolename- Role 0 3099 default-认证前域（默认含Controller SC服务器） Role 1 3100 DefaultDeny- 系统内置受

17、控域，DENY IP Role 2 3101 DefaultPermit-系统内置受控域，PERMIT IP Role 3 3102 Deny_0-用户配置受控域0（编号由系统自动生成） Role 4 3103 Permit_0-用户配置受控域0 （编号由系统自动生成）- Role 7 3106 Deny_2 -用户配置受控域2（编号由系统自动生成） Role 8 3107 Permit_2 -用户配置受控域2 （编号由系统自动生成） Role 255 3354 Last-系统内置受控域=认证前域，不含DENY IP规则 每一个受控域对应FW上的两个ACL， 奇数号ACL对应DENY规则，偶数

18、号ACL对应PERMIT规则 。SACG准入控制-原理介绍认证前域：1. Agile Controller服务器配置：2. FW上的规则映射：lqs-rightmdis right-manager role-id 0 rule20:52:28 2011/06/28Advanced ACL 3099, 3 rules,not binding with vpn-instanceAcls step is 1 rule 1001 permit ip destination 40 0 (0 times matched)- Controller SC服务器地址 rule 1002 permit ip de

19、stination 22 0 (0 times matched)-认证前域配置的规则 rule 1003 deny ip (222 times matched)-默认DENY规则SACG准入控制-原理介绍受控域： 1. Controller服务器配置： 2. FW上的规则映射： 1）奇数号规则：lqs-rightmdis right-manager role-id 3 rule20:56:04 2011/06/28Acls step is 1 rule 1 deny ip destination 18 0 (0 times matched) 2）偶数号规则：lqs-rightmdis righ

20、t-manager role-id 4 rule20:57:00 2011/06/28Acls step is 1 rule 1 permit ip destination 18 0 (0 times matched)SACG准入控制-原理介绍255号规则：FW上的规则映射：lqs-rightmdis right-manager role-id 0 rule20:52:28 2011/06/28Advanced ACL 3099, 3 rules,not binding with vpn-instanceAcls step is 1 rule 1001 permit ip destinatio

21、n 40 0 (0 times matched)- Controller SC服务器地址 rule 1002 permit ip destination 22 0 (0 times matched)-认证前域配置的规则SACG准入控制-原理介绍用户上线隔离域/认证后域的映射关系： 控制方式一（隔离域常用方式）： 只允许访问受控域列表中的资源，其他的资源全部不允许访问。查看在线用户：dis rig online-users19:03:42 2012/05/21 User name : kevin Ip address : 00 ServerIp : 35 Login time : 19:02:4

22、1 2012/05/21 ( Hour:Minute:Second Year/Month/Day)- Role id Role name 1 DefaultDeny 4 Permit_0 6 Permit_1 255 Last-SACG准入控制-原理介绍用户上线隔离域/认证后域的映射关系： 控制方式二（认证后域常用方式）： 禁止访问受控域列表中的资源，其他的资源全部允许访问。查看在线用户：dis rig online-users19:03:42 2012/05/21 User name : kevin Ip address : 00 ServerIp : 35 Login time : 19:

23、02:41 2012/05/21 ( Hour:Minute:Second Year/Month/Day)- Role id Role name 2 DefaultPermit 3 Deny_0 5 Deny_1 255 Last- 目录准入控制应用场景准入控制功能实现Radius802.1XPortalSACG准入MAC认证准入控制配置部署准入控制故障处理MAC认证需求802.1X认证要求客户端安装软件：适用于需要长期接入网络的PC。Portal认证要求客户端支持浏览器：适用于临时接入网络的PC。不支持软件安装，也不支持浏览器的客户端如何认证？如网络打印机。MAC认证概述MAC地址认证是一种

24、基于端口和MAC地址对用户的网络访问权限进行控制的认证方法。它不需要用户安装任何客户端软件，用户名和密码都是用户设备的MAC地址。网络接入设备在首次检测到用户的MAC地址以后，即启动对该用户的认证。ClientDevice用户名/密码：mac/macRADIUSEAPOLServerMAC旁路认证ClientServerDeviceRADIUSEAPOLEAP-Request/MD5 ChallengeLearn macRADIUS Access-RequestRADIUS Access-AcceptPort Authorized30 seconds(time out)MAC旁路认证，接入设备

25、首先触发用户采用802.1X认证方式，如果用户长时间内没有进行802.1X认证，则以用户的MAC地址为认证信息，把MAC地址作为用户名和密码上送AAA服务器进行认证。准入控制硬件基本参数部件名称最小内存推荐内存CPU（闲时）CPU(忙时)磁盘空间组件个数SM组件1024M=1.2G=5%=50%1.5G1AuthServer组件（SC服务器）512M=1.4G=5%=50%1.5G=50RadiusServer组件（SC服务器）512M1.2G=5%=50%1.5G=50PortalServer组件（SC服务器）512M=1.2G=5%=50%1.5G=50NetworkServer组件（SC

26、服务器）512M=1.2G=5%=50%1.5G=2个，支持1主1备数据库组件2G2G=5%=50%300G3个，支持数据库镜像准入控制软件性能指标部件名称性能项指标值说明AuthsServer组件本地账号认证50次认证/秒防火墙接入认证外部数据源账号40次认证/秒RadiusServer组件本地账号1000次认证/秒PAP/CHAP/EAP-MD5协议本地账号100次认证/秒EAP-PEAP-MSCHAPV2/EAP-PEAP-GTC/EAP-TLS协议外部数据源账号50次认证/秒PortalServer组件本地账号40次认证/秒=5%外部数据源账号NetworkServer组件设备注册20

27、00台/分钟IP-Group查询性能能够查询到1000个IP地址对应的Group信息IP-Group查询1000个IP/秒数据库组件2G2G=5%准入控制客户端软、硬件性能指标(续)部件名称内存占用CPU占用认证时间软、硬件标配AnyOffice客户端(Windows平台)40-50M=5%802.1x非证书认证时间=10秒1. CPU主频：2 GHz 32位或者64位处理器；2. 内存：4G；3. 操作系统：Windows XP、Win7、Win8802.1x证书认证时间=15 秒 Web Portal客户端不涉及不涉及认证时间=3秒不涉及 目录准入控制应用场景准入控制功能实现准入控制配置部

28、署准入控制故障处理核心层汇聚层接入层BYOD研发区域哑终端市场区域园区出口认证前域补丁/病毒/软件等服务器隔离域市场/研发/财务等服务器认证后域Agile Controller服务器802.1x准入控制组网认证点部署方案：在接入层/汇聚交换机或者AC开启802.1X功能，通过VLAN、ACL、UCL（敏捷交换机支持）控制权限。在交换机或者AC上配置FREE-RULE或者Guest VLAN放开认证前域资源。哑终端采用MAC旁路认证的方式，接入网络。依赖：PC、笔记本实施802.1X的需安装AnyOffice客户端；手机和PAD当前需要手动配置802.1x参数。目前哑终端的MAC旁路认证，仅支持

29、HW的交换机。如果在汇聚侧开启802.1x，接入侧交换机要配置EAP报文透传。交换机AP配置思路配置前准备配置接入设备配置认证用户配置授权结果配置认证规则和授权规则配置授权元素S7700 l2protocol-tunnel user-defined-protocol eapol protocol-mac 0180-c200-0003 group-mac 0100-0ccd-cde0S7700-GigabitEthernet1/0/0 l2protocol-tunnel user-defined-protocol eapol enable三、配置802.1x报文透传(如果认证点是汇聚交换机，那么

30、需要在接入交换机配置这一项，否则不用)。配置前准备-设备配置S7700radius-server template test S7700-radius-testradius-server authentication 2 1812 S7700-radius-testradius-server accounting 2 1813 S7700-radius-testradius-server shared-key cipher Huawei123 S7700aaa S7700-aaaauthentication-scheme test S7700-aaa-authen-testauthentica

31、tion-mode radius S7700-aaa-authen-testquit S7700-aaaaccounting-scheme testS7700-aaa-accounting-testaccounting-mode radius S7700-aaadomain defaultS7700-aaa-domain-defaultauthentication-scheme test S7700-aaa-domain-defaultaccounting-scheme testS7700-aaa-domain-defaultradius-server test 一、配置RADIUS参数：S7

32、700 dot1x enable二、使用802.1x认证(如果只是部分接口，需要在接口视图配置)。全局定义透传协议接入交换机上下行接口使能802.1x协议透传四、根据需求，配置802.1x的其他参数，具体参见设备产品文档。配置思路配置前准备配置接入设备配置认证用户配置授权结果配置授权元素配置认证规则和授权规则配置接入设备方式二:批量导入设备方式一:单台增加设备RADIUS密钥，必须和设备上的配置一致。配置接入设备分组(可选)1、增加设备分组2、将设备移入设备分组可以通过设备分组，来代表不另的接入区域。配置思路配置前准备配置接入设备配置认证用户配置授权结果配置授权元素配置认证规则和授权规则配置部

33、门方式二:批量导入部门方式一:单个增加部门配置用户(本地数据源)方式二:批量导入用户方式一:单个增加用户导入用户和导入部门在同一个Excel模板中。在建立用户时，并不建帐号，需要建立好用户再分配帐号。配置认证帐号(本地数据源)1、为用户分配帐号2、新建帐号3、配置帐号和接入设备、端口、VLAN绑定(可选)。配置用户(LDAP/AD数据源)1、新建AD服务器。2、配置AD组织、用户与Controller部门、用户的同步映射规则。配置思路配置前准备配置接入设备配置认证帐号配置授权结果配置授权元素配置认证规则和授权规则配置授权结果1、当前Controller支持VLAN/ACL号/ACL/安全组下发

34、设备，用于权限控制。2、Controller还支持通过下发特定RADIUS属性值，来控制某些特定业务。配置思路配置前准备配置接入设备配置认证帐号配置授权结果配置授权元素配置认证规则和授权规则配置授权元素-时间当前Controller支持时间、地点(SSID、接入设备、IP段)、用户(帐号、角色、部门)、终端(类型、操作系统)、终端安全检查结果来进行认证授权，除安全检查结果外，其余都要预先配置。配置授权元素-地点(SSID)当前Controller支持时间、地点(SSID、接入设备、IP段)、用户(帐号、角色、部门)、终端(类型、操作系统)、终端安全检查结果来进行认证授权，除安全检查结果外，其余

35、都要预先配置。配置授权元素-地点(IP范围)当前Controller支持时间、地点(SSID、接入设备、IP段)、用户(帐号、角色、部门)、终端(类型、操作系统)、终端安全检查结果来进行认证授权，除安全检查结果外，其余都要预先配置。配置授权元素-RADIUS定制条件当前Controller支持时间、地点(SSID、接入设备、IP段)、用户(帐号、角色、部门)、终端组(类型、操作系统)、终端安全检查结果来进行认证授权，除安全检查结果/终端组外，其余都要预先配置。配置思路配置前准备配置接入设备配置认证帐号配置授权结果配置授权元素配置认证规则和授权规则配置认证规则当前Controller支持时间、地

36、点(SSID、接入设备)、用户(帐号、角色、部门)、终端(类型、操作系统)、终端安全检查结果来进行认证授权，除安全检查结果外，其余都要预先配置。配置认证规则(续)配置认证规则时，还可以指定:帐号源(本地、AD/LDAP、RADIUS中继)。认证协议。帐号的绑定信息(设备IP、VLAN、端口、MAC、IP、IMSI)，帐号的绑定信息配置，可以参见前面的帐号配置。配置认证规则(续)配置认证规则时，如果出现一个用户可以匹配多个规则，还可以调整规则优先级，用户上线时会匹配高优先级的规则。配置授权规则当前Controller支持时间、地点(SSID、接入设备)、用户(帐号、角色、部门)、终端(类型、操作

37、系统)、终端安全检查结果来进行授权，除安全检查结果外，其余都要预先配置。核心层汇聚层接入层BYOD研发区域哑终端市场区域园区出口认证前域补丁/病毒/软件等服务器隔离域市场/研发/财务等服务器认证后域Agile Controller服务器Portal准入控制组网认证点部署方案：在接入层/汇聚交换机或者AC开启Portal功能，通过VLAN、ACL、UCL（敏捷交换机支持）控制权限。在交换机或者AC上配置FREE-RULE放开认证前域资源。依赖：实施Portal的交换机或者AC支持FREE-RULE和WEB推送功能。交换机AP配置思路配置前准备定制Portal页面配置页面推送规则配置授权结果配置授

38、权元素配置认证规则和授权规则配置前准备-设备配置S7700radius-server template test S7700-radius-testradius-server authentication 2 1812 S7700-radius-testradius-server accounting 2 1813 S7700-radius-testradius-server shared-key cipher Huawei123 S7700aaa S7700-aaaauthentication-scheme test S7700-aaa-authen-testauthentication-m

39、ode radius S7700-aaa-authen-testquit S7700-aaaaccounting-scheme testS7700-aaa-accounting-testaccounting-mode radius S7700-aaadomain defaultS7700-aaa-domain-defaultauthentication-scheme test S7700-aaa-domain-defaultaccounting-scheme testS7700-aaa-domain-defaultradius-server test 一、配置RADIUS参数：S7700 we

40、b-auth-server abc S7700- web-auth-server-abc server-ip 2S7700- web-auth-server-abc url HUAWEI-web-auth-server-abc shared-key cipher 12345 二、配置Portal参数：S7700 interface vlanif 10 S7700-Vlanif10 interface vlanif 10 三、使能Portal认证：四、根据需求，配置Portal的其他参数，具体参见设备产品文档。配置接入设备Portal密钥，必须和设备上的配置一致。配置思路配置前准备定制Porta

41、l页面配置页面推送规则配置授权结果配置授权元素配置认证规则和授权规则配置Portal页面Controller当前预置了PC和mobile的页面，也根据需要上传自己定制的页面。配置Portal页面(续)配置思路配置前准备定制Portal页面配置页面推送规则配置授权结果配置授权元素配置认证规则和授权规则配置Portal页面(续)SACG准入控制组网核心层汇聚层接入层访客区域研发区域财务区域市场区域NAC认证点园区出口Agile Controller服务器认证前域补丁/病毒/软件等服务器隔离域市场/研发/财务等服务器认证后域部署方案：核心层交换机旁路部署SACG网关，通过策略路由将用户的上行流量引流

42、到SACG网关进行控制。依赖：通常要求部署NAC客户端。约束：SACG不支持对哑终端实施控制，该方案不适合用于终端区域使用IP PHONE的场景。如果网络中实施了IP PHONE，则需要把SACG部署在数据中心前，避免因为SACG隔离了IP PHONE的流量。SACG设备不支持MPLS VPN网络。SACG设备不支持侧挂在PE/P节点。配置思路配置前准备配置SACG设备配置授控域配置前域、隔离域、后域配置SACG策略组部署SACG策略SACG准入控制-把SACG接入网络SACG设备接入网络的常用方式：1. 策略路由方式，SACG侧挂在核心交换设备上。2. 透明直路方式，SACG设备串接两个交换

43、设备之间。 以CISCO 6504和USG5320设备对接为例，说明侧挂配置方式(透明直路方式不在培训胶片介绍)。 网络拓扑： 请注意：SACG设备不支持MPLS VPN网络。SACG设备不支持侧挂在PE/P节点.。SACG准入控制-把SACG接入网络方案说明：1.网络接入层Cisco 3750下连PC作为需要实施准入控制的网络区域。2.流量上行至核心交换机Cisco R6504E-D-1和Cisco R6504E-D-2时，使用Cisco PBR技术使流量流向Huawei USG 5320。3.使用USG 5320的策略路由使G0/0/0的入口流量出口定为G0/0/1,下一跳定为，使由G0/

44、0/3的入口流量出口定为G0/0/2，下一跳地地址定为。4.对于Cisco R6504E-D-1而言，当G4/43端口down掉后，根据Cisco SLA状态检测机制，当Cisco交换机检测到PBR出口的端口down掉后，数据流会转向走正常的路由。5.对于Cisco R6504E-D-2而言，当G4/44端口down掉后，根据Cisco SLA机制，数据流会走正常的路由，不遵循PBR进行数据流向。6. Huawei USG 5320上进行安全域划分，使G0/0/0处于Untrust1（priority 设置为11）安全域，G0/0/3处于Untrust2（priority 设置为12）安全域，

45、G0/0/1和G0/0/2位于Trust区域。7.使用策略路由，使从G0/0/0的流量经由G0/0/1流出到核心交换机R6504E-D-1;从G0/0/3的流量经由G0/0/2流出到核心交换机R6504E-D-2。SACG准入控制-把SACG接入网络额外说明：1. SACG与Policy Center服务器通信的IP地址有两种配置方式： 1）接口地址； 2）loopback地址。2. 优缺点： 1）使用接口地址，当该接口down的时候，无法与Policy Center服务器通信。 2）使用loopback地址，需要在SACG到Policy Center服务器之间的所有设备上添加路由。 3）对于

46、长期使用LoopBack地址的稳定性未做评估（实际局点应用少）。 本示例中，使用接口地址作为SACG与Policy Center服务器通信地址。SACG准入控制-把SACG接入网络Cisco R6504E-D-1配置说明：配置流程：进入特权模式，对接口赋予IP。详细配置：进入特权模式，对接口赋予IP：NH-3SYQ-R6504E-D-1#en NH-3SYQ-R6504E-D-1#config tNH-3SYQ-R6504E-D-1(config)#interface g4/43 NH-3SYQ-R6504E-D-1(config-if)#description Huawei-G0/0/0_U

47、NTRUST NH-3SYQ-R6504E-D-1(config-if)#no switchport NH-3SYQ-R6504E-D-1(config-if)#ip add 52 NH-3SYQ-R6504E-D-1(config-if)#no shutNH-3SYQ-R6504E-D-1(config)#interface g4/44 NH-3SYQ-R6504E-D-1(config-if)#description Huawei-G0/0/1_TRUST NH-3SYQ-R6504E-D-1(config-if)#no switchport NH-3SYQ-R6504E-D-1(conf

48、ig-if)#ip add 52 NH-3SYQ-R6504E-D-1(config-if)#no shut SACG准入控制-把SACG接入网络USG5320配置说明：配置流程：配置端口及IP创建两个Untrust安全域并把接口加入安全域配置策略路由引流安全域端口加入一组打开安全域之间的包过滤规则关闭状态检测机制添加默认路由，使链路畅通。详细配置说明：1. 配置端口及IP：sys USG5320interface g0/0/0 USG5320-GigabitEthernet0/0/0ip add 30 USG5320-GigabitEthernet0/0/0interface g0/0/1

49、USG5320-GigabitEthernet0/0/1ip add 30 USG5320-GigabitEthernet0/0/1interface g0/0/2 USG5320-GigabitEthernet0/0/2ip add 0 30 USG5320-GigabitEthernet0/0/2interface g0/0/3 USG5320-GigabitEthernet0/0/3ip add 4 30 SACG准入控制-把SACG接入网络详细配置：2. 创建两个Untrust安全域并把接口加入安全域。USG5320firewall zone name untrust1 USG5320

50、-zone-untrust1set priority 11 USG5320-zone-untrust1firewall zone name untrust2 USG5320-zone-untrust2set priority 12 USG5320-zone-untrust2qUSG5320firewall zone untrust1 USG5320-zone-untrust1add interface g0/0/0 USG5320-zone-untrust1firewall zone untrust2 USG5320-zone-untrust2add interface g0/0/3USG53

51、20-zone-untrust2qUSG5320firewall zone trust USG5320-zone-trustadd interface g0/0/1 USG5320-zone-trustadd interface g0/0/2SACG准入控制-把SACG接入网络详细配置：3. 配置策略路由引流:USG5320acl 2000 USG5320-acl-2000rule 0 permit ipUSG5320traffic classifier test001 USG5320-classifier-test001if-match acl 2000USG5320traffic beha

52、vior test002USG5320-behavior-test002remark ip-nexthop output-interface g0/0/1USG5320traffic behavior test003 USG5320-behavior-test003remark ip-nexthop output-interface g0/0/2 USG5320qos policy testpolicy1 USG5320-qospolicy-testpolicy1classifier test001 behavior test002 USG5320qos policy testpolicy2

53、USG5320-qospolicy-testpolicy2classifier test001 behavior test003 USG5320-qospolicy-testpolicy2q USG5320firewall zone untrust1 USG5320-zone-untrust1qos apply policy testpolicy1 outbound USG5320-zone-untrust1firewall zone untrust2 USG5320-zone-untrust2qos apply policy testpolicy2 outboundSACG准入控制-把SAC

54、G接入网络详细配置：3. 安全域端口加入一组：USG5320interface g0/0/0USG5320-GigabitEthernet0/0/0link-group 1USG5320-GigabitEthernet0/0/0interface g0/0/1USG5320-GigabitEthernet0/0/1link-group 1USG5320-GigabitEthernet0/0/1interface g0/0/2 USG5320-GigabitEthernet0/0/2link-group 2 USG5320-GigaaitEthernet0/0/2interface g0/0/3

55、 USG5320-GigabitEthernet0/0/3link-group 24. 打开安全域之间的包过滤规则：USG5320firewall packet-filter default permit all USG5320firewall interzone untrust1 trust USG5320-interzone-trust-untrust1packet-filter 3099 inbound USG5320-interzone-trust-untrust1firewall interzone untrust2 trust USG5320-interzone-trust-unt

56、rust2packet-filter 3099 inbound 5. 关闭状态检测机制：USG5320undo firewall session link-state check6. 添加默认路由，使链路畅通：USG5320ip route-static USG5320ip route-static preference 100 SACG准入控制-把SACG接入网络检查和测试配置是否正确：建议测试如下几个场景：1. 确认网络通信正常（路由转发功能正常）。 SACG之下的设备能够与SACG之上的设备正常通信（可以通过HTTP业务，或者PING业务进行验证）。SACG准入控制-配置Agile Co

57、ntroller联动1. 配置SACG设备联动参数： USG5320right-manager server-group USG5320-rightmdefault acl 3099 USG5320-rightmserver ip 6 port 3288 shared-key secospace USG5320-rightmright-manager authentication url USG5320-rightmright-manager server-group enable USG5320-rightmright-manager status-detect enableSACG准入控制

58、-放行待割接网络SACG准入控制-引流Cisco R6504E-D-1配置说明：配置流程：定义ACL定义PBRACL赋予定义SLA检测机制PBR赋予端口结束配置。详细配置：2.定义ACL、定义PBR、ACL赋予、定义SLA检测机制。NH-3SYQ-R6504E-D-1(config)#access-list 100 permit ip 55 any NH-3SYQ-R6504E-D-1(config)#access-list 100 permit ip 6 any NH-3SYQ-R6504E-D-1(config)#route-map HuaWei-NAC permit 10 NH-3SYQ

59、-R6504E-D-1(config-route-map)#match ip address 100 NH-3SYQ-R6504E-D-1(config-route-map)#set ip next-hop verify-availability 1 track 1NH-3SYQ-R6504E-D-1(config-if)#exitNH-3SYQ-R6504E-D-1(config)#track 1 interface g4/43 line-protocolNH-3SYQ-R6504E-D-1(config)#exitSACG准入控制-引流详细配置：3. PBR赋予端口：NH-3SYQ-R6504E-D-2(config)#interface g1/2 NH-3SYQ-R6504E-D-2(config-if)#ip policy route-map HuaWei-NAC NH-3SYQ-R6504E-D-2(config)#interface g4/46 NH-