h12-731认证精英hcie security v1.5培训与实验手册hcsceagile controller

AgileController实验环境搭 实验目 组网设 实验拓扑 实验步 AgileController安 实验步 AgileController系统初始 实验步 硬件SACG接入控 实验步 有线环境802.1X认证接 实验步 联动结果验 MAC认 实验步 验证结 有线环境Portal认 实验步 验证结 实验步 验证结 安全策 实验步 验证结 AgileControllerAgileControllerUSG一台，交换机两台，PC机一台，服务器三台

…终 终1-1AgileControllerStep1安 WindowsServer2008（略Step2安 WindowsServer2008SP1补 WindowsServer2008 的版本。在“Windows版本”下方查看操作系统的版本，如果未显示“ServicePack1”，则表明需要安装 WindowsServer2008操作系统的SP1补 WindowsServer2008的安装光盘获取 WindowsServer2008操作系统的SP1补丁，或从微软的WindowsServer2008操作系统的SP1补丁。 WindowsServer2008标准简体打开资源管理器，进入“windows6.1-KB976932-X64.exe”所在的。 单击“安装”1 Server2008的版本。“Windows版本”下方显示“ WindowsServer2008R2Standard”和“ServicePack1”，则表明安装 2008操作系统的SP1补丁成功。如果安装SP1补丁失败，请尝试重新安装Step3安 SQLServer2008R2数据使用administrator账号登 WindowsServer2008R2安 .NETFramework等必备组件 SQLServer2008R2的安装光盘插入光驱运行光盘 SQLServer2008R2安装光盘的封套上。 界面显示“安装程序支持文件”对话框，单击“安装”选择“SQLServer功能安装”完整”“下一步”ReportingServices。80端口，容易与其他程序（例如业务管理器、业务控制器服务器）产生端口问题。单击“下一步”。选中“默认实例”，“实例ID”保持默认值，修改“实例 与13中共享功 框，单击“服务帐户”页签，为SQLServer服务指单击“对所有SQLServer服务使用相同的帐户”界面显示“对所有SQLServer2008R2服务使用相同帐户”框，在“帐户名”下拉列表框中选择“NTAUTHORITY\SYSTEM”。 框配置数据库引擎在“帐户设置”页签，选中“混合模式(SQLServer验证和Windows设置“sa”账号的。为了增加 强度，建议包含英文大写字母、 长度不低于8位。为“数 SQLServer2008R2 Step4安 SQLServer2008R2的SP2补使用administrator账号登录安 SQLServer2008R2WindowsServer2008R2选择“开始>程序> SQLServer2008R2>SQLServerManagement输 SQLServer2008R2的连接参数登 SQLServer2008R2的参数说明单击“查看连接属性”SQLServer2008R2SP2从微软的SQLServer2008R2的SP2补丁对 SQLServer2008R2StandardEditionR2简体中文版， 对 SQLServer2008R2StandardEditionR2英文版， 下面以安 SQLServer2008R2StandardEditionR2简体中文版SP2 单击“更新”。开始安装 SQLServer2008R2SP2补丁，界面显示如AgileControllerStep1关闭所有正在运行的程序。方便安装程序更新操作系统的系统文件而不用AgileControllerCD-ROM打开资源管理器进入“Drive:\AgileController\Setup” 。其中“Drive:”为光安装语言选择“中文”单击“下一步”IPIP单击“下一步”，配置数据库的连接参数。输入sa 单击“下一步”，单击“FileZilla”打开FileZilla，设置FileZillaServer服务器地址为本地IP地址，设置根据FTP服务器 Step1获取在发货附件中找到License。License以纸面件或CD件的从License获取LACStep2CD-ROM单击“获取”，单击“”Step3License 技术工程师反馈LAC和ESN，技术支持工程师收到邮件后会尽快处理，并将License文件发送到您的邮箱。Step4Agile在IE浏览器地址栏输入： Step5上传单击“上传License”选择License文 Step6LicenseStep1增加配置路径：策略>准入控制>SACG配置>SACG，在出现的右侧界面“硬件SACG”下单击“增加”，输入相关参数，如下图所示，其中Key为：secospace必须和SACG上的配置相同，才能联动成功。Step2配置路径：策略>准入控制>SACG配置>硬件SACG，在出现的右侧界面中的Step3配置路径：策略>准入控制>SACG配置>硬件SACG，在出现的右侧界面中的别为域和认证后域配置受控域，完成配置后如下图所示，单击“确定”Step4配置，配置路径：策略>准入控制>SACG配置>硬件SACG，在出现的右侧界面中的许列表中受控域资源其他，完成配置后如下图所示，单击“确，Step5，配置路径：策略>准入控制>SACG配置>硬件SACG，在出现的右侧界面中的许列表中受控域资源 其他，完成配置后如下图所示，单击“确，Step6Step7理部”，单击“增加”输入用户名、用户ID等，单击“确定”。Step8 Step9SACG>准入控制>SACG配置>SACG“增加”，输入策略组的名称硬件SACG，完成域和认证后域的配置单击“确定”。Step10SACG配置路径：策略>准入控制>SACG配置>SACG策略组，在右侧界中选择名称Step11VLANVLAN，并配置接口的IP（注：基础配置，后面认证都是基于此VLAN规划配置）[Quidway]vlanbatch1020304050[Quidway]vlan[Quidway-vlan10]portGigabitEthernet0/0/6[Quidway-vlan10]quit[Quidway]interfacevlanif[Quidway-Vlan-interface10]ipaddress[Quidway-Vlan-interface10]quit[Quidway]vlan[Quidway-vlan20]portGigabitEthernet0/0/1[Quidway-vlan20]quit[Quidway]interfacevlanif[Quidway-Vlan-interface20]ipaddress[Quidway-Vlan-interface20]quit[Quidway]vlan[Quidway-vlan30]portGigabitEthernet0/0/3[Quidway-vlan30]quit[Quidway]interfacevlanif[Quidway-Vlan-interface30]ipaddress[Quidway-Vlan-interface30]quit[Quidway]vlan[Quidway-vlan40]portGigabitEthernet0/0/2[Quidway-vlan40]quit[Quidway]interfacevlanif[Quidway-Vlan-interface40]ipaddress[Quidway-Vlan-interface40]quit[Quidway]vlan[Quidway-vlan50]portGigabitEthernet0/0/4[Quidway-vlan50]quit[Quidway]interfacevlanif[Quidway-Vlan-interface40]ipaddress[Quidway-Vlan-interface40]quit[Quidway]vlan[Quidway-vlan60]portGigabitEthernet0/0/5[Quidway-vlan60]quit[Quidway]interfacevlanif[Quidway-Vlan-interface60]ipaddress[Quidway-Vlan-interface60]quit[Quidway]interfaceGigabitEthernet[Quidway-GigabitEthernet0/0/6]portlink-typeaccess[Quidway]interfaceGigabitEthernet0/0/1[Quidway-GigabitEthernet0/0/1]portlink-typeaccess[Quidway]interfaceGigabitEthernet0/0/3[Quidway-GigabitEthernet0/0/3]portlink-typeaccess[Quidway]interfaceGigabitEthernet0/0/2[Quidway-GigabitEthernet0/0/2]portlink-typeaccess[Quidway]interfaceGigabitEthernet0/0/4[Quidway-GigabitEthernet0/0/4]portlink-typeaccess[Quidway]interfaceGigabitEthernet0/0/5[Quidway-GigabitEthernet0/0/5]port[Quidway-GigabitEthernet0/0/5]portlink-typeACLNumber3000ACL[Quidway][Quidway]aclnumber[Quidway-acl-adv-3000]rule0permitipsource55destinationany[Quidway-acl-adv-3000]quit将来自终端用户所在网段/24的报文重定向至硬件安全接入控制网[Quidway][Quidway]interfaceGigabitEthernet[Quidway-GigabitEthernet0/0/1]traffic-redirectinboundip-group3000next-hop[Quidway-GigabitEthernet0/0/1]VLANVLAN，并配置接口的IP（注：基础配置，后面认证都是基于此VLAN规划配置）<Quidway>system-view[Quidway]interface<Quidway>system-view[Quidway]interfaceGigabitEthernet0/0/2[Quidway-GigabitEthernet0/0/2]portlink-typeaccess[Quidway]interfaceGigabitEthernet0/0/1[Quidway-GigabitEthernet0/0/1]portlink-typeaccess[Quidway]vlan[Quidway-vlan20]portGigabitEthernet0/0/2[Quidway-vlan20]quit[Quidway]interfaceVlan-interface[Quidway-Vlan-interface20]ipaddress[Quidway-Vlan-interface20]quit[Quidway]vlan[Quidway-vlan10]portGigabitEthernet0/0/1[Quidway-vlan10]quit[Quidway]interfaceVlan-interface[Quidway-Vlan-interface10]ipaddressStep12SACG关键配置（USG6000示例USG6000终端用户在通过认证前后的数据流来回路径不一致，认证前数据流经过USG6000USG6000USG6000的会话USG6000不会因为认证前后来回的数据流路径不一致导<USG6000><USG6000>system-[USG6000]undofirewallsessionlink-state进入下行接口的接口视图，将GigabitEthernet0/0/2接口的IP地址设为[USG6000][USG6000]interfaceGigabitEthernet[USG6000-GigabitEthernet0/0/2]ipaddress[USG6000-GigabitEthernet0/0/2]quit进入上行接口的接口视图，将GigabitEthernet0/0/1接口的IP地址设为[USG6000][USG6000]interfaceGigabitEthernet[USG6000-GigabitEthernet0/0/1]ipaddress[USG6000-GigabitEthernet0/0/1]quitTrustGigabitEthernet0/0/2加入Trust[USG6000][USG6000]firewallzone[USG6000-zone-trust]addinterfaceGigabitEthernet0/0/2[USG6000-zone-trust]quitUntrustGigabitEthernet0/0/1Untrust[USG6000][USG6000]firewallzone[USG6000-zone-untrust]addinterfaceGigabitEthernet0/0/1[USG6000-zone-untrust]quit配置上下行接口GigabitEthernet0/0/1和GigabitEthernet0/0/2加入同一个送到N。[USG6000]interfaceGigabitEthernet0/0/1[USG6000-GigabitEthernet0/0/1][USG6000]interfaceGigabitEthernet0/0/1[USG6000-GigabitEthernet0/0/1]link-group1[USG6000-GigabitEthernet0/0/1]quit[USG6000]interfaceGigabitEthernet0/0/2[USG6000-GigabitEthernet0/0/2]link-group1[USG6000-GigabitEthernet0/0/2]将Local区域与Untrust区域之间的滤规则设为允许通过使业务控制器能够向USG6000下发策略信息。通过USG6000认证前域。-[USG6000]- ]rulename _tsm_to_firewall]source-zoneuntrust _tsm_to_firewall]destination-zone-------

_tsm_to_firewall]action_tsm_to_firewall]]rule _firewall_to_user]source-zone_firewall_to_user]action]ACLNumber3099如果ACL3099～3999ACL3099～3999再进行配置，以免USG6000生成ACL规则时产生。USG6000USG6000与业务控制器联动的缺省ACLNumber设为3099。[USG6000][USG6000]right-managerserver-group[USG6000-rightm]defaultacl3099[USG6000-rightm]localipUSG6000USG6000能够连接业务控制器实施联“secospace”是USG6000与业务控制器的连接密钥。在业务管理器上配置硬[USG6000-rightm][USG6000-rightm]serveripport3288shared-key[USG6000-rightm]USG6000[USG6000][USG6000]iproute-static当终端用户在未通过认证的情况下通过IE浏览器尝试认证后域中的Web服务器时，配置USG6000以便实现USG6000自动在终端主机推送Web认证页面的功能，方便终端用户通过Web页面进行认证。[USG6000][USG6000]right-managerserver-[USG6000-rightm]right-managerauthenticationAgile推送AnyOffice下载页面，使用命令“right-managerauthentication”Web“right-managerauthentication”推送Web客户端认证和常 页面，使用命令“right-managerauthentication”其中“”IPUSG6000[USG6000-rightm][USG6000-rightm]right-managerserver-group活的业务控制器数量低于阈值，USG6000将会启动逃生通道。[USG6000-rightm]right-managerstatus-detectenable[USG6000-rightm][USG6000-rightm]right-managerstatus-detectenable[USG6000-rightm]right-managerserver-groupactive-minimun1[USG6000-rightm]active-minimun1当存活的业务控制器达到或超过1台时，USG6000将不会开启逃生通道。业务控制器总数量减一（例如一共有4台业务控制器，则active-minimunUSG6000不会启动逃生通道。此时可能会出现终端用户无法网络的情 制器同时出现故障，USG6000才会启动逃生通道。在Trust和Untrust的在inbound方向上应用TSM策略，使终端主机可以与Trust和Untrust域间。[USG6000][USG6000]firewallinterzonetrustuntrust[USG6000-interzone-trust-untrust-outbound]applypacket-filterright-manager[USG6000-interzone-trust-untrust-outbound]quit这里将TSM策略应用在outboundUntrust的优先级比认证前域和认证后域所在的安全区域Trust的优先级低。[USG6000][USG6000]<USG6000>域对应的ACL。证前域都已经下发到USG6000，表明配置已经成功。<USG6000>system-[USG6000]right-managerserver-[USG6000-rightm] yright-managerserver- Server-number: [USG6000-rightm][USG6000]disyright-managerrole-infoAllRolecount:8 01234 Role [USG6000]disyaclAdvancedACL3099,3rules,notbindingwith-instanceAcl'sstepis1rule1001permitipdestinationrule1003denyStep1配置路径：选择“资源>设备>设备管理”。在单击左侧的“所有设备”后，单击右边的“增加”输入相关参数，选择“启用RADIUS”，RADIUS认证密钥：123，RADIUS计费密钥 Step2配置路径选择“策略>准入控制>认证>认证规则”单击右侧的“增加”，输入相关参数，将“请选择允许使用的认证协议”选择为“EAP-PEAP-MSCHAPv2协议”和“EAP-PEAP-GTC协议”，在“认证条件”中将“部门”选择为研Step3增加结配置路径：选择“策略>准入控制>认证>结果”。单击右侧“增加”，输入相关参数，将“ACL/AAA用户组”设置为3002，配置完成如下图所Step4增加规配置路径：选择“策略>准入控制>认证>规则”。单击右侧“增为Step3中所配的结果名，配置完成如下图所示，单击“确定”。Step5VLANVLAN，并配置接口的IP地址，同“硬件SACG接入控制”换机配置。交换机配置RADIUS##RADIUS[Quidway]radius-server。#配置RADIUS主用认证服务器的IP地址，认证端口是1812。 ]radius-serverauthentication1812#配置主用计费服务器的IP地址，认证端口是1813。 ]radius-serveraccounting#配置认证密钥和计费密钥 123]radius-servershared-key]配置RADIUS服务器（注：基础配置，后面的RADIUS服务器相#配置 123[Quidway]radius-serverauthorizationshared-key（注：基础配置，后面的认证和计费方案相同##authradius。[Quidway]aaa[Quidway-aaa]authentication-scheme[Quidway-aaa-authen-auth]authentication-moderadius[Quidway-aaa-authen-auth]quit#accoradius[Quidway-aaa]accounting-scheme[Quidway-aaa-accounting-acco]accounting-moderadius[Quidway-aaa-accounting-acco]accountingrealtime1[Quidway-aaa-accounting-acco]quit##default #defaultRADIUS -default]radius- -default]authentication-schemeauth -default]accounting-schemeacco -default]quit[Quidway-aaa]802.1X##802.1X[Quidway]dot1xenable#配置认证方法。[Quidway]dot1Xauthentication-method##启用接口的802.1X认证。[Quidway]interfaceGigabitEthernet0/0/1[Quidway-GigabitEthernet0/0/1]dot1xenable#配置接口的接入方式为基于MAC方式。[Quidway-GigabitEthernet0/0/1]dot1xport-method#配置GE0/0/2GuestVlan[Quidway]dot1xguest-vlan10interfaceGigabitEthernetACL##ACL3002ACL[Quidway]acl[Quidway-acl-adv-3002]description[Quidway-acl-adv-3002]rule1permitipdestination[Quidway-acl-adv-3002]rule1permitipdestination[Quidway-acl-adv-3002]rule2permitipdestination0[Quidway-acl-adv-3002]quit#[Quidway]<Quidway>802.1XStep6WindowsXP的配选择“开始>设置>控制面板”右键单击“WiredAutoConfig”服务，选择“启动”在“控制面板”单击“网络连接”在“验证”页签选中“启用IEEE802.1X验证”，在选择“网络验证方法”区域框选择“受保护的EAP(PEAP)”，并单击“设置”。取消选中“验证服务器”，在“选择验证方法”区域框选择“安取消选中“自动使用Windows登录名 Step Windows7选择“开始>控制面板”右键单击“WiredAutoConfig”服务，选择“启动”在“验证”页签选中“启用IEEE802.1X验证”，在“选择网络验证方法”区域框选择“受保护的EAP(PEAP)”，并单击“设置”。取消选中“验证服务 ”，在“选择验证方法”区域框选择“安取消选中“自动使用Windows登录名和”AnyOffice认证前，只 AgileController和DNS服务器认证通过后，研发部员工能够AgileController、DNS服务器和业务系统，市场部员工不能业务系统，只能AgileControllerDNSStep1配置路径：选择“资源>设备>设备管理”。在单击左侧的“所有设备”后，单击右边的“增加”输入相关参数，选择“启用RADIUS”，默认RADIUS认证密钥 123，RADIUS计费密钥 Step2配置路径选择“策略>准入控制>认证>认证规则”单击右侧的“增Step3添加需要进行MAC“资源>终端>终端列表”。在“设备组”列表中选中首节点，在右侧单击“增加”，创建MAC认证的设备组。例如，设备组“MAC”。端设备的MAC地址，例如“00-11-22-33-44-55”。重复以上步骤，在设备组“MAC”中添加所有需要进行MAC认证的设备。Step4增加规配置路径：选择“策略>准入控制>认证>规则”。单击右侧“增入控制设备组”，“终端设备组”为Step3中配置的终端设备组，“结果”为Step5件SACG接入控制”换机配置）RADIUS服务器模板、AAA认证方案以及认证域（“SACG接入控制”RADIUS服务器配置MAC#在全局和接口下使能MAC[Quidway]mac-[Quidway]interfaceGigabitethernet0/0/1[QuidwayGigabitEthernet0/0/1mac-authen#配置用户所使用的认证域为default。[Quidway-GigabitEthernet0/0/1]mac- #接口允许接入的最大MAC认证用户数为100。[QuidwayGigabitEthernet0/0/1mac-authenmax-user100[Quidway-GigabitEthernet0/0/1] Step1配置路径：选择“资源>设备>设备管理”。在单击左侧的“所有设备”后，的，与交换机配置相同。将需要接入的终端IP加入“接入终端IP地址列Step2配置路径选择“策略>准入控制>认证>认证规则”。单击“增加”，Step3增加结配置路径选择“策略>准入控制>认证>结果”。单击“增加”，Step4增 规配置路径选择“策略>准入控制>认证>规则”。单击“增加”，设置规则的参数。业务类型：接入业务，部门：研发部，接入设备组：Step5配置VLAN并配置接口允许通过的VLAN，保证网络通畅（基础配置，同“硬件SACG接入控制” RADIUS服务器模板、AA