华为上网行为管理器操作手册

.上网行为管理操作手册2020年4月6日专业资料.一、网络拓扑图................................................................................................................1二、网络规划....................................................................................................................1三、IP地址分配...............................................................................................................2四、账号分配表................................................................................................................8五、主要设备账户及密码............................................................................................111、上网行为管理路由器......................................................................................112、核心交换机......................................................................................................113、研发交换机......................................................................................................114、综合交换机......................................................................................................125、硬盘录像机......................................................................................................126、无线AP............................................................................................................12六、主要配置.................................................................................................................121、上网行为管理器配置......................................................................................121、创建部门..................................................................................................132、给每个部门创建用户.............................................................................133、创建用户组..............................................................................................144、给用户组添加部门..................................................................................145、新建上网认证策略..................................................................................146、配置认证选项..........................................................................................157、配置外网接口网络..................................................................................158、配置网接口网络......................................................................................169、配置管理接口网络..................................................................................17专业资料.10、配置静态路由........................................................................................1711、配置策略路由........................................................................................1712、配置带宽策略........................................................................................1913、配置源NAT...........................................................................................2014、配置虚拟服务器（端口映射）..........................................................2215、配置域间规则........................................................................................2216、配置本地策略........................................................................................232、交换机......................................................................................................25专业资料.一、网络拓扑图二、网络规划部门（设备）VLAN备注研发部一、二VLAN1054禁止上外网研发部外网VLAN2054服务器VLAN30综合部（总经理、副总经理、运VLAN4054营中心）VLAN10机房核心交换机0VLAN10研发部核心交换机0综合交换机VLAN10专业资料.0上网行为管理器上网登录地址:8888三、IP地址分配编号部门职位IP地址子网掩码网关5ZY001总经理804管理层5ZY002副总经理204项目经5ZY003理304项目经5ZY004理404项目经5ZY005项目部理504项目经5ZY006理604项目经5ZY007理704ZY008咨询部总监5专业资料.8045ZY009咨询顾问9045ZY010咨询顾问0045ZY011咨询顾问1045ZY012咨询顾问2045ZY013咨询顾问3045ZY014经理1045ZY015副经理2045ZY016研发部总工304JAVA工5ZY017程师404JAVA工5ZY018程师504专业资料.JAVA工5ZY019程师604JAVA工5ZY020程师704JAVA工5ZY021程师804JAVA工5ZY022程师904JAVA工5ZY023程师004JAVA工5ZY024程师104JAVA工5ZY025程师204JAVA工5ZY026程师304JAVA工5ZY027程师404JAVA工5ZY028程师504ZY029JAVA工5专业资料.程师Web 工ZY030程师AndroidZY031工程师GIS工程ZY032师Web 工ZY033程师ZY034 主管ZY035 主管ZY036 部门主管测试工程ZY037师测试部测试工程ZY038师测试工程ZY039师

6045704580459045004510452045304540455045604专业资料.ZY040 经理ZY041 副经理ZY042 工程师ZY043 工程师ZY044 工程师实施部ZY045 工程师ZY046 工程师ZY047 工程师软件实施ZY048工程师ZY049 工程师ZY050 工程师

54045504560457045804590450045104520453045专业资料.4045ZY051工程师5045ZY052总监6045ZY053经理7045ZY054副经理8045ZY055人事专员904运营保5ZY056后勤专员障中心0045ZY057后勤专员1045ZY058采购专员2045ZY059采购专员3045ZY060投标专员404专业资料.ZY061 司机ZY062 保洁 255.255.255. 5ZY063 会计3 0 4财务部 255.255.255. 5ZY064 会计4 0 4四、账号分配表登录名所属部门用户描述所属组2009000999/管理层总经理管理层2009050401/管理层总经理管理层2009081701/项目部副总经理项目部2009071301/项目部项目经理项目部2010110101/项目部项目经理项目部2015031801/项目部项目经理项目部2017040101/项目部项目经理项目部2010081601/咨询部总监咨询部2012071601/咨询部咨询顾问咨询部2017030801/咨询部咨询顾问咨询部2017022001/咨询部咨询顾问咨询部专业资料.2017051601/咨询部咨询顾问咨询部2017033001/咨询部咨询顾问咨询部2012060401/研发部经理研发部2011032101/研发部总工研发部2009100901/研发部数采工程师研发部2015102601/研发部JAVA工程师研发部2015120101/研发部JAVA工程师研发部2016061601/研发部JAVA工程师研发部2016061702/研发部JAVA工程师研发部2016070401/研发部JAVA工程师研发部2016101701/研发部JAVA工程师研发部2015072401/研发部JAVA工程师研发部2016072701/研发部JAVA工程师研发部2016080301/研发部JAVA工程师研发部2016081501/研发部JAVA工程师研发部2016090501/研发部JAVA工程师研发部2016112101/研发部JAVA工程师研发部2016101702/研发部JAVA工程师研发部2016061703/研发部Web工程师研发部2016070402/研发部Web工程师研发部2016121201/研发部Android工程师研发部专业资料.2017021501/研发部Android工程师研发部2015110201/研发部GIS工程师研发部2015120102/研发部GIS工程师研发部2016062001/质量部部门主管质量部2013030401/质量部测试工程师质量部2015091701/质量部测试工程师质量部2015102602/质量部测试工程师质量部2011060701/实施部经理实施部2012060402/实施部副经理实施部2016030701/实施部工程师实施部2016032801/实施部工程师实施部2016112801/实施部工程师实施部2013052701/实施部工程师实施部2016051001/实施部工程师实施部2016083001/实施部工程师实施部2016121202/实施部工程师实施部2016092701/实施部工程师实施部2017050401/实施部工程师实施部2017021601/实施部工程师实施部2010070101/人事行政部总监人事行政部2013080701/人事行政部经理人事行政部专业资料.2016062301 /人事行政部 副经理 人事行政部2016082201 /人事行政部 人事专员 人事行政部2016021501 /人事行政部 后勤专员 人事行政部2015090201 /人事行政部 后勤专员 人事行政部2015110202 /人事行政部 采购专员 人事行政部2016081801 /人事行政部 采购专员 人事行政部2016060101 /人事行政部 投标专员 人事行政部2011081601 /财务部 会计 财务部2017051501 /财务部 会计 财务部五、主要设备账户及密码1、上网行为管理路由器IP地址：2、核心交换机3、研发交换机专业资料.4、综合交换机5、硬盘录像机6、无线AP六、主要配置1、上网行为管理器配置专业资料.1、创建部门2、给每个部门创建用户1）创建账号及密码2）加入所属部门3）加入所属用户组专业资料.3、创建用户组4、给用户组添加部门5、新建上网认证策略1）填写局域网的所有网段2）使用用户名密码认证专业资料.6、配置认证选项1)启用radius单点登录2)配置密码有效期3)注销无流量的已认证用户时间7、配置外网接口网络专业资料.8、配置网接口网络专业资料.9、配置管理接口网络、配置静态路由、配置策略路由1）网口允许所有用户通过专业资料.2）外网口允许所有用户通过3）管理口允许所有用户通过专业资料.、配置带宽策略1）WAN-LAN 允许所有用户通过并且不限流2）LAN-WAN 允许所有用户通过并且不限流专业资料.13、配置源NAT1)WAN->LAN专业资料.2)LAN->WAN专业资料.、配置虚拟服务器（端口映射）、配置域间规则WAN->LAN,LAN->WAN,DMZ->LAN,LAN->DMZ,WAN->DMZ,DMZ->WAN 所有动作都是放行（permit）专业资料.、配置本地策略1)源安全域LAN口所有原地址动作都放行（ permit）专业资料.2)源安全域WAN口所有原地址动作都放行（ permit）3)源安全域DMZ口所有原地址动作都放行（ permit）专业资料.2、交换机核心交换机#!SoftwareVersionV100R005C01SPC100sysnameHeXin#vlanbatch304050100to102#dhcpenableuser-bind static ip-address 8 mac-address 0022-681c-eacfvlan30user-bind static ip-address 8 mac-address 0022-681c-eacfinterfaceGigabitEthernet0/0/10#undohttpserverenable#dropillegal-macalarm#ippoolvlan30ippoolvlan40ippoolvlan50#专业资料.aclnumber2000rule5denysource55rule10permit#aclnumber2001#aclnumber2002#aclnumber2003#ippoolvlan30gateway-list54networkmaskdns-list14#ippoolvlan40gateway-list54networkmaskstatic-bindip-address7mac-address0022-681c-eacfdns-list14#ippoolvlan50专业资料.gateway-list54networkmaskdns-list14#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordcipher6)'^BYE(;F31<%AOH#3\4Q!!local-useradminprivilegelevel3#interfaceVlanif1#interfaceVlanif30ipaddressdhcpselectglobal#interfaceVlanif40ipaddress54dhcpselectglobal专业资料.#interfaceVlanif50ipaddress54#interfaceVlanif100ipaddress#interfaceVlanif101ipaddress#interfaceVlanif102#interfaceMEth0/0/1#interfaceGigabitEthernet0/0/1portlink-typeaccessportdefaultvlan30#interfaceGigabitEthernet0/0/2portlink-typeaccessportdefaultvlan30#专业资料.interfaceGigabitEthernet0/0/3portlink-typeaccessportdefaultvlan30#interfaceGigabitEthernet0/0/4portlink-typeaccessportdefaultvlan30#interfaceGigabitEthernet0/0/5portlink-typeaccessportdefaultvlan30#interfaceGigabitEthernet0/0/6portlink-typeaccessportdefaultvlan30#interfaceGigabitEthernet0/0/7portlink-typeaccessportdefaultvlan30#interfaceGigabitEthernet0/0/8portlink-typeaccess专业资料.portdefaultvlan30#interfaceGigabitEthernet0/0/9portlink-typeaccessportdefaultvlan30#interfaceGigabitEthernet0/0/10portlink-typeaccessportdefaultvlan30#interfaceGigabitEthernet0/0/11portlink-typeaccessportdefaultvlan40#interfaceGigabitEthernet0/0/12portlink-typeaccessportdefaultvlan40#interfaceGigabitEthernet0/0/13portlink-typeaccessportdefaultvlan40#专业资料.interfaceGigabitEthernet0/0/14portlink-typeaccessportdefaultvlan40#interfaceGigabitEthernet0/0/15portlink-typeaccessportdefaultvlan40#interfaceGigabitEthernet0/0/16portlink-typeaccessportdefaultvlan40#interfaceGigabitEthernet0/0/17portlink-typeaccessportdefaultvlan40#interfaceGigabitEthernet0/0/18portlink-typeaccessportdefaultvlan40#interfaceGigabitEthernet0/0/19portlink-typeaccess专业资料.portdefaultvlan50#interfaceGigabitEthernet0/0/20portlink-typeaccessportdefaultvlan50#interfaceGigabitEthernet0/0/21portlink-typetrunkporttrunkallow-passvlan2to4094#interfaceGigabitEthernet0/0/22portlink-typetrunkporttrunkallow-passvlan2to4094#interfaceGigabitEthernet0/0/23portlink-typeaccessportdefaultvlan101#interfaceGigabitEthernet0/0/24portlink-typetrunkporttrunkallow-passvlan2to4094#专业资料.interfaceNULL0#iproute-staticiproute-static0iproute-static9iproute-staticiproute-staticiproute-static#snmp-agentsnmp-agentlocal-engineid000007DB7F000001000060DCsnmp-agentsys-infoversionv3#user-interfacecon0idle-timeout00user-interfacevty04authentication-modeaaauserprivilegelevel15#port-group1group-memberGigabitEthernet0/0/1group-memberGigabitEthernet0/0/2专业资料.group-memberGigabitEthernet0/0/3group-memberGigabitEthernet0/0/4group-memberGigabitEthernet0/0/5group-memberGigabitEthernet0/0/6group-memberGigabitEthernet0/0/7group-memberGigabitEthernet0/0/8group-memberGigabitEthernet0/0/9group-memberGigabitEthernet0/0/10#port-group2group-memberGigabitEthernet0/0/11group-memberGigabitEthernet0/0/12group-memberGigabitEthernet0/0/13group-memberGigabitEthernet0/0/14group-memberGigabitEthernet0/0/15group-memberGigabitEthernet0/0/16group-memberGigabitEthernet0/0/17group-memberGigabitEthernet0/0/18#port-group3group-memberGigabitEthernet0/0/19group-memberGigabitEthernet0/0/20专业资料.#return研发交换机#sysnameYanFa#vlanbatch11020100to101#clusterenablentdpenablentdphop16ndpenable#voice-vlan mac-address 0001-e300-0000 mask ffff-ff00-0000descriptionSiemensphonevoice-vlan mac-address 0003-6b00-0000 mask ffff-ff00-0000descriptionCiscophonevoice-vlan mac-address 0004-0d00-0000 mask ffff-ff00-0000descriptionAvayaphonevoice-vlan mac-address 0060-b900-0000 mask ffff-ff00-0000descriptionPhilips/NECphonevoice-vlan mac-address 00d0-1e00-0000 mask ffff-ff00-0000专业资料.descriptionPingtelphonevoice-vlan mac-address 00e0-7500-0000descriptionPolycomphonevoice-vlan mac-address 00e0-bb00-0000description3comphone#undohttpserverenable#aclnumber2000#aclnumber2001rule5denysource55rule10permit#aclnumber2002#aclnumber2003rule5denysource55rule10permit#dhcpserverip-poolvlan#

mask ffff-ff00-0000mask ffff-ff00-0000专业资料.dhcpserverip-poolvlan10networkmaskgateway-list54dns-list14#dhcpserverip-poolvlan20networkmaskgateway-list54dns-list14#interfaceVlanif1#interfaceVlanif10descriptionyanfaipaddress54#interfaceVlanif20ipaddress54#interfaceVlanif100ipaddress#专业资料.interfaceVlanif101#interfaceMEth0/0/1#interfaceGigabitEthernet0/0/1portlink-typeaccessportdefaultvlan10bpduenablentdpenablendpenable#interfaceGigabitEthernet0/0/2portlink-typeaccessportdefaultvlan10bpduenablentdpenablendpenable#interfaceGigabitEthernet0/0/3portlink-typeaccessportdefaultvlan10bpduenable专业资料.ntdpenablendpenable#interfaceGigabitEthernet0/0/4portlink-typeaccessportdefaultvlan10bpduenablentdpenablendpenable#interfaceGigabitEthernet0/0/5portlink-typeaccessportdefaultvlan10bpduenablentdpenablendpenable#interfaceGigabitEthernet0/0/6portlink-typeaccessportdefaultvlan10bpduenablentdpenable专业资料.ndpenable#interfaceGigabitEthernet0/0/7portlink-typeaccessportdefaultvlan10bpduenablentdpenablendpenable#interfaceGigabitEthernet0/0/8portlink-typeaccessportdefaultvlan10bpduenablentdpenablendpenable#interfaceGigabitEthernet0/0/9portlink-typeaccessportdefaultvlan10bpduenablentdpenablendpenable专业资料.#interfaceGigabitEthernet0/0/10portlink-typeaccessportdefaultvlan10bpduenablentdpenablendpenable#interfaceGigabitEthernet0/0/11portlink-typeaccessportdefaultvlan20bpduenablentdpenablendpenable#interfaceGigabitEthernet0/0/12portlink-typeaccessportdefaultvlan20bpduenablentdpenablendpenable#专业资料.interfaceGigabitEthernet0/0/13portlink-typeaccessportdefaultvlan20user-bindstaticip-address0vlan20bpduenablentdpenablendpenable#interfaceGigabitEthernet0/0/14portlink-typeaccessportdefaultvlan20bpduenablentdpenablendpenable#interfaceGigabitEthernet0/0/15portlink-typeaccessportdefaultvlan20bpduenablentdpenablendpenable#专业资料.interfaceGigabitEthernet0/0/16portlink-typeaccessportdefaultvlan20bpduenablentdpenablendpenable#interfaceGigabitEthernet0/0/17portlink-typeaccessportdefaultvlan20bpduenablentdpenablendpenable#interfaceGigabitEthernet0/0/18portlink-typeaccessportdefaultvlan20bpduenablentdpenablendpenable#interfaceGigabitEthernet0/0/19专业资料.portlink-typeaccessportdefaultvlan20bpduenablentdpenablendpenable#interfaceGigabitEthernet0/0/20portlink-typeaccessportdefaultvlan20bpduenablentdpenablendpenable#interfaceGigabitEthernet0/0/21portdefaultvlan1bpduenablentdpenablendpenable#interfaceGigabitEthernet0/0/22portdefaultvlan1bpduenable专业资料.ntdpenablendpenable#interfaceGigabitEthernet0/0/23portlink-typeaccessbpduenablentdpenablendpenable#interfaceGigabitEthernet0/0/24portdefaultvlan1porttrunkallow-passvlan1to4094bpduenablentdpenablendpenable#interfaceNULL0#traffic-filtervlan10inboundacl2003rule5traffic-filtervlan10inboundacl2003rule10traffic-filtervlan10outboundacl2003rule5traffic-filtervlan10outboundacl2003rule10专业资料.#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordcipherE(/GLH9$P#'Q=^Q`MAF4<1!!local-useradminlevel3local-useradminftp-directoryflash:#dhcpserverforbidden-ip54dhcpserverforbidden-ip54dhcpenable#iproute-staticiproute-staticiproute-staticiproute-static9iproute-static0#user-interfacecon0专业资料.user-interfacevty04authentication-modeaaauserprivilegelevel15#port-group1group-memberGigabitEthernet0/0/1group-memberGigabitEthernet0/0/2group-memberGigabitEthernet0/0/3group-memberGigabitEthernet0/0/4group-memberGigabitEthernet0/0/5group-memberGigabitEthernet0/0/6group-memberGigabitEthernet0/0/7group-memberGigabitEthernet0/0/8group-memberGigabitEthernet0/0/9group-memberGigabitEthernet0/0/10#port-group2group-memberGigabitEthernet0/0/11group-memberGigabitEthernet0/0/12group-memberGigabitEthernet0/0/13group-memberGigabitEthernet0/0/14group-memberGigabitEthernet0/0/15专业资料.group-memberGigabitEthernet0/0/16group-memberGigabitEthernet0/0/17group-memberGigabitEthernet0/0/18group-memberGigabitEthernet0/0/19group-memberGigabitEthernet0/0/20#return综合交换机#!SoftwareVersionV100R005C01SPC100sysnameYunYing#vlanbatch40100#clusterenablentdpenablentdphop16ndpenable#bpduenable#dhcpenable专业资料.dhcpsnoopingenabledhcpserverdetectuser-bindstaticip-address5mac-address50e5-49e6-a424interfaceEthernet0/0/1#undohttpserverenable#aaaauthentication-schemedefaultauthorization-schemedefaultaccounting-schemedefaultdomaindefaultdomaindefault_adminlocal-useradminpasswordsimpleadminlocal-useradminservice-typehttplocal-useryunyingpasswordcipher6)'^BYE(;F31<%AOH#3\4Q!!local-useryunyingprivilegelevel3#interfaceVlanif1ipaddressdhcp-alloc#interfaceVlanif40专业资料.ipaddress54#interfaceVlanif100ipaddress#interfaceEthernet0/0/1portlink-typeaccessportdefaultvlan40ntdpenablendpenablearpanti-attackcheckuser-bindenableipsourcecheckuser-bindenable#interfaceEthernet0/0/2portlink-typeaccessportdefaultvlan40ntdpenablendpenable#interfaceEthernet0/0/3portlink-typeaccessportdefaultvlan40专业资料.ntdpenablendpenable#interfaceEthernet0/0/4portlink-typeaccessportdefaultvlan40ntdpenablendpenable#interfaceEthernet0/0/5portlink-typeaccessportdefaultvlan40ntdpenablendpenable#interfaceEthernet0/0/6portlink-typeaccessportdefaultvlan40ntdpenablendpenable#interfaceEthernet0/0/7专业资料.portlink-typeaccessportdefaultvlan40ntdpenablendpenable#interfaceEthernet0/0/8portlink-typeaccessportdefaultvlan40ntdpenablendpenable#interfaceEthernet0/0/9portlink-typeaccessportdefaultvlan40ntdpenablendpenable#interfaceEthernet0/0/10portlink-typeaccessportdefaultvlan40ntdpenablendpenable专业资料.#interfaceEthernet0/0/11portlink-typeaccessportdefaultvlan40ntdpenablendpenable#interfaceEthernet0/0/12portlink-typeaccessportdefaultvlan40ntdpenablendpenable#interfaceEthernet0/0/13portlink-typeaccessportdefaultvlan40ntdpenablendpenable#interfaceEthernet0/0/14portlink-typeaccessportdefaultvlan40专业资料.ntdpenablendpenable#interfaceEthernet0/0/15portli