imc v300r002智能管理平台开局指导书

HangzhouH3CTechnologiesCo.,日期日期日期HangzhouH3CTechnologiesCo.,日期日期日期Draftedby:Approvedby:2007-06- 2007-06- 2007-06- 2007-06- 修订记录Revision2008-11-英文化之前，和修订记录Revision2008-11-英文化之前，和E2602平台同1、更新和新版本不符合的2、增加Syslog、周期报表、GAM3、合入VLANM、iCC、ACLM开局指2008-12-介绍 系统介绍Instruction介绍 系统介绍Instructiontothe 组网介绍Introductionto iMC业务控制中心典型组网一（结合SecCenter进行安全控制 系统结构介绍IntroductiontoSystem 业务配置Service 数据配置规范及实例Dataconfigurationspecificationand 与其它设备、系统、版本的配置关系ConfigurationRelationshipwithOtherEquipment,SystemsandVersions 目前还存在的问题，需要安装维护中注意的事项CurrentProblemsandMattersDeservingAttentioninInstallationand 版本组合特性与参数设置VersionCombinationFeatureAndParameter 关键词：KeywordsiMC 要：Abstract:本文定义了iMCV300R002开局时的注意事项，主要内容来源于《关键词：KeywordsiMC 要：Abstract:本文定义了iMCV300R002开局时的注意事项，主要内容来源于《V300R001B04版本系统测试报告》文档缩略语清单：Listof第1FullChineseIntelligentManagementSimpleNetworkManagementServiceOrientedServiceControl1介绍1介绍务流程模型为核心，采用面向服务（SOA）C智能管理平台，是C智能管理中心的基础业务管理平台，在完成网络和用户基本资源统一管理的基础之上，提供融合的基础网络管理和基本用户管理。基础网络管理，涵盖了传统网管的主要功能，包括告警管理、性能管理、拓扑管理等。C基本用户管理包含：用户分组管理和用户附加信息管理。业务控制中心是C平台组件中的一个重要功能，可联合SecCenter第2iMC智能管理平iMC智能管理平台基础管理典型组图1iMC对于iMC平台基础管理功能方面不要求特殊的组网，只需iMC设备通讯可达即可，包括Ping、Telnet、SNMP第31.2.2iMC业务控制中心典型组网一（结1.2.2iMC业务控制中心典型组网一（结合SecCenter进行安全控制图2iMC该方式适合局方已有防火墙、IPS、SecCenter基本流程是，防火墙、IPS等安全设备检测到非法报文后，生成安全事件可探测的攻击类型：IPSpoofing、WinNuke、SYNFlood、ICMPFlood、UDPFloodIPSweep、TCPPortScan、UDPPortScan、IPSWorm、IPSScan第41.2.3iMC业务控制中心典型组网二（结合接1.2.3iMC业务控制中心典型组网二（结合接入层交换机进行安全控制图3iMC基本流程是：接入层交换机探测到非法报文发送安全事件syslog给iMC业务制中心进行分析并生成告警报告，同时可以设置控制策略隔离非法的接入主。可探测的攻击类型：ARP地址冲突，ARP限速，端口访问控制，BPDUGUARD保护边缘接口，LOOPGUARD，端口安全intrusion，端口安全802.1xlogon/Logoff/Logfail，防伪DHCPServer1.3IntroductiontoSystemiMCB/SWindows2000Server/Server2003，客户端包括Windows2000/XP，浏览器支持IE5.5及以上版第5图4iMC2业务配置Service图4iMC2业务配置Service2.1Dataconfigurationspecificationand2.1.1开局步第610、告警转发设置（可选11、上下级网管设置（可选110、告警转发设置（可选11、上下级网管设置（可选1安装启动安装及启动iMC操作请参考iMC安装指导2.配置设在开局之前首先要保证所有设备和iMC网管服务器通iMC不能接收SNMPv3格式的告警Trap，设备配置注意配置为v1或v2SNMPTrapSource配置为iMC的管理IP（iMC添加设备的IP地址）3.在添加设备前配置局方要求的SNMP参数模板，以便添加设备时第7图1增加SNMPv3备前请务必确认是否已经添加了SNMP4.图1增加SNMPv3备前请务必确认是否已经添加了SNMP4.自动发现添加管理设备添加到iMC上；对于零星设备和新增的设备通过自动发现操作：首页自动发现>选择自动发现方式>设置开始、结束IPSNMP参数（从设置的参数模板中选择）>自动发现开第8图2图3>图2图3>第9注意保证设备上配置的SNMP参数和iMC特别注意如果在iMCSNMP、ICMP、Telnet、Syslog注意保证设备上配置的SNMP参数和iMC特别注意如果在iMCSNMP、ICMP、Telnet、Syslog5.设备分图46.第10图5图57.拓扑图调IP拓扑的调整操作：iMC>>双击IP>景图位置及大小（在拓扑图的工具栏中选择“增加背景图”）>调整设备子网位置>保存拓扑第11图6自定义视图的调整操作：iMC>>>>添加图6自定义视图的调整操作：iMC>>>>添加>位置>>删除不需要的链路>添加设备间的链路(按住CTRL键选择两个设备，右键增加链路>>调整另外一个自定义视图第一次打开拓扑需要下载JRE8.修改设备名称（可选9.第三方设备识别配置（可选操作：找出不可识别的第三方设备(>>Unknown-SNMP)>记录位置设备的信息（设备厂商、系列、型号、OID）增加设备厂商（>>增加设备厂商（厂商图片不用选择））增加设备系列（>第12统管理>设备系列>增加设备系列（选择添加的设备厂商））>（>统管理>设备系列>增加设备系列（选择添加的设备厂商））>（>>>增加设备型号（选择添加的设备厂商、设备系列））>同步设备（进入设备详细信息后同步会更新设备的型号）图7第13图8图910.性能监视图8图910.性能监视及阈值设系统默认将全网设备的CPU、内存、响应时间、不可达比例进行了监控。如果第14>>增加监视（于已经添加的设备需要通过修改监视来增加流量监控的配置）>设定阈值（图>>增加监视（于已经添加的设备需要通过修改监视来增加流量监控的配置）>设定阈值（图10图1111.告警转发设置（可选第15图12图12口12.上下级网管设置（可选>>（第16转发info-centerinfo-centerloghost--------iMC转发info-centerinfo-centerloghost--------iMC网管的地址为14.增加周期报表（可选设置报表厂商和Logo：报表>报表管理>选15.来宾接入管理（可选1、设备配置1.1、来宾用户通过有线dot1x接入1）启用端口安2）端口认证采用1X的pap3）创建本地用户组和用户：（蓝色部分不需要手工配置，后续通过网管下发passwordsimplegroup第174）interface5）使用本地认证域domain4）interface5）使用本地认证域domaindefaultenable配置完成后，使用1X客户端，输入用户名、密码接1.2、来宾用户通过无线dot1x接入1）启用端口安domaindefaultenable2）端口认证采用1X的pap3）创建本地用户组和用户：（蓝色部分不需要手工配置，后续通过网管下发passwordsimplegroup4）第185）无线接入相关配wlanservice-template5）无线接入相关配wlanservice-template128ssidbindWLAN-ESSwlanapap2200modelWA2220E-serial-idradioradioservice-templateradioRadio策略：使用默认Radio策略，无需配置2、网管配置登录iMC配置界面第19第20第201、下发帐21、下发帐2、Telnet至设备，可以发现网管下发的passwordsimplegroup第2116.业务控制中心部分（可选开局步16.业务控制中心部分（可选开局步安装启动安装及启动iMC操作请参考iMC安装指导配置设设备配置根据组网方式分为两种：与SecCenter/防火墙设备综合组网的配置（参图2）；与交换机综合组网的配置（参考图3）与SecCenter/防火墙设备综合组网的配置防火墙设备配置参考，主要是使能相关非法报文的检测和发送syslogSecCenter配置，具体配置请参考配置手册，主要进行告警策略的配置，注意将与交换机综合组网的可检测的类型（需要针对相应的攻击在设备上进行相关配置才能产生相应的第22syslog）：ARP地址冲突，ARP限速，端口访问控制，BPDUGUARD口，LOOPGUARD，端口安全intrusion，端口安全802.1Xlogon/Logoff/Logfail，防syslog）：ARP地址冲突，ARP限速，端口访问控制，BPDUGUARD口，LOOPGUARD，端口安全intrusion，端口安全802.1Xlogon/Logoff/Logfail，防伪DHCPServer。增加设保证组网中的所有设备（包括接入交换机、PC、防火墙、IPS、SecCenter）都入到iMC中，增加的操作方式参考网络基础管理部分控制策iMC上主要进行控制策略的配置，在接收到相关的攻击告警、syslog事件后会自>>户下发消息|将用户加入黑名单|将用户下线）需要安装iMC的用户接入管理UAM17.ACL配置（可选下面以“通过批量配置ACL限制管理员访问权限”为例介绍ACLM的配置步骤场景描第23的访问。假设接入层共有台S3900交换机，其IP地址分别为6，禁止访问的IP地址为8图13ACLM配置案例组网的访问。假设接入层共有台S3900交换机，其IP地址分别为6，禁止访问的IP地址为8图13ACLM配置案例组网场景分由于学校以S00交换机作为接入层，因此我们可以将L策略部署在接入层上。对0的所有Et接口均部署CL规则，将目的地址为18具体配单击iMC平台首页导航树[功能导航/增加设备]有S3900设备的IP地址，从1~6(1)选择iMC[业务]页导航树[ACL管理/ACL模板页签，单击<增加>填写“模板名称”为DenyToIP，“类型”为扩展，“模板描述”为禁止访问外第24 单击<增加规则>按钮，“协议”选择tcp，“匹配动作”为deny 单击<增加规则>按钮，“协议”选择tcp，“匹配动作”为deny，“时间范围”4.增加ACL资(1)选择iMC[业务]页导航树[ACL管理/ACL资源]页签，单击<从模板导入>(2)在ACL模板下拉框中选择步骤2中添加的DenyToIP模板，并设置m_denyIP量的值为8/32(ACL资源标识选择为创建规则集到新的资源，并输入资源标识9，资源名称l_denyto，ACL资源规则集名称ules_dnyto8，ACL描述禁止访问外网PL，AC规则集描述禁止访问85.批量部署(1)选择iMC[业务]页导航树[ACL管理/ACL部署]页签，单击部署向导中的<ACL配置>图标，进入部署ACL配置(2)在设定基本信息界面中，单击<选择设备>置的所有S3900设备，单击<确定>按钮返回；单击<选择ACL资源>第25界面中选中步骤3中建立的ACL3039，并进一步选择其中规则集rules_denyto8，单击<确定>按钮返回；单击<界面中选中步骤3中建立的ACL3039，并进一步选择其中规则集rules_denyto8，单击<确定>按钮返回；单击<下一步>(3在摘要界面中，不作修改，单击<部署>(4)在增加任务界面中，输入“任务名称”为batchACL，“任务描述”为CL规则，选择“部署顺序”为并行，处理处理机制”选择为出现错误时停止一切部署，，单击确定.(1)选择iMC[业务]页导航树[ACL管理/ACL部署]页签，单击部署向导中的<ACL应用>图标，进入部署ACL应用(3)在选择设备界面中，如步骤4操作选中需要配置的所有S3900设备，单击<(4)在选择应用对象界面中，“过滤方向”为inbound，将S3900Ethernet接口选中，并勾选后续设备作同样选择，单击<下一步>(5)选择“ACL类型”为扩展，“标识类型”为基于数字标识，“ACL标识”填入步骤(7)输入“任务名称”为batchACLAPP，“任务描述”为批量应用ACL规则注意事1.增加ACL应用，在选择应用对象时，如果不勾选后续设备作同样选择第262.ACLManager中对IP 18.VLAN配置（可选1.增加2.ACLManager中对IP 18.VLAN配置（可选1.增加接，进入增加VLAN页面增加在“设备VLAN”tab页面，单击<确定>按钮增加VLAN2.增加VLAN进入设备VLAN配置信息页面，在“VLAN虚接口”标签页中单击<增加>按钮增加VLAN虚接口页面。填写好VLAN虚接口参数后，单击<确定>按钮增加VLAN虚接口3.移动Access进入设备VLAN配置信息页面，在“Access口”标签页中选择需要移动的Access<确定>按钮移动Access口4.增加Trunk进入设备VLAN配置信息页面，在“Trunk口”标签页中单击<增加>按钮，进入“增第275.增加Hybrid进入设备VLAN配置信息5.增加Hybrid进入设备VLAN配置信息页面，在“Hybrid口”标签页中单击<增加>按钮，进入加Hybrid口”页面。选择需要配置为Hybrid口的接口，并填写好相关参数后单击<确定>钮增加Hybrid口6.增加VLAN进入VLAN分组管理页面，单击<增加>按钮进入增加VLAN设备分组页增加VLAN设备分填写好分组名称后，单击<确定>按钮增加VLAN设备分7.向VLAN进入VLAN分组管理页面，点击VLAN设备分组列表中的“设备列表”链接“VLAN分组设备列表”页面，单击<增加设备>按钮，在弹出的设备选择窗口增加到VLAN设备分组中的设备，单击<确定>按钮，加入到VLAN设备分组中来8.查看VLAN进入VLAN分组管理页面，点击VLAN设备分组列表中的“拓扑”图标，会弹出第28查看VLAN设备分组拓19.iCC配置（可选iCC支查看VLAN设备分组拓19.iCC配置（可选iCC支持两种方式进行设备配置文件、软件的传输：FTP、TFTP。默认为TFTP2）设备FTP方式：勾选“启动FTP方式”复选框，并输入正确的FTP图14第29/server/tmp下，并设置相关的权限。如下/server/tmp下，并设置相关的权限。如下是3CDaemon软件的设置界面图153CDaemon22）备份设备配置：在设备配置一览表中选择需要