ASM入网规范管理系统准入控制技术快速配置手册Word文档格式.docx
- 文档编号:18391077
- 上传时间:2022-12-16
- 格式:DOCX
- 页数:16
- 大小:417.41KB
ASM入网规范管理系统准入控制技术快速配置手册Word文档格式.docx
《ASM入网规范管理系统准入控制技术快速配置手册Word文档格式.docx》由会员分享,可在线阅读,更多相关《ASM入网规范管理系统准入控制技术快速配置手册Word文档格式.docx(16页珍藏版)》请在冰豆网上搜索。
http:
//eth2口ip地址。
2、配置下一跳IP地址:
该地址为与ASM系统eth0口直连的网络联动设备的IP地址。
3、配置好下一跳IP地址后点击“获取下一跳MAC地址”按钮,若能网络正常则网络联动设备的MAC地址将显示于“下一条MAC地址”文本框中。
4、当您在开启策略路由认证技术后又希望放开所有设备,则可“启用紧急模式”。
5、其余配置项使用默认配置即可。
6、点击“完成配置”。
b)例外设备管理
1、配置隔离服务器:
若您希望设备被隔离后仍然可以访问指定的服务器,则可以在“开始IP”、“结束IP”处填写该服务器的IP地址,然后选择“添加”按钮。
同样,选择“删除”按钮进行删除。
2、配置不管理网段:
若你希望将指定的设备不进行入网控制,则可以在“开始IP:
”、“结束IP”处填写该设备的IP地址,然后选择“添加”按钮。
1.2网络联动设备配置
1.2.1CISCO交换机配置
方法一、(不具备逃生方案)
建立ACL
ipaccess-listextendedpolicy-route-acl
permitipanyany
exit
配置route-map路由图
route-mappolicy-route
matchipaddresspolicy-route-acl
setipnext-hop192.168.100.123
在接口上应用route-map
interfacevlan54
ippolicyroute-mappolicy-route
方法二、(具备逃生方案)
access-list101permitip192.168.36.00.0.0.255any
配置带下跳检测的route-map路由图
ipslamonitor1
typeechoprotocolipIcmpEcho172.28.1.11
frequency8
ipslamonitorschedule1lifeforeverstart-timenow
track123rtr1reachability
ipslamonitor2
typeechoprotocolipIcmpEcho172.28.1.12
ipslamonitorschedule2lifeforeverstart-timenow
track223rtr2reachability
route-mappolicy_route
setipnext-hopverify-availability172.28.1.1110track123
setipnext-hopverify-availability172.28.1.1220track223
interfacevlan200
1.2.2H3C交换机配置
1.2.2.1policy-based-route方法配置
aclnumber3040
rule0permitipsourceany
quit
配置policy-based-route路由图
policy-based-routepolicy-routepermitnode10
if-matchacl3040
applyip-addressnext-hop192.168.100.123
在接口应用policy-based-route
interfaceEthernet0/3.40
ippolicy-based-routepolicy-route
1.2.2.2qospolicy方法配置
配置ACL策略
[H3C7506E]aclnumber3040
[H3C7506E-acl-adv-3040]rule10permitipsourceany
[H3C7506E-acl-adv-3040]quit
配置匹配ACL的流分类1
[H3C7506E]trafficclassifier1
[H3C7506E-classifier-1]if-matchacl3040
[H3C7506E-classifier-1]quit
配置刚才定义的流分类1的行为,定义如果匹配就下一跳至192.168.100.123
[H3C7506E]trafficbehavior1
[H3C7506E-behavior-1]redirectnext-hop192.168.100.123
[H3C7506E-behavior-1]quit
将刚才设置的流分类及行为应用至QOS策略中,定义policy1
[H3C7506E]qospolicy1
[H3C7506E-qospolicy-1]classifier1
[H3C7506E-qospolicy-1]behavior1
[H3C7506E-qospolicy-1]quit
在接口上应用定义的QOS策略policy1
[H3C7506E]interfaceGigabitEthernet2/0/11
[H3C7506E-GigabitEthernet2/0/11]qosapplypolicy1inbound
[H3C7506E-GigabitEthernet2/0/11]quit
1.2.2.3routepolicy方法配置
aclnumber3000
配置routepolicy路由图
route-policypolicy-routepermitnode1
if-matchacl3000
在接口应用routepolicy
interfaceEthernet1/0
ippolicyroute-policypolicy-route
1.2.2.4traffic-redirect方法配置
aclnumber3000
在接口应用traffic-redirec
interfaceGigabitEthernet6/1/1
traffic-redirectinboundip-group3000rule0next-hop192.168.100.123
1.2.3华为交换机配置
1.2.3.1traffic-policy方法配置
rule10permitipsourceany
trafficclassifier1
trafficbehavior1
redirectnext-hop192.168.100.123
将刚才设置的流分类及行为应用至traffic-policy策略中,定义policy1
trafficpolicy1
classifier1behavior1
interfaceGigabitEthernet2/0/11
traffic-policy1inbound
1.2.3.2traffic-redirect方法配置
1.2.3.3routepolicy方法配置
第二章VG虚拟网关快速配置
2.1ASM系统界面配置
2.1.1网卡配置
启用ETH0、ETH2和ETH3三块网卡:
ETH0和ETH3与联动网络设备的TRUNK口相连;
2.1.2VG虚拟网关参数设置
a)基本参数设置
2、配置隔离服务器:
3、点击“完成配置”。
b)VG交换机管理
配置好VG基本参数后,才能开始配置VG交换机管理。
进入“VG虚拟网关设置”栏,选择“VG交换机管理”,如下界面所示:
1、添加交换机:
选择“添加交换机”按钮进入如下界面:
2、填写完各参数配置选择“完成配置”后出现如下界面:
3、配置交换机:
选中添加的交换机后选择“配置交换机”按钮进入如下界面:
4、选中要在交换机上开启VG认证技术的端口,然后选择“保存配置”。
(若交换机上的端口更改了Vlan信息,则需点击“更新初始Vlan”按钮后再选择“保存配置”。
)
c)Vlan映射配置
配置完交换机管理后,还需要对Vlan映射进行配置,保证接入设备认证前后属于不同权限的Vlan,从而达到接入控制的目的。
2.2网络联动设备配置
配制用于通过SNMP查询交换机信息的共同体
snmp-servercommunityasmpublicro
配制用于通过snmp设置交机信息的共同体
snmp-servercommunityasmprivaterw
启用linkdowntrap
snmp-serverenabletrapssnmplinkdown
启用MACaddress通知Trap
snmp-serverenabletrapsmac-notification
指定将Trap报文发给ASM(192.168.56.14)
snmp-serverhost192.168.56.14version2casmtrap
macaddress-tablenotification
第三章EOU认证技术快速配置
3.1ASM系统界面配置
3.1.1网卡配置
启用ETH2网卡并配置IP地址:
ETH2配置的IP地址需要全网或者控制的网段能够访问。
3.1.2EOU参数配置
2、配置重定向的交换机ACL名称:
AsmEouUrlAcl。
3、当您在开启EOU认证技术后又希望放开所有设备,则可“启用紧急模式”。
4、其余配置项使用默认配置即可。
5、点击“完成配置”。
b)EOU全局参数设置
1、配置主认证服务器地址:
主ASM设备eth2口ip地址(若您有两台ASM设备,则配置备认证服务器地址:
备ASM设备eth2口ip地址)。
若您希望设备被隔离后仍然可以访问指定的服务器,则可以在“IP地址”处填写该服务器的IP地址,然后选择“添加”按钮。
3、同样,您也可以选中希望设备被隔离后不可以访问指定的服务器,然后选择“删除”按钮或者选择“清空”按钮,进行删除或清空。
4、点击“完成配置”。
c)EOU交换机管理
当您配置好EOU基本参数和全局参数后,才能开始配置EOU交换机管理。
进入“EOU认证技术设置”栏,选择“EOU交换机管理”,如下界面所示:
当交换机型号选项中没有与网络联动设备型号向对应时,请参照3.2网络联动设备配置
4、选中要在交换机上开启EOU认证技术的端口,然后选择“生效EOU配置”。
(至此,EOU认证技术已配置完成。
3.2网络联动设备配置
此处配置与ASM系统界面配置中EOU参数配置的C步骤具有相同作用,二者选其一。
aaanew-model
aaagroupserverradiusASMEOU
#下面这个地址要进行修改,另外如果有多个AMC可以进行增加(192.168.40.214)
server-private192.168.56.22auth-port1812acct-port1813keymsackey
aaaauthorizationnetworkdefaultlocal
aaaaccountingnetworkdefaultnone
aaaauthenticationlogindefaultline
radius-serverattribute8include-in-access-req
radius-servervsasendauthentication
radius-serverdeadtime720
radius-serverdead-criteriatries3
ipaccess-listextendedAsmEouAllAcl
permitipanyany
exit
ipaccess-listextendedAsmEouDefaultAcl
remarkallowDHCP
permitudpanyanyeqbootps
remarkallowDNS
permitudpanyanyeqdomain
remarkallowtotheserverWWW
#这个地方要进行修改为实际的IP地址和端口
permittcpanyhost192.168.56.14eqwww
#另外如果有其它的修复机器要求可以访问,要求增加在这个地方
remarkallowtoserver
permitipanyhost192.168.56.245
remarkdenyother
denyipanyany
ipaccess-listextendedAsmEouUrlAcl
#这个地方要进行修改,将不需要重定向的机器增加到这个地方
denytcpanyhost192.168.56.14eqwww
denytcpanyhost192.168.56.246eqwww
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ASM 入网 规范 管理 系统 准入 控制 技术 快速 配置 手册