iMC终端准入管理 特性说明书Word下载.docx
- 文档编号:22679287
- 上传时间:2023-02-05
- 格式:DOCX
- 页数:29
- 大小:574.76KB
iMC终端准入管理 特性说明书Word下载.docx
《iMC终端准入管理 特性说明书Word下载.docx》由会员分享,可在线阅读,更多相关《iMC终端准入管理 特性说明书Word下载.docx(29页珍藏版)》请在冰豆网上搜索。
轮询的接入信息和绑定关系冲突后,需要等待一段时间才能关闭端口。
延迟恢复端口
轮询的接入信息和绑定关系冲突后,如果发生关闭端口行为,则在关闭端口后,需要等待一段时间才能恢复端口。
异常接入日志
轮询的接入信息不合法时,记录的包括终端IP、终端MAC、终端名称、接入设备IP、接入设备名称、接入接口描述、异常发现时间、异常处理动作等信息的日志;
接入不合法的范围包括:
1、接入信息和绑定关系冲突;
2、属于未知接入,且iMC中未知接入合法性配置为不合法。
历史接入记录
通过历史接入记录可以查看终端的所有接入历史信息。
实时定位
根据IP/MAC实时查找终端的接入位置。
1特性介绍
终端准入管理是从网管的角度对终端准入进行安全认证,由IP地址分配、IP/MAC绑定、终端准入绑定、交换机准入绑定、终端异常处理策略、异常接入日志、历史接入记录、实时定位等功能组成。
(1)IP地址分配
通过IP地址分配功能,可以对网络中IP地址的使用情况进行管理。
IP地址的分配方式包括自动扫描、手工分配、增加IP地址段三种。
自动扫描:
系统自动查找出网络中正在使用的IP地址,用户只需从扫描结果中选择需要分配的IP
地址即可。
图1-1IP地址分配自动扫描
如上图,用户可以设置自动扫描的网段(可以设置多个网段,但互相之间不能存在交集),如果不
设置网段,则扫描全网。
图1-2IP地址分配自动扫描结果
如上图,用户只需从扫描结果中选择需要分配的IP地址即可。
手工分配:
手工设置某个IP地址的分配使用情况。
图1-3IP地址手工分配
如上图,用户通过手工输入要分配的IP地址、所有者、描述信息进行IP地址分配。
增加IP地址段:
用户可以按照部门、办公区等方式,将多个IP地址划分到一个IP地址段中,以便
对IP地址进行更方便的管理。
图1-4IP地址段增加
如上图,用户通过手工输入IP地址段的开始IP地址、结束IP地址、所有者、描述等信息后完成IP
地址段的配置。
(2)IP/MAC绑定
将IP地址和MAC地址进行绑定,用于防止IP地址盗用、IP地址冲突。
IP/MAC绑定包括手工配置、
自动扫描两种方式。
手工配置:
手工设置一个IP地址和一个MAC地址的绑定关系。
图1-1IP/MAC绑定手工配置
如上图,选择IP地址(从IP地址分配表中选择),输入MAC地址、所有者完成IP/MAC绑定。
系统自动查找出网络中当前在线的IP、MAC信息,用户只需从扫描结果中选择需要绑
定的记录即可。
图1-2IP/MAC绑定自动扫描
如上图,用户只需从扫描结果中选择需要绑定的IP、MAC即可。
(3)终端准入绑定
终端准入绑定方式分为两种,第一种为将终端同某个交换机接口绑定,限制终端只能通过绑定
的交换机接口接入网络,第二种为将终端配置为免认证,使终端可以通过网络中的任何位置接入。
终端准入绑定可以通过手工配置、自动扫描两种方式完成。
手工设置一个终端和一个交换机接口的绑定关系。
图1-1终端准入绑定手工配置
如上图,输入终端MAC、终端名称、维护人信息,选择绑定方式是否为免认证,选择设备接口,完成终端准入绑定配置。
系统自动查找出网络中当前在线的、且同终端准入绑定冲突或未匹配的接入信息,用户
只需从扫描结果中选择需要绑定的记录即可。
图1-2终端准入绑定自动扫描
如上图,用户可以选择自动扫描的设备,如果不选择任何设备,则扫描所有设备。
图1-3终端准入绑定自动扫描结果
如上图,用户只需选择需要绑定的记录即可。
另外,用户可以对扫描结果中终端名称、维护人字段
进行编辑,并可以选择绑定方式是否为免认证。
(4)交换机准入绑定
交换机准入绑定通过将交换机接口同某个终端绑定,限制交换机接口只允许绑定的终端接入。
交换机准入绑定可以通过手工配置、自动扫描两种方式完成。
手工设置一个交换机接口和一个终端的绑定关系。
图1-1交换机准入绑定手工配置
图1-2交换机准入绑定手工配置终端
如上图,选择设备接口,输入终端MAC、终端名称、维护人信息,完成交换机准入绑定配置。
系统自动查找出网络中当前在线的、且同交换机准入绑定冲突或未匹配的接入信息,用
户只需从扫描结果中选择需要绑定的记录即可。
图1-3交换机准入绑定自动扫描
图1-4交换机准入绑定自动扫描结果
进行编辑。
(5)终端异常处理策略
终端异常处理策略包括三部分:
未知接入处理策略、冲突异常接入处理策略、IP/MAC绑定冲突处
理策略。
图1-1终端异常处理策略
未知接入处理策略:
对未知接入采取的处理策略;
如果未知接入是否有效的标志为是,则未知接入
合法;
如果未知接入是否有效的标志为否,则未知接入非法,记录异常接入日志,并根据未知接入
处理策略中的配置发送告警、(延迟)关闭接口、延迟恢复接口。
冲突异常接入处理策略:
对异常接入采取的处理策略;
异常接入是指和准入绑定关系冲突的接入信
息;
对于异常接入,首先记录异常接入日志,然受并根据冲突异常接入处理策略中的配置发送告警、
(延迟)关闭接口、延迟恢复接口。
IP/MAC绑定冲突处理策略:
接入网络的IP/MAC信息同IP/MAC绑定关系冲突时采取的处理策略;
目前只有发送告警一种方式,不可配置。
(6)异常接入日志
轮询的接入信息不合法时,记录的包括终端MAC、终端IP、终端名称、接入设备IP、接入设备名
称、接入接口描述、冲突类型、发现时间、动作状态等信息的日志。
图1-1异常接入日志
冲突类型分为终端准入绑定冲突、交换机准入绑定冲突、终端和交换机准入绑定同时冲突、未配置
准入绑定冲突四种类型。
终端准入绑定冲突:
接入信息只同终端准入绑定关系不一致,按照冲突异常接入处理策略进行处理。
交换机准入绑定冲突:
接入信息只同交换机准入绑定关系不一致,按照冲突异常接入处理策略进行
处理。
终端和交换机准入绑定同时冲突:
接入信息不仅同终端准入绑定关系不一致,也同交换机准入绑定
关系不一致,按照冲突异常接入处理策略进行处理。
未配置准入绑定冲突:
接入信息为未知接入且未知接入是否有效标志为否,按照未知接入处理策略
进行处理。
动作状态表示对非法接入进行的关闭、恢复接口动作的处理状态,包括:
●无动作:
对非法接入不进行关闭、恢复接口动作。
●正初始化:
关闭、恢复接口动作处理前的初始化状态。
●动作冲突:
在接口上已经存在处理动作。
●等待执行:
对于延迟关闭接口,关闭接口前的等待状态。
●正执行:
接口已经关闭,恢复接口前的等待状态。
●已完成:
关闭、恢复接口动作已经完成或已经被取消后的状态。
图1-2异常接入日志详细信息
上图为异常接入的详细信息页面,可以通过详细信息查看动作执行的详细信息。
图1-3异常接入日志详细信息-动作取消
如上图,如果动作尚未执行(动作状态为正初始化或者等待执行),则可以将动作取消掉。
(7)历史接入记录
通过历史接入记录可以查看终端的所有接入历史信息,接入信息包括:
包括终端MAC、终端名称、
终端IP、接入设备名称、接入设备IP、接入接口描述、所在VLAN、上次轮询时间等信息。
图1-1历史接入记录
(8)实时定位
根据IP地址或者MAC地址实时查找终端的接入位置。
图1-1实时定位
2特性的优点
(1)从网管的角度,对终端准入进行管理,不需要对设备进行特殊配置,管理方便、简单;
(2)支持免认证、绑定(分单向和双向两种绑定)等安全控制方式,认证灵活、安全;
(3)采用公共MIB实现,可支持第三方设备。
(4)对于非法接入,存在多种处理方式:
发送告警、(延迟)关闭接口、关闭接口后延迟恢复、记录日志。
3版本历史记录
表3-1特性版本历史记录
产品版本号
修改描述
备注
iMCPLAT3.20-R2606P13
新增特性
4使用指南
4.1使用场合
●限制某个终端只能通过特定的交换机接口接入网络。
●限制某个交换机接口只允许特定的终端接入。
●对终端和交换机接口进行一对一双向限制。
●配置某个终端为免认证,使其可以通过任一交换机接口接入网络。
●通过IP地址分配对网络中IP地址的使用情况进行管理。
●通过IP/MAC绑定防止IP地址盗用、IP地址冲突。
●通过历史接入记录查看终端的所有接入历史信息。
●根据IP/MAC实时查找终端的接入位置。
●通过异常接入日志查看异常接入及处理信息。
4.2应用方式(使用指导)
点击进入资源>
IP地址分配页面,如下图:
图4-1IP地址分配
点击自动扫描连接,弹出如下界面:
图4-2IP地址分配自动扫描配置
输入扫描网段,点击确定开始扫描。
图4-3IP地址分配自动扫描结果
针对扫描结果完成分配。
IP/MAC绑定页面,如下图:
图4-1IP/MAC绑定
图4-2IP/MAC绑定自动扫描
针对扫描结果完成绑定。
(3)限制某个终端只能通过特定的交换机接口接入网络
>
终端准入配置>
终端准入绑定页面,如下图:
图4-1终端准入绑定
如果要限制的终端未接入到网络,则使用手工输入的方式配置终端准入绑定,如下图:
图4-2终端准入绑定手工配置
如果要限制的终端已经接入到网络,可以使用自动扫描方式,首先扫描出终端的接入位置,而后进行绑定,如下图:
图4-3终端准入绑定自动扫描配置
图4-4终端准入绑定自动扫描结果
(4)限制某个交换机接口只允许特定的终端接入
交换机准入绑定页面,如下图:
图4-1交换机准入绑定
如果交换机接口没有连接允许接入的终端,则使用手工输入的方式配置交换机准入绑定,如下图:
图4-2交换机准入绑定手工配置
图4-3交换机准入绑定手工配置终端
如果交换机接口已经连接了允许接入的终端,可以使用自动扫描方式,首先扫描出交换机接口上连接的终端,而后进行绑定,如下图:
图4-4交换机准入绑定自动扫描配置
图4-5交换机准入绑定自动扫描结果
(5)对终端和交换机接口进行一对一双向限制
按照4.2.3和4.2.4分别对终端和交换机接口进行配置。
(6)配置免认证终端
如果要配置的终端未接入到网络,则使用手工输入的方式配置终端为免认证,如下图:
图4-2终端准入绑定-免认证
如果要配置的终端已经接入到网络,可以使用自动扫描方式,首先扫描出终端的接入位置,而后配置终端为免认证,如下图:
图4-3终端准入绑定自动扫描
(7)配置接入处理策略
终端异常处理策略页面,如下图:
图4-1终端异常处理策略
注:
对于非法接入,无需配置,自动记录异常接入日志。
(8)查看异常接入日志
异常接入日志页面进行查看。
(9)配置历史接入记录
历史接入记录页面进行查看。
(10)实时定位
实时定位页面,如下图:
图4-1实时定位
输入要定位的终端的IP地址或者MAC地址,点击确定,进行定位。
4.3应用举例
下面以终端W00905F(MAC:
00:
13:
72:
f6:
b4:
a0IP:
10.153.89.48)为例,介绍一个终端免认证功能的应用场景,如下图:
图4-1网络拓扑
将终端W00905F配置为一个免认证终端,使其可以通过网络中的任何交换机接口接入,并且除W00905F外,其他任何终端都不能接入到网络,步骤如下:
首先配置W00905F为免认证。
W00905F已经接入到网络,通过自动扫描方式进行配置;
图4-2终端准入绑定自动扫描
选择自动扫描的设备(如果不选,则扫描所有网管设备),点击确定按钮。
图4-3终端准入绑定自动扫描结果
选中终端W00905F,将免认证设置为“是”,点击绑定按钮,配置免认证完成。
其次配置接入处理策略。
配置接入处理策略中未知接入处理策略如下:
图4-4终端接入异常处理策略
配置完成后,除W00905F外,当iMC发现其他终端接入到网络时,就会按照未知接入处理策略进行处理:
发送告警、记录异常接入日志、延迟180秒关闭接口、关闭接口后延迟180秒恢复接口。
异常接入日志详细信息如下图:
图4-5异常接入日志详细信息
延迟180秒关闭接口、接口关闭后延迟180秒恢复接口的动作处理状态。
4.4注意事项
由于该特性需要关闭、打开交换机接口,所以网管侧对设备操作的SNMP写团体字要配置正确。
5特性实现原理(流程)介绍
二层拓扑模块在收到资源模块发送的刷新设备通知或告警模块发送的设备MAC学习变化告警通知时,根据刷新设备通知或设备MAC学习变化告警通知,计算出MAC到接口的接入记录;
接入记录包括终端MAC、终端IP、终端名称、接入设备接口、接入设备IP等信息;
对接入记录进行合法性检测,步骤如下:
(1)根据终端MAC判断终端是否为免认证终端,如果是免认证终端,处理结束,否则继续。
(2)根据接入设备接口、终端MAC,判断接入记录是否符合交换机准入绑定,如果符合,则处理结束,否则继续;
根据接入设备接口、终端MAC,判断接入记录是否符合终端准入绑定,如果符合,则处理结束,否则继续;
如果接入记录同交换机准入绑定冲突或者同终端准入绑定冲突,则跳转到(3)处理,否则跳转到(4)处理。
(3)记录异常接入日志,获取冲突异常处理策略,根据冲突异常处理策略配置发送告警、(延迟)关闭接口、延迟恢复接口。
(4)获取未知接入处理策略,判断未知接入处理策略中未知接入是否合法的配置,如果配置为合法,则处理结束;
如果配置为非法,记录异常接入日志,根据未知接入处理策略配置发送告警、(延迟)关闭接口、延迟恢复接口。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- iMC终端准入管理 特性说明书 iMC 终端 准入 管理 特性 说明书