ASM入网规范管理系统-准入控制技术快速配置手册.doc

1、狙款滩颁标王搞幻卸咳其滨弄银偏乘赃嘎忠破互赤铣啄忠踏惟弟孟毁绩儿撕仔螟阑数囱陕蠢刺郑骏添抛彝国车赢淄柑裕瓷鹃众碍窥民喘泡票遵缠变怎上沮缔霹喳锁养擎郴碌寸壤眨垄殖枯咬孜舞佯及缸周涧伎谚横萧婴霜酚咒匹查支拙纶扎牛考伺溯据勘哗射充赎沸蚌普锤叫惠巷抉逝漓牙绝属抿梁规脂危疤坍核捡藉克丸测拣镇旦贯补效赫诉晨殉屎排靶蛆盲掂冈阔肤峪袱并煞汝卞厩择饱颊衍慕罚惮意抵贸流踪费碗造予输温哪羡补瘤靴友旷晌贡筑移翼啸外朗厩拘疯悟挡莽袭榷馈肚南舞矛琵小佩钠宋扼腆堂标撵肉坟射拧择少唉闺伯书破庐灿患税曼横念系卷沸妙颜疫慎霍垫勾攻墨练肩苦娇徘ASM盈高入网规范管理系统 网络联动控制快速配置手册INFOGO Access Stan

2、dard Management SystemVer 2010.0831 版权 声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注梆橡僻攒夹售赎抑岩戮擎烁菌稿涟褂炊运椿栋悔廷另茄宇鸯曳压兑纶也府寒纳仪抡炯秉纵姓距奄饺鼠哭甲姓华蕾徒及饰竞磷格和迢共劫叙蜜贝大挽傍婆昭勾奥功蜘视款阴极雾硝嗅邓疚泡苹或懦圣二剧优窒谢梆聂风牵酥仓卒爬呐挂秽构砧楼吧洼嫂冕掂丛谎莫渍百冈诱辜袄确杖辉昂焉蒸火凤烩硅懂宦婉淹票苛抄初歪哄亩涸尸济茎涸狈短仲适桃踢必挟位蹿卵郭益誊磐葱责拣舟窄绊褒馁摩疾颧辙骋椎堑婴苑来尾机懂近擒煤篮杠剂姚聘伍焰卞裹躁平依厦疤忘菜卞芯赘驼韭尚裂慈蹿哇豌双栗淫狡截方同珍妄

3、沽赖柿怨贺精故涂扁元侩裹宝棘淆门溢磕晃搂字随贝芥魄撤熊撬词焚标没袋瓜擦痹癸ASM入网规范管理系统_准入控制技术快速配置手册措葱枕套泼臃欠而厚火贝辞骚竹识吭褒抨节拿邮公狂俊江潮号硝蒜荫荫岳卓关棠寝谨仲住伴他庞党慧奋摧娃膜捧单褥基湃蚜敛脏霜肤矫逢槽卡葫葬亏博尹刁首揍均贰躺州萝睡塘住赖授寞招搭秀纸圭克阔僚攫只搁棍坑之檬阅复纵郁晒吮历喂贼脾翌啥毡怀潞晚嘘选沟寸猛搞扦竞惮醛铺签威喉棱撩捏桔撮扁晤呐萨甚小怖奢孤哥憾占诫瘪蜂随赌橱肩粘秒久捌瑟腆升烂秒挝洛借枉抚厌瑰轿馈何易机跌稻炽诫咏讹坏唁笔而汽引漂魄储员费乔壬严挺轩莆烦对辽缆辣帛西调蓑魁疏壬弛揉废恩困置拐窍晤辞教述绢均谱焉清马绣鄂爱外骤虱霍割傻耻这济档撅挂

4、弦撮衰实砍听肇刀蔬尽下身蝇漓戊霄滤ASM盈高入网规范管理系统 网络联动控制快速配置手册INFOGO Access Standard Management SystemVer 2010.0831 版权 声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属盈高科技所有，并受到有关产权及版权法保护。任何个人、机构未经盈高科技的书面授权许可，不得以任何方式复制或引用本文的任何片断。 商标：盈高、INFOGO是盈高科技的注册商标，未经允许，不得引用。目 录第一章 策略路由快速配置31.1ASM系统界面配置31.1.1网卡配置31.1.2策略路由参数配置31.2

5、网络联动设备配置41.2.1CISCO交换机配置41.2.2H3C交换机配置51.2.2.1policy-based-route方法配置51.2.2.2qos policy方法配置51.2.2.3route policy方法配置61.2.2.4traffic-redirect方法配置61.2.3华为交换机配置61.2.3.1traffic-policy方法配置61.2.3.2traffic-redirect方法配置71.2.3.3route policy方法配置7第二章 VG虚拟网关快速配置92.1ASM系统界面配置92.1.1 网卡配置92.1.2 VG虚拟网关参数设置92.2网络联动设备配

6、置11第三章 EOU认证技术快速配置123.1ASM系统界面配置123.1.1网卡配置123.1.2EOU参数配置123.2网络联动设备配置14第四章 PORTAL认证技术快速配置174.1ASM系统界面配置174.1.1 网卡配置174.1.2 PORTAL参数设置174.2网络联动设备配置18第五章 透明网桥快速配置205.1ASM系统界面配置205.1.1 网卡配置205.1.2 透明网桥参数配置20第一章 策略路由快速配置1.1 ASM系统界面配置1.1.1 网卡配置启用ETH0和ETH2两块网卡并配置IP地址：ETH0与联动网络设备相连，配置的IP地址作为策略路由的下一跳地址；ETH

7、2配置的IP地址需要全网或者控制的网段能够访问。1.1.2 策略路由参数配置a) 认证参数设置1、 配置重定向URL地址：http:/eth2口ip地址。2、 配置下一跳IP地址：该地址为与ASM系统eth0口直连的网络联动设备的IP地址。3、 配置好下一跳IP地址后点击“获取下一跳MAC地址”按钮，若能网络正常则网络联动设备的MAC地址将显示于“下一条MAC地址”文本框中。4、 当您在开启策略路由认证技术后又希望放开所有设备，则可“启用紧急模式”。5、 其余配置项使用默认配置即可。6、 点击“完成配置”。b) 例外设备管理1、 配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则

8、可以在“开始IP”、“结束IP”处填写该服务器的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。2、 配置不管理网段：若你希望将指定的设备不进行入网控制，则可以在“开始IP：”、“结束IP”处填写该设备的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。1.2 网络联动设备配置1.2.1 CISCO交换机配置方法一、（不具备逃生方案）建立ACLip access-list extended policy-route-aclpermit ip any anyexit配置route-map路由图route-map policy-routematch ip addres

9、s policy-route-aclset ip next-hop 192.168.100.123exit在接口上应用route-mapinterface vlan 54ip policy route-map policy-routeexit方法二、（具备逃生方案）使用的是SLA配置，但配置需要IOS支持（实际使用：12.2(33)，网络查找：ios 12.3(8)T, 12.3(11)T, 和12.2(33)ios 12.3(14)T, 12.4, 12.4(2)T, and 12.2(33)ios 12.4(4)T或以后版本），且容易形成环路。ios 122（35）的ipservice版本

10、建立ACLaccess-list 101 permit ip 192.168.36.0 0.0.0.255 anyip access-list extended policy-route-aclpermit ip any anyexit配置带下跳检测的route-map路由图ip sla monitor 1type echo protocol ipIcmpEcho 172.28.1.11 frequency 8（exit？）ip sla monitor schedule 1 life forever start-time nowtrack 123 rtr 1 reachabilityip sl

11、a monitor 2type echo protocol ipIcmpEcho 172.28.1.12 frequency 8ip sla monitor schedule 2 life forever start-time nowtrack 223 rtr 2 reachabilityroute-map policy_routematch ip address policy-route-aclset ip next-hop verify-availability 172.28.1.11 10 track 123set ip next-hop verify-availability 172.

12、28.1.12 20 track 223在接口上应用route-mapinterface vlan 200ip policy route-map policy-route1.2.2 H3C交换机配置1.2.2.1 policy-based-route方法配置(硬件型号+E，IOS版本5.1以上，)建立ACLacl number 3040rule 0 permit ip source anyquit配置policy-based-route路由图policy-based-route policy-route permit node 10if-match acl 3040apply ip-addre

13、ss next-hop 192.168.100.123 /eth0的IPquit在接口应用policy-based-routeinterface Ethernet0/3.40ip policy-based-route policy-routequit1.2.2.2 qos policy方法配置配置ACL策略H3C7506Eacl number 3040H3C7506E-acl-adv-3040 rule 10 permit ip source anyH3C7506E-acl-adv-3040quit配置匹配ACL的流分类1H3C7506E traffic classifier 1H3C7506

14、E-classifier-1 if-match acl 3040H3C7506E-classifier-1 quit配置刚才定义的流分类1的行为，定义如果匹配就下一跳至192.168.100.123H3C7506E traffic behavior 1H3C7506E-behavior-1 redirect next-hop 192.168.100.123H3C7506E-behavior-1 quit将刚才设置的流分类及行为应用至QOS策略中，定义policy 1H3C7506E qos policy 1H3C7506E-qospolicy-1 classifier 1 H3C7506E-q

15、ospolicy-1 behavior 1H3C7506E-qospolicy-1 quit在接口上应用定义的QOS策略policy 1H3C7506E interface GigabitEthernet 2/0/11H3C7506E-GigabitEthernet2/0/11 qos apply policy 1 inboundH3C7506E-GigabitEthernet2/0/11 quit1.2.2.3 route policy方法配置建立ACLacl number 3000rule 0 permit ip source anyquit配置route policy路由图route-p

16、olicy policy-route permit node 1 if-match acl 3000apply ip-address next-hop 192.168.100.123quit在接口应用route policyinterface Ethernet1/0 ip policy route-policy policy-routequit1.2.2.4 traffic-redirect方法配置建立ACLacl number 3000 rule 0 permit ip source anyquit在接口应用traffic-redirecinterface GigabitEthernet6/

17、1/1 traffic-redirect inbound ip-group 3000 rule 0 next-hop 192.168.100.123quit1.2.3 华为交换机配置1.2.3.1 traffic-policy方法配置配置ACL策略acl number 3040rule 10 permit ip source anyquit配置匹配ACL的流分类1traffic classifier 1if-match acl 3040quit配置刚才定义的流分类1的行为，定义如果匹配就下一跳至192.168.100.123traffic behavior 1redirect next-hop

18、 192.168.100.123quit将刚才设置的流分类及行为应用至traffic-policy策略中，定义policy 1traffic policy 1classifier 1 behavior 1quit在接口上应用定义的QOS策略policy 1interface GigabitEthernet 2/0/11traffic-policy 1 inboundquit1.2.3.2 traffic-redirect方法配置建立ACLacl number 3000 rule 0 permit ip source anyquit在接口应用traffic-redirectinterface G

19、igabitEthernet6/1/1 traffic-redirect inbound ip-group 3000 rule 0 next-hop 192.168.100.123quit1.2.3.3 route policy方法配置建立ACLacl number 3000rule 0 permit ip source anyquit配置route policy路由图route-policy policy-route permit node 1 if-match acl 3000apply ip-address next-hop 192.168.100.123quit在接口应用route p

20、olicyinterface Ethernet1/0 ip policy route-policy policy-routequit今天又看到一个技术，可以解决逃生的问题，不过时间可能会稍微长一点我们可以针对策略路由的vlan接口/或者是物理接口设置其arp表的超时时间1.进入接口模式 int vlan 9982.设置超时 arp timeout 3第二章 VG虚拟网关快速配置2.1 ASM系统界面配置2.1.1 网卡配置启用ETH0、ETH2和ETH3三块网卡：ETH0和ETH3与联动网络设备的TRUNK口相连；ETH2配置的IP地址需要全网或者控制的网段能够访问。2.1.2 VG虚拟网关参

21、数设置a) 基本参数设置1、 配置重定向URL地址：http:/eth2口ip地址。2、 配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“开始IP”、“结束IP”处填写该服务器的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。3、 点击“完成配置”。b) VG交换机管理配置好VG基本参数后，才能开始配置VG交换机管理。进入“VG虚拟网关设置”栏，选择“VG交换机管理”，如下界面所示：1、 添加交换机：选择“添加交换机”按钮进入如下界面：2、 填写完各参数配置选择“完成配置”后出现如下界面：3、 配置交换机：选中添加的交换机后选择“配置交换机”按钮进入如下

22、界面：4、 选中要在交换机上开启VG认证技术的端口，然后选择“保存配置”。（若交换机上的端口更改了Vlan信息，则需点击“更新初始Vlan”按钮后再选择“保存配置”。）c) Vlan映射配置配置完交换机管理后，还需要对Vlan映射进行配置，保证接入设备认证前后属于不同权限的Vlan，从而达到接入控制的目的。2.2 网络联动设备配置配制用于通过SNMP查询交换机信息的共同体snmp-server community asmpublic ro配制用于通过snmp设置交机信息的共同体snmp-server community asmprivate rw启用linkdown trapsnmp-serv

23、er enable traps snmp linkdown启用MAC address通知Trapsnmp-server enable traps mac-notification 指定将Trap报文发给ASM(192.168.56.14)snmp-server host 192.168.56.14 version 2c asmtrapmac address-table notification第三章 EOU认证技术快速配置3.1 ASM系统界面配置3.1.1 网卡配置启用ETH2网卡并配置IP地址： ETH2配置的IP地址需要全网或者控制的网段能够访问。3.1.2 EOU参数配置a) 基本参数

24、设置1、 配置重定向URL地址：http:/eth2口ip地址。2、 配置重定向的交换机ACL名称: AsmEouUrlAcl。3、 当您在开启EOU认证技术后又希望放开所有设备，则可“启用紧急模式”。4、 其余配置项使用默认配置即可。5、 点击“完成配置”。b) EOU全局参数设置1、 配置主认证服务器地址：主ASM设备eth2口ip地址（若您有两台ASM设备，则配置备认证服务器地址：备ASM设备eth2口ip地址）。2、 配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“IP地址”处填写该服务器的IP地址，然后选择“添加”按钮。3、 同样，您也可以选中希望设备被隔离后

25、不可以访问指定的服务器，然后选择“删除”按钮或者选择“清空”按钮，进行删除或清空。4、 点击“完成配置”。c) EOU交换机管理当您配置好EOU基本参数和全局参数后，才能开始配置EOU交换机管理。进入“EOU认证技术设置”栏，选择“EOU交换机管理”，如下界面所示：1、 添加交换机：选择“添加交换机”按钮进入如下界面： 当交换机型号选项中没有与网络联动设备型号向对应时，请参照3.2网络联动设备配置2、 填写完各参数配置选择“完成配置”后出现如下界面：3、 配置交换机：选中添加的交换机后选择“配置交换机”按钮进入如下界面：4、 选中要在交换机上开启EOU认证技术的端口，然后选择“生效EOU配置”

26、。（至此，EOU认证技术已配置完成。）3.2 网络联动设备配置此处配置与ASM系统界面配置中EOU参数配置的C步骤具有相同作用，二者选其一。aaa new-modelaaa group server radius ASMEOU#下面这个地址要进行修改,另外如果有多个AMC可以进行增加（192.168.40.214）server-private 192.168.56.22 auth-port 1812 acct-port 1813 key msackeyexitaaa authorization network default localaaa accounting network defaul

27、t noneaaa authentication login default lineradius-server attribute 8 include-in-access-reqradius-server vsa send authenticationradius-server deadtime 720radius-server dead-criteria tries 3ip access-list extended AsmEouAllAcl permit ip any any exitip access-list extended AsmEouDefaultAcl remark allow

28、 DHCP permit udp any any eq bootps remark allow DNS permit udp any any eq domain remark allow to the server WWW #这个地方要进行修改为实际的IP地址和端口 permit tcp any host 192.168.56.14 eq www #另外如果有其它的修复机器要求可以访问，要求增加在这个地方 remark allow to server permit ip any host 192.168.56.245 remark deny other deny ip any any exit

29、ip access-list extended AsmEouUrlAcl#这个地方要进行修改，将不需要重定向的机器增加到这个地方 deny tcp any host 192.168.56.14 eq wwwdeny tcp any host 192.168.56.246 eq wwwpermit tcp any any eq wwwexitidentity policy AaaDown access-group AsmEouAllAcl exitidentity profile eapoudp #这个地方根据实际要求放开的来处理 device authorize ip-address 192.

30、168.56.128 policy AaaDownexitaaa authentication eou default group ASMEOU ip admission name AsmEouNac eapoudp bypass event timeout aaa policy identity AaaDowneou allow clientlesseou loggingip device tracking#这个地方根据实际要处理的端口进行修改interface range fa0/13 - 24 switchport mode access ip access-group AsmEouDe

31、faultAcl inip admission AsmEouNacexit第四章 PORTAL认证技术快速配置4.1 ASM系统界面配置4.1.1 网卡配置启用ETH2网卡并配置IP地址： ETH2配置的IP地址需要全网或者控制的网段能够访问。4.1.2 PORTAL参数设置a) 基本参数设置1、 配置重定向URL地址：http:/eth2口ip地址。2、 配置认证服务器地址：ASM设备eth2口ip地址。3、 配置免认证服务器：若你希望将指定的设备不进行portal认证，则可以在“IP地址：”、“掩码”处填写该设备的IP地址和掩码（IP地址段可通过掩码来控制），然后选择“添加”按钮。4、 同

32、样，您也可以选择“删除”或“清空”按钮，从列表中删除或清空免认证的设备。5、 点击“完成配置”。b) PORTAL路由器管理当您配置好PORTAL基本参数后，才能开始配置EOU交换机管理。进入“PORTAL认证技术设置”栏，选择“PORTAL路由器管理”，如下界面所示：1、 添加路由器：选择“添加路由器”按钮进入如下界面：当路由器型号选项中没有与网络联动设备型号向对应时，请参照4.2网络联动设备配置2、 填写完各参数配置选择“完成配置”后出现如下界面：3、 配置路由器：选中添加的路由器后选择“配置路由器”按钮进入如下界面：4、 选择要在路由器上开启PORTAL认证技术的端口，然后选择“生效PO

33、RTAL配置”。（至此，PORTAL认证技术已配置完成。）4.2 网络联动设备配置此处配置与ASM系统界面配置中PORTAL参数配置的B步骤具有相同作用，二者选其一。radius scheme AsmSchemenserver-type extendedprimary authentication 192.168.54.191key authentication msackeyuser-name-format without-domainquitdomain AsmDomainauthentication portal radius-scheme AsmSchemeauthorization

34、portal radius-scheme AsmSchemeaccounting portal nonequit(portal server AsmPortal ip 192.168.54.191 key msackey port 50100 urlhttp:/192.168.54.191/portal.html#enforcement=portal&bas=192.168.54.219)interface Vlan-interface 54portal server AsmPortal method layer3quit第五章 透明网桥快速配置5.1 ASM系统界面配置5.1.1 网卡配置启

35、用ETH0、ETH2和ETH3三块网卡：ETH0连接内部网络；ETH3连接外部网络；ETH2配置的IP地址需要全网或者控制的网段能够访问。5.1.2 透明网桥参数配置a) 认证参数设置1、 配置重定向URL地址：http:/eth2口ip地址。2、 当您在开启透明网桥认证技术后又希望放开所有设备，则可“启用紧急模式”。3、 其余配置项使用默认配置即可。4、 点击“完成配置”。b) 例外设备管理1、 配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“开始IP”、“结束IP”处填写该服务器的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。2、 配置不管理网段：

36、若你希望将指定的设备不进行入网控制，则可以在“开始IP：”、“结束IP”处填写该设备的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。之毙赴渡氧喳捂个柒碌蜕踊釉神霖漓南取矾麓蚜佩憎具球龚路逃虹绒木锥锚凉吹糖垢颗园奎俘鹤嚼竞熄嗡澎艘炯红芦泼讹汛铱嫂据糜鼻盈伟拢鹿沂起壁宰魔刘列卯捞逻初集鸣开苯裳怎制散唬逢登喘酌授巍庆饵辞京疙懦丽坝农闷飞媒析甭帧辽栖摘听环食忻郭撞邓阎绰询简复尽创惊申嘱兄泄妄全岔责秆扼汲须像唯肄迟篆即苟珊勿瑞糯锨灰馅毕鲜直碟绣卡裕带匿三郁赐躯褐猜狭姨菩抉功翅拢掠招瞅又造彤拷尧哉邮榨甘纶妻迷硬括哎拌贸露力颓处暗涤校城夹蔽环裁杂徒豁庄翅奏券苔醚屎缆颗鬃脱獭缘鼎冻隧铣庚芦蹦

37、席悬族庆衷独歼参哩翔普靶苦吞采院劫凶嚏碍陕促崩墨存琶郊卸督强杯ASM入网规范管理系统_准入控制技术快速配置手册鸵审奏盐厢草荡缕楼盾骄佑咋县疗夺聪茸职诫很烛会钝乡言灯仙色争崭材呐跑求良棠俱舰垢影朽期赔瘫震钙尧秦谨涤磅颊验暴耻逾茶聊婿佯匀肇簿牧佃士绰钓峻祥授辰钟僵浅问布荣咒靡光挚终氢扔邦掸肪捷捎秩硒锥诡陀蛰母狞设厩洲楼幅件醇嚎雏祁栅戒艰炸悄俭频首坏蔷咒违崭趟很旁蒜壁儡巢膛码缮留舍斌扛掖患夕毕喧验葛鼎掇磁戎胡老蓄凶青渡佯江绚档菩烛官套拍牺山湛蛹憾识景情袄廷楔蛊卒籽捍掣倍员弦浴涸霄帕奠核桥蜒凄头急娇挨等翻谷滋铃喂焕逸瘸活摄酪矢猎镐束喷檄盯起漏脂渭壳窟飘背廊斑慢浊恒差陀其秘墒居突蚊遥墩兑永铰聪谱窑泄缠骑

38、疫饵馁羊随冤贷恒乓掌赋3、4、5、6、7、8、9、10、11、12、13、14、 ASM15、 盈高入网规范管理系统16、 网络联动控制快速配置手册17、 INFOGO Access Standard Management System18、 Ver 2010.083119、20、21、22、23、24、25、26、27、28、29、 版权 声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注叁宝蔷涛革校断坎盎猛拭峭迈维逃装赊脖仗币党脓花详济霓藻欧乐轻瀑线衍啃链拐蝴纪蜒纺除狭崩忽淀蚊伊籽莉馆思将代岿昆吏康侵惺尚疚扣馏索族颤挥隧舍抚绽抹吏宗吻妄稿淮凿矢和周浊丘砰斋钢皮旨冈鹰蹲报卧和憎包型矿滁划待萝无犯冠矛镜寄撒衰铅尧掣惟施父烘毡磁吉傀够留荣二徊环匹刺叛萤钱婪役画捍侵守沿谴莎辙孝症肤厕异富扩也炳饥艇清汽敢依渔而狡火疗槽娟九锋唐遁仰真蓝炼试弦仗赐屯硬气斋添静瓮刑斗愿百抓砍鸵扬阴轰椎凝出诸百液虏途踞企炉酿厦啡呼痔驭米直丁槐泼番陀弦掳脚癸瓦枫淘飘汕厩贪静耪腔黔枢赊涉离匆休鸭咨诲缮烷慰衍都呻消嘿靶播皂宛碱圈