ASM入网规范管理系统-准入控制技术快速配置手册.doc

1、狙款滩颁标王搞幻卸咳其滨弄银偏乘赃嘎忠破互赤铣啄忠踏惟弟孟毁绩儿撕仔螟阑数囱陕蠢刺郑骏添抛彝国车赢淄柑裕瓷鹃众碍窥民喘泡票遵缠变怎上沮缔霹喳锁养擎郴碌寸壤眨垄殖枯咬孜舞佯及缸周涧伎谚横萧婴霜酚咒匹查支拙纶扎牛考伺溯据勘哗射充赎沸蚌普锤叫惠巷抉逝漓牙绝属抿梁规脂危疤坍核捡藉克丸测拣镇旦贯补效赫诉晨殉屎排靶蛆盲掂冈阔肤峪袱并煞汝卞厩择饱颊衍慕罚惮意抵贸流踪费碗造予输温哪羡补瘤靴友旷晌贡筑移翼啸外朗厩拘疯悟挡莽袭榷馈肚南舞矛琵小佩钠宋扼腆堂标撵肉坟射拧择少唉闺伯书破庐灿患税曼横念系卷沸妙颜疫慎霍垫勾攻墨练肩苦娇徘 ASM 盈高入网规范管理系统 网络

2、联动控制快速配置手册 INFOGO Access Standard Management System Ver 2010.0831 版权 声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注梆橡僻攒夹售赎抑岩戮擎烁菌稿涟褂炊运椿栋悔廷另茄宇鸯曳压兑纶也府寒纳仪抡炯秉纵姓距奄饺鼠哭甲姓华蕾徒及饰竞磷格和迢共劫叙蜜贝大挽傍婆昭勾奥功蜘视款阴极雾硝嗅邓疚泡苹或懦圣二剧优窒谢梆聂风牵酥仓卒爬呐挂秽构砧楼吧洼嫂冕掂丛谎莫渍百冈诱辜袄确杖辉昂焉蒸火凤烩硅懂宦婉淹票苛抄初歪哄亩涸尸济茎涸狈短仲适桃踢必挟位蹿卵郭益誊磐葱责

3、拣舟窄绊褒馁摩疾颧辙骋椎堑婴苑来尾机懂近擒煤篮杠剂姚聘伍焰卞裹躁平依厦疤忘菜卞芯赘驼韭尚裂慈蹿哇豌双栗淫狡截方同珍妄沽赖柿怨贺精故涂扁元侩裹宝棘淆门溢磕晃搂字随贝芥魄撤熊撬词焚标没袋瓜擦痹癸ASM入网规范管理系统_准入控制技术快速配置手册措葱枕套泼臃欠而厚火贝辞骚竹识吭褒抨节拿邮公狂俊江潮号硝蒜荫荫岳卓关棠寝谨仲住伴他庞党慧奋摧娃膜捧单褥基湃蚜敛脏霜肤矫逢槽卡葫葬亏博尹刁首揍均贰躺州萝睡塘住赖授寞招搭秀纸圭克阔僚攫只搁棍坑之檬阅复纵郁晒吮历喂贼脾翌啥毡怀潞晚嘘选沟寸猛搞扦竞惮醛铺签威喉棱撩捏桔撮扁晤呐萨甚小怖奢孤哥憾占诫瘪蜂随赌橱肩粘秒久捌瑟腆升烂秒挝洛借枉抚厌瑰轿馈何易机跌稻炽诫咏讹坏唁笔而

4、汽引漂魄储员费乔壬严挺轩莆烦对辽缆辣帛西调蓑魁疏壬弛揉废恩困置拐窍晤辞教述绢均谱焉清马绣鄂爱外骤虱霍割傻耻这济档撅挂弦撮衰实砍听肇刀蔬尽下身蝇漓戊霄滤 ASM 盈高入网规范管理系统 网络联动控制快速配置手册 INFOGO Access Standard Management System Ver 2010.0831 版权 声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属盈高科技所有，并受到有关产权及版权法保护。任何个人、机构未经盈高科技的书面授权许可，不得以任

5、何方式复制或引用本文的任何片断。 商标：盈高、INFOGO是盈高科技的注册商标，未经允许，不得引用。 目 录 第一章 策略路由快速配置 3 1.1 ASM系统界面配置 3 1.1.1 网卡配置 3 1.1.2 策略路由参数配置 3 1.2 网络联动设备配置 4 1.2.1 CISCO交换机配置 4 1.2.2 H3C交换机配置 5 1.2.2.1 policy-based-route方法配置 5 1.2.2.2 qos policy方法配置 5 1.2.2.3 route policy方法配置 6 1.2.2.4 traffic-redirec

6、t方法配置 6 1.2.3 华为交换机配置 6 1.2.3.1 traffic-policy方法配置 6 1.2.3.2 traffic-redirect方法配置 7 1.2.3.3 route policy方法配置 7 第二章 VG虚拟网关快速配置 9 2.1 ASM系统界面配置 9 2.1.1 网卡配置 9 2.1.2 VG虚拟网关参数设置 9 2.2 网络联动设备配置 11 第三章 EOU认证技术快速配置 12 3.1 ASM系统界面配置 12 3.1.1 网卡配置 12 3.1.2 EOU参数配置 12 3.2 网络联动设备配置 14 第四章 PORTAL

7、认证技术快速配置 17 4.1 ASM系统界面配置 17 4.1.1 网卡配置 17 4.1.2 PORTAL参数设置 17 4.2 网络联动设备配置 18 第五章 透明网桥快速配置 20 5.1 ASM系统界面配置 20 5.1.1 网卡配置 20 5.1.2 透明网桥参数配置 20 第一章 策略路由快速配置 1.1 ASM系统界面配置 1.1.1 网卡配置 启用ETH0和ETH2两块网卡并配置IP地址：ETH0与联动网络设备相连，配置的IP地址作为策略路由的下一跳地址；ETH2配置的IP地址需要全网或者控制的网段能够访问。 1.1.2 策略路由参数配置

8、a) 认证参数设置 1、 配置重定向URL地址：http://eth2口ip地址。 2、 配置下一跳IP地址：该地址为与ASM系统eth0口直连的网络联动设备的IP地址。 3、 配置好下一跳IP地址后点击“获取下一跳MAC地址”按钮，若能网络正常则网络联动设备的MAC地址将显示于“下一条MAC地址”文本框中。 4、 当您在开启策略路由认证技术后又希望放开所有设备，则可“启用紧急模式”。 5、 其余配置项使用默认配置即可。 6、 点击“完成配置”。 b) 例外设备管理 1、 配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“开始IP”、“结束IP”处

9、填写该服务器的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。 2、 配置不管理网段：若你希望将指定的设备不进行入网控制，则可以在“开始IP：”、“结束IP”处填写该设备的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。 1.2 网络联动设备配置 1.2.1 CISCO交换机配置 方法一、（不具备逃生方案） 建立ACL ip access-list extended policy-route-acl permit ip any any exit 配置route-map路由图 route-map policy-route match

10、ip address policy-route-acl set ip next-hop 192.168.100.123 exit 在接口上应用route-map interface vlan 54 ip policy route-map policy-route exit 方法二、（具备逃生方案） 使用的是SLA配置，但配置需要IOS支持（实际使用：12.2(33)，网络查找：ios 12.3(8)T, 12.3(11)T, 和12.2(33)ios 12.3(14)T, 12.4, 12.4(2)T, and 12.2(33)ios 12.4(4)T或以后版本），且容易形

11、成环路。ios 122（35）的ipservice版本 建立ACL access-list 101 permit ip 192.168.36.0 0.0.0.255 any ip access-list extended policy-route-acl permit ip any any exit 配置带下跳检测的route-map路由图 ip sla monitor 1 type echo protocol ipIcmpEcho 172.28.1.11 frequency 8 （exit？） ip sla monitor schedule 1 life foreve

12、r start-time now track 123 rtr 1 reachability ip sla monitor 2 type echo protocol ipIcmpEcho 172.28.1.12 frequency 8 ip sla monitor schedule 2 life forever start-time now track 223 rtr 2 reachability route-map policy_route match ip address policy-route-acl set ip next-hop verify-availa

13、bility 172.28.1.11 10 track 123 set ip next-hop verify-availability 172.28.1.12 20 track 223 在接口上应用route-map interface vlan 200 ip policy route-map policy-route 1.2.2 H3C交换机配置 1.2.2.1 policy-based-route方法配置(硬件型号+E，IOS版本5.1以上，) 建立ACL acl number 3040 rule 0 permit ip source any quit 配置polic

14、y-based-route路由图 policy-based-route policy-route permit node 10 if-match acl 3040 apply ip-address next-hop 192.168.100.123 //eth0的IP quit 在接口应用policy-based-route interface Ethernet0/3.40 ip policy-based-route policy-route quit 1.2.2.2 qos policy方法配置 配置ACL策略 [H3C7506E]acl number 3040 [H3

15、C7506E-acl-adv-3040] rule 10 permit ip source any [H3C7506E-acl-adv-3040]quit 配置匹配ACL的流分类1 [H3C7506E] traffic classifier 1 [H3C7506E-classifier-1] if-match acl 3040 [H3C7506E-classifier-1] quit 配置刚才定义的流分类1的行为，定义如果匹配就下一跳至192.168.100.123 [H3C7506E] traffic behavior 1 [H3C7506E-behavior-1] redi

16、rect next-hop 192.168.100.123 [H3C7506E-behavior-1] quit 将刚才设置的流分类及行为应用至QOS策略中，定义policy 1 [H3C7506E] qos policy 1 [H3C7506E-qospolicy-1] classifier 1 [H3C7506E-qospolicy-1] behavior 1 [H3C7506E-qospolicy-1] quit 在接口上应用定义的QOS策略policy 1 [H3C7506E] interface GigabitEthernet 2/0/11 [H3C7506E-G

17、igabitEthernet2/0/11] qos apply policy 1 inbound [H3C7506E-GigabitEthernet2/0/11] quit 1.2.2.3 route policy方法配置 建立ACL acl number 3000 rule 0 permit ip source any quit 配置route policy路由图 route-policy policy-route permit node 1 if-match acl 3000 apply ip-address next-hop 192.168.100.123 q

18、uit 在接口应用route policy interface Ethernet1/0 ip policy route-policy policy-route quit 1.2.2.4 traffic-redirect方法配置 建立ACL acl number 3000 rule 0 permit ip source any quit 在接口应用traffic-redirec interface GigabitEthernet6/1/1 traffic-redirect inbound ip-group 3000 rule 0 next-hop 192.168.1

19、00.123 quit 1.2.3 华为交换机配置 1.2.3.1 traffic-policy方法配置 配置ACL策略 acl number 3040 rule 10 permit ip source any quit 配置匹配ACL的流分类1 traffic classifier 1 if-match acl 3040 quit 配置刚才定义的流分类1的行为，定义如果匹配就下一跳至192.168.100.123 traffic behavior 1 redirect next-hop 192.168.100.123 quit 将刚才设置的流分类及行为应用至t

20、raffic-policy策略中，定义policy 1 traffic policy 1 classifier 1 behavior 1 quit 在接口上应用定义的QOS策略policy 1 interface GigabitEthernet 2/0/11 traffic-policy 1 inbound quit 1.2.3.2 traffic-redirect方法配置 建立ACL acl number 3000 rule 0 permit ip source any quit 在接口应用traffic-redirect interface GigabitEt

21、hernet6/1/1 traffic-redirect inbound ip-group 3000 rule 0 next-hop 192.168.100.123 quit 1.2.3.3 route policy方法配置 建立ACL acl number 3000 rule 0 permit ip source any quit 配置route policy路由图 route-policy policy-route permit node 1 if-match acl 3000 apply ip-address next-hop 192.168.100.123

22、 quit 在接口应用route policy interface Ethernet1/0 ip policy route-policy policy-route quit 今天又看到一个技术，可以解决逃生的问题，不过时间可能会稍微长一点 我们可以针对策略路由的vlan接口/或者是物理接口设置其arp表的超时时间 1.进入接口模式 int vlan 998 2.设置超时 arp timeout 3 第二章 VG虚拟网关快速配置 2.1 ASM系统界面配置 2.1.1 网卡配置 启用ETH0、ETH2和ETH3三块网卡：ETH0和ETH3与联动网络

23、设备的TRUNK口相连；ETH2配置的IP地址需要全网或者控制的网段能够访问。 2.1.2 VG虚拟网关参数设置 a) 基本参数设置 1、 配置重定向URL地址：http://eth2口ip地址。 2、 配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“开始IP”、“结束IP”处填写该服务器的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。 3、 点击“完成配置”。 b) VG交换机管理 配置好VG基本参数后，才能开始配置VG交换机管理。进入“VG虚拟网关设置”栏，选择“VG交换机管理”，如下界面所示： 1、 添加交换机：选择“

24、添加交换机”按钮进入如下界面： 2、 填写完各参数配置选择“完成配置”后出现如下界面： 3、 配置交换机：选中添加的交换机后选择“配置交换机”按钮进入如下界面： 4、 选中要在交换机上开启VG认证技术的端口，然后选择“保存配置”。（若交换机上的端口更改了Vlan信息，则需点击“更新初始Vlan”按钮后再选择“保存配置”。） c) Vlan映射配置 配置完交换机管理后，还需要对Vlan映射进行配置，保证接入设备认证前后属于不同权限的Vlan，从而达到接入控制的目的。 2.2 网络联动设备配置 配制用于通过SNMP查询交换机信息的共同体 snmp-s

25、erver community asmpublic ro 配制用于通过snmp设置交机信息的共同体 snmp-server community asmprivate rw 启用linkdown trap snmp-server enable traps snmp linkdown 启用MAC address通知Trap snmp-server enable traps mac-notification 指定将Trap报文发给ASM(192.168.56.14) snmp-server host 192.168.56.14 version 2c asmtrap mac add

26、ress-table notification 第三章 EOU认证技术快速配置 3.1 ASM系统界面配置 3.1.1 网卡配置 启用ETH2网卡并配置IP地址： ETH2配置的IP地址需要全网或者控制的网段能够访问。 3.1.2 EOU参数配置 a) 基本参数设置 1、 配置重定向URL地址：http://eth2口ip地址。 2、 配置重定向的交换机ACL名称: AsmEouUrlAcl。 3、 当您在开启EOU认证技术后又希望放开所有设备，则可“启用紧急模式”。 4、 其余配置项使用默认配置即可。 5、 点击“完成配置”。 b) EOU全局参数设置

27、1、 配置主认证服务器地址：主ASM设备eth2口ip地址（若您有两台ASM设备，则配置备认证服务器地址：备ASM设备eth2口ip地址）。 2、 配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“IP地址”处填写该服务器的IP地址，然后选择“添加”按钮。 3、 同样，您也可以选中希望设备被隔离后不可以访问指定的服务器，然后选择“删除”按钮或者选择“清空”按钮，进行删除或清空。 4、 点击“完成配置”。 c) EOU交换机管理 当您配置好EOU基本参数和全局参数后，才能开始配置EOU交换机管理。进入“EOU认证技术设置”栏，选择“EOU交换机管理”，如下界面所示

28、 1、 添加交换机：选择“添加交换机”按钮进入如下界面： 当交换机型号选项中没有与网络联动设备型号向对应时，请参照3.2网络联动设备配置 2、 填写完各参数配置选择“完成配置”后出现如下界面： 3、 配置交换机：选中添加的交换机后选择“配置交换机”按钮进入如下界面： 4、 选中要在交换机上开启EOU认证技术的端口，然后选择“生效EOU配置”。（至此，EOU认证技术已配置完成。） 3.2 网络联动设备配置 此处配置与ASM系统界面配置中EOU参数配置的C步骤具有相同作用，二者选其一。 aaa new-model aaa group server radi

29、us ASMEOU #下面这个地址要进行修改,另外如果有多个AMC可以进行增加（192.168.40.214） server-private 192.168.56.22 auth-port 1812 acct-port 1813 key msackey exit aaa authorization network default local aaa accounting network default none aaa authentication login default line radius-server attribute 8 include-in-access-req

30、 radius-server vsa send authentication radius-server deadtime 720 radius-server dead-criteria tries 3 ip access-list extended AsmEouAllAcl permit ip any any exit ip access-list extended AsmEouDefaultAcl remark allow DHCP permit udp any any eq bootps remark allow DNS permit udp any a

31、ny eq domain remark allow to the server WWW #这个地方要进行修改为实际的IP地址和端口 permit tcp any host 192.168.56.14 eq www #另外如果有其它的修复机器要求可以访问，要求增加在这个地方 remark allow to server permit ip any host 192.168.56.245 remark deny other deny ip any any exit ip access-list extended AsmEouUrlAcl #这个地方要进行

32、修改，将不需要重定向的机器增加到这个地方 deny tcp any host 192.168.56.14 eq www deny tcp any host 192.168.56.246 eq www permit tcp any any eq www exit identity policy AaaDown access-group AsmEouAllAcl exit identity profile eapoudp #这个地方根据实际要求放开的来处理 device authorize ip-address 192.168.56.128 policy Aa

33、aDown exit aaa authentication eou default group ASMEOU ip admission name AsmEouNac eapoudp bypass event timeout aaa policy identity AaaDown eou allow clientless eou logging ip device tracking #这个地方根据实际要处理的端口进行修改 interface range fa0/13 - 24 switchport mode access ip access-group AsmEouDe

34、faultAcl in ip admission AsmEouNac exit 第四章 PORTAL认证技术快速配置 4.1 ASM系统界面配置 4.1.1 网卡配置 启用ETH2网卡并配置IP地址： ETH2配置的IP地址需要全网或者控制的网段能够访问。 4.1.2 PORTAL参数设置 a) 基本参数设置 1、 配置重定向URL地址：http://eth2口ip地址。 2、 配置认证服务器地址：ASM设备eth2口ip地址。 3、 配置免认证服务器：若你希望将指定的设备不进行portal认证，则可以在“IP地址：”、“掩码”处填写该设备的IP地址和掩码（IP地

35、址段可通过掩码来控制），然后选择“添加”按钮。 4、 同样，您也可以选择“删除”或“清空”按钮，从列表中删除或清空免认证的设备。 5、 点击“完成配置”。 b) PORTAL路由器管理 当您配置好PORTAL基本参数后，才能开始配置EOU交换机管理。进入“PORTAL认证技术设置”栏，选择“PORTAL路由器管理”，如下界面所示： 1、 添加路由器：选择“添加路由器”按钮进入如下界面： 当路由器型号选项中没有与网络联动设备型号向对应时，请参照4.2网络联动设备配置 2、 填写完各参数配置选择“完成配置”后出现如下界面： 3、 配置路由器：选中添加的路由器后选择“

36、配置路由器”按钮进入如下界面： 4、 选择要在路由器上开启PORTAL认证技术的端口，然后选择“生效PORTAL配置”。（至此，PORTAL认证技术已配置完成。） 4.2 网络联动设备配置 此处配置与ASM系统界面配置中PORTAL参数配置的B步骤具有相同作用，二者选其一。 radius scheme AsmScheme nserver-type extended primary authentication 192.168.54.191 key authentication msackey user-name-format without-domain quit do

37、main AsmDomain authentication portal radius-scheme AsmScheme authorization portal radius-scheme AsmScheme accounting portal none quit (portal server AsmPortal ip 192.168.54.191 key msackey port 50100 url http://192.168.54.191/portal.html#enforcement=portal&bas=192.168.54.219) interface Vlan-i

38、nterface 54 portal server AsmPortal method layer3 quit 第五章 透明网桥快速配置 5.1 ASM系统界面配置 5.1.1 网卡配置 启用ETH0、ETH2和ETH3三块网卡：ETH0连接内部网络；ETH3连接外部网络；ETH2配置的IP地址需要全网或者控制的网段能够访问。 5.1.2 透明网桥参数配置 a) 认证参数设置 1、 配置重定向URL地址：http://eth2口ip地址。 2、 当您在开启透明网桥认证技术后又希望放开所有设备，则可“启用紧急模式”。 3、 其余配置项使用默认配置即可。 4、 点击“

39、完成配置”。 b) 例外设备管理 1、 配置隔离服务器：若您希望设备被隔离后仍然可以访问指定的服务器，则可以在“开始IP”、“结束IP”处填写该服务器的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。 2、 配置不管理网段：若你希望将指定的设备不进行入网控制，则可以在“开始IP：”、“结束IP”处填写该设备的IP地址，然后选择“添加”按钮。同样，选择“删除”按钮进行删除。之毙赴渡氧喳捂个柒碌蜕踊釉神霖漓南取矾麓蚜佩憎具球龚路逃虹绒木锥锚凉吹糖垢颗园奎俘鹤嚼竞熄嗡澎艘炯红芦泼讹汛铱嫂据糜鼻盈伟拢鹿沂起壁宰魔刘列卯捞逻初集鸣开苯裳怎制散唬逢登喘酌授巍庆饵辞京疙懦丽坝农闷飞

40、媒析甭帧辽栖摘听环食忻郭撞邓阎绰询简复尽创惊申嘱兄泄妄全岔责秆扼汲须像唯肄迟篆即苟珊勿瑞糯锨灰馅毕鲜直碟绣卡裕带匿三郁赐躯褐猜狭姨菩抉功翅拢掠招瞅又造彤拷尧哉邮榨甘纶妻迷硬括哎拌贸露力颓处暗涤校城夹蔽环裁杂徒豁庄翅奏券苔醚屎缆颗鬃脱獭缘鼎冻隧铣庚芦蹦席悬族庆衷独歼参哩翔普靶苦吞采院劫凶嚏碍陕促崩墨存琶郊卸督强杯ASM入网规范管理系统_准入控制技术快速配置手册鸵审奏盐厢草荡缕楼盾骄佑咋县疗夺聪茸职诫很烛会钝乡言灯仙色争崭材呐跑求良棠俱舰垢影朽期赔瘫震钙尧秦谨涤磅颊验暴耻逾茶聊婿佯匀肇簿牧佃士绰钓峻祥授辰钟僵浅问布荣咒靡光挚终氢扔邦掸肪捷捎秩硒锥诡陀蛰母狞设厩洲楼幅件醇嚎雏祁栅戒艰炸悄俭频首坏蔷咒

41、违崭趟很旁蒜壁儡巢膛码缮留舍斌扛掖患夕毕喧验葛鼎掇磁戎胡老蓄凶青渡佯江绚档菩烛官套拍牺山湛蛹憾识景情袄廷楔蛊卒籽捍掣倍员弦浴涸霄帕奠核桥蜒凄头急娇挨等翻谷滋铃喂焕逸瘸活摄酪矢猎镐束喷檄盯起漏脂渭壳窟飘背廊斑慢浊恒差陀其秘墒居突蚊遥墩兑永铰聪谱窑泄缠骑疫饵馁羊随冤贷恒乓掌赋 3、 4、 5、 6、 7、 8、 9、 10、 11、 12、 13、 14、 ASM 15、 盈高入网规范管理系统 16、 网络联动控制快速配置手册 17、 INFOGO Access Standard Management System 18、 Ver 2010.0831 19、

42、20、 21、 22、 23、 24、 25、 26、 27、 28、 29、 版权 声明：本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注叁宝蔷涛革校断坎盎猛拭峭迈维逃装赊脖仗币党脓花详济霓藻欧乐轻瀑线衍啃链拐蝴纪蜒纺除狭崩忽淀蚊伊籽莉馆思将代岿昆吏康侵惺尚疚扣馏索族颤挥隧舍抚绽抹吏宗吻妄稿淮凿矢和周浊丘砰斋钢皮旨冈鹰蹲报卧和憎包型矿滁划待萝无犯冠矛镜寄撒衰铅尧掣惟施父烘毡磁吉傀够留荣二徊环匹刺叛萤钱婪役画捍侵守沿谴莎辙孝症肤厕异富扩也炳饥艇清汽敢依渔而狡火疗槽娟九锋唐遁仰真蓝炼试弦仗赐屯硬气斋添静瓮刑斗愿百抓砍鸵扬阴轰椎凝出诸百液虏途踞企炉酿厦啡呼痔驭米直丁槐泼番陀弦掳脚癸瓦枫淘飘汕厩贪静耪腔黔枢赊涉离匆休鸭咨诲缮烷慰衍都呻消嘿靶播皂宛碱圈