ImageVerifierCode 换一换
格式:DOCX , 页数:55 ,大小:2.48MB ,
资源ID:8762438      下载积分:10 金币
快捷注册下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

开通VIP
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.zixin.com.cn/docdown/8762438.html】到电脑端继续下载(重复下载【60天内】不扣币)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  

开通VIP折扣优惠下载文档

            查看会员权益                  [ 下载后找不到文档?]

填表反馈(24小时):  下载求助     关注领币    退款申请

开具发票请登录PC端进行申请

   平台协调中心        【在线客服】        免费申请共赢上传

权利声明

1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前可先查看【教您几个在下载文档中可以更好的避免被坑】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时联系平台进行协调解决,联系【微信客服】、【QQ客服】,若有其他问题请点击或扫码反馈【服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【版权申诉】”,意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:0574-28810668;投诉电话:18658249818。

注意事项

本文(H3C_EAD安全解决方案及实施步骤.docx)为本站上传会员【pc****0】主动上传,咨信网仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知咨信网(发送邮件至1219186828@qq.com、拔打电话4009-655-100或【 微信客服】、【 QQ客服】),核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载【60天内】不扣币。 服务填表

H3C_EAD安全解决方案及实施步骤.docx

1、 H3C EAD安全解决方案指导书 实施方案 二零一零年十二月四日 目录 1 EAD解决方案介绍 4 1.1 EAD系统介绍 4 2 EAD解决方案实施指导 5 2.1 802.1x认证方式 5 2.1.1 协议综述 5 2.1.2 802.1X认证体系的结构 5 2.1.3 802.1x典型组网 6 2.1.4 802.1x与其他认证协议的简单比较 9 2.2 Portal认证方式 9 2.2.1 Portal协议概述 9 2.2.3 port

2、al典型组网 12 2.2.4 portal协议旁挂方式认证流程图 14 2.2.5 portal两种方式组网的优缺点 15 2.3 L2TP VPN EAD 15 2.4 无线EAD 16 3 INODE客户端安装及配置 17 3.1 iNode客户端软件安装的软硬件环境需求 17 3.2 各种环境下iNode客户端的安装指导 18 3.2.1 802.1x环境下的iNode客户端安装过程 18 3.2.2 Portal环境下iNode软件的安装 21 3.2.3 l2tp环境下的iNode软件的安装 25 3.3 iNode终端配置 25 3.3.1 802.1x组

3、网环境终端配置 25 3.3.2 Portal环境下客户端设置 30 3.3.3 L2TP环境下iNode软件的设置 33 4 接入设备端配置 37 4.1 8021x环境下接入层设备配置举例 38 4.2 portal环境下接入设备的配置 42 4.3 L2tp-vpn终端设备配置 44 5 RADIUS服务器配置 47 5.1 802.1X服务器端配置 47 5.1.1 接入设备配置 47 5.1.2 EAD安全策略创建 49 5.1.3 创建服务,关联创建的EAD安全策略 51 5.1.4 创建接入用户,关联服务 52 5.2 Portal环境下IMC(智能管理

4、中心)端相应配置 53 5.2.1 portal部分操作 53 5.2.2 增加安全策略 54 5.2.3 增加服务,并关联安全策略 55 5.2.4 创建接入用户,关联服务 55 1 EAD解决方案介绍 1.1 EAD系统介绍 H3C EAD(Endpoint Admission Defense,端点准入防御)解决方案是一套融合网络设备、用户终端和第三方安全产品的全网安全体系框架,其目的是整合孤立的单点安全部件,形成完整的网络安全体系,最终

5、为用户提供端到端的安全防护。 iMC EAD组件是EAD解决方案的核心部件。通过这种防病毒软件、安全客户端、接入设备、iMC智能管理中心的整合,EAD解决方案能够防止已感染病毒或存在系统漏洞的用户终端对网络中的其他用户产生危害,保护缺乏防御能力的用户因暴露在非安全的网络中而受到威胁,避免来自网络内部的入侵;再配合传统的防火墙或IDS设备,最大限度的防止非法入侵。在EAD解决方案的框架下,用户的认证过程可以分为两个步骤:用户身份认证和安全认证。 用户身份认证在iMC UAM组件上进行,通过用户名和密码来确定用户是否合法。身份认证通过后,用户处在隔离区,与此同时发起安全认证,安全认证由iMC

6、EAD组件完成。如果安全认证通过,则用户的隔离状态被解除,可以正常访问网络资源;如果安全认证不通过,则继续隔离用户,直到用户完成相关修复操作后通过安全认证为止。 iMC EAD组件、iMC智能管理平台组件(含UAM接入)必须与设备、客户端、第三方服务器等配合才能形成完整的EAD解决方案。下图是iMC EAD的结构图: 2 EAD解决方案实施指导 EAD安全解决方案适于各种网络环境中的部署,针对现网中的各种复杂应用环境和组网模式,H3C的EAD安全解决方案都提供了完善而有针对性解决方案,就目前应用场景来说,最常见的组网模式大致有以下几种:802.1x环境,Portal环境,L2t

7、p环境.下面依次都各个组网模式进行介绍,其中的无线认证方式,是作为有线网络的补充和延伸,客户端的安装,服务器端的设置是一样的,做到了解即可。重点说明有线网络环境下的EAD安全解决方案如何实施。 2.1 802.1x认证方式 2.1.1 协议综述 IEEE 802.1x 称为基于端口的访问控制协议(Port based network access control protocol)。主要是为了解决局域网用户的接入认证问题。 IEEE 802.1x协议的体系结构包括三个重要的部分:客户端(Supplicant System)、认证系统(Authenticator System)、认证服

8、务器(Authentication Server System)。客户端用户通过启动客户端软件发起802.1x协议的认证, EAPOL报文经过认证系统的受控口和认证服务器进行认证交互后,如通过认证,则用户接入网络成功。 2.1.2 802.1X认证体系的结构 IEEE 802.1X的体系结构中包括三个主要部分 l Supplicant System——客户端系统; l Authenticator System——认证系统; l Authentication Sever System——认证服务器系统。 三者的关系如下图: IEEE 802.1X的体系结构图 2.1.3

9、802.1x典型组网 802.1X推荐的组网推荐的组网: 组网说明: 1.802.1x认证起在接入层交换机上. 2.采用二次ACL下发的方式(隔离acl,安全acl)来实现对安全检查不合格的用户进行隔离,对安全检查合格的用户放行. 3.由于是二次acl下发的方式,要求接入层交换机为H3C交换机(具体的交换机型号请参考EAD的产品版本配套表). 4.控制点低,控制严格(采用802.1x认证方式,接入用户未通过认证前无法访问任何网络资源) 5.由于802.1x控制非常严格,非通过认证的用户无法访问任何网络资源,但有些场景下用户需要用户未认证前能访

10、问一些服务器,如DHCP,DNS,AD(active directory域控),此时可采用802.1x的免认证规则,具体配置参照华三相关设备操作手册。 6.为确保性能,iMC EAD一般要求分布式部署 7. 对于不支持二次acl下发的交换机(我司部分设备及所有第三方厂家交换机),可以通过使用iNode的客户端acl功能来实现隔离区的构造,即将原本下发到设备上的acl下发到iNode客户端上,中间设备只需做到能透传EAP封装radius属性即可 8.二次acl下发需要iNode定制“客户端acl特性”,该特性需要iNode安装额外的驱动,对终端操作系统的稳定性有较高的要求。 9.在接

11、入层设备不是H3C交换机的情况下,由于设备不支持二次acl下发无法采用二次acl下发的方式来构造隔离区,此时可以通过下线+不安全提示阈值的方式来模拟构造隔离区,实现EAD功能。具体实现为:用户安全检查不合格时,EAD不立即将终端用户下线而是给出一定的修复时间(不安全提示阈值),终端用户可以如果在该时间内完成的安全策略修复则可以正常通过EAD认证访问网络,如果在该时间内未完成安全策略修复则被下线。 组网说明: 802.1x认证起在接入层交换机上(要求接入层交换机对802.1x协议有很好的支持),控制点低,控制严格 终端用户DHCP或静态IP地址均可 采用下线+不安全提示阈

12、值方式认证过程简单,稳定。 由于终端用户在不安全时在“不安全提示阈值”时间内与安全用户访问网络的权限是一样的,安全性上不如二次acl下发方式好。 802.1X的认证过程 l 802.1x的基本认证过程是: 1. 最初通道的状态为unauthorized,认证系统处于Initial状态,此时客户端和认证系统通道上只能通过EAPOL报文; 2. 用户端返回response报文后,认证系统接收到EAP报文后承载在Radius格式的报文中,再发送到认证服务器,认证服务器接受到认证系统传递过来的认证需求,认证完成后将认证结果下发给认证系统,完成对端口的管理。 3. 认证通过后,通道的状态切换

13、为authorized,用户的流量就将接受VLAN、CAR参数、优先级、用户的访问控制列表等参数的监管,此时该通道可以通过任何报文。 l 认证通过之后的保持: 认证系统Authenticator可以定时要求Client重新认证,时间可设。重新认证的过程对User是透明的。 2.1.4 802.1x与其他认证协议的简单比较 认证协议 802.1x Pppoe web 是否需安装客户端软件 需要(Windows xp 系统不需) 需要 不需 业务报文传送效率 高 低 高 组播支持能力 好 不好 好 设备端要求 低 高 较高 处理流程 清晰

14、 清晰 复杂 有线网上安全性 扩展后可用 可用 可用 2.2 Portal认证方式 2.2.1 Portal协议概述 Portal协议在英语中是“入口”的意思,portal认证通常称为“web认证”。基本思想为未认证用户访问网络时会被强制重定向到某站点,进行身份认证只有通过身份认证才能访问网络资源。 2.2.2 portal协议原理 Portal协议框架如上所示,portal的认证方式分为两种,一种为IE浏览器,也即web认证方式;另一种为inode客户端认证方式。Portal协议是一种基于UDP报文,包括portal server和portal设备两个协议主体的

15、认证协议。交互流程如下所示。 对于这两种认证方式,认证的流程用下 Web认证方式:用户输入域名或者ip地址后发起http请求,portal设备经处理后,反馈给用户一个强制认证的页面,需要用户输入账号和密码进行验证。 用户浏览器将用户名和密码发送给porta web后,经过中间bas设备将portal报文转换为radius报文,将用户名和密码封装后发送给后方的端点准入控制服务器进行验证,认证成功后,用户即能正常访问网络资源。否则提示用户验证失败,访问受限。 采用inode客户端方式认证:这种方式用户直接在inode客户端中输入用户名和密码(总局人员只有第一次安装时输入,以后

16、每次开机自启动),经bas设备(中间的交换设备)重定向给inode后,剩下的报文在inode客户端和portal核心之间交互。 Portal 核心通过和bas设备的交互,将用户名和密码传送给bas设备,bas设备和端点准入控制服务器之间进行radius报文的交互,认证成功后,用户即可访问网络资源,认证失败给出提示,禁止用户访问网络资源 2.2.3 portal典型组网 portal的直连方式(二层模式) Portal直连方式(三层模式) 三层Po

17、rtal认证与二层Portal认证的比较 组网方式上,三层认证方式的认证客户端和接入设备之间可以跨接三层转发设备;非三层认证方式则要求认证客户端和接入设备之间没有三层转发。 三层Portal认证仅以IP地址唯一标识用户;而二层Portal认证以IP和MAC地址的组合来唯一标识用户,即到portal设备的报文为带vlan-tag的二层报文。 portal的旁挂方式 当用户网关和bas设备不是同一个设备或者在原有网络上需要采用portal认证时,需要采用旁挂方式组网。如下图所示 Portal设备侧挂在网关上,由网关将需要portal EAD认证的流量策略路由到Po

18、rtal设备上做EAD认证,这种组网方式对现场改动小,策略灵活(仅将需要认证的流量策略路由到portal设备上,不需要认证的流量可以正常通过网关转发) 一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD Portal设备的具体型号请参考EAD的版本说明书 网关设备需要支持策略路由 终端用户与iMC之间不能有NAT 终端用户到iMC的流量一定要经过portal设备,不能出现终端用户不经过portal设备直接访问iMC的情况,否则portal认证会异常。 2.2.4 portal协议旁挂方式认证流程图 旁挂方式中,用户流量在gateway设备处匹配策略路由进行重定

19、向给portal BAS设备,触发portal认证,portal将用户输入的账号和密码封装成radius报文发送端点准入服务器,经过服务器的验证后,用户获取到访问网络的权限。报文回送给gateway设备,之后进行正常的报文转发。 用户数据流量回来后,通过路由进行正常的报文转发。如下图所示。 2.2.5 portal两种方式组网的优缺点 1.从适用范围来讲,直连方式常应用于新建的网络,如果原来网络已经建设好,为了不对现有网络产生大的影响,可以采用旁挂的方式; 2.从对网络的影响程度上,直连方式对现有网络影响最大,因此对于那些网络已经建设好的地方,

20、不建议采用直连portal方式;而旁挂方式能很好的解决这个问题,只需要增加配置将原有流量有选择的重定向给portal设备即可,对网络影响较小。而且可以平滑过渡。 2.3 L2TP VPN EAD 终端用户身份认证采用l2tp方式,EAD通过二次acl下发到安全联动网关来实现EAD。 组网说明: 终端用户采用l2tp方式做身份认证 如果需要安全性防护可以采用l2tp over IPSec的方案 二次acl下发均下发到安全联动VPN网关上,网关的具体型号请参考EAD版本说明书 附件:iNode客户端经过L2TP远端拨号认证接入内网案例 2.4

21、 无线EAD 无线EAD目前只支持Portal方式的EAD,不支持基于802.1x认证方式的EAD。 组网说明: AC除了完成AP的注册及控制外,同时起用portal认证 一般采用下线的方式即可实现将终端用户放入隔离区来实现EAD 支持EAD AC的具体型号请参考EAD的版本说明书 终端用户与iMC之间不能有NAT 终端用户到iMC的流量一定要经过portal设备,不能出现终端用户不经过portal设备直接访问iMC的情况,否则portal认证会异常。 由于AC转发性能的考虑,用户的网关不要设在AC上 附件:某大学图书馆无线portal与网络中心认证案例

22、3 iNode客户端安装及配置 3.1 iNode客户端软件安装的软硬件环境需求 硬件需求 iNode 智能客户端可安装和运行在普通PC机上,其基本硬件需求为: 主频为667MHz或更高的CPU; 128MB以上内存; 20MB以上的硬盘空间 软件需求 iNode 智能客户端所支持的操作系统如下: Windows 2000 SP4; Windows XP; Windows Server 2003; Windows vista。 各种环境下iNode客户端的安装指导 3.1.1 802.1x环境下的iNode客户端安装过程 出现iNode客户端安装欢迎界

23、面, 点击下一步 接受许可协议中的条款,点击下一步 选择安装路径,建议默认安装路径,确认后点击下一步 确认后,点击安装 Inode客户端需要Visual C++ 2005的开发环境,安装过程中,系统会检查该环境安装与否,如果没有安装,会默认安装 安装完成后,重新启动系统生效 Portal环境下iNode软件的安装 出现欢迎界面,点击下一步

24、 接受许可证协议条款,点击下一步 选择文件安装位置,点击下一步 准备就绪后点击安装 安装进度条, 安装过程中,有可能出现此提示框,需要先关闭360等杀毒软 件,否则会影响客户端的正常安装 客户端采用了C++的环境,需要具备此环境才能正常运行. 安装过程中系统会自动检查是否已经安装,否则会出现 上面所示画面 安装完成后重新启动系统完成客户端的安装 3.1.2 l2tp环境下的iNode软件

25、的安装 L2tp环境下的iNode软件安装过程和802.1X类似,在此不赘述,如果需要写iNode的安装指导,参考8021x的安装指导 3.2 iNode终端配置 3.2.1 802.1x组网环境终端配置 点击新建连接,选择“是” 出现欢迎界面,点击下一步 选择802.1x协议,点击下一步 选择连接类型“普通连接”,点击下一步 输入分配的用户名和密码,如果环境中存在mac认证或者结合U

26、SB-KEY进行证书认证的话,可以选中“启用高级认证”,点击下一步 选择认证时采用的网卡,同时选择“运行时自动认证”,“上传IPV4地址”,至于“上传客户端版本”,虽然默认是选中的,但是在特殊环境下,需要将其关闭,比如在无线的证书认证中。根据实际需求选择后点击,完成客户端的设置 完成界面,点击“创建” 点击新建的连接,认证成功如下 3.2.2 Portal环境下客户端设置 新建连接向导,点击下一步 选择认证协议

27、portal协议” 根据需求选择不同连接类型,这里我选择普通连接 设置连接用户名和密码,点击下一步进入创建快捷方式界面 点击图标的属性,输入portal服务器的地址 (这个地址一定不能修改,不然会影响到客户端和服务器端的正常通讯) 完成设置后,点击进行认证,认证成功如下图 认证成功后在imc端的在线用户列表 、 3.2.3 L2TP环境下iNode软件的设置 进入新建向导,点击下一步 选择连接协议“l2tp over vpn

28、协议”,点击下一步 选择连接类型“普通连接” 输入用户名和密码,点击下一步 根据实际情况设置,点击高级 选择认证模式“chap”,默认为pap认证模式 重点设置网关名字和对端网关设备名字,建议选中keepalive报文 完成设置后,点击认证成功如下(没有关联EAD安全策略) 注意点:在做l2tp的接入认证中,用户名/密码认证

29、正确后,是需要在域地址池中分配一个地址给用户的.,用户使用这个地址和IMC进行直接通讯.,也就是路由必须可达.不然用户的EAD安全检查是无法进行的,并且在一段时间连接超时后,提示”无法连接到策略服务器,连接超时”,这点是需要注意的. 4 接入设备端配置 4.1 8021x环境下接入层设备配置举例 要求:认证用户属于这个默认域,radius服务器地址为10.1.1.1/24,密码 H3c,指定验证后进行EAD安全检查 配置脚本如下 [5120_EI]di cu # version 5.20, Release 2202P06 # sysname 5120_

30、EI------------------------------配置系统名称 # domain default enable # telnet server enable # undo lldp enable ---------------------------关闭lldp协议 # dot1x----------------------------------------全局启动dot1x dot1x authentication-method eap-------------验证dot1x方式为eap透传 dot1x free-ip 172.25.1.3

31、255.255.255.255----到域控的数据流允许不经过认证即放行 dot1x free-ip 172.25.1.2 255.255.255.255----同上 # acl number 3000 ----------------------------配置安全acl3000(必须和imc上的acl配置一致) rule 1 permit ip acl number 3001-----------------------------配置隔离acl3001(必须和imc上的acl配置一致) rule 1 permit ip destination 172.25.1.2 0

32、 rule 2 permit ip destination 172.25.1.3 0 # vlan 1 # vlan 701 to 702 # vlan 902---------------------------------- 创建管理vlan # radius scheme system server-type extended primary authentication 127.0.0.1 1645 primary accounting 127.0.0.1 1646 user-name-format without-domain radius sc

33、heme h3c---------------------------创建radius模版h3c server-type extended-----------------------服务类型为扩展,支持EAD安全检查 primary authentication 172.25.255.12-------首选认证服务器地址 primary accounting 172.25.255.12-----------首选计费服务器地址 key authentication h3c---------------------接入层交换机和radius服务器之间的验证密码 key acc

34、ounting h3c-------------------------接入层交换机和radius服务器之间的计费密码 user-name-format without-domain------------用户名格式为不带域名后缀 # domain ------------------------------新建域名 authentication lan-access radius-scheme h3c--关联新建radius模版h3c authorization lan-access radius-scheme h3c---关联新建radius模版h3c account

35、ing lan-access radius-scheme h3c------同上 access-limit disable state active idle-cut disable self-service-url disable # interface Vlan-interface1 # interface Vlan-interface902------------------配置网管地址,和imc进行radius报文交互的ip地址 ip address 172.25.254.68 255.255.255.192 # interface GigabitEth

36、ernet1/0/1 # interface GigabitEthernet1/0/2---------------在想认证的接口上开启dot1x认证,其它接口依次类推 port access vlan 702 dot1x # interface GigabitEthernet1/0/3 # interface GigabitEthernet1/0/4 # interface GigabitEthernet1/0/5 # interface GigabitEthernet1/0/6 # interface GigabitEthernet1/0/7 # int

37、erface GigabitEthernet1/0/8 # interface GigabitEthernet1/0/9 # interface GigabitEthernet1/0/10 # interface GigabitEthernet1/0/11 # interface GigabitEthernet1/0/12 # interface GigabitEthernet1/0/13 # interface GigabitEthernet1/0/14 # interface GigabitEthernet1/0/15 # interface Gigabit

38、Ethernet1/0/16 # interface GigabitEthernet1/0/17 # interface GigabitEthernet1/0/18 # interface GigabitEthernet1/0/19 # interface GigabitEthernet1/0/20 # interface GigabitEthernet1/0/21 # interface GigabitEthernet1/0/22 # interface GigabitEthernet1/0/23 # interface Giga

39、bitEthernet1/0/24 # interface GigabitEthernet1/0/25 # interface GigabitEthernet1/0/26 # interface GigabitEthernet1/0/27 # interface GigabitEthernet1/0/28 # interface GigabitEthernet1/0/29 # interface GigabitEthernet1/0/30 # interface GigabitEthernet1/0/31 # interface GigabitEthernet1

40、/0/32 # interface GigabitEthernet1/0/33 # interface GigabitEthernet1/0/34 # interface GigabitEthernet1/0/35 # interface GigabitEthernet1/0/36 # interface GigabitEthernet1/0/37 # interface GigabitEthernet1/0/38 # interface GigabitEthernet1/0/39 # interface GigabitEthernet1/0/40 port

41、 access vlan 702 poe enable # interface GigabitEthernet1/0/41 # interface GigabitEthernet1/0/42 # interface GigabitEthernet1/0/43 # interface GigabitEthernet1/0/44 # interface GigabitEthernet1/0/45 # interface GigabitEthernet1/0/46 # interface GigabitEthernet1/0/47 #

42、 interface GigabitEthernet1/0/48----------------------上联口,配置为trunk类型,允许业务vlan和管理vlan通过 port link-type trunk port trunk permit vlan all # interface GigabitEthernet1/0/49 shutdown # interface GigabitEthernet1/0/50 shutdown # interface GigabitEthernet1/0/51 shutdown # interface Gigabi

43、tEthernet1/0/52 shutdown # nqa entry imcl2topo ping type icmp-echo destination ip 172.25.254.123 frequency 270000 # ip route-static 0.0.0.0 0.0.0.0 172.25.254.126--------配置默认路由 # snmp-agent-------------------------------------------启用snmp简单网络管理协议 snmp-agent local-engineid 800063A

44、2033CE5A60C6B90 snmp-agent community read public snmp-agent community write private snmp-agent sys-info version all snmp-agent target-host trap address udp-domain 172.25.255.12 params securityname public # nqa schedule imcl2topo ping start-time now lifetime 630720000 # user-interface au

45、x 0 3 user-interface vty 0 4 authentication-mode none user privilege level 3 # Return 4.2 portal环境下接入设备的配置 [H3C]di cu # version 5.20, Release 1910 # sysname H3C # domain default enable ------------指定默认域为 # telnet server enable # portal server 1 ip 172.25.255.12 key h3c url h

46、ttp://172.25.255.12/portal 指定portal服务器为172.25.255.12,使用默认端口50100,密钥为h3c # vlan 1 # domain ---------------------------------新建域 authentication lan-access radius-scheme h3c-----指定验证的radius模版为h3c authorization lan-access radius-scheme h3c----- 指定

47、授权的radius模版为h3c accounting lan-access radius-scheme h3c---------指定计费的radius模版为h3c access-limit disable state active idle-cut disable self-service-url disable # dhcp server ip-pool 1-----------------------------------为内网分配地址 network 192.168.1.0 mask 255.255.255.0 gateway-list 192.168.

48、1.1 dns-list 202.106.0.20 # interface Ethernet0/0------------------------------------连接外网的接口 port link-mode route ip address 172.18.2.47 255.255.255.0 undo ipv6 fast-forwarding # interface Serial0/0 link-protocol ppp undo ipv6 fast-forwarding # interface NULL0 # interface Vlan-in

49、terface1------------------------------应用刚新建的portal服务器到内网接口上 ip address 192.168.1.1 255.255.255.0 undo ipv6 fast-forwarding portal server 1 method direct # ip route-static 0.0.0.0 0.0.0.0 172.18.2.1-----------缺省路由 # snmp-agent snmp-agent local-engineid 800063A203000FE2A25B0C snmp-agent community read public snmp-agent community write private snmp-agent sys-info version all snmp-agent target-host trap address udp-domain 172.25.255.12 params securityname public # dhcp enable # load xml-configurati

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        抽奖活动

©2010-2026 宁波自信网络信息技术有限公司  版权所有

客服电话:0574-28810668  投诉电话:18658249818

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :微信公众号    抖音    微博    LOFTER 

客服