手册下载
H3C SecPath D2000-V[C]系列虚拟数据库审计授权管理系统
软件安装指导
Copyright © 2022新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
本文档介绍虚拟数据库审计授权管理系统安装步骤以及安装常见故障的诊断与处理措施。下文中虚拟数据库审计授权管理系统简称License Server。
· License Server不支持双机部署。
· 第一个网口(默认管理口:192.168.0.1)为安装物理机的所有网口中mac地址最小的口。
· License Server发现硬件信息变更时,如主机迁移、增删网卡等操作,系统将无法再使用。
· 安装License Server的设备硬盘大小应不小于200G,且仅支持单硬盘模式。
· License Server建议安装内存不小于4G。
· 当前已验证支持的CAS版本有E0530/E0706/E0710
· 本文档使用的License Server安装包名称:SecPathD2000V-LicenseServer-E6601-X86.iso(X86架构),SecPathD2000V-LicenseServer-E6601-ARM64.iso(ARM架构)。
物理机环境安装方式仅适用于D2000-V产品。
(1) 在待安装设备上接上显示器和键盘,将光盘驱动的数据连接线连接到待安装设备的USB口上,并放入刻录好的生产光盘,开机,进入BIOS设置,设置CD ROM为第一启动项,保存BIOS设置,重启设备,进入系统安装引导界面。如生产光盘有错误或光驱未连接好,则系统提示“ERROR”,未检测到光盘,安装取消,并停止安装,需手动关闭设备并重新配置。
图2-1 生产引导
图2-2 生产引导错误
(2) 进入系统安装引导界面后,系统会自动对安装环境做硬件检测,如待安装设备为物理设备,则进入硬盘检测阶段。如果检测不通过,则提示:[ERROR]The License Server can not run on the virtual machine.please install it on the physcial machine.Installation Cancelled!(注:License Server无法在虚拟机上运行,请在物理设备上安装,安装将中止!),并停止安装。系统将停止在错误信息画面,需手动关闭设备并重新配置。
图2-3 安装环境检测错误
(3) 通过硬件检测后,安装系统进入硬盘模式检测阶段,如待安装设备上的硬盘为单硬盘模式,则进入硬盘容量检测。如检测不通过,则提示:[ERROR]Mutiple hard disks detedted.(2) Installation Cancelled!(注:检测到多个硬盘,安装中止),并停止安装,系统将停止在错误信息画面,需手动关闭设备并重新配置。
图2-4 硬盘模式检测失败
(4) 通过硬盘模式检测后,安装系统进入硬盘容量检测阶段,如待安装设备上的硬盘容量不小于200G,检测通过,进入硬盘格式化阶段。如检测不通过,则提示:[ERROR] No hard disk with space at least 200G was detected.Installation Cancelled!(注:硬盘空间需不小于200G,安装中止),并停止安装,系统将停止在错误信息画面,需手动关闭设备并重新配置。
图2-5 硬盘容量检测错误
(5) 通过硬盘容量检测后,安装系统弹出提示,询问是否格式化硬盘,在提示界面,输入y,则系统将格式化硬盘,格式化完后自动开始安装系统。如输入n,则系统将不会格式化硬盘,安装中止,系统退出并关机。
图2-6 格式化硬盘提示
(6) 在确定进行格式化硬盘后,输入命令“h3c+++”,继续安装流程。
图2-7 输入h3c+++
图2-8 系统格式化硬盘过程
(7) 等待系统安装,完成后系统会自动关机并弹出生产光盘,拔掉连接在设备上的光驱。启动设备,进入系统初始化,初始化完成后系统自动重启,显示器上显示系统后台页面。
图2-9 后台页面
(8) 用另外一台设备,如笔记本电脑,在笔记本电脑的网口配置与默认管理口(192.168.0.1)相同网段的IP地址,如:192.168.0.2。使用网线将笔记本电脑的网口与License Server的管理口(第一个网口,eth0口)相连。在笔记本电脑上打开浏览器,在地址栏中输入管理口IP地址(https://192.168.0.1),即可打开License Server登录页面。可使用系统默认管理员账号admin/admin,登录 License Server。
图2-10 虚拟数据库审计授权管理系统License Server登录界面
(9) 至此License Server生产完成,具体操作方式请查看《H3C SecPath 虚拟数据库审计授权管理系统 Web配置指导》。
(1) 以CAS平台环境举例,在“云资源”-“主机池”-“主机”目录,点击“增加虚拟机”,弹出“基本信息”页面,填写“显示名称”、描述等信息,操作系统选择“Linux”,版本可选“CentOS 6/7(64位)”或者 “Other linux(64位)”,点击“下一步”;
图2-11 基本信息
(2) 在硬件信息配置页面后,需增加的配置为:
· 建议内存不小于4G;
· 硬盘大小应不小于200G,且仅支持单硬盘模式。
· 硬盘选项中的设备对象需设置为“SCSI硬盘或高速SCSI硬盘”。
· Castools类型为:Virtio串口,时钟设置选择本地时钟。
· 网卡根据所需修改成相应的虚拟交换机。
图2-12 增加硬件配置
图2-13 磁盘配置
(3) 点击光驱处按钮,选择License Server的ISO镜像文件;
图2-14 光驱选择
(4) 配置信息填写无误后,点击完成,右键点击修改虚拟机,在”概要“可选择时钟设置为本地时钟,castools类型为virtio串口,点击应用。
图2-15 修改时钟设置和castools类型
(5) 至此,虚拟机已成功添加至“主机”下,点击“启动”即可。
图2-16 添加主机
(6) 点击控制台按钮,进入安装界面,通过硬盘模式检测后,安装系统弹出提示,询问是否格式化硬盘,在提示界面,输入y,则系统将格式化硬盘,格式化完后自动开始安装系统。如输入n,则系统将不会格式化硬盘,安装中止,系统退出并关机。
图2-17 格式化硬盘提示
(7) 在确定进行格式化硬盘后,输入命令“h3c+++”,继续安装流程。
注:E6601之前的版本无此步骤。
图2-18 输入h3c+++
图2-19 系统格式化硬盘过程
(8) 格式化硬盘过程完成后,系统会自动关机,右键点击修改虚拟机,选择光驱,点击断开连接,再次启动虚拟机,等待系统安装完成
图2-20 修改虚拟机
图2-21 系统安装完成后台页面
(9) 安装完成后,默认管理口IP地址为192.168.0.1/24,可通过点击修改虚拟机,点击网络,IPv4信息处勾选“手工配置”,根据实际环境配置管理口IP,点击应用,E6601以及之后版本的License Server至此安装完成。如下图所示
图2-22 配置管理口IP地址
若使用的License Server安装包为SecPathD2000V-LicenseServer-201911141731611.iso,在系统安装完成后,不支持在CAS界面通过手工配置管理口IP地址,可在CAS中可以使用与license server相同网卡的一台windows虚拟机,配置与默认管理口(192.168.0.1)相同网段的IP地址,如:192.168.0.2,使用浏览器,在地址栏中输入管理口IP地址(https://192.168.0.1),即可打开License Server登录页面。
(10) 使用浏览器访问登录地址https://ip/(如https://183.1.4.32),如下图所示
图2-23 License Server登录界面
(11) E6601版本之前的License Server出现上述登录提示后,需进入CAS后台安装并配置硬件信息采集探针casagent,安装过程请参考第3节“Casagent安装与卸载”。
E6601版本以及之后的License Server无需在虚拟化平台上安装casagent;
E6601版本之前的License Server升级至E6601版本,依然沿用原有设计,需继续配合硬件信息采集探针casagent使用。
Casagent安装完成后,刷新浏览器界面,即可登录系统。
图2-24 H3C虚拟数据库审计授权管理系统License Server登录界面
(12) 至此License Server生产完成,使用默认账号密码admin/admin即可登录系统。
(1) 以CAS平台环境举例,在“主机”目录,选择主机,点击主机名称进入;点击“增加虚拟机”,弹出“基本信息”页面,填写“显示名称”、描述等信息,操作系统“Linux”,版本选择 “银河麒麟服务器版V10(64位)”,点击“下一步”;
图2-25 基本信息
(2) 在硬件信息配置页面后,需配置以下内容:
· 建议内存不小于4G;
· 磁盘大小设置至少300GB,且仅支持单硬盘模式;
· 磁盘总线类型推荐使用“高速SCSI硬盘”;
· 网卡根据所需修改成相应的虚拟交换机;
备注:因ARM架构系统原因,ARM版本的License Server系统的硬盘要求至少为300GB。
图2-26 硬盘配置
图2-27 网卡配置
(3) 完成上述步骤后,点击“光驱”,在“选择存储”界面,选择上传License Server的ISO的镜像文件,添加成功后,点击“确定”;
图2-28 添加ISO
(4) 至此,虚拟机已成功添加,点击“启动”;
图2-29 启动
(5) 点击控制台按钮,进入安装界面,通过硬盘模式检测后,安装系统弹出提示,询问是否格式化硬盘,在提示界面,输入y,则系统将格式化硬盘,格式化完后自动开始安装系统。如输入n,则系统将不会格式化硬盘,安装中止,系统退出并关机。
图2-30 格式化硬盘提示
(6) 在确定进行格式化硬盘后,输入命令“h3c+++”,继续安装流程。
图2-31 输入h3c+++
图2-32 系统格式化硬盘过程
(7) 格式化硬盘过程完成后,系统自动关机,修改虚拟机配置,选择光驱,点击断开连接,再次启动虚拟机,等待系统安装完成
图2-33 修改虚拟机
(8) ARM平台无法使用WEB页面进行网卡配置,通过控制台使用tempuser账号(默认密码:6j7k8L!@),登录系统后台,使用命令“setuserip {网卡名称} {IP地址} {子网掩码} {默认网关}”,配置管理口IP,如:“setuserip eth0 192.168.37.166 255.255.255.0 192.168.37.1”;
备注:使用上图命令设置网卡IP后系统会自动重启。
(9) 打开浏览器,输入https://IP(如https://192.168.37.166),即可访问License Server登录界面,如下图所示:
使用远程工具,设置连接参数,输入用户名、密码,连接CAS中安装License Server所在的CVK主机后台。
图3-1 连接设备
连接设备后,将下载好的硬件信息采集探针casagent-1.1.tar.gz 文件,通过文件传输工具Xftp上传到用户许可的文件夹。例如,根目录下的/mnt/test文件夹, 使用命令(cd /路径名,如 “cd /mnt/test”)进入该文件夹后,通过解压命令“tar -zxvf casagent.tar.gz”,解压casagent.tar.gz文件。
注:casagent-1.1.tar.gz安装包可在随E6206P05版本发布资料中获取。
图3-2 解压安装包
在当前文件夹,使用命令(cd /路径名,如 “cd /mnt/test/cassetup”)进入该文件夹后输入安装命令“sh setup.sh”,回车后完成安装。
图3-3 完成安装界面
安装完成后探针程序自动运行,并在/etc/rc.local文件中增加监控服务脚本的调用(/mnt/casagent/casag_system.sh &)。
使用命令vi /etc/rc.local查看,按Esc并输入:q退出当前界面。
图3-4 自动启动界面
注意:如发现/etc/rc.local文件中存在exit 0的结束命令,基于系统安全性和不同平台差异性考虑,请手动将监控服务脚本的调用命令移至该结束命令上方,如下图:
图3-5 调整监控服务脚本
配置探针通讯文件,使用命令“virsh list” 列出平台上所有虚拟机名称,如下图:
图3-6 运行命令执行成功后界面
修改通讯配置文件,输入命令“vi /mnt/casagent/cas_vmlist.ini”,回车后,进入参数配置页,修改默认参数为“virsh list”查出的虚拟数据库审计授权系统的名称,如下图,保存后无需重启服务;
图3-7 name参数
备注:该配置仅支持填写一个虚拟机名称。
探针安装完毕后,通过“ps ax|grep cas_get_host_info”命令查看进程是否在运行,当出现“/mnt/casagent/cas_get_host_info -d”时,表示探针进程已运行。
图3-8 查看运行状态
当不需要使用CAS安装LicenseServer时,可以按照如下方式卸载硬件信息采集探针,输入命令”cd /mnt/casagent”并执行” ./casag_agentd.sh remove”,输入yes,停止探针运行,停止监控脚本。
图3-9 卸载界面
删除运行文件目录,输入命令“rm /mnt/casagent -rf”,完成硬件信息采集探针卸载。
图3-10 删除运行目录
21Q3版本及之前的License Server此前正常运行,CAS平台有过重启或断电之类的操作,再通过浏览器访问License Server时,出现如下提示:
图4-1 提示信息
(1) 使用root账号登录License Server所在的CAS后台,使用命令“ps aux|grep cas_get_host_info”查看进程是否启动,若出现如下图所示提示,表示进程未启动;
(2) 使用命令”cd /mnt/casagent/”进入目录,执行”./casag_agentd.sh start“命令手动启动进程;
(3) 使用步骤(1)命令查询进程,出现如下图所示提示,表示进程已启动,重新刷新浏览器即可正常登录。
通过浏览器访问系统时,出现如下提示:
(1) 无响应;
(2) 访问的地址不存在;
(3) 连接失败;
(1) 检查是否连接设备的管理口(设备的第一网口(网口标识为eth0));
(2) 检查访问的IP地址是否正确,管理口地址默认为https://192.168.0.1;
(3) 检查通过浏览器的访问设备是否配置与License Server管理口同网段的IP。
登录设备出现“用户名或密码错误”。
(1) License Server默认只有一个系统超级管理员账号admin,默认密码为admin;
(2) 如果修改超级管理员的密码,又忘记密码,需联系代理商或技术工程师。
设备生产完成后,无法启动进入License Server。
(1) 检查设备的CPU型号是否为Intel系列 64位 CPU
License Server仅支持Intel系列64位处理器,支持在CPU型号为Intel G850 之后的主流64位处理器。请检查设备的硬件配置。
系统正常运行,连接显示器显示后台页面,且硬件配置满足安装要求,仍无法访问系统。
可能原因是该台设备上的网卡未识别,请检查设备上的网卡所需的驱动是否在License Server支持的驱动列表中,具体请查看附录中的驱动支持列表。
仅支持Intel系列 64位 CPU,支持在CPU型号为Intel G850 之后的主流64位处理器。
建议使用Intel 系列网卡,已验证Intel的网卡芯片型号为82574L、82576、82580、82599等。
驱动支持列表如下:
表6-1 网卡驱动支持列表
驱动列表 |
|||||
序号 |
驱动名称 |
序号 |
驱动名称 |
序号 |
驱动名称 |
1 |
8139too |
33 |
smc91c92_cs |
65 |
zaurus |
2 |
cnic |
34 |
nmclan_cs |
66 |
ixgbevf |
3 |
atl1e |
35 |
3c589_cs |
67 |
vxge |
4 |
ixgb |
36 |
dmfe |
68 |
e1000 |
5 |
pcnet32 |
37 |
de4x5 |
69 |
via-velocity |
6 |
acenic |
38 |
xircom_cb |
70 |
s2io |
7 |
vmxnet3 |
39 |
uli526x |
71 |
b44 |
8 |
typhoon |
40 |
winbond-840 |
72 |
sunhme |
9 |
netxen_nic |
41 |
de2104x |
73 |
ns83820 |
10 |
myri10ge |
42 |
cxgb4 |
74 |
8390 |
11 |
ixgbe |
43 |
e1000e |
75 |
sfc |
12 |
r6040 |
44 |
mlx4_core |
76 |
ne2k-pci |
13 |
ipg |
45 |
mlx4_en |
77 |
sky2 |
14 |
igbvf |
46 |
sungem |
78 |
ethoc |
15 |
sis190 |
47 |
bnx2 |
79 |
jme |
16 |
sundance |
48 |
sc92031 |
80 |
hv_netvsc |
17 |
tehuti |
49 |
Igb |
81 |
fealnx |
18 |
amd8111e |
50 |
qla3xxx |
82 |
bnx2x |
19 |
via-rhine |
51 |
qlcnic |
83 |
qlge |
20 |
enic |
52 |
virtio_net |
84 |
sis900 |
21 |
e100 |
53 |
forcedeth |
85 |
atl1c |
22 |
xen-netfront |
54 |
rndis_host |
86 |
natsemi |
23 |
r8169 |
55 |
int51x1 |
87 |
skge |
24 |
cxgb |
56 |
asix |
88 |
bna |
25 |
tlan |
57 |
sierra_net |
89 |
smsc9420 |
26 |
be2net |
58 |
dm9601 |
90 |
3c59x |
27 |
tulip |
59 |
rtl8150 |
91 |
cassini |
28 |
3c574_cs |
60 |
smsc95xx |
92 |
cxgb3 |
29 |
pcnet_cs |
61 |
kaweth |
93 |
mdio |
30 |
fmvj18x_cs |
62 |
catc |
94 |
pch_gbe |
31 |
xirc2ps_cs |
63 |
pegasus |
95 |
tg3 |
32 |
axnet_cs |
64 |
mcs7830 |
96 |
8139cp |