- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
手册下载
U-Center AOM 2.0 IP地址分级分权管理
配置举例
资料版本:5W114-20230927
Copyright © 2023 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
· IPv4地址管理:默认情况下IPv4地址管理中没有可进行管理的IP地址,需要用户通过增加IP地址、导入、分配IP地址或者启动区域扫描来增加IP地址。在IPv4地址管理中,用户可以对系统中的IP地址以及长时间处于离线状态而被回收的IP地址进行管理操作,也可以在基线管理模块对不同时间点的IP地址数据进行备份及管理操作。而IP规划、IP子网、IP使用图和IP分组是IPMS系统的核心成分。用户可对IPv4地址进行规划并对IP地址进行管理。在使用IPMS时,推荐先通过[IP地址管理>IP扫描管理>扫描任务配置]页面的扫描功能,配置、执行扫描任务。IPMS将基于内置的基础数据项逻辑规则,自动分析出相关已纳管至IPMS的设备所在子网和IP信息并录入系统,完成子网和IP的自动扫描及增加。
· IPv6地址管理:IPv6地址列表旨在帮助用户完成IPv6地址管理、IPv6地址规划及IPv6子网数据管理。
· IP扫描管理:IP扫描管理支持在[IP地址管理>IP扫描管理>扫描任务配置]页面中针对不同扫描区间执行扫描任务,进而获取区间中设备相关信息。
· IP汇总管理:汇总列表展示机构范围内IPv4以及IPv6地址、子网以及规划信息。
IP地址管理配置流程如图1所示。
图1 IP地址管理配置流程图
IP地址管理组件与资源管理、采集器之间关系如图2所示。
图2 IP地址管理组件与资源管理、采集器之间关系
IP地址管理(即IPMS)是网络运维重要工作之一,用户网络IP地址数量多、变化频繁,使用情况监管困难,IP地址违规使用和分配冲突导致的问题严重。IP地址管理不但可以自动分析现网IP子网和IP地址的相关信息,而且可以自动维护IP子网和IP地址的变化信息,从而实现IP地址管理的“帐实”相符,避免IP分配冲突,及时发现IP地址使用违规行为。
· IP地址管理的图形化页面及智能计算引擎让IP地址管理和维护更加直观、智能和准确。
· 自定义字段功能使得系统更加符合用户的使用习惯。导入导出功能结合Excel的运用,使得批量维护和统计工作更加便捷与自由。
· 正确安装部署U-Center AOM 2.0应用,请参见《H3C U-Center 2.0部署指导》。
· IP地址管理组件的安装和正确配置。
某公司分有不同的省市区机构,公司希望给各机构分配不同的IP地址段范围,使得各子机构的管理员能够管理各自的IP地址段。并且要求父级机构能够管理自身及其子机构的IP地址段。
使用IPMS系统的IP范围分权管理功能,可根据企业的要求及企业内部网络管理人员的分工,在智能运维平台中建立相应的层级结构,然后为每个机构关联可管理的IP范围,并可将机构关联的IP范围划分分配给相应用户进行管理,大大方便了网络管理人员对IP地址的分权维护。
(1) 单击[自动化>参数管理>采集器管理]菜单项,进入采集器管理页面,如图3所示。
(2) 单击<增加>按钮,进入采集器信息页面。
(3) 填写采集器基本信息,如图4所示。
¡ 采集器IP:填写部署采集器的服务器IP,本例采用“10.99.223.65”。
¡ 采集器端口:填写采集器的访问端口,本例采用“48100”。
¡ 采集器名称:自定义填写采集器名称,本例采用“IP地址分级分权管理采集器”。
¡ 平台IP:填写部署AOM的服务器IP,本例采用“10.99.223.65”。
(4) 单击<确定>按钮,系统自动测试该采集器的连通性,测试成功表明配置正确,如图5所示。
(1) 单击[系统>机构管理]菜单项,进入机构管理页面,如图6所示。
(2) 单击
按钮,进入增加机构页面并填写机构名称,本例采用填写“沿海_IPMS”,如图7所示。
图7 增加IPMS分级分权管理机构
(3) 单击<确定>按钮,保存当前机构,如图8所示。
图8 IPMS分级分权管理机构增加完成
(1) 在机构管理页面,单击
按钮,弹出[增加操作员]窗口。
(2) 输入操作员基本信息,如图9所示。
¡ 操作员名称:操作员登录系统所用的账户名称,该值只能包含字母、数字、“_”、“-”、“.”、“\”,有效长度为2~32个字符,不区分大小写,本例采用输入“yanhai”。
¡ 租户:操作员绑定的租户信息,系统已定义,不支持修改。
¡ 机构:操作员绑定的机构信息,系统已定义,不支持修改。
¡ 认证方式:选择该操作员的认证方式,本例采用选择“简单密码认证”。
认证方式说明:
· 简单密码认证:在增加操作员时设置对应密码,该操作员登录系统时采用本地密码验证。
· LDAP认证/RAIDUS认证/TACACS认证:操作员登录系统时通过对应认证服务器完成登录认证。
· 第三方认证:操作员通过第三方认证以及定制化开发的模块登录系统。该认证方式需要单击[系统>系统配置>认证配置]菜单项,在认证配置页面进行配置。
¡ 登录密码:若认证方式选择“简单密码认证”,则出现登录密码输入框,进行操作员的登录密码输入。
¡ 登录密码确认:若认证方式选择“简单密码认证”,则出现登录密码确认输入框,再次确认操作员的登录密码输入。
¡ 手机号:可选,输入操作员的手机号,本例采用不填写。
¡ 邮箱:可选,输入操作员的邮箱帐号,本例采用不填写。
(3) 输入操作员高级信息,如图10所示。
¡ 姓:可选,操作员的姓氏,本例采用不填写。
¡ 名:可选,操作员的名字,本例采用不填写。
¡ 操作员全称:可选,为该操作员增加详细的称呼,本例采用不填写。
¡ 允许登录时间段:允许操作员登录的时间段,不在登录时间段的操作员无法登录系统,本例采用不填写。
¡ 描述:可选,为该操作员增加描述信息。记录详实的描述信息可以方便操作员维护,本例采用不填写。
¡ 启用密码有效期:当“认证方式”为“简单密码认证”时,会显示该开关,单击
按钮,将对密码的有效期进行限制。系统默认开启,本例采用系统默认。
启用密码有效期说明:
· 密码有效期:密码有效期到期之后,该操作员会被禁用,无法登录。系统默认为“90”,本例采用系统默认。
· 提前预警时间:密码有效期剩余天数达到预警天数时将发送Trap告警并且每次登录会以弹出框方式提醒操作员,操作员修改密码之后,告警自动恢复。系统默认为“10”,本例采用系统默认。
¡ 启用账户有效期:单击
按钮,将对账户的有效期进行限制。系统默认不开启,本例采用系统默认。
启用账户有效期说明:
· 账户有效期至:账户有效期到期后,该操作员会被禁用,无法登录。
· 账户到期提前预警时间(天):账户有效期剩余天数达到预警天数时将发送Trap告警并且每次登录会以弹出框方式提醒操作员,操作员修改账户有效期之后,告警自动恢复。
¡ 最大同时在线数:配置该操作员的最大同时在线数量,当同时在线数等于该值时,该操作员下次登录请求会被禁止。系统默认为“0”,本例采用系统默认。
(4) 设置操作员权限配置,如图11所示。
¡ 人员归组:以角色组的方式进行授权。
¡ 按角色授权:以角色的方式进行授权。
¡ 直接授权:以操作组的方式进行授权。
(5) 系统已内置IP地址分权管理相关角色,可进行分级分权的权限配置。本例采用配置操作员为“IP分级分权管理员”,如图12所示。
¡ IP分级分权查看员:具有查看IP分级分权的权限,包含管理IP地址管理和查看IP分级分权权限。
¡ IP分级分权操作员:具有操作IP分级分权的权限,包含管理IP地址管理、查看IP分级分权和操作IP分级分权权限。
¡ IP分级分权管理员:具有管理IP分级分权的权限,包含管理IP地址管理、查看IP分级分权、操作IP分级分权和管理IP分级分权权限。
(6) 单击<确定>按钮,IP分级分权管理员增加完成,如图13所示。
图13 IP分级分权管理员增加完成
增加操作员说明:
· 选择不同的认证方式所需填写的配置信息不同,请以实际配置页面为准。
· 当登录认证方式采用LDAP认证/RAIDUS认证/TACACS认证时,需进行认证服务器配置。
(1) 单击已增加的分级分权管理机构后的
按钮,进入增加机构页面并填写机构名称,本例采用填写“浙江_IPMS”,如图14所示。
图14 增加IPMS分级分权操作机构
(2) 单击<确定>按钮,保存当前机构,如图15所示。
图15 IPMS分级分权操作机构增加完成
(1) 在机构管理页面,单击
按钮,弹出[增加操作员]窗口。
(2) 输入操作员基本信息,如图16所示。
(3) 输入操作员高级信息,如图17所示。
(4) 设置操作员权限配置,如图18所示。
(5) 单击<确定>按钮,IP分级分权操作员增加完成,如图19所示。
图19 IP分级分权操作员增加完成
(1) 单击已增加的分级分权操作机构后的
按钮,进入增加机构页面并填写机构名称,本例采用填写“杭州_IPMS”,如图20所示。
图20 增加IPMS分级分权查看机构
(2) 单击<确定>按钮,保存当前机构,如图21所示。
图21 IPMS分级分权查看机构增加完成
(1) 在机构管理页面,单击
按钮,弹出[增加操作员]窗口。
(2) 输入操作员基本信息,如图22所示。
(3) 输入操作员高级信息,如图23所示。
(4) 设置操作员权限配置,如图24所示。
(5) 单击<确定>按钮,IP分级分权查看员增加完成,如图25所示。
图25 IP分级分权查看员增加完成
该功能为网络监控资源模式下的同步资源功能。
(1) 单击[自动化>参数管理>资源纳管]菜单项,进入资源纳管页面,如图26所示。
(2) 在网络监控资源设备管理页面,单击<同步资源>按钮,弹出[同步资源]窗口。
(3) 选择调度类型,本例采用选择“实时任务”。
(4) 勾选纳管组件,本例采用勾选全部纳管组件:“巡检管家”、“配置合规”和“IP地址管理”
(5) 单击<同步>按钮,执行同步资源的操作,同步资源会生成相应同步记录,如图27所示。
该功能为网络监控资源模式下的测试资源功能,测试结束更新资源列表资源状态。
(1) 在网络监控资源设备管理页面,勾选所要测试的资源,单击<测试>按钮,如图28所示。
(2) 在下拉菜单中单击[测试所选项]或[测试全部]菜单项,对资源进行批量测试,本例采用单击[测试全部]菜单项。
(3) 在弹出的[确定]提示框中单击<确认>按钮,执行测试全部资源的操作,如图29所示。
该功能为网络监控资源模式下的纳管资源功能,会生成相应纳管记录及纳管结果。
(1) 在网络监控资源设备管理页面,勾选所要纳管的资源,单击<纳管资源>按钮,如图30所示。
(2) 在下拉菜单中单击[纳管所选项]或[纳管全部]菜单项,本例采用单击[纳管全部]菜单项,对资源进行批量测试。
(3) 在弹出的[增加纳管]窗口中勾选纳管组件,本例采用勾选全部组件“巡检管家”、“配置合规”、“IP地址管理”,如图31所示。
(4) 单击<确定>按钮,完成纳管资源的操作。
(5) 完成纳管资源后,将弹出[纳管详情]窗口,可进一步查看纳管详情,如图32所示。
推荐使用资源分组配置机构网络资源。
(1) 单击[系统>系统配置>资源分组]菜单项,进入资源分组页面,如图33所示。
(2) 勾选沿海_IPMS_资源分组,单击操作列的
按钮,进入修改资源分组页面,如图34所示。
(3) 配置资源分组基本信息:
¡ 分组名称:资源分组的名称,本例不采用修改。
¡ 分组描述:资源分组的描述信息,本例不采用填写。
¡ 所属分组:资源分组的上级所属,可单击<选择>按钮,进行修改,本例不采用修改。
¡ 组内资源:配置资源分组的组内资源,可单击<从所属分组选择>按钮,从所属分组选择组内资源。本例采用单击<自由选择>按钮,在弹出的[选择资源]窗口中,选择组内资源“10.99.223.79”。单击<确定>按钮,完成选择资源的操作,如图35所示。
(4) 单击<确定>按钮,完成操作,如图36所示。
图36 配置沿海_IPMS机构网络资源
推荐依次对各资源分组进行分配权限与增加角色。
(1) 在资源分组页面,勾选沿海_IPMS_资源分组,单击<分配权限>按钮,进入分配权限页面,如图37所示。
¡ 选择资源分组:可单击<选择资源分组>按钮,增加资源分组权限配置,本例不进行选择。
¡ 选择资源:可单击<选择资源>按钮,增加资源权限配置,本例不进行选择。
¡ 配置操作权限:在操作权限中勾选权限类型,本例采用勾选“网络设备”和“资源分组”。
¡ 权限名称前缀:输入权限名称前缀,本例采用输入“沿海_IPMS”。
¡ 权限组:在下拉框中选择权限组,本例采用选择“IP地址管理”权限组。
¡ 角色权限配置:可勾选“仅批量创建权限”、“加入指定角色”或“新增角色”,本例采用勾选“新增角色”并设置角色名称为“沿海_IPMS”。
(2) 单击<确定>按钮,完成操作。
(1) 在机构管理页面,为操作员“yanhai”配置IPMS分级分权管理机构角色权限。
(2) 单击
按钮,在弹出的[配置角色]窗口中为“yanhai”追加“沿海_IPMS”角色权限,如图38所示。
图38 配置IPMS分级分权管理机构角色权限
(3) 单击<确定>按钮,完成操作。
(1) 本例采用选择组内资源“10.99.223.202”。
(2) 配置完成后,如图39所示。
图39 配置浙江_IPMS机构网络资源
(3) 单击<确定>按钮,完成操作。
(1) 增加IPMS分级分权操作机构角色,如图40所示。
(2) 单击<确定>按钮,完成操作。
(1) 配置IPMS分级分权操作机构角色权限,如图41所示。
图41 配置IPMS分级分权操作机构角色权限
(2) 单击<确定>按钮,完成操作。
(1) 本例采用选择组内资源“10.99.223.204”。
(2) 配置完成后,如图42所示。
图42 配置杭州_IPMS机构网络资源
(3) 单击<确定>按钮,完成操作。
(1) 增加IPMS分级分权查看机构角色,如图43所示。
(2) 单击<确定>按钮,完成操作。
(1) 配置IPMS分级分权查看机构角色权限,如图44所示。
图44 配置IPMS分级分权查看机构角色权限
(2) 单击<确定>按钮,完成操作。
(1) 单击[自动化>IP地址管理>IP扫描管理>IP分级管理配置]菜单项,进入IP分级管理配置页面。
(2) 单击<同步>按钮,同步系统分级机构信息,如图45所示。
图45 同步系统机构
忽略机构说明:
· 单击操作列中的
按钮,则将其机构从分级分权配置中移除,可在忽略列表将其恢复。
· 单击<忽略列表>按钮,弹出[忽略列表]窗口,查看和管理被忽略的机构分级分权配置。
· 忽略列表展示已被忽略的机构信息,可进行恢复。已忽略的机构不展示在该列表中。
(1) 单击操作列中的
按钮,弹出[编辑]窗口,如图46所示。
(2) 配置机构相应IPv4以及IPv6网段范围,单击<保存>按钮保存配置。详细配置信息如图47、图48、图48、图50、图51所示。
编辑下级组织机构IP范围说明:可通过单击父级链接进入下级组织机构,从而编辑下级组织机构IP范围。
图48 IPMS分级分权管理范围配置
图49 沿海_IPMS机构范围配置
图50 浙江_IPMS机构范围配置
图51 杭州_IPMS机构范围配置
配置机构相应IPv4以及IPv6网段范围说明:
· IP范围配置限制:平级不可重复交叉。父子组织机构范围仅支持父机构完全包含子机构范围和父子机构毫无交叉这两种情况。
· admin和IP分级分权管理员可以配置全部机构范围。
· IP分级分权操作员可以配置本级以及子级机构范围。
· IP分级分权查看员可以配置本级机构范围。
(1) 单击[参数管理>参数设置]菜单项,设置“IP地址管理是否开启分级分权”参数,如图52所示。
(2) 单击操作列中的
按钮,弹出[修改参数]窗口,修改参数值为“是”。如图53所示。
(3) 单击<保存>按钮,完成开启分级分权模式,如图54所示。
(4) 单击[自动化>IP地址管理>IP扫描管理>IP分级管理配置]菜单项,进入IP分级管理配置页面。
(5) 单击操作列中
按钮,设置机构IP分级管理状态为启用,如图55、图56、图56、图58、图59所示。
图55 启用默认机构IP分级管理
图56 启用IPMS分级分权管理
图57 启用沿海_IPMS机构IP分级管理
图58 启用浙江_IPMS机构IP分级管理
图59 启用杭州_IPMS机构IP分级管理
使用对应机构权限用户登录系统,在IP地址管理中执行扫描任务,配置与执行扫描任务的详细步骤请参见《U-Center AOM 2.0 IP地址智能化管理配置举例》。
(1) 使用IP分级分权管理员“yanhai”登录U-Center 2.0环境。
(2) 单击“自动化”页签,在左导航树中单击[IP地址管理>IP扫描管理>扫描任务配置]菜单项,进入扫描任务配置页面,如图60所示。
(3) 单击<增加>按钮,配置扫描任务。
(4) 基本信息配置:本例配置如下,如图61所示。
(5) 告警与回收配置:本例配置如下,如图62所示。
(6) 扫描区间配置:本例配置如下,如图63所示。
(7) 参考以上步骤,使用IP分级分权操作员“zhejiang”和IP分级分权查看员“hangzhou”登录系统,完成配置对应扫描任务。
(1) 单击<立即执行>按钮,立即执行扫描任务,如图64、图65、图66所示。
图64 执行沿海_IPMS扫描任务
图65 执行浙江_IPMS扫描任务
图66 执行杭州_IPMS扫描任务
(2) 单击“扫描历史管理”页签,查看对应扫描任务执行历史,如图67、图68、图69所示。
图67 查看沿海_IPMS扫描任务执行历史
图68 查看浙江_IPMS扫描任务执行历史
图69 查看杭州_IPMS扫描任务执行历史
执行扫描任务说明:
· 多个组织机构扫描任务可并行执行。
· 单个组织机构每次只可执行一个扫描任务。
· IP地址分级分权开启或者关闭时,当前任务会被停止。如分级分权已开启,且当前用户已配置周期任务或即时任务,当参数配置中关闭分级分权功能时,扫描任务调度将直接停止。
· 机构任务执行,各组织机构只可对本级任务进行相关操作,无父子管理以及admin全局管理功能。
在IP地址管理菜单项下进行结果验证。
结果验证说明:开启分级分权功能,并配置相关权限后,IP汇总管理模块将按照操作员权限展示。IPv4范围管理、IPv4地址管理、IPv6地址管理和IP扫描管理模块,仅支持本级组织机构用户查看和管理。
查看IPv4地址汇总:单击[自动化>IP地址管理>IP汇总管理>IPv4地址汇总]菜单项,进入IPv4地址汇总页面,展示机构用户的IPv4地址信息,可进行查询以及导出操作,如图70、图71、图72所示。
图70 沿海_IPMS-IPv4地址汇总
图71 浙江_IPMS-IPv4地址汇总
图72 杭州_IPMS-IPv4地址汇总
IPv4地址汇总说明:
· admin用户以及管理权限用户可以查看所有机构的IPv4地址数据。
· 操作权限用户可查看本机构以及子机构的IPv4地址数据。
· 查看权限用户仅能查看本机构以及子机构的IPv4地址数据。
查看IPv4子网汇总:单击[自动化>IP地址管理>IP汇总管理>IPv4子网汇总]菜单项,进入IPv4子网汇总页面,展示机构用户的IPv4子网数据,可进行查询以及导出操作,增删改操作受限于机构用户所配置的权限,如图73、图74、图75所示。
图73 沿海_IPMS-IPv4子网汇总
图74 浙江_IPMS-IPv4子网汇总
图75 杭州_IPMS-IPv4子网汇总
IPv4子网汇总说明:
· admin用户以及管理权限用户可以对所有机构的IPv4子网进行增删改查操作。
· 操作权限用户可对本机构以及子机构的IPv4子网进行增删改查操作。
· 查看权限用户仅能查看本机构以及子机构的IPv4子网。
· 管理权限以及操作权限增加以及导入子网范围段限制在分级管理配置的范围内。
查看IPv4规划汇总:单击[自动化>IP地址管理>IP汇总管理>IPv4规划汇总]菜单项,进入IPv4规划汇总页面,展示机构用户的规划数据,可进行查询以及导出操作,增删改操作受限于机构用户所配置的权限,如图76、图77、图78所示。
图76 沿海_IPMS-IPv4规划汇总
图77 浙江_IPMS-IPv4规划汇总
图78 杭州_IPMS-IPv4规划汇总
IPv4规划汇总说明:
· admin用户以及管理权限用户可以对所有机构的IPv4规划进行增删改查操作。
· 操作权限用户可对本机构以及子机构的IPv4规划进行增删改查操作。
· 查看权限用户仅能查看本机构以及子机构的IPv4规划。
· 管理权限以及操作权限增加以及导入规划其范围段限制在分级管理配置的IPv4地址范围。
查看IPv6地址汇总:单击[自动化>IP地址管理>IP汇总管理>IPv6地址汇总]菜单项,进入IPv6地址汇总页面,展示机构用户的IPv6地址信息可进行查询以及导出操作,如图79、图80、图81所示。
图79 沿海IPMS-IPv6地址汇总
图80 浙江_IPMS-IPv6地址汇总
图81 杭州_IPMS-IPv6地址汇总
IPv6地址汇总说明:
· admin用户以及管理权限用户可以查看所有机构的IPv6地址数据。
· 操作权限用户可查看本机构以及子机构的IPv6地址数据。
· 查看权限用户仅能查看本机构以及子机构的IPv6地址数据。
查看IPv6子网汇总:单击[自动化>IP地址管理>IP汇总管理>IPv6子网汇总]菜单项,进入IPv6子网汇总页面,展示机构用户的IPv6子网数据,可进行查询以及导出操作,增删改操作受限于机构用户所配置的权限,如图82、图83、图84所示。
图82 沿海_IPMS-IPv6子网汇总
图83 浙江_IPMS-IPv6子网汇总
图84 杭州_IPMS-IPv6子网汇总
IPv6子网汇总说明:
· admin用户以及管理权限用户可以对所有机构的IPv6子网进行增删改查操作。
· 操作权限用户可对本机构以及子机构的IPv6子网进行增删改查操作。
· 查看权限用户仅能查看本机构以及子机构的IPv6子网。
· 管理权限以及操作权限增加以及导入IPv6子网范围段限制在分级管理配置的IPv6范围内。
查看IPv6规划汇总:单击[自动化>IP地址管理>IP汇总管理>IPv6规划汇总]菜单项,进入IPv6规划汇总页面,IPv6规划汇总展示机构用户的IPv6规划数据。可进行查询以及导出操作,增删改操作受限于机构用户所配置的权限,如图85、图86、图87所示。
图85 沿海_IPMS-IPv6规划汇总
图86 浙江_IPMS-IPv6规划汇总
图87 杭州_IPMS-IPv6规划汇总
IPv6规划汇总说明:
· admin用户以及管理权限用户可以对所有机构的IPv6规划进行增删改查操作。
· 操作权限用户可对本机构以及子机构的IPv6规划进行增删改查操作。
· 查看权限用户仅能查看本机构以及子机构的IPv6规划。
· 管理权限以及操作权限增加以及导入IPv6规划其范围段限制在分级管理配置的IPv6地址范围。
支持
售前咨询
售后咨询
人工在线咨询
