- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
36-用户标签典型配置举例
本章节下载: 36-用户标签典型配置举例 (417.72 KB)
目 录
用户在审计设备上的访问日志给用户加一个标签(理财、网购…),此标签需要携带到云端的AAA和内容平台上,以便根据此标签决定后续的认证、推送、营销策略等。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解用户标签特性。
· 推荐使用于二层场景。
· 用户标签上报跨三层后,设备统计的标签信息 ip还是终端的ip,mac是下联设备的mac(终端接入的是三层switch的情况下,可以配置snmp跨三层学习,设备就可以学习到终端mac(时间需要30S))。
· 用户标签是根据网站日志分类进行上报标签,设备需要开启审计策略,需要审计网站类日志。
· 用户标签上报前必须配置imc服务器的ip地址、认证用户名、密码,否则服务器连接认证失败无法上报用户标签。
· 只支持配置1个上报服务器,如果重复配置的话会把之前的用户标签上报服务器覆盖。
· 预定义标签56个,不支持手动创建自定义url分类,其它的id号作为预留url分类使用。默认所有URL分类均参与标签上报通过命令url-category (1-1025)user-label enable /disable限制哪些标签上报。
· 每个用户只上报top3的用户标签,如果用户标签不足三个,使用USER_LABEL_NONE(0)填充。
· 用户标签信息本地配置文件存储周期为15分钟。
· 用户标签信息上报imc服务器周期为24小时。
· 用户标签上报前必须配置imc服务器的ip地址、认证用户名、密码,否则服务器连接认证失败无法上报用户标签。
· 用户存储的最大规格为50x1024,到达规格后老化不活跃用户。
· 日志上报失败的三个条件:
¡ 没有配置imc服务器。
¡ 用户标签文件创建失败。
¡ 用户标签前台调用的脚本失败。
· 日志上报标签错误或者无记录排查:
¡ 查看是不是对应的上报被关闭了。
¡ 查看保存文件是否是更新了最新的。
¡ 查看上报文件中的标签是否和保存的一致同时也是更新了最新的。
¡ debug app audit log 查看是否产生日志。
¡ 设备开启了审计策略但是没配置imc标签上报服务器,默认24小时上报一次。
表1 用户标签ID对应关系
|
分类ID |
中文名称 |
英文名称 |
|
1 |
广告 |
ad |
|
2 |
成人 |
adult |
|
3 |
傀儡主机 |
botnet |
|
4 |
艺术 |
art |
|
5 |
在线音乐 |
music |
|
6 |
机动车 |
automobile |
|
7 |
BBS站点 |
BBS |
|
8 |
键盘记录网站 |
keyboard-recorder |
|
9 |
博彩 |
lottery |
|
10 |
商业 |
business |
|
11 |
计算机与互联网 |
network |
|
12 |
犯罪 |
crime |
|
13 |
钓鱼网站 |
fishing |
|
14 |
毒品 |
drug |
|
15 |
教育 |
education |
|
16 |
娱乐 |
entertainment |
|
17 |
在线股票交易 |
transaction |
|
18 |
证券公司 |
securities |
|
19 |
赌博 |
gambling |
|
20 |
游戏 |
game |
|
21 |
木马病毒 |
trojan |
|
22 |
网络资源 |
network-resources |
|
23 |
医疗健康 |
health |
|
24 |
违反法律 |
illegal |
|
25 |
违反道德 |
immoral |
|
26 |
求职招聘 |
recruitment |
|
27 |
儿童 |
child |
|
分类ID |
中文名称 |
英文名称 |
|
28 |
法律 |
law |
|
29 |
社会生活 |
society |
|
31 |
网上交易 |
trade |
|
32 |
新闻媒体 |
news |
|
33 |
文学 |
literature |
|
34 |
在线聊天 |
chat |
|
35 |
财经 |
economics |
|
36 |
非盈利组织 |
charity |
|
37 |
政治 |
political |
|
38 |
色情 |
porn |
|
39 |
门户网站与搜索引擎 |
portal-searcher |
|
40 |
远程代理 |
proxy |
|
41 |
房地产 |
estate |
|
42 |
参考 |
reference |
|
43 |
宗教与信仰 |
religion |
|
44 |
科学 |
science |
|
45 |
期货 |
futures |
|
46 |
银行 |
bank |
|
47 |
体育 |
sports |
|
48 |
股票 |
stock |
|
49 |
基金 |
fund |
|
50 |
外汇 |
exchange |
|
51 |
旅游 |
travel |
|
52 |
暴力 |
violence |
|
53 |
病毒 |
virus |
|
54 |
WEB通信 |
web-im |
|
55 |
交通住宿预定 |
hotal |
|
56 |
白名单 |
whitelist |
如图1所示,在公司出口网关开启用户标签上报功能,用户在审计设备上的访问日志给用户加一个标签(理财、网购……),此标签上报到标签服务器,以便根据此标签决定后续的认证、推送、营销策略等。
按照组网图组网。
(1) 配置安全策略。
(2) 配置用户标签上报服务器。
(3) 配置终端。
本举例是在R6608版本上进行配置和验证的。
通过菜单“上网行为管理>策略配置> IPV4策略”,点击<新建>安全策略,配置URL全审计。进入如图2所示的页面。
图2 IPV4策略配置
在命令行系统模式下配置用户标签上报服务器。服务器地址10.0.50.212,端口8080,用户名admin,密码admin。
配置下联pc上网ip,下联PC访问http多种网站类型(商业、博彩、艺术类、计算机与互联网)上网。
(1) 抓包查看上报标签是否正确
设备用户标签信息本地配置文件存储周期为15分钟。上报imc服务器周期为24小时。时间太久,可以等15分钟后标签本地存储完成后在设备抓包过滤服务区地址,协议选择tcp目的端口选择8080过滤查看用户标签信息。在命令行 (config)#模式下执行 user-label report 查看标签信息
如(3)图3所示,在公司出口网关开启用户标签上报功能,用户在审计设备上的访问日志给用户加一个标签(理财、网购……),此标签上报到标签服务器,以便根据此标签决定后续的认证、推送、营销策略等。具体应用需求如下:
(1) 公司组网为三层组网,用户标签功能在出口开启。
(2) 内网用户通过一台三层设备上网。
(3) General switch交换机开启snmp功能,并且配置管理地址。
按照组网图组网。
(1) 配置安全策略。
(2) 配置用户标签上报服务器。
(3) General switch交换机开启snmp功能,并且配置管理地址。
(4) DUT设备开启跨三层MAC地址学习功能。
(5) DUT设备跨三层MAC地址学习全局配置开启。
(6) 配置终端。
本举例是在R6608版本上进行配置和验证的。
通过菜单“上网行为管理>策略配置> IPV4策略”,点击<新建>安全策略,配置URL全审计。进入如图4所示的页面。
图4 IPV4策略配置
在命令行系统模式下配置用户标签上报服务器。服务器地址10.0.50.212,端口8080,用户名admin,密码admin。
在General switch交换机配置管理IP,开启SNMP功能配置团体字(交换机snmp功能自行配置)。
通过菜单“系统管理> SNMP >跨三层MAC地址学习”,点击<新建>进入如图5所示的页面。
图5 跨三层MAC地址学习
通过菜单“系统管理>SNMP>跨三层MAC地址学习”,点击全局配置。进入如图6所示的页面。
图6 跨三层MAC地址学习全局配置
配置下联pc上网ip,下联PC访问HTTP多种网站类型(商业、博彩、艺术类、计算机与互联网)上网。
(1) 抓包查看上报标签是否正确。
设备用户标签信息本地配置文件存储周期为15分钟。上报imc服务器周期为24小时。时间太久,可以等15分钟后标签本地存储完成后在设备抓包过滤服务区地址,协议选择tcp目的端口选择8080过滤查看用户标签信息。在命令行 (config)#模式下执行 user-label report查看标签信息。
图7 查看结果
(2) 依次访问商业、博彩、艺术类、计算机与互联网这四类网站后设备记录的标签信息只记录博彩、艺术类、计算机与互联网。
(3) DUT设备不开启跨三层MAC地址学习时,下联多台pc访问不同类型的网站,过了三层设备后,mac地址显示成设备mac地址。
(4) DUT设备开启跨三层MAC地址学习后,下联多台pc访问不同类型的网站,待30秒DUT设备学习到终端mac后,标签上报显示的是终端的mac地址和标签类型。
· 《H3C SecPath ACG1000系列应用控制网关Web配置手册》中的“用户标签”
· 《H3C SecPath ACG1000系列应用控制网关 典型配置举例》中的“用户标签”
· 《H3C SecPath ACG1000系列应用控制网关对外测试手册》中的“用户标签”
· 《H3C SecPath ACG1000系列应用控制网关 用户FAQ》中的“用户标签”
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
