- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
08-无线非经配置指导
本章节下载: 08-无线非经配置指导 (364.91 KB)
目 录
1.2.4 设备支持的场所、AP规格以及当前设备配置下发场所、AP个数
1.2.20 开启radius报文匹配的AP-MAC是用解析出的字段来进行拼接的功能
1.2.21 显示radius报文匹配的AP-MAC用解析出的字段来进行拼接的功能的开关状态
1.2.22 帮助用户计算radius报文中的相关Mac,以便对AP进行AP的MAC地址配置
1.2.23 6608回退6606清除数据库及厂商、场所、AP对应的缓存文件命令
本文档介绍ACG1000设备无线非经功能配置举例,包括厂商、场所、AP、上报周期、应用关系对照表配置。
在配置前,先了解如下几个定义:
· 无线非经:即公共场所无线上网安全管理条例,非经营性互联网信息服务提供者从事非经营性互联网信息服务时,应当遵守国家的有关规定,接受有关部门依法实施的监督管理。
· 厂商:隶属有关部门授权并遵循指定的标准(协议、应用维度)和一定的行为规则(场所编码规则、经营性质等),对外提供开放接口用来收集指定场所用户上网行为数据平台。
· 场所:经过设备的流量是从哪些场所过来,就填写哪些场所,表明有多少个场所流量经过设备。
· AP:AP是存在于场所内的,表明该场所内有多少个AP;这样可以知道具体某个用户是在哪一个场所中的哪一个AP使用网络。
· 上报周期:根据对接厂商标准接口文档按一定的周期上报无线非经数据。
· 应用关系对照表:按照对接厂商平台要求,将我司应用转换成其对应的应用ID上报至网监平台,以便网监平台显示对应应用名称。
无线非经功能主要目的是将对接厂商需要的数据按照一定的格式要求,采用指定的协议标准上传至网监平台服务器,实现网监对非经营性场所上网用户行为的监控。
无线非经功能主要涉及到三大块,分别为应用识别审计,数据组织及数据上报;即按网监要求的格式对审计到的数据以固定的字段格式上报到网监系统对应的平台上去。
· 应用识别审计:主要是流量经过ACG设备之后能够对其进行分析识别并审计,此块主要与引擎和特征库相关;
· 数据组织:ACG设备上根据识别审计的日志以及日志平台需要上报的内容进行日志过滤及存储入数据库,并按网监要求生成对应的文件;
· 数据上报:ACG设备根据对接厂商要求,在指定目录下获取生成的数据文件,按照网监平台指定的协议进行上报,上报周期可以手动配置。
表1-1 查看无线非经生成日志统计计数
|
操作 |
命令 |
说明 |
|
查看无线非经生成日志统计计数 |
display wxfj-log-cnt |
- |
· 此命令用来显示无线非经日志相关统计计数(不包括通过TCP/UDP方式上报的数据)。
查看无线非经相关统计计数的参数:
H3C# display wxfj-log-cnt
---------------------------------------------------
WXFJ vid log:
The total number of generated files: 0
Total number of log write to file: 0
The total number of log: 0
---------------------------------------------------
表1-2 display wxfj-log-cnt命令显示信息参数说明
|
参数 |
说明 |
|
vid |
表示日志类型,此项表示虚拟用户日志 |
|
the total number of generated files |
表示该日志生成的文件个数 |
|
total number of log write to file |
表示写入文件的条目数 |
|
the total number of log |
表示匹配非经日志的总条目数 |
表1-3 查看无线非经生成日志统计计数
|
操作 |
命令 |
说明 |
|
查看无线非经生成日志统计计数 |
display wireless-count |
- |
此命令用来显示无线非经日志上报文件统计(不包括通过TCP/UDP方式上报的数据)。
查看无线非经日志上报文件统计参数:
H3C# display wireless-count
---------------------------------------------------
vid_count = 0
net_count = 0
terminal_count = 0
common_count = 0
auth_count = 0
bbs_count = 0
mail_count = 0
im_count = 0
web_count = 0
ftp_count = 0
finance_count = 0
weibo_count = 0
game_count = 0
app_count = 0
search_count = 0
sbzl_count = 0
sbzl_1_count = 0
sbzl_2_count = 0
org_count = 0
cszl_count = 0
cszl_1_count = 0
---------------------------------------------------
表1-4 display wireless-count命令显示参数说明
|
参数 |
说明 |
|
vid_count |
虚拟身份日志上报统计 |
|
net_count |
上网日志上报统计 |
|
terminal_count |
认证上下线上报日志统计 |
|
common_count |
普通内容日志上报统计 |
|
auth_count |
认证数据日志上报统计 |
|
bbs_count |
社区日志上报统计 |
|
mail_count |
邮件日志上报统计 |
|
im_count |
即时通信日志上报统计 |
|
web_count |
网页访问日志上报统计 |
|
ftp_count |
文件传输日志上报统计 |
|
finance_count |
电子商务日志上报统计 |
|
weibo_count |
微博类日志上报统计 |
|
game_count |
游戏类日志上报统计 |
|
app_count |
移动应用日志上报统计 |
|
search_count |
搜索类日志上报统计 |
|
sbzl_count |
设备资料上报统计 |
|
gdap_count |
固定ap信息上报统计 |
|
sbzt_count |
设备状态上报统计 |
|
org_count |
厂商日志上报统计 |
|
cszl_count |
场所日志上报统计 |
|
cszt_count |
场所状态日志上报统计 |
表1-5 查看下发AP的资料信息
|
操作 |
命令 |
说明 |
|
查看下发AP的资料信息 |
display ap-assoc-config |
- |
查看无线非经AP配置信息参数:
H3C# display ap-assoc-config
ap-assoc dev-number 15 dev_mac 22:22:22:22:22:22 auth_type 1020001 site_code 11010121012345longitude 123.123123 latitude 23.232323 dev_place 5 cert_type 990
表1-6 display ap-assoc-config命令显示信息参数说明
|
参数 |
说明 |
|
dev-number 15 |
AP ID |
|
dev_mac 22:22:22:22:22:22 |
AP MAC |
|
auth_type 1020001 |
AP认证类型 |
|
site_code 11010121012345 |
AP所属场所编码 |
|
longitude 123.123123 |
AP经度 |
|
latitude 23.232323 |
AP维度 |
|
dev_place 5 |
AP所属场所ID |
|
cert_type 990 |
AP证件类型 |
表1-7 查看设备支持的场所、AP规格以及当前设备配置下发场所、AP个数
|
操作 |
命令 |
说明 |
|
查看设备支持的场所、AP规格以及设备配置已经下发的场所、AP个数 |
display wxfj-plac-cnt |
- |
查看当前设备支持的场所、AP规格以及设备配置已经下发的场所、AP数量参数:
H3C# display wxfj-place-cnt
---------------------------------------------------
Place configuration maximum size = 512
Ap configuration maximum size = 4096
---------------------------------------------------
Place config count = 1
Ap config count = 1
---------------------------------------------------
表1-8 display wxfj-place命令显示信息参数说明
|
参数 |
说明 |
|
Place configuration maximum size |
场所规格数量 |
|
Ap configuration maximum size |
AP规格数量 |
|
Place config count |
当前下发场所统计 |
|
Ap config count |
当前下发AP统计 |
表1-9 查看非经上报加密开关状态
|
操作 |
命令 |
说明 |
|
查看非经上报加密开关状态 |
display wxfj-upload-encryp |
- |
查看非经上报加密开关状态参数:
H3C# display wxfj-upload-encryp
Wireless upload encryption is enable
表1-10 display wxfj-upload-encryp命令显示信息参数说明
|
参数 |
说明 |
|
enable |
打开无线非经上报加密 |
|
disable |
关闭无线非经上报加密 |
表1-11 配置无线非经上报加密
|
操作 |
命令 |
说明 |
|
|
进入配置视图 |
configure terminal |
|
|
|
无线非经上报加密 |
wxfj-upload-encryp {disable|enable} |
必选 |
|
配置关闭无线非经上报加密参数:
H3C# configure terminal
H3C(config)# wxfj-upload-encryp disable
表1-12 无线非经上报加密参数说明
|
参数 |
说明 |
|
enable |
打开无线非经上报加密 |
|
disable |
关闭无线非经上报加密 |
· 此命令仅对加密的厂商有效,对不加密厂商无效。
· 对接厂商有加密的情况下默认是加密的,如果需要不加密通过配置命令修改。对于非经对接每个地址要求会有异同,可能A地区需要加密,同样的对接厂商对接文档,B地区不需要加密,可以通过该命令控制非经数据上报是否进行加密处理(派博厂商通过TCP\UDP方式上报除外)。
表1-13 查看无线非经厂商配置信息
|
操作 |
命令 |
说明 |
|
查看无线非经厂商配置信息 |
display wireless-cert pbo-entry |
- |
查看对接厂商配置信息参数:
H3C# display wireless-cert pbo-entry
----------------------------------------------------
ipaddress: 192.168.2.154
srv_username: HB
srv_password: aaaaaa
dest_ftp_port: 21
dest_tcp_port: 0
dest_udp_port: 0
protocol: FTP
org: 13
secret: 111111
secret_2:
secret_3:
secret_vi:
表1-14 display wireless-cert pbo-entry命令显示信息参数说明
|
参数 |
说明 |
|
ipaddress |
对接服务器地址 |
|
srv_username |
对接服务器账号 |
|
srv_password |
对接服务器密码 |
|
dest_ftp_port |
对接服务器端口(对接ftp端口) |
|
dest_tcp_port |
对接服务器tcp端口(对接tcp端口) |
|
dest_udp_port |
对接服务器udp端口(对接udp端口) |
|
protocol |
对接服务器协议 |
|
org |
对接厂商ID |
|
secret |
加密KEY |
|
secret_2 |
加密KEY2 |
|
secret_3 |
加密KEY3 |
|
secret_vi |
加密向量 |
表1-15 查看radius用户超时老化时间
|
操作 |
命令 |
说明 |
|
查看radius用户超时老化时间 |
display radius-listen timeout |
- |
查看radius用户超时老化时间参数:
H3C# display radius-listen timeout
----------------------------------------------------
timeout: 15min
表1-16 display radius-listen timeout命令显示信息参数说明
|
参数 |
说明 |
|
timeout |
用户超时老化时间(默认15分钟) |
表1-17 配置radius用户超时老化时间
|
操作 |
命令 |
说明 |
|
进入配置视图 |
configure terminal |
|
|
配置认证用户超时老化时间 |
user-radius-listen timeout {timeout in minutes} |
必选 |
表1-18 配置radius用户超时老化时间参数说明
|
参数 |
说明 |
|
timeout in minutes |
用户超时老化时间(默认15分钟) |
默认老化时间15分钟,即15分钟内该用户没有任何流量的情况下ACG设备会将该用户踢下线;有些认证的默认老化时间与我们系统上的默认老化时间不一致,可以根据认证系统的老化时间进行对应设置ACG设备上radius监听用户的老化时间。
表1-19 查看radius监听状态,所属于哪个用户组
|
操作 |
命令 |
说明 |
|
查看radius监听状态,所属于哪个用户组 |
display user-radius-listen |
- |
查看radius监听状态,所属于哪个用户组参数:
H3C# display user-radius-listen
user-radius-listen is enable, group name is testgroup!
表1-20 display user-radius-listen命令显示信息参数说明
|
参数 |
说明 |
|
enable |
radius监听开启 |
|
testgroup |
所属于testgroup用户组 |
表1-21 配置radius监听
|
操作 |
命令 |
说明 |
|||
|
进入配置视图 |
configure terminal |
|
|
||
|
配置radius监听 |
user-radius-listen { enable [NAME]| disable } |
必选 |
|
||
表1-22 配置radius监听参数说明
|
参数 |
说明 |
|
enable [NAME] |
开启radius监听 |
|
disable |
关闭radius监听 |
Radius监听开关默认是关闭的,当有radius报文经过ACG设备,且需要对radius报文进行处理时,可打开radius监听开关;radius监听开关打开之后用户默认所属组为< Radius用户组>,如果需要修改指定的用户组,可以先在用户组页面配置需要的用户组,同时在命令行下配置radius关联对应的用户组即可。
表1-23 查看无线非经配置命令
|
操作 |
命令 |
说明 |
|
查看无线非经配置 |
display running-config fj |
必选 |
查看无线非经配置参数:
H3C# display running-config fj
wxfj-place 512
wxfj switch disable
anony_user log disable
ap ipmac enable
表1-24 display running-config fj命令显示信息参数说明
|
参数 |
说明 |
|
wxfj-place |
场所规格,最大条目数 |
|
wxfj switch |
无线非经功能开关状态 |
|
anony_user log |
审计匿名用户日志状态 |
|
ap ipmac |
APMAC匹配状态 |
表1-25 查看无线非经开关命令
|
操作 |
命令 |
说明 |
|
查看无线非经开关 |
display wxfj switch |
- |
查看非经功能开关状态参数:
H3C# display wxfj switch
wxfj switch is disable
表1-26 display wxfj switch命令显示信息参数说明
|
参数 |
说明 |
|
disable |
当前属于非经功能关闭状态 |
|
enable |
当前属于非经功能关闭状态 |
表1-27 配置无线非经开关
|
操作 |
命令 |
说明 |
|
进入配置视图 |
configure terminal |
|
|
配置radius监听 |
wxfj switch { enable | disable } |
必选 |
表1-28 配置无线非经开关参数说明
|
参数 |
说明 |
|
enable |
开启无线非经功能 |
|
disable |
关闭无线非经功能 |
无线非经功能是否开启即可以通过命令行开关命令进行配置,也可以通过web页面上的场所是否配置决定,即当场所配置全部删除,无线非经功能自动关闭,当场所配置,无线非经功能自动打开。
表1-29 配置匿名用户日志审计开关
|
操作 |
命令 |
说明 |
|
进入配置视图 |
configure terminal |
|
|
配置匿名用户日志审计 |
anony_user log { enable | disable } |
必选 |
表1-30 配置匿名用户日志审计开关参数说明
|
参数 |
说明 |
|
enable |
开启审计匿名用户日志 |
|
disable |
关闭审计匿名用户日志 |
匿名用户审计开关默认是关闭的,当开启无线非经功能之后,设备上只针对有认证的用户上网行为数据进行分析处理,对于匿名用户的上网行为不进行分析处理;一般不建议打开,如特殊需要打开。
表1-31 配置APMAC匹配
|
操作 |
命令 |
说明 |
|
进入配置视图 |
configure terminal |
|
|
配置APMAC匹配 |
ap ipmac { enable | disable } |
必选 |
表1-32 配置APMAC匹配参数说明
|
参数 |
说明 |
|
enable |
APMAC与设备端配置的APMAC匹配不上时,进行AP地址范围匹配 |
|
disable |
APMAC与设备端配置的APMAC匹配不上时,进行APMAC随机匹配 |
· 该命令默认是使能状态,该命令主要是用于认证数据与ACG设备配置的AP通过APMAC字段进行关联,一般在开启无线非经功能的情况下,认证数据中都需要带上APMAC字段,但是有些情况下(如ACG设备本身开启认证,是无法获取到APMAC字段的)是无法获取到APMAC字段的,所以只能通过其它方法
· 方法一:通过AP地址范围进行AP关联,
· 方法二:通过APMAC随机匹配,进行AP关联以保证数据不丢失。
表1-33 开启非经用户组过滤功能
|
操作 |
命令 |
说明 |
|
进入配置视图 |
configure terminal |
|
|
开启非经用户组过滤功能 |
wxfj-pass-switch enable |
必选 |
表1-34 开启非经用户组日志上报功能
|
操作 |
命令 |
说明 |
|
进入配置视图 |
configure terminal |
|
|
开启非经用户组日志上报功能 |
wxfj-log-pass user-group_name |
必选 |
表1-35 配置APMAC匹配
|
操作 |
命令 |
说明 |
|
进入配置视图 |
configure terminal |
|
|
开启任子行对接厂商场所状态日志上报功能 |
wxfj-rzx-cszt enable |
必选 |
表1-36 配置APMAC匹配
|
操作 |
命令 |
说明 |
|
进入配置视图 |
configure terminal |
|
|
开启radius报文匹配的AP-MAC是用解析出的字段来进行拼接的功能 |
user-radius-ap-mac enable |
必选 |
表1-37 配置APMAC匹配
|
操作 |
命令 |
说明 |
|
进入配置视图 |
configure terminal |
|
|
显示radius报文匹配的AP-MAC用解析出的字段来进行拼接的功能的开关状态 |
display user-radius-ap-mac |
必选 |
表1-38 配置APMAC匹配
|
操作 |
命令 |
说明 |
|
进入配置视图 |
configure terminal |
|
|
帮助用户计算radius报文中的相关Mac,以便对AP进行AP的MAC地址配置 |
set-radius-ap-mac |
必选 |
表1-39 6608回退6606清除数据库及厂商、场所、AP对应的缓存文件
|
操作 |
命令 |
说明 |
|
进入配置视图 |
configure terminal |
- |
|
6608回退6606清除数据库及及厂商、场所、AP对应的缓存文件 |
clear wxfj-db |
必选 |
· 重启前执行clear wxfj-db,此命令是隐式命令,需要手动输全,不会自动匹配,此命令的作用是删除6608非经数据库以及厂商、场所、AP对应的缓存文件。
· 设备起来之后需要进入厂商配置页面-手动点击一下厂商提交,重新下发一下厂商,执行此操作原因如下:我们从6608回退6606的时候需要把现有的非经相关缓存文件删除,6606非经前端现有逻辑在设备重启的时候不会自动产生厂商对应的缓存文件(在页面配置会产生),而6606版本场所配置页面的显示依赖于厂商对应的缓存文件,因此需要手动提交一下厂商配置
· 6606升级6608版本,再回退6606版本,只保证非经相关配置(厂商、场所、AP)为6606的配置
· 6606升级6608版本,6608保存配置回退6606版本,基础配置(不包括厂商、场所、AP)为6608配置;如果6608不保存配置回退6606版本,基础配置(不包括厂商、场所、AP)为6606的配置。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
