- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
02-设备管理
本章节下载: 02-设备管理 (131.22 KB)
设备管理
本功能用于管理和监控设备,包括物理设备和虚拟设备,并支持同步设备上的业务配置到平台进行管理以及向设备下发业务配置。
本章包含如下内容:
· 设备管理
· 虚拟设备管理
本功能用于管理和监控物理设备,并支持同步设备上的业务配置到平台进行管理以及向设备下发业务配置。
在设备管理页面可查看设备的基本信息(例如资产名称、所属区域、IP地址等)以及CPU利用率和内存利用率等信息。
· 单击<详情>按钮,可查看设备的流量统计趋势、新建会话趋势、并发会话趋势、CPU/内存利用率趋势以及接口详情信息。
· 单击<打开设备>按钮,可跳转至设备的Web登录界面。
1. 单击<新增>按钮,进入新增资产信息界面。
2. 配置基本信息:
○ 资产名称:设备的名称,建议填写设备的实际名称。
○ 管理IP:设备的管理IP地址。
○ 制造商:设备制造厂商。
○ 资产类型:入侵防御设备选择“安全设备-入侵防御”,防火墙设备选择“安全设备-防火墙”。
○ 资产描述:设备的描述信息。
○ 所属区域:设备所在的区域。
○ 资产IP:在输入框中输入设备的IP地址,并单击右侧的<添加>按钮,可添加资产IP地址。管理员可打开资产IP列表,查看设备的IP信息。
○ 所属设备组:设备所在的设备组。
○ 日志编码格式:设备上报日志的编码格式。取值包括GBK和UTF-8,默认为GBK。
3. 配置扩展属性,可根据设备实际情况配置其各属性值,包括设备序列号、资产编号等。
4. 配置认证模板:
○ 配置SNMP参数,单击<设置>按钮进入设置SNMP参数页面,可选择手工编辑或者从已有模板选取。该页面参数说明请参见“新增SNMP模板”。
○ 配置SSH参数,单击<设置>按钮进入设置SSH参数页面,可选择手工编辑或者从已有模板选取。该页面参数说明请参见“新增SSH模板”
○ 配置SOAP参数,单击<设置>按钮进入设置SOAP参数页面,可选择手工编辑或者从已有模板选取。该页面参数说明请参见“新增SSH模板”。
1. 在设备管理页面,单击<导入>按钮,选择资产批量导入模板下载。
2. 按照模板样式填写设备信息后,再次单击<导入>按钮,选择资产导入,选择已经填写设备信息的模板,即可批量导入设备。
3. 完成以上操作后,可单击<导入>按钮,选择“操作结果”,查看资产导入结果。
同步功能可将设备上已有的业务配置同步到本平台进行统一的管理。
选择一个或多个设备,单击<同步>按钮,可将选中设备上所有支持同步的业务配置同步至平台。可在“业务配置”列查看同步结果。
业务配置用于管理单个设备上的业务配置信息,支持的配置包括安全策略、IP地址组、服务组、应用、应用组、时间段、安全域、入侵防御、防病毒、入侵防御白名单、NAT动态转换、NAT地址组、带宽策略和带宽通道。用户可根据实际需求,对设备上的业务配置进行统一的管理。
设备同步成功后,选择指定的设备,单击“业务配置”列下的
按钮,进入业务配置页面。可向指定的设备下发业务配置。
需要注意,对设备的业务配置进行的新增、删除、修改移动等操作将立即下发至设备。
本功能用于批量保存设备配置。单击<保存配置>按钮,所选设备的当前配置将保存到设备的配置文件中。可单击<操作结果>按钮,查看配置是否保存成功。
本功能主要用于将设备上的业务配置导入到平台,可实现安全策略等业务配置的快速迁移。单设备的配置资源可导入至本平台成为全局资源。管理员可将全局资源下发至多台设备,从而实现多设备间的配置复制下发。
设备同步成功后,单击“业务配置”列下的按钮,进入业务配置页面。单击右上角的<导入配置>按钮,进入导入配置页面。该页面可查看设备下支持导入的资源和安全策略列表。
管理员可以根据实际需求,勾选状态为“可导入”的资源或安全策略,单击<导入>按钮,即可将设备的配置导入到本平台。
其中,有如下限制需要关注:
· 导入配置时,设备会对待导入的配置与“安全业务管理 > 全局资源“中的配置进行对比分析,如果待导入的配置与全局资源中的配置存在冲突,则不允许导入该配置。
· 导入资源时,该资源及其所引用的资源都会被导入到全局资源。
· 导入安全策略时,该策略及其引用的资源都会被导入到全局资源。
· 添加设备之前,需要先配置模板参数。安全业务管理平台配置的SNMP模板或SOAP模板参数必须与设备上配置的SNMP功能或NETCONF over SOAP功能相关参数一致,否则会导致信息交互失败。
该功能用于对用户设备上的虚拟设备(即Context)进行管理。
虚拟设备是通过虚拟化技术将一台物理设备划分成多台虚拟设备,每台虚拟设备就称为一个Context。每个Context拥有自己专属的软硬件资源,独立运行。
对于用户来说,每个Context就是一台独立的设备,方便管理和维护;对于管理者来说,可以将一台物理设备虚拟成多台逻辑设备供不同的分支机构使用,可以保护现有投资,提高组网灵活性。
用户可以在该页面查看、删除、创建、停用、启用虚拟设备。
1. 单击<新增>按钮,进入增加虚拟设备界面。
2. 配置基本信息:
○ 虚拟设备名称:用户设备中的Context的名称。
○ 描述:Context的描述信息,合理编写描述信息便于管理员快速了解和识别Context的作用,有利于后期维护。
○ 物理设备名称:指定需要创建Context的物理设备。
3. 资源设置:勾选<资源设置>前的复选框,为Context分配资源
○ CPU资源限额:即CPU权重,当CPU无法满足所有Context的处理需求时,系统将按照CPU权重值为每个Context分配处理时间。通过调整权重,可以使指定的Context获得更多的CPU资源,保证关键业务的运行。
○ 吞吐量值:为了防止一个Context的报文过多而导致其它Context的报文被丢弃,需要限制Context的吞吐量。当启用吞吐量限制时,系统优先处理协议报文,对于超过限制值的业务报文会被丢弃。
○ SSL VPN登录用户数:对Context的最大SSL VPN登录用户数进行限制后,当该Context的SSL VPN登录用户数达到最大数目时,该Context将不允许新的用户登录。如果设置的数值小于当前Context的SSL VPN登录用户总数,则配置可以成功,但不再允许新的用户登录,且已经登录的用户不会被删除。直到已登录的用户通过老化机制下线或用户主动下线,使得用户总数低于配置的最大值后,系统才允许新的用户登录。。
○ 会话并发数:设备能够同时维持的会话连接总数是有限制的,为防止一个Context创建过多的会话,而导致其它Context无法创建新的会话,需要限制Context的会话并发数。用户可以为每个Context配置最大的会话并发数。
○ 会话新建速率:会话新建速率是指设备在单位时间内所能够完全处理的新会话请求数量。由于设备的处理能力有限,为防止一个Context的会话新建速率过高,而导致其它Context创建会话失败,需要限制Context的会话新建速率。用户可以为每个Context配置最大的会话新建速率。
4. 配置完成上述参数后,可单击<下一步>按钮,可继续为Context分配接口和VLAN资源。其中,VLAN支持如下分配方式:
○ 共享:该模式下的VLAN由管理员在缺省Context中创建,统一配置和管理。此方式适用于同一个VLAN由多个Context共同使用的场景。
○ 独占:该模式下的VLAN由各Context的管理员登录各自的Context后,自行创建、配置和管理。该模式要求各Context的管理员来规划和配置VLAN。此方式适用于Context需要各自管理和使用一个独立VLAN的场景。
5. 单击<新增>按钮,在接口列表中选择为Context分配的接口。
6. 单击<下一步>按钮,配置管理接口IP和接口信息:
○ 管理接口:Context的管理接口。
○ 管理IP/子网掩码/网关:Context管理口的IP地址/子网掩码/网关地址。
○ 网关路由(目的地址/掩码/下一跳):设备到平台的路由。
○ SNMP参数模板:Context绑定的SNMP模板。
○ NETCONF参数模板:Context绑定的SOAP参数模板。
○ 保存配置:勾选此项后,Context的配置将保存在设备配置文件中。
7. 配置完成上述参数后,单击<确认>按钮,完成Context的创建。
8. 用户可在虚拟设备管理界面查看Context的信息、启用状态以及资源使用情况。也可以根据实际需求,对Context进行删除、启用和停用的操作。
9. Context创建成功后,将作为新增设备显示在设备管理页面中,管理员可在该页面中对其进行管理。
· 创建虚拟设备时需要确保物理设备在线,且NETCONF连接通畅。
· 分配VLAN时有如下注意事项:
○ 共享VLAN必须是设备上存在的VLAN。请先创建VLAN,再指定共享VLAN。
○ VLAN 1不能被共享。
○ 端口的缺省VLAN不能被共享。
○ 已经创建了VLAN接口的VLAN不能被共享。
· 分配接口时有如下注意事项:
○ 逻辑接口(如子接口、聚合接口等)仅支持共享方式分配,物理接口支持独占和共享两种方式分配。
○ 如果子接口已经被分配,则不能再分配其父接口;如果父接口已经被分配,则不能再分配其子接口。
○ 如果接口已经被共享分配,则不能再独占分配。需将共享分配配置取消后,才能独占分配。
○ 当设备运行在集群模式时,禁止将集群物理端口分配给Context。
○ 聚合接口的成员接口不能分配给Context。
○ 冗余口的成员接口不能分配给Context,当冗余口的成员接口为子接口时,其子接口的主接口也不能分配给Context。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
