• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(F6610)-6W104

42-无线非经功能典型配置举例

本章节下载  (1.87 MB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/H3C_ACG1000_CE(F6610)-3321/202204/1587511_30005_0.htm

42-无线非经功能典型配置举例


1  简介

本文档介绍ACG1000设备无线非经功能配置举例,包括厂商、场所、AP、上报周期、应用关系对照表配置。

在配置前,先了解如下几个定义:

·     无线非经:即公共场所无线上网安全管理条例,非经营性互联网信息服务提供者从事非经营性互联网信息服务时,应当遵守国家的有关规定,接受有关部门依法实施的监督管理 。

·     厂商:隶属有关部门授权并遵循指定的标准(协议、应用维度)和一定的行为规则(场所编码规则、经营性质等),对外提供开放接口用来收集指定场所用户上网行为数据平台。

·     场所:经过设备的流量是从哪些场所过来,就填写哪些场所,表明有多少个场所流量经过设备;

·     AP:AP是存在于场所内的,表明该场所内有多少个AP,这样可以知道具体某个用户是在哪一个场所中的哪一个AP使用网络。

·     上报周期:根据对接厂商标准接口文档按一定的周期上报无线非经数据。

·     应用关系对照表:按照对接厂商平台要求,将我司应用转换成其对应的应用ID上报至网监平台,以便网监平台显示对应应用名称。

无线非经功能主要目的是将对接厂商需要的数据按照一定的格式要求,采用指定的协议标准上传至网监平台服务器,实现网监对非经营性场所上网用户行为的监控。

无线非经功能主要涉及到三大块,分别为应用识别审计、数据组织及数据上报,即按网监要求的格式对审计到的数据以固定的字段格式上报到网监系统对应的平台上去。

·     应用识别审计:主要是流量经过ACG设备之后能够对其进行分析识别并审计,此块主要与引擎和特征库相关。

·     数据组织:ACG设备上根据识别审计的日志以及日志平台需要上报的内容进行日志过滤及存储入数据库,并按网监要求生成对应的文件。

·     数据上报:ACG设备根据对接厂商要求,在指定目录下获取生成的数据文件,按照网监平台指定的协议进行上报,上报周期可以手动配置。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

在配置前,需要做如下准备:

·     获取参与对接厂商的名称及组织机构代码。

·     本文档假设您已了解无线非经功能特性。

3  无线非经功能配置举例

3.1  组网需求1:路由模式组网-派博平台对接

3.1.1  组网需求

图1所示,某公司内网研发部门办公网段IP地址192.168.10.0/24,其中192.168.10.1/24作为内网的网关地址。TPLINK设备上开启DHCP,地址池为192.168.10.2/24~192.168.10.254/24。使用ACG1000设备的ge1-0和ge1-1接口作为路由模式,ACG作为研发部门网关出口设备,上连公司出口防火墙,下连二层交换机。ACG1000设备上开启审计、本地认证和无线非经功能。具体应用需求如下:

·     内网用户访问外网时需要通过本地认证。

·     内网用户访问外网的流量通过ACG设备处理上报至派博平台。

图1 路由模式组网

 

3.1.2  配置思路

·     网络基础配置,配置接口地址、路由、NAT、DNS等信息。

·     升级特征库。

·     配置IPv4审计策略。

·     配置Web认证功能,添加认证账号、地址对象等信息。

·     配置无线非经功能,添加厂商、场所、AP和上报周期等信息。

3.1.3  使用版本

本举例是在R610版本上进行配置和验证的。

3.1.4  配置步骤

1. 网络基础配置

(1)     登录ACG设备Web界面

图2所示,使用http或https的方式登录ACG设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。

图2 登录H3C ACG Web界面

 

(2)     配置接口地址

图3所示,进入“网络管理>接口>物理接口”页面,点击对应接口后面的操作,进行接口IPv4地址配置。

图3 添加接口地址

 

(3)     配置静态路由

图4所示,进入“网络管理>路由>静态路由”页面,点击<新建>添加一条缺省路由。

图4 添加路由

 

(4)     配置源NAT

图5所示,进入“网络管理>NAT策略>源NAT”页面,点击<新建>添加一条源NAT,使内网地址访问外网做NAT。

图5 配置源NAT

 

(5)     配置DNS服务器

图6所示,进入“网络管理>DNS服务>DNS服务器”页面,勾选“启用DNS全局代理”,并配置DNS服务器地址,使其设备能够进行域名解析。

图6 配置DNS服务器

 

2. 升级特征库

(1)     升级license

图7所示,进入“系统管理>授权管理”页面,点击<导入许可证>,将license文件信息复制到license栏点并击提交。

图7 导入许可证

 

(2)     升级特征库

图8所示,进入“系统管理>系统设定>系统升级”页面,升级应用控制特征库,如果网络较好,可以直接连网点击立即升级,如果网络状况较差,可以将特征库文件下载到本地,进行本地导入升级。

图8 特征库升级

 

3. 配置IPv4审计策略

(1)     添加IPv4审计策略

图9所示,进入“上网行为管理>IPv4审计策略”页面,点击<新建>IPv4审计策略,审计对象全选,点击提交。

图9 配置IPV4审计策略

 

4. 配置本地认证

(1)     配置地址对象

图10所示,进入“上网行为管理>对象管理> 地址对象> IPv4地址对象”页面,配置需要认证的网段地址,点击<提交>。

图10 配置认证地址对象

 

(2)     配置认证账号

图11所示,进入“用户管理>用户”页面,选择新建认证账号,如添加测试认证账号分别为test1,test2等。

图11 添加认证账号

 

(3)     配置本地认证策略

图12所示,进入“用户管理>认证策略”页面,点击<新建>创建本地认证策略。

图12 添加本地认证策略

 

5. 配置无线非经

(1)     添加厂商配置

图13所示,进入“系统管理>无线非经>厂商配置”页面,对接厂商选择<派博>,其它信息根据要求进行配置,提交配置。

图13 添加厂商配置

 

(2)     添加场所配置

图14所示,进入“系统管理>无线非经>场所配置”页面,点击<添加场所>,将场所信息根据要求进行配置,提交配置。

图14 添加场所配置

 

(3)     添加AP配置

图15所示,进入“系统管理>无线非经>场所配置”页面,勾选对应场所,并点击<添加AP>,将AP信息根据要求进行配置,提交配置。

图15 添加AP配置

 

(4)     添加上报周期

图16所示,进入“系统管理>无线非经>查询周期设置”页面,点击<新建>,根据上报平台的要求配置上报周期,提交配置。派博对接平台上报周期为系统内置,不需要进行设定,其它厂商根据实际需要进行配置。

图16 添加上报周期

 

 

(5)     添加应用关系对照表

图17所示,进入“系统管理>无线非经>应用关系对照表”页面,点击<新建>,选择对应厂商及应用名称,并填上对照关系ID,提交配置。

图17 添加应用关系对照表

 

3.1.5  配置注意事项

·     特征库在线升级必须要配置DNS,否则在线升级不成功。

·     非经版本只记录认证用户上网产生的数据,匿名用户数据不记录。

·     对应厂商的应用关系对照表需要进行配置,如果没有,则对应的应用产生的审计数据不进行入库处理。

3.1.6  验证配置

1. 在线用户

图18所示,内网用户访问外网需要先进行web认证,在“监控统计>在线用户管理”页面,可以查看到本地认证的在线用户。

图18 本地认证用户

 

2. 审计日志

图19所示,认证用户访问IM软件及社区网站有产生相应的审计日志信息。

图19 审计日志

 

3. 日志上报

图20所示,在测试平台上查看字段解析正常。

图20 非经日志上报

 

3.2  组网需求2:透明桥模式组网-网博平台对接

3.2.1  组网需求

图21所示,某公司内网办公网段IP地址90.1.1.0/24,其中90.1.1.1/24作为内网用户的网关。使用ACG1000设备的ge1-0和ge1-1接口作为透明桥,串接部署在网络中,ACG上联出口FW,下联二层交换机设备;并在AC设备上开启AAA认证功能,AC设备只跑路由模式不做NAT,认证服务器为第三方服务器,第三方服务器将用户上下线日志信息直接发给ACG设备(注:ACG不参与认证时,所有的用户信息需要ACG与第三方认证服务器通过特地接口对接实现,如泰联和IMC服务器是通过udp9999端口将用户上下线信息发送至ACG设备)。ACG1000产品上开启审计和无线非经功能。具体应用需求如下:

·     ACG设备上可以接收到第三方服务器发过来的用户上下线信息。

·     内网用户访问外网的流量通过ACG设备处理上报至网博平台。

图21 透明桥模式组网

 

 

3.2.2  配置思路

·     网络基础配置,配置网桥、路由、DNS等信息。

·     升级特征库。

·     配置IPv4审计策略。

·     配置无线非经功能,添加厂商、场所、AP和上报周期等信息。

3.2.3  使用版本

本举例是在F6610版本上进行配置和验证的。

3.2.4  配置步骤

1. 网络基础配置

(1)     登录ACG设备Web界面。

图22所示,使用http或https的方式登录ACG设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。

图22 登录Web界面

 

(2)     配置网桥接口及地址

图23所示,进入“网络管理>接口>网桥接口”页面,点击<新建>添加网桥,将需要的接口添加至网桥中,并配置网桥接口的IPv4地址配置。

图23 配置网桥接口

 

(3)     添加静态路由

图24所示,进入“网络管理>路由>静态路由”页面,点击<新建>添加一条缺省路由。

图24 添加静态路由

 

(4)     配置DNS服务器

图25所示,进入“网络管理>DNS服务>DNS服务器”页面,勾选“启用DNS全局代理”,并配置DNS服务器地址,使其设备能够进行域名解析。

图25 配置DNS服务器

 

2. 升级特征库

(1)     升级license

图26所示,进入“系统管理>授权管理”页面,点击<导入许可证>,将license文件信息复制到license栏点并击提交。

图26 导入许可证

 

(2)     升级特征库

图27所示,进入“系统管理>系统设定>系统升级”页面,升级应用控制特征库,如果网络可以可以直接联网点击立即升级,如果网络状况较差,可以将特征库文件下载到本地,进行本地导入升级。

图27 升级特征库

 

3. 配置IPv4审计策略

(1)     添加应用审计策略

图28所示,进入“上网行为管理>IPv4审计策略”页面,点击<新建>IPv4审计策略,审计对象全选,点击提交。

图28 配置IPv4审计策略

 

4. 配置无线非经

(1)     添加厂商配置

图29所示,进入“系统管理>无线非经>厂商配置”页面,对接厂商选择<网博>,其它信息根据要求进行配置,提交配置。

图29 添加厂商配置

 

(2)     添加场所配置

图30所示,进入“系统管理>无线非经>场所配置”页面,点击<添加场所>,将场所信息根据要求进行配置,提交配置。

图30 添加场所配置

 

(3)     添加AP配置

图31所示,进入“系统管理>无线非经>场所配置”页面,勾选对应场所,并点击<添加AP>,将AP信息根据要求进行配置,提交配置。

图31 添加AP配置

 

(4)     添加上报周期

图32所示,进入“系统管理>无线非经>查询周期设置”页面,点击<新建>,根据上报平台的要求配置上报周期,提交配置。

图32 添加上报周期

 

 

(5)     添加应用关系对照表

图33所示,进入“系统管理>无线非经>应用关系对照表”页面,点击<新建>,选择对应厂商及应用名称,并填上对照关系ID,提交配置。

图33 添加应用关系对照表

 

3.2.5  配置注意事项

·     第三方服务器与ACG设备必须能够连通,否则ACG设备无法收取到第三方服务器发送的用户认证上下线信息。

·     设备必须配置DNS和路由,特征库才能在线升级。

·     非经版本只记录认证用户上网产生的数据,匿名用户数据不记录。

·     对应厂商的应用关系对照表需要进行配置,如果没有,则对应的应用产生的审计数据不进行入库处理。

3.2.6  验证配置

1. 在线用户

图34所示,第三方服务器可以向ACG设备发送用户认证上下线日志信息

图34 在线用户

 

2. 审计日志

图35所示,认证用户访问外网的流量经过ACG设备,ACG设备可以对流量进行识别并审计。

图35 审计日志

 

3. 日志上报

图36所示,在FTP服务器上可以查看到非经日志上报正常,且字段获取数据正常。

图36 日志上报

 

3.3  组网需求3:旁路模式组网-任子行平台对接

3.3.1  组网需求

图37所示,某公司内网无线办公网段IP地址10.0.163.0/24,其中网关为10.0.163.1。内网用户访问外网开启AAA认证功能,并将认证及上网流量通过旁路镜像方式镜像至ACG设备上,ACG1000产品上开启审计和无线非经功能。具体应用需求如下:

·     AAA认证交互报文镜像至ACG设备,ACG设备可以监听到用户认证上下线信息。

·     内网用户访问外网的流量镜像至ACG设备,ACG设备处理完数据上报至任子行平台。

图37 旁路模式组网图

 

 

3.3.2  配置思路

·     网络基础配置,配置旁路接口、路由、DNS等信息。

·     升级特征库。

·     配置IPV4审计策略。

·     配置无线非经功能,添加厂商、场所、AP和上报周期等信息。

3.3.3  使用版本

本举例是在F6610版本上进行配置和验证的。

3.3.4  配置步骤

1. 网络基础配置

(1)     登录ACG设备Web界面。

图38所示,使用http或https的方式登录ACG设备的Web网管,默认的用户名和密码是admin/admin,输入验证码,并点击<登录>按钮。

图38 登录Web界面

 

(2)     配置旁路接口

图39所示,进入“系统管理>部署方式>旁路部署”页面,启用对应的物理接口为旁路口。

图39 添加旁路接口

 

(3)     添加静态路由

图40所示,进入“网络管理>路由>静态路由”页面,点击<新建>添加一条缺省路由。

图40 添加静态路由

 

(4)     配置DNS服务器

图41所示,进入“网络管理>DNS服务>DNS服务器”页面,勾选“启用DNS全局代理”,并配置DNS服务器地址,使其设备能够进行域名解析。

图41 配置DNS服务器

 

2. 升级特征库

(1)     升级license

图42所示,进入“系统管理>授权管理”页面,点击<导入许可证>,将license文件信息复制到license栏点并击提交。

图42 导入许可证

 

(2)     升级特征库

图43所示,进入“系统管理>系统设定>系统升级”页面,升级应用控制特征库,如果网络可以可以直接联网点击立即升级,如果网络状况较差,可以将特征库文件下载到本地,进行本地导入升级。

图43 升级特征库

 

3. 配置IPv4审计策略

(1)     添加IPv4审计策略

图44所示,进入“上网行为管理 >IPv4审计策略”页面,点击<新建>IPv4审计策略,审计对象全选,点击提交。

图44 配置IPV4审计策略

 

4. 配置无线非经

(1)     添加厂商配置

图45所示,进入“系统管理>无线非经>厂商配置”页面,对接厂商选择<任子行>,其它信息根据要求进行配置,提交配置。

图45 添加厂商配置

 

 

(2)     添加场所配置

图46所示,进入“系统管理>无线非经>场所配置”页面,点击<添加场所>,将场所信息根据要求进行配置,提交配置。

图46 添加场所配置

 

 

(3)     添加AP配置

图47所示,进入“系统管理>无线非经>场所配置”页面,勾选对应场所,并点击<添加AP>,将AP信息根据要求进行配置,提交配置。

图47 添加AP配置

 

 

 

(4)     添加上报周期

图48所示,进入“系统管理>无线非经>查询周期设置”页面,点击<新建>,根据上报平台的要求配置上报周期,提交配置。

图48 添加上报周期

 

 

(5)     添加应用关系对照表

图49所示,进入“系统管理>无线非经>应用关系对照表”页面,点击<新建>,选择对应厂商及应用名称,并填上对照关系ID,提交配置。

图49 添加应用关系对照表

 

3.3.5  配置注意事项

·     用户认证上下线信息报文必须镜像到ACG设备上。

·     设备必须配置DNS和路由,特征库才能在线升级。

·     上网流量必须双向镜像至ACG设备上,镜像一个方向的流量至设备,可能会导致部分应用识别不完全,无法审计到需要的信息。

·     对应厂商的应用关系对照表需要进行配置,如果没有,则对应的应用产生的审计数据不进行入库处理。

3.3.6  验证配置

1. 在线用户

图50所示,通过将Radius报文镜像至ACG设备上,ACG设备可以获取到认证用户的上下线信息。

图50 在线用户

 

2. 审计日志

图51所示,认证用户访问外网的流量能够被识别并审计。

图51 审计日志

 

3. 日志上报

图52所示,在ACG设备串口上可以通过命令display wireless-count查看上报统计计数,FTP服务器上可以查看到非经日志上报正常。

图52 日志上报

 

3.4  无线非经日志上报原则

3.4.1  日志上报原则

日志上报原则是根据不同厂商的要求,组织对应的字段进行上报,上报方式也按厂商要求进行上报。

不同厂商日志上报传输方式及生成日志类型如下所示:

对接平台

日志上报传输方式

日志上报类型

任子行

通过ftp方式传输

7类,分别为CSZL\SBZL\FJGJ\RZSJ\SJRZ\XWRZ\PTNR

其中CSZL\SBZL是通过页面配置场所资料和AP配置进行上报的,其它日志是通过入库的数据表中获取相关字段进行上报

派博

通过tcp、udp方式传输

3类,tcp18590传输用户上下线日志(包括认用户和虚拟用户)

udp19590传输上网日志

网博

通过ftp方式传输

8类,分别为上下线日志\虚拟身份日志\上网日志\网站访问日志\厂商日志\场所资料日志\场所状态日志\设备资料日志,其中厂商日志,场所资料日志,场所状态日志,设备资料日志是通过页面配置进行上报的,其它日志是通过入库的数据表中获取相关字段进行上报

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们