• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

H3C SecPath ACG1000系列应用控制网关 典型配置举例(R6611P06 E6401)-6W108

目录

37-用户标签典型配置举例

本章节下载 37-用户标签典型配置举例  (392.80 KB)

docurl=/cn/Service/Document_Software/Document_Center/IP_Security/ACG/H3C_SecPath_ACG1000/Configure/Typical_Configuration_Example/ACG1000_CE(R6611P06_E6401)/202204/1587562_30005_0.htm

37-用户标签典型配置举例


1  简介

用户在审计设备上的访问日志给用户加一个标签(理财、网购…),此标签需要携带到云端的AAA和内容平台上,以便根据此标签决定后续的认证、推送、营销策略等。

2  配置前提

本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。

本文档假设您已了解用户标签特性。

3  使用限制

·     推荐使用于二层场景。

·     用户标签上报跨三层后,设备统计的标签信息 ip还是终端的ip,mac是下联设备的mac(终端接入的是三层switch的情况下,可以配置snmp跨三层学习,设备就可以学习到终端mac)。

·     用户标签是根据网站日志分类进行上报标签,设备需要开启审计策略,需要审计网站类日志。

·     用户标签上报前必须配置imc服务器的ip地址、认证用户名、密码,否则服务器连接认证失败无法上报用户标签。

·     只支持配置1个上报服务器,如果重复配置的话会把之前的用户标签上报服务器覆盖。

·     预定义标签56个,不支持手动创建自定义url分类,其它的id号作为预留url分类使用。默认所有URL分类均参与标签上报通过命令url-category (1-1025)user-label enable /disable限制哪些标签上报。

·     每个用户只上报top3的用户标签,如果用户标签不足三个,使用USER_LABEL_NONE(0)填充。

·     用户标签信息本地配置文件存储周期为15分钟。

·     用户标签信息上报imc服务器周期为24小时。

·     用户标签上报前必须配置imc服务器的ip地址、认证用户名、密码,否则服务器连接认证失败无法上报用户标签。

·     用户存储的最大规格为50x1024,到达规格后老化不活跃用户。

·     日志上报失败的三个条件:

¡     没有配置imc服务器。

¡     用户标签文件创建失败。

¡     用户标签前台调用的脚本失败。

·     日志上报标签错误或者无记录排查:

¡     查看是不是对应的上报被关闭了。

¡     查看保存文件是否是更新了最新的。

¡     查看上报文件中的标签是否和保存的一致同时也是更新了最新的。

¡     debug app audit log 查看是否产生日志。

¡     设备开启了审计策略但是没配置imc标签上报服务器,默认24小时上报一次。

表1 用户标签ID对应关系

分类ID

中文名称

英文名称

1

广告

ad

2

成人

adult

3

傀儡主机

botnet

4

艺术

art

5

在线音乐

music

6

机动车

automobile

7

BBS站点

BBS

8

键盘记录网站

keyboard-recorder

9

博彩

lottery

10

商业

business

11

计算机与互联网

network

12

犯罪

crime

13

钓鱼网站

fishing

14

毒品

drug

15

教育

education

16

娱乐

entertainment

17

在线股票交易

transaction

18

证券公司

securities

19

赌博

gambling

20

游戏

game

21

木马病毒

trojan

22

网络资源

network-resources

23

医疗健康

health

24

违反法律

illegal

25

违反道德

immoral

26

求职招聘

recruitment

27

儿童

child

28

法律

law

29

社会生活

society

31

网上交易

trade

32

新闻媒体

news

33

文学

literature

34

在线聊天

chat

35

财经

economics

36

非盈利组织

charity

37

政治

political

38

色情

porn

39

门户网站与搜索引擎

portal-searcher

40

远程代理

proxy

41

房地产

estate

42

参考

reference

43

宗教与信仰

religion

44

科学

science

45

期货

futures

46

银行

bank

47

体育

sports

48

股票

stock

49

基金

fund

50

外汇

exchange

51

旅游

travel

52

暴力

violence

53

病毒

virus

54

WEB通信

web-im

55

交通住宿预定

hotal

56

白名单

whitelist

 

4  用户标签二层组网配置举例

4.1  组网需求

图1所示,在公司出口网关开启用户标签上报功能,用户在审计设备上的访问日志给用户加一个标签(理财、网购……),此标签上报到标签服务器,以便根据此标签决定后续的认证、推送、营销策略等。

图1 二层环境用户标签配置案例组网图

 

 

4.2  配置思路

按照组网图组网。

(1)     配置IPV4控制策略。

(2)     配置用户标签上报服务器。

(3)     配置终端。

4.3  使用版本

本举例是在R6611P01版本上进行配置和验证的。

4.4  配置步骤

4.4.1  配置ACG1000系列产品

1. 配置IPV4控制策略

通过菜单“策略配置>IPv4控制策略”,点击<新建>控制策略,配置URL分类为全部,动作为允许的控制策略。进入如图2所示的页面。

图2 IPV4控制策略配置

 

 

 

2. 配置用户标签上报服务器

在命令行系统模式下配置用户标签上报服务器。服务器地址10.0.50.212,端口8080,用户名admin,密码admin。

host(config)# user-label imc-server 10.0.50.212 8080 admin admin

host(config)# do display user-label imc-server

server ip:10.0.50.212, port:8080, name:admin, password:Hg6MAD7MGTUEcoT9gHG+LhDc6E07QwG71SmiEodL/fQT/YirzsAURqDjk69469y

3. 配置终端信息

配置下联pc上网ip,下联PC访问http多种网站类型(商业、博彩、艺术类、计算机与互联网)上网。

4.5  验证配置

(1)     抓包查看上报标签是否正确

设备用户标签信息本地配置文件存储周期为15分钟。上报imc服务器周期为24小时。时间太久,可以等15分钟后标签本地存储完成后在设备抓包过滤服务区地址,协议选择tcp目的端口选择8080过滤查看用户标签信息。在命令行 (config)#模式下执行 user-label report   查看标签信息

 

5  用户标签三层组网配置举例

5.1  组网需求

图3所示,在公司出口网关开启用户标签上报功能,用户在审计设备上的访问日志给用户加一个标签(理财、网购……),此标签上报到标签服务器,以便根据此标签决定后续的认证、推送、营销策略等。具体应用需求如下:

(1)     公司组网为三层组网,用户标签功能在出口开启。

(2)     内网用户通过一台三层设备上网。

(3)     General switch交换机开启snmp功能,并且配置管理地址。

图3 三层环境用户标签配置案例组网图

 

 

5.2  配置思路

按照组网图组网。

(1)     配置IPV4控制策略。

(2)     配置用户标签上报服务器。

(3)     General switch交换机开启snmp功能,并且配置管理地址。

(4)     DUT设备开启SNMP同步功能,获取用户真实MAC。

(5)     配置终端。

5.3  使用版本

本举例是在R6611P01版本上进行配置和验证的。

5.4  配置步骤

5.4.1  配置ACG1000系列产品

1. 配置IPV4控制策略

通过菜单“策略配置>IPv4控制策略”,点击<新建>控制策略,配置URL分类为全部,动作为允许的控制策略。进入如图4所示的页面。

图4 IPV4控制策略配置

 

2. 配置用户标签上报服务器

在命令行系统模式下配置用户标签上报服务器。服务器地址10.0.50.212,端口8080,用户名admin,密码admin。

host(config)# user-label imc-server 10.0.50.212 8080 admin admin

host(config)# do display user-label imc-server

server ip:10.0.50.212, port:8080, name:admin, password:Hg6MAD7MGTUEcoT9gHG+LhDc6E07QwG71SmiEodL/fQT/YirzsAURqDjk69469y 

3. 在General switch交换机配置管理IP

在General switch交换机配置管理IP,开启SNMP功能配置团体字(交换机snmp功能自行配置)。

4. 设备开启跨SNMP同步功能

通过菜单“用户管理>用户同步 ”,点击<新建>选择<SNMP同步>,进入如图5所示的页面。

图5 SNMP同步配置

 

5. 配置终端信息

配置下联pc上网ip,下联PC访问HTTP多种网站类型(商业、博彩、艺术类、计算机与互联网)上网。

 

5.5  验证配置

(1)     抓包查看上报标签是否正确。

设备用户标签信息本地配置文件存储周期为15分钟。上报imc服务器周期为24小时。时间太久,可以等15分钟后标签本地存储完成后在设备抓包过滤服务区地址,协议选择tcp目的端口选择8080过滤查看用户标签信息。在命令行 (config)#模式下执行 user-label report查看标签信息。

图6 查看结果

 

(2)     依次访问商业、博彩、艺术类、计算机与互联网这四类网站后设备记录的标签信息只记录博彩、艺术类、计算机与互联网。

(3)     DUT设备不开启跨三层MAC地址学习时,下联多台pc访问不同类型的网站,过了三层设备后,mac地址显示成设备mac地址。

(4)     DUT设备开启跨三层MAC地址学习后,下联多台pc访问不同类型的网站,待DUT设备学习到终端mac后,标签上报显示的是终端的mac地址和标签类型。

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们