- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载: 01-正文 (5.93 MB)
目 录
高危操作只能由有资质且经过培训的维护人员执行。如果操作不当,可能会导致设备断电、设备重启、业务中断、业务运行异常、重要文件被删除、所有配置被清除、用户无法登录、用户下线等现象发生。
在进行高危操作之前,请先了解可能带来的风险并申请变更窗口后再进行操作。
本章节对Web类高危操作进行介绍。
具体环境如菜单路径等因安装组件不同而有差异,请以实际环境为准。
生产环境中启用该配置,可能会导致大量新发现端点被阻断并加入黑名单,请谨慎使用。
(1) 在页面上方选择“用户”页签。
(2) 单击导航树中的[端点探测管理>系统管理>系统参数]菜单项,进入系统参数管理页面。
(3) 在系统参数页面,配置加入黑名单参数。
¡ 加入黑名单方式选择“EIA联动”,业务场景选择“安全优先”,并启用“新发现端点自动加入黑名单”,如图2-1所示。
图2-1 EPS加入黑名单1
¡ 加入黑名单方式选择“扫描器联动”,业务场景选择“安全优先”,并启用“非直连端口加入黑名单”、“新发现端点自动加入黑名单”,如图2-2所示。
图2-2 EPS加入黑名单2
采用扫描器联动方式时,需要为端点的接入交换机配置SNMP读写团体字,其他网关设备仅需要配置SNMP读团体字。
¡ 加入黑名单方式选择“安全网关联动”,业务场景选择“安全优先”,并启用“新发现端点自动加入黑名单”,如图2-3所示。
图2-3 EPS加入黑名单3
新发现端点保留时长:该参数是否生效依赖于是否启用新发现端点自动加入黑名单:如果启用,在设置的保留时长后,服务器会在凌晨3点进行检测,将新发现的端点加入黑名单;如果不启用,则新发现设备保留时长不生效,服务器将不会对此端点进行保留时长检查。其中参数0代表立即将新发现端点加入黑名单。
被批量加入黑名单的用户无法通过认证上网,请谨慎使用。
(1) 在页面上方选择“用户”页签。
(2) 单击导航树中的[接入用户管理>接入用户]菜单项。
(3) 在接入用户列表中,选中帐号名左边的复选框,可多选。
(4) 单击接入用户列表中的<加入黑名单>按钮,弹出确认对话框。
(5) 单击<确定>按钮,将所选的单个或多个用户加入黑名单,如图2-4所示。
图2-4 EIA批量加入黑名单
被批量强制下线的在线用户会掉线,请谨慎使用。
(1) 在页面上方选择“用户”页签。
(2) 单击导航树中的[接入用户管理>在线用户]菜单项,进入在线用户列表页面。
(3) 勾选在线用户帐号名左侧的复选框,可多选。
(4) 单击<强制下线>按钮,弹出确认对话框。
(5) 单击<确定>按钮,将所选的一个或多个本地在线用户强制下线。
图2-5 批量强制下线
ACL下发不合理会导致终端和认证服务器通信异常,可能导致大量用户掉线,请谨慎使用。
(1) 在页面上方选择“用户”页签。
(2) 单击导航树中的[接入策略管理>接入策略管理]菜单项。所有接入策略都显示在接入策略列表中。
(3) 在接入策略列表页面中,单击<增加>按钮,进入接入策略增加页面。
(4) 配置授权信息,勾选“下发ACL”,如图2-6所示。
当网络中的设备没有全部加入本系统时,学习到的终端接入接口可能不是终端直连接口,关闭接口可能会导致大面积断网,请谨慎使用。
(1) 在页面上方选择“资源”页签。
(2) 单击导航树中的[终端准入管理>准入配置]菜单项,进入准入配置页面,如图2-7所示。
(3) 单击“终端异常处理策略”链接。
(4) 在冲突异常接入处理策略中,选择立即关闭或延时关闭接口,如图2-8所示。
开启“LDAP服务器故障时逃生”功能后,当EIA服务器与LDAP服务器通信异常或者LDAP服务器故障时,LDAP用户仍然会认证成功,请谨慎使用。
(1) 在页面上方选择“用户”页签。
(2) 单击导航树中的[接入策略管理>LDAP业务管理>参数配置]菜单项,进入LDAP功能参数配置页面。
(3) 启用“LDAP服务器故障时逃生”功能。
图2-9 LDAP服务器故障时逃生
MSCHAPv2 Server进程重启操作将发送停止进程的消息给MSCHAPv2 Server进程,后续由监控代理自动将MSCHAPv2 Server进程启动。该进程重启过程中将影响MSCHAPv2 Server认证,请谨慎使用。
(1) 在页面上方选择“用户”页签。
(2) 单击导航树中的[接入策略管理>LDAP业务管理>参数配置]菜单项,进入LDAP功能参数配置页面。
(3) 单击“MSCHAPv2 Server进程重启”对应的<确定>按钮,如图2-10所示。
(4) 在弹出的对话框中,单击<确定>按钮,如图2-11所示。
启用该参数,则在执行LDAP同步时自动从iMC系统中删除物理LDAP服务器上已经不存在的用户,请谨慎使用。
(1) 在页面上方选择“用户”页签。
(2) 单击导航树中的[接入策略管理>LDAP业务管理>参数配置]菜单项,进入LDAP功能参数配置页面。
(3) 启用“LDAP同步时自动删除已经不存在的用户”功能,如图2-12所示。
图2-12 LDAP同步时自动删除已经不存在的用户
启用该参数,则同步用户时申请LDAP同步策略指定的服务,该参数仅对服务同步方式为“手工指定”的LDAP用户生效。接入服务的改变可能会对用户认证产生影响,请谨慎使用。
(1) 在页面上方选择“用户”页签。
(2) 单击导航树中的[接入策略管理>LDAP业务管理>参数配置]菜单项,进入LDAP功能参数配置页面。
(3) 启用“同步转移接入服务(手工指定)”功能,如图2-13所示。
图2-13 同步转移接入服务(手工指定)
启用该参数,则同步用户时申请LDAP同步策略里AD组指定的服务,该参数仅对服务同步方式为“基于AD组”的LDAP用户生效。接入服务的改变可能会对用户认证产生影响,请谨慎使用。
(1) 在页面上方选择“用户”页签。
(2) 单击导航树中的[接入策略管理>LDAP业务管理>参数配置]菜单项,进入LDAP功能参数配置页面。
(3) 启用“同步转移接入服务(基于AD组)”功能。
图2-14 同步转移接入服务(基于AD组)
启用该参数,则当接入用户(服务同步方式为基于AD组的LDAP用户除外)在用户分组间转移或所属用户分组指定的服务发生变化时,立即为接入用户重新申请用户分组指定的服务。接入服务的改变可能会对用户认证产生影响,请谨慎使用。
(1) 在页面上方选择“用户”页签。
(2) 单击导航树中的[接入策略管理>业务参数配置>系统配置]菜单项,单击“系统参数配置”对应配置列的“配置”图标,如图2-15所示。
(3) 配置参数“按用户分组申请服务”、“按用户分组申请服务立即生效”为“启用”,如图2-16所示。
该参数决定在LDAP用户同步时,如何处理不存在的LDAP用户。当不存在的用户数量大于该参数值时,考虑到可能是异常情况导致查询不到数据,所以不进行任何处理;反之,则对不存在的LDAP用户进行注销或置为不存在状态。该参数缺省为100。该操作涉及用户的注销,请谨慎使用。
(1) 在页面上方选择“用户”页签。
(2) 单击导航树中的[接入策略管理>LDAP业务管理>参数配置]菜单项,进入LDAP功能参数配置页面。
(3) 修改LDAP同步处理阈值,如图2-17所示。
图2-17 LDAP同步处理阈值
请注意误操作会导致该服务器重启或者下电。
(1) 在页面上方选择“资源”页签。
(2) 单击导航树中的[设备视图]菜单项,单击设备标签列表的对应设备,进入设备详细信息页面。
(3) 在页面右侧动作列中单击“安全下电”、“强制下电”、“重启”、“安全重启”链接中任一链接,如图2-18所示。
请注意该配置可能会导致用户无法认证上线。
(1) 在页面上方选择“用户”页签。
(2) 单击导航树中的[安全策略管理>安全策略管理]菜单项,配置安全策略管理,安全级别选择加入黑名单并下线。安全检查不通过时,系统会将用户加入黑名单并下线,记录安全日志。
图2-19 安全级别
请注意该配置可能会导致鼠标、键盘等USB非存储设备无法使用。
(1) 在页面上方选择“用户”页签。
(2) 单击导航树中的[桌面资产管理>桌面监控策略>外设管理策略]菜单项,增加外设管理策略。
(3) 在禁用设备区域,勾选“USB非存储设备”,如图2-20所示。该操作会导致USB非存储设备(如鼠标、键盘)都被禁用,请谨慎操作,可通过添加USB非存储设备白名单进行规避。
图2-20 禁用USB非存储设备
重启设备是建立一个配置计划来重启设备。执行批量重启设备操作后,系统会下发设备重启命令,导致设备重启,中断业务。
(1) 在页面上方选择“资源”页签。
(2) 单击导航树中的[资源管理>批量操作]菜单项,进入批量操作页面。
(3) 在页面设备配置区域单击“重启设备”或“[配置计划]”链接,如图2-21所示。
(4) 以重启设备页面为例,选取需重启的设备、配置基本信息和调度信息,如图2-22所示。配置完成后,单击<确定>按钮。
自动部署计划中增加自动部署设备、快速增加自动部署设备时,需要用户为设备指定目标IP。若MAC地址所匹配设备已有当前IP,那么自动部署任务执行成功后,设备IP会更改为用户指定的目标IP,误操作可能导致设备IP地址冲突、设备重启,请谨慎操作。
(1) 在页面上方选择“业务”页签。
(2) 单击导航树中的[设备配置管理>自动部署计划]菜单项,进入自动部署计划页面,如图2-23所示。
(3) 单击操作中的“增加自动部署设备”或“快速增加自动部署设备”图标,进入页面如图2-24、图2-25所示。
部署设备软件中选择部署设备和软件时,部署策略勾选“删除当前运行软件”、“删除当前备份启动软件”,可能导致设备升级失败,且无法正常启动,请谨慎勾选;勾选“部署完成后立即重新启动设备”,系统会下发设备重启命令,导致设备重启、业务中断,请谨慎勾选。
(1) 在页面上方选择“业务”页签。
(2) 单击导航树中的[设备配置管理>部署向导]菜单项,单击“部署设备软件”链接,进入部署设备软件页面。
(3) 在页面部署策略区域勾选“删除当前运行软件”、“删除当前备份启动软件”、“部署完成后立即重新启动设备”,如图2-26所示,单击<下一步>按钮,单击<确定>按钮。
部署设备配置中选择部署设备时,部署策略勾选“部署完成后重新启动设备”,系统会下发设备重启命令,导致设备重启,中断业务,请谨慎勾选。
(1) 在页面上方选择“业务”页签。
(2) 单击导航树中的[设备配置管理>部署向导]菜单项,单击“部署设备配置”链接,进入部署设备配置页面。
(3) 在页面部署策略区域,选择“部署到设备的文件类型”为“启动配置”,勾选“部署完成后重新启动设备”,如图2-27所示,单击<下一步>按钮,单击<确定>按钮。
设置设备接口Down操作不当,可能导致设备断连、业务中断,请谨慎操作。
(1) 在页面上方选择“业务”页签。
(2) 单击导航树中的[智能管理中心>策略管理]菜单项,进入策略管理页面。
(3) 单击<增加>按钮,增加策略。在动作配置中单击<选择动作>按钮,在弹出对话框中勾选“设备接口Down操作”,单击<确定>按钮,如图2-28所示。
(4) 或在页面上方选择“告警”页签。
(5) 单击导航树中的[安全控制中心>安全控制策略管理]菜单项,进入安全控制策略管理页面。
(6) 单击<增加>按钮,增加安全控制策略。在动作配置中单击<选择动作>按钮,在弹出对话框中勾选“设备接口Down操作”,单击<确定>按钮,如图2-29所示。
整理设备空间时,删除设备文件容易误操作,删除设备所需的配置文件,可能导致设备系统缺失,设备重启失败,请谨慎操作。
(1) 在页面上方选择“业务”页签。
(2) 单击导航树中的[设备配置管理>设备配置一览表]菜单项,进入设备配置一览表页面。
(3) 展开操作选项,选择“整理设备空间”,如图2-30所示。
(4) 在设备文件列表窗口中勾选设备文件,单击<删除文件>按钮,如图2-31所示。
设置接口Down操作不当,可能导致业务中断,请谨慎操作。
(2) 单击导航树中的[视图管理>接口视图]菜单项,进入接口视图页面。
(3) 单击接口名称链接,进入接口详情页面。勾选接口,在页面上方单击<更多>按钮,选择“接口配置向导”,如图2-32所示。
(4) 在弹出窗口中,单击操作列表区域<增加>按钮,在“选择操作”窗口中勾选自定义选项下的“接口UP/Down”,如图2-33所示,单击<确定>按钮。
(5) 单击<下一步>按钮,选择操作为“Down”,如图2-34所示,单击<下一步>按钮,单击<确定>按钮。
删除VLAN虚接口,可能导致设备网络通信故障,请谨慎操作。
(1) 在页面上方选择“业务”页签。
(2) 单击导航树中的[VLAN管理>VLAN设备管理]菜单项,进入VLAN设备管理页面。
(3) 单击某一VLAN设备的“VLAN配置”图标,进入详情页面。单击“VLAN虚接口”页签,勾选接口,单击<删除>按钮,如图2-35所示。
图2-35 VLAN虚接口
(4) 弹出确认对话框,单击<确定>按钮,删除VLAN虚接口。
修改Access端口PVID,可能导致设备网络通信故障,请谨慎操作。
(2) 单击导航树中的[VLAN管理>VLAN设备管理]菜单项,进入VLAN设备管理页面。
(3) 单击某一VLAN设备的“VLAN配置”图标,进入详情页面。单击“Access端口”页签,如图2-36所示。
(4) 勾选Access端口,单击<修改PVID>按钮,如图2-37所示,在弹出窗口中修改PVID,单击<确定>按钮。
增加、删除Trunk端口,可能导致设备网络通信故障,请谨慎操作。
(1) 在页面上方选择“业务”页签。
(2) 单击导航树中的[VLAN管理>VLAN设备管理]菜单项,进入VLAN设备管理页面。
(3) 单击某一VLAN设备的“VLAN配置”图标,进入详情页面。单击“Trunk端口”页签,进入Trunk端口页面。
(4) 单击<增加>按钮,进入增加Trunk端口页面,如图2-38所示。配置完成,单击<确定>按钮,完成增加Trunk端口操作。
(5) 勾选接口,单击<删除>按钮,如图2-39所示。
(6) 弹出确认对话框,单击<确定>按钮,删除Trunk端口。
增加、删除Hybrid端口,可能导致设备网络通信故障,请谨慎操作。
(1) 在页面上方选择“业务”页签。
(2) 单击导航树中的[VLAN管理>VLAN设备管理]菜单项,进入VLAN设备管理页面。
(3) 单击某一VLAN设备的“VLAN配置”图标,进入详情页面。单击“Hybrid端口”页签,进入Hybrid端口页面。
(4) 单击<增加>按钮,进入增加Hybrid端口页面,如图2-40所示。配置完成,单击<确定>按钮,完成增加Hybrid端口操作。
(5) 勾选接口,单击<删除>按钮,如图2-41所示。
(6) 弹出确认对话框,单击<确定>按钮,删除Hybrid端口。
安装杀毒软件,若未将iMC加入白名单,杀毒软件可能会损坏iMC的后台文件,导致进程运行异常或者功能异常,请谨慎操作。
在安装iMC的环境中安装杀毒软件,但未把iMC加入白名单中。
服务器异常断电,可能会造成数据库被质疑、进程启动失败、相关功能无法正常运行,请谨慎操作。
服务器未正常关机,直接切断电源,出现功能异常如图2-42所示。
重启各个进程可能会对iMC平台及各组件服务造成一定影响,请谨慎操作,如图2-43所示。
· 重启jserver进程:影响前台访问,影响端点信息上报处理。
· 重启epsserver进程:影响扫描报文处理。
· 重启jserver进程:影响前台访问,影响LDAP同步。
· 重启difserver进程:影响消息下发和消息中转。
· 重启Eipserver进程:影响BYOD认证。
· 重启mschapv2server进程:影响MSCHAPv2认证。
· 重启portalserver进程:影响Portal认证。
· 重启jserver进程:影响前台访问。
· 重启ispserver进程:影响policyserver进程、damserver进程报文处理。
· 重启policyserver进程:影响安全认证。
· 重启damserver进程:影响资产信息上报。
· 重启jserver进程:影响WSM前台页面。
· 重启WSM后台进程:可能导致正在采集的数据被中断。
· 重启jserver进程:影响系统登录,若重启时间点与周期报表调度时间点重合,会导致周期报表调度失败。
· 重启imcupgdm进程:影响任务部署,会导致正在执行的部署任务状态一直显示“执行中”,直至超时,但实际未执行部署任务。
· 重启数据库:iMC监控及数据库连接正常,但后台入库会入库异常,需重启iMC。
· 重启资源相关进程:会导致正在执行的自动发现和导入设备功能立即停止。
安装且启动了iMC,修改系统时间可能导致性能数据、告警数据等错乱。
· 如果将系统时间修改到未来时间且修改前后相差的时间较长,将会导致系统需要较长时间处理数据库中的大量超出保存时长的数据,从而影响当前采集数据的速度,造成一定的延迟。待数据处理完成后,延迟将逐渐恢复。
· 如果将系统时间修改到已过去的时间,将会导致数据库中出现时间重叠的数据,从而使系统的数据处理出现异常。待重叠时间过后,系统的数据处理才能恢复正常。
需要先停止iMC进程和iMC服务,然后修改操作系统时间,修改完成后再启动iMC服务和iMC进程。
修改后的系统时间不能早于iMC的安装时间。
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
