- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
03-iMC EAD分级管理典型配置举例
本章节下载: 03-iMC EAD分级管理典型配置举例 (1.43 MB)
典型配置举例
资料版本:5W100-20250415
产品版本:EAD (E0632)
Copyright © 2025 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
iMC EAD分级管理功能为管理员提供了一种在多级iMC系统中实现统一管理的手段,具备以下主要功能和优势:
· 统一策略制定与分发:总部管理员集中制定统一的服务和安全策略。通过SOAP消息报文形式将策略下发至分支iMC系统,确保策略的一致性和准确性。
· 权限分级与操作限制:分支iMC系统的操作员仅可修改与安全策略无关的配置信息,可为用户申请相关服务,但无法新增接入服务或安全策略,确保管理权限的合理分配。
· 用户身份与安全认证:用户可在各级iMC系统之间自由漫游,进行身份和安全认证。此机制减少了开户工作量,加快了安全认证速度,同时满足各级iMC系统的个性化安全需求。
· 违规信息监控与上报:用户在接入过程中产生的违规信息会定期汇总并上报至上级iMC系统。上级管理员可对这些信息进行审计,确保系统的整体安全性。
通过EAD分级管理功能,不仅可实现多级集中化管理,还可确保用户操作的规范性和系统的安全性,为企业提供更高效、更可靠的管理支持。
iMC EAD 分级管理功能适用于具有复杂的网络结构和管理需求的场景,为其提供统一的策略管理和灵活的配置支持。推荐使用场景如下:
· 大型企业:包括拥有众多子公司和分支机构的跨国公司或国内大型企业。支持员工跨地域安全漫游接入。
· 事业单位:如政府部门和公共服务机构,具备多个办事机构和分散的办公地点。需实现统一的管理策略。
· 教育机构:大型大学和教育集团,管理多个校区。需提供灵活的网络接入和定制的安全策略。
· 金融和医疗行业:拥有多个网点和分支的银行、保险公司、大型医院和医疗网络。需保证网络的安全性和严格的访问控制。
· 物流、能源和零售行业:管理多个配送中心、现场设施或分店。需确保数据传输的安全性并实现统一管理。
· 用户终端、接入设备、EAD服务器之间路由可达,使用iNode客户端进行身份验证(以802.1X认证为例,接入设备需支持802.1X协议)。
· 若需使用EAD分级功能,则至少需要准备两套独立的网管系统,以便实现多级管理和策略的统一应用。
· 总部和分部可根据需要为分级管理功能新增具备管理员权限的操作员,用于策略、服务下发及安全日志上报。本案例中,总部iMC系统使用缺省操作员“admin”,分部iMC系统则使用新增的具备管理员权限的操作员。
若采用了分级功能,除了总部iMC系统外,其他iMC系统不支持再次分级。建立分级关系后,对于总部下发的策略,分部只有查看和复制的权限,没有新增、修改、删除权限。
某企业需要建立一套由上下两级iMC系统组成的网络管理架构,以满足以下需求:
· 统一管理和策略下发:上级网管系统负责制定并统一下发安全策略。这些策略应涵盖网络服务、安全级别、可控软件组、流量和注册表监控、目录共享、补丁管理以及PC安全软件等各个方面。
· 数据查看与业务分权:上级系统具备查看和维护所有数据的能力,并能够实现业务分权管理,以便不同部门或角色可以根据权限执行特定的管理任务。
· 漫游配置支持:在二层分级场景下,总部人员出差至下级机构时,可以通过漫游配置实现网络接入。通过此种方式可大幅减少用户开户的工作量,提高网络接入的便捷性和效率。
本案例中各部分使用的版本如下:
· iMC EAD版本:iMC EAD 7.3 (E0632)
· iMC EIA版本:iMC EIA 7.3 (E0633)
· 智能管理平台版本:iMC PLAT 7.3 (E0710)
· 接入设备:H3C S5130S-52S-HI
统一策略管理配置如下表所示。
表1 配置步骤
|
配置举例 |
具体操作 |
|
统一策略管理 |
总部配置安全策略、接入策略、接入服务 |
|
分部增加操作员 |
|
|
总部增加分级节点 |
|
|
总部查看分级节点列表 |
|
|
下级节点确认上级节点 |
|
|
总部选择要下发的服务 |
|
|
分部查看总部下发的服务和策略 |
|
|
分部增加接入设备 |
|
|
漫游配置 |
总部配置漫游策略和服务 |
|
总部配置接入用户 |
|
|
总部增加接入设备 |
|
|
分部漫游配置 |
|
|
接入设备配置 |
|
|
分部增加接入设备 |
总部负责统一制定并下发全网的安全策略,确保安全策略的集中化管理和执行的一致性。分部仅能维护与安全无关的数据和管理接入用户数据,不支持业务分权。本文档以配置二层分级场景为例进行介绍。
(1) 以总部管理员身份登录总部iMC系统,选择“用户”页签,单击左侧导航树中的“安全策略管理 > 安全策略管理”菜单项,进入安全策略管理页面,如下图所示。
(2) 单击<增加>按钮,进入“增加安全策略”页面,如下图所示。
按需配置相关参数:
¡ 安全策略名:新增安全策略的名称,本例中为“北京分部安全策略”。
¡ 业务分组:用于分权管理,使特定的人只能管理特定的业务,既职责分明,也不会互相越权。配置该安全策略所属的业务分组,用于安全策略的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置安全策略。本案例中保持缺省值“未分组”。
¡ 安全级别:新增安全策略的安全级别,具体包括:监控模式、VIP模式、隔离模式、下线模式、访客模式、加入黑名单并下线模式。本案例中保持缺省值“监控模式”。
¡ PC安全策略:用户可根据不同场景按需进行配置。本案例中配置“防病毒软件检查”安全策略,如图4所示。
(3) 参数配置完成后,单击<确定>按钮,完成安全策略的增加。
(1) 以总部管理员身份登录总部iMC系统,选择“用户”页签,单击左侧导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面,如下图所示。
(2) 单击<增加>按钮,进入“增加接入策略”页面,如下图所示。
按需配置相关参数:
¡ 接入策略名:新增接入策略的名称,本例中为“北京分部接入策略”。
¡ 业务分组:用于分权管理,使特定的人只能管理特定的业务,既职责分明,也不会互相越权。配置该接入策略所属的业务分组,用于接入策略的分权管理。只有拥有该业务分组权限的管理员/维护员才能配置接入策略。本案例中保持缺省值“未分组”。
(3) 参数配置完成后,单击<确定>按钮,完成接入策略的增加。
(1) 以总部管理员身份登录总部iMC系统,选择“用户”页签,单击左侧导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面,如下图所示。
(2) 单击<增加>按钮,进入“增加接入服务”页面,如下图所示。
按需配置相关参数:
¡ 服务名:新增接入服务的名称,本例中为“北京分部接入服务”。
¡ 业务分组:用于分权管理,使特定的人只能管理特定的业务,既职责分明,也不会互相越权。配置该接入服务所属的业务分组。只有拥有该业务分组权限的管理员/维护员才能配置接入服务。本案例中保持缺省值“未分组”。
¡ 缺省安全策略:本案例选择1. 总部配置安全策略章节增加的“北京分部安全策略”。
¡ 缺省接入策略:本案例选择2. 总部配置接入策略章节增加的“北京分部接入策略”。
(3) 参数配置完成后,单击<确定>按钮,完成接入服务的增加。
为确保策略、服务下发及安全日志上报的顺利进行,需在分部iMC系统中新增对应的管理员权限的操作员以支持相关操作。
(1) 以分部管理员身份登录分部iMC系统,选择“系统管理”页签,单击左侧导航树中的“操作员管理 > 操作员”菜单项,进入操作员页面,如下图所示。
(2) 单击<增加>按钮,进入增加操作员页面,如下图所示。按需配置相关参数后,单击<确定>按钮,增加操作员。本案例中新增操作员为“manager”。
总部管理员在总部iMC系统中,增加分部iMC系统节点,即分部节点。
(1) 以总部管理员身份登录总部iMC系统,选择“用户”页签,单击左侧导航树中的“安全策略管理 > 分级节点管理”菜单项,进入分级节点管理页面,如下图所示。
(2) 单击<修改当前节点>按钮,在弹出窗口中按需修改并确认当前节点的信息,如下图所示。
按需配置相关参数:
¡ 节点名称:当前节点的名称,本案例中为总部iMC的服务器地址“172.10.44.29”。
¡ 服务器地址:本案例中总部iMC的服务器地址为“172.10.44.29”。
¡ 端口:缺省值为“8080”。本案例保持缺省值。
¡ 协议类型:缺省值为“HTTP”。本案例保持缺省值。
¡ 登录名:当前节点的登录名,本案例中为缺省管理员名称“admin”。
¡ 登录密码:当前节点的登录密码。
¡ 确认登录密码:再次输入当前节点的登录密码。
信息填写完成后,单击<确定>按钮,完成修改当前节点操作。
(3) 修改当前节点完成后,单击<增加>按钮,进入增加下级节点页面,如下图所示。
按需配置相关参数:
¡ 下级名称:下级节点的名称,本案例中为“北京分部”。
¡ 服务器地址:下级节点的服务器地址,本案例中为分部服务器地址“172.10.44.30”。
¡ 端口:本案例中为“8080”。
¡ 登录名:下级节点操作员的名称。本案例中为4. 分部增加操作员章节中,在分部iMC系统中为总部新增对应的管理员角色“manager”。
¡ 登录密码:下级节点操作员的登录密码。本案例中为操作员“manager”的登录密码。
¡ 确认登录密码:再次输入对应操作员的登录密码。
(4) 参数配置完成后,单击<确定>按钮,完成下级节点的增加。
以总部管理员身份登录总部iMC系统,选择“用户”页签,单击左侧导航树中的“安全策略管理 > 分级节点管理”菜单项,进入分级节点管理页面,如下图所示。查看总部iMC系统中的分部iMC节点(分部节点)列表。
(1) 以分部iMC管理员身份(本案例中为“manager”)登录分部iMC系统,选择“用户”页签,单击左侧导航树中的“安全策略管理 > 分级节点管理”菜单项,进入分级节点管理页面,如下图所示。
· 当上级节点采用“策略集中管理”时,若本节点存在服务,则无法确认上级节点。
· 确认上级节点后,本节点将成为下级节点。下级节点将无法自行配置服务和安全策略等,这些内容将由上级节点统一制定并下发。
(2) 单击<修改当前节点>按钮,在弹出窗口中按需修改并确认当前节点的信息,如下图所示。
按需配置相关参数:
¡ 节点名称:当前节点的名称,本案例中为分部节点名称“北京分部”。
¡ 服务器地址:本案例中分部iMC的服务器地址为“172.10.44.30”。
¡ 端口:缺省值为“8080”。本案例保持缺省值。
¡ 协议类型:缺省值为“HTTP”。本案例保持缺省值。
¡ 登录名:当前节点的登录名,本案例中为分部iMC管理员名称“manager”。
¡ 登录密码:当前节点的登录密码。
¡ 确认登录密码:再次输入当前节点的登录密码。
信息填写完成后,单击<确定>按钮,完成修改当前节点操作。
(3) 单击<确认上级节点>按钮,进入确认上级节点页面,如下图所示。确认上级节点参数无误后,单击<确定>按钮。
(1) 以总部管理员身份登录总部iMC系统,选择“用户”页签,单击左侧导航树中的“安全策略管理 > 分级节点管理”菜单项,进入分级节点管理页面,如下图所示。
(2) 单击分级节点列表中,某个二级节点(本案例中为“北京分部”)对应操作列的配置图标
,进入下发服务配置页面,如下图所示。
(3) 按需选择需向分部下发的服务,单击<确定>按钮,完成下级节点的下发服务配置。
(4) 单击分级节点列表中,某个二级节点(本案例中为“北京分部”)对应操作列的分发图标
,向对应分部iMC节点下发服务和相关策略。服务下发成功如下图所示。
分部iMC管理员须确保系统中不存在由二级管理员自行增加的服务配置信息,以便总部iMC下发的服务和相关策略能够顺利导入并应用于分部iMC系统。
图20 下发服务成功
(1) 以分部iMC管理员身份(本案例中为“manager”)登录分部iMC系统,选择“用户”页签,单击左侧导航树中的“接入策略管理 > 接入策略管理”菜单项,进入接入策略管理页面,如下图所示。查看总部下发的接入策略。
图21 分部查看总部下发的接入策略
(2) 单击左侧导航树中的“接入策略管理 > 接入服务管理”菜单项,进入接入服务管理页面,如下图所示。查看总部下发的接入服务。
图22 分部查看总部下发的接入服务
(3) 单击左侧导航树中的“安全策略管理 > 安全策略管理”菜单项,进入安全策略管理页面,如下图所示。查看总部下发的安全策略。
图23 分部查看总部下发的安全策略
分部iMC管理员可根据需求,通过复制和修改现有服务及安全策略来制定更严格的控制措施,但不可新增服务和安全策略等信息。
(1) 以分部iMC管理员身份(本案例中为“manager”)登录分部iMC系统,选择“用户”页签,单击左侧导航树中的“接入策略管理 > 接入设备管理”菜单项,单击“接入设备配置”链接,进入接入设备配置页面,如下图所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如下图所示。将分部iMC系统的EIA服务器(IP地址:172.10.11.2)配置为NAS设备,并增加到“接入设备配置”中。
图25 分部iMC增加接入设备
按需配置相关参数:
¡ 认证端口:用于设备与身份认证服务器之间的通信,负责处理用户身份验证请求。通常为RADIUS协议的缺省端口号“1812”。
¡ 计费端口:用于设备与计费服务器之间的通信,负责处理用户的计费请求和记录。通常使用RADIUS协议的缺省端口号“1813”。
¡ 共享密钥:是设备与服务器之间用于加密和验证通信的密钥。用于确保数据传输的安全性,防止未经授权的访问和数据篡改。
¡ 确认共享密钥:用于确保输入的共享密钥准确无误。要求再次输入共享密钥以进行验证,防止由于输入错误导致的连接问题或安全漏洞。
(3) 参数配置完成后,单击<确定>按钮,完成接入设备的增加,如下图所示。具体设备上的配置请根据实际情况配置,此处不提供详细示例。
(4) 接入设备配置完成后,分部用户可通过iNode客户端上线,并在分部环境中完成认证。
(1) 以总部管理员身份登录总部iMC系统,选择“用户”页签,单击左侧导航树中的“安全策略管理 > 业务参数配置 > 系统参数配置”菜单项,进入系统参数配置页面,如下图所示。配置安全报表数据上报时间,即“下级节点数据上报时间”。该时间会随策略下发至下级iMC系统。下级iMC系统将每日按照指定时间汇总并上报安全报表数据。
(2) 选择“报表”页签,单击左侧导航树中的“报表管理 > 报表模板列表”菜单项,进入报表模板列表页面,如下图所示。单击报表模板列表中的“安全日志汇总统计报表V2”链接,在弹出窗口中可查看分部iMC系统上报的安全日志报表,并进行审计,如下图所示。
某公司及其分支机构采用iMC智能管理中心来管理员工的计算机资源。各分支机构安装一套iMC系统,以实现各级之间的统一策略管理。确保用户在出差至其他分支机构时能顺利进行网络接入。本文档以总部人员出差至二级分支机构并接入网络为例,介绍配置步骤。其他级别人员出差至外地分支机构的配置步骤类似。其中:
· 总部iMC服务器IP地址:172.10.44.29
· 分部iMC服务器IP地址:172.10.44.30
· 分部iMC所属分支机构的接入设备IP地址:172.10.11.2
· 若某条安全策略被配置为漫游缺省安全策略,则本地漫游接入的用户使用此安全策略进行安全认证。
· 若未将任何安全策略配置为漫游缺省安全策略,则本地漫游接入的用户仅进行身份认证,不进行安全认证。
以总部管理员身份登录总部iMC系统,参考3.3.2 2. 总部配置接入策略和3.3.2 3. 总部配置接入服务章节增加“总部漫游接入策略”和“总部漫游接入服务”,如下图所示。
(1) 以总部管理员身份登录总部iMC系统,选择“用户”页签,单击左侧导航树中的“接入用户管理 > 接入用户”菜单项,进入接入用户页面,如下图所示。
(2) 单击<增加>按钮,进入增加接入用户页面,如下图所示。
按需配置相关参数:
¡ 用户姓名:新增接入用户的名称,本案例中为“user”。
¡ 证件号码:新增接入用户的证件号码,本案例中为测试数据,请根据实际情况准确填写。
¡ 帐号名:新增接入用户的帐号名,本案例中为“user”。
¡ 密码/确认密码:请按需配置。
¡ 选择接入服务:本案例中选择“总部漫游接入服务”。
(3) 参数配置完成后,单击<确定>按钮,完成接入用户的增加,如下图所示。
(1) 以总部管理员身份登录总部iMC系统,选择“用户”页签,单击左侧导航树中的“接入策略管理 > 接入设备管理”菜单项,单击“接入设备配置”链接,进入接入设备配置页面,如下图所示。
(2) 单击<增加>按钮,进入增加接入设备页面,如下图所示。将分部iMC系统的服务器(IP地址:172.10.44.30)配置为NAS设备,并增加到“接入设备配置”中。
图36 总部iMC增加接入设备
按需配置相关参数:
¡ 认证端口:用于设备与身份认证服务器之间的通信,负责处理用户身份验证请求。通常为RADIUS协议的缺省端口号“1812”。
¡ 计费端口:用于设备与计费服务器之间的通信,负责处理用户的计费请求和记录。通常使用RADIUS协议的缺省端口号“1813”。
¡ 共享密钥:是设备与服务器之间用于加密和验证通信的密钥。用于确保数据传输的安全性,防止未经授权的访问和数据篡改。
¡ 确认共享密钥:用于确保输入的共享密钥准确无误。要求再次输入共享密钥以进行验证,防止由于输入错误导致的连接问题或安全漏洞。
(3) 参数配置完成后,单击<确定>按钮,完成接入设备的增加,如下图所示。
(1) 以分部iMC管理员身份(本案例中为“manager”)登录分部iMC系统,选择“用户”页签,单击左侧导航树中的“接入策略管理 > 业务参数配置”菜单项,单击“系统配置”链接,进入系统配置页面,如下图所示。
(2) 单击漫游配置操作列配置图标
,进入漫游配置页面,如下图所示。
(3) 单击<增加>按钮,进入增加漫游配置页面,如下图所示。
按需配置相关参数:
¡ 域名:用于识别和验证用户的身份。本案例中配置域名为“roam”。
¡ 主/备服务器IP地址:提供主要服务或资源的服务器IP地址。本案例中配置主服务器地址为总部服务器IP地址“172.10.44.29”。
¡ 端口:本案例中配置为“1812”。
¡ 密钥/确认密钥:用于确保网络连接的安全性和数据传输的机密性,请按需配置。
¡ 类型:漫游的类型,包括“认证”和“计费”。
(4) 参数配置完成后,单击<确定>按钮,完成分部漫游配置,如下图所示。
使用Windows的CLI窗口,通过Telnet连接至接入设备(IP地址:172.10.11.2)并进行配置。以下是具体的命令及其说明:
<H3C>system-view
System View: return to User View with Ctrl+Z.
[H3C]radius scheme roam
New Radius RADIUS scheme
//认证、计费端口与3.3.3 3. 总部增加接入设备章节增加接入设备时的配置保持一致。
[H3C-radius-roam]primary authentication 172.10.44.30 1812
[H3C-radius-roam]primary accounting 172.10.44.30 1813
//认证、计费共享密钥与3.3.3 3. 总部增加接入设备章节增加接入设备时的配置保持一致。
[H3C-radius-roam]key authentication simple admin
[H3C-radius-roam]key accounting simple admin
//采用用户名携带Domain的认证方式。
[H3C-radius-roam]user-name-format with-domain
[H3C-radius-roam]quit
//domain的名称必须与3.3.3 1. 总部配置漫游策略和服务章节中新增接入服务的后缀保持一致。
[H3C]domain roam
New Domain added.
//认证、授权、计费都采用之前配置的Radius scheme roam。
[H3C-isp-roam]authentication lan-access radius-scheme roam
[H3C-isp-roam]authorization lan-access radius-scheme roam
[H3C-isp-roam]accounting lan-access radius-scheme roam
[H3C-isp-roam]quit
//只有在全局和接口上都启用802.1X认证,802.1X认证才生效。
[H3C]dot1x
//只有在全局和接口上都启用802.1X认证,802.1X认证才生效。
802.1X is enabled globally.
[H3C]interface GigabitEthernet 1/0/39
[H3C-GigabitEthernet 1/0/39]dot1x
[H3C-GigabitEthernet 1/0/39]quit
802.1X is enabled on port Ethernet1/0/39.
//本例中,802.1X的认证方式采用CHAP方式。
[H3C]dot1x authentication-method chap
有关分部增加接入设备的具体操作步骤,请参考3.3.2 10. 分部增加接入设备章节,此处不再赘述。
(1) 当总部员工(帐号名为“user”)前往二级分支机构出差时,可以通过iNode客户端使用“user@roam”进行认证,如下图所示。无需在二级分支机构创建新帐号。此时,安全策略采用默认安全策略。本案例中使用的iNode智能客户端版本为iNode (E0632)。
(2) 此时,在总部iMC系统的在线用户列表中和分部iMC系统的漫游用户列表中均可看到该在线用户,如下图所示。
图45 分部iMC系统的漫游在线用户列表
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
