- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
01-正文
本章节下载: 01-正文 (2.31 MB)
H3C MSR3610-IE-EAD终端准入控制网关可以和L2TP、802.1x认证、Portal认证等业务结合,具备保证终端安全、阻止终端威胁入侵网络、控制终端网络访问行为等功能。为了保证认证数据的可靠性,H3C MSR3610-IE-EAD终端准入控制网关内置了双SIC-M2-SATA存储卡并已配置为RAID 1模式,可以将认证数据进行冗余备份。
MSR3610-IE-EAD终端准入控制网关出厂时部署了一个安装有iMC软件和EAD组件的虚拟机。该虚拟机使用Centos操作系统,配置有高性能的SR-IOV网卡且已设置了固定的IP地址。
MSR3610-IE-EAD终端准入控制网关接口有以下几种:
· 三层以太网COMBO口:GigibitEthernet 0/0、GigibitEthernet 0/1。
· 二层以太网电口:GigibitEthernet 0/2~GigibitEthernet 0/8,其中GigibitEthernet 0/8为内置接口,用于连接虚拟机SR-IOV网卡。
MSR3610-IE-EAD终端准入控制网关的接口如图1-1所示。
MSR3610-IE-EAD终端准入控制网关出厂时已部署一个虚拟机,相关参数如下:
· 虚拟机名称:EAD_VM,区分大小写。
· 虚拟机操作系统:Centos系统。
· 虚拟机操作系统登录名:root,区分大小。
· 虚拟机操作系统登录密码:iMC123,区分大小。
· VNC端口号:98,使用该端口号通过VNC Viewer软件可登录虚拟机桌面。
· 虚拟机网卡:SR-IOV网卡,缺省属于VLAN 4094。
· 虚拟机IP地址:10.1.1.2/30,默认网关:10.1.1.1。
· VLAN interface 1接口IP地址:192.168.0.1/23。
· VLAN interface 4094接口IP地址:10.1.1.1/30。
使用管理计算机登录虚拟机需确保管理计算机与MSR3610-IE-EAD终端准入控制网关之间网络可达。
MSR3610-IE-EAD终端准入控制网关支持用户在管理计算机上使用VNC Viewer软件通过“VNC Server IP地址:VNC端口号”的方式登录虚拟机的桌面。其中:
· VNC Server IP地址:终端准入控制网关三层接口IP地址或VLAN接口IP地址。
· VNC端口号:通过命令行创建虚拟机时设置的VNC端口号。
图1-2 使用三层接口IP地址登录示意图
图1-3 使用VLAN接口IP地址登录示意图
MSR3610-IE-EAD终端准入控制网关上已部署的虚拟机默认配置了高性能的SR-IOV网卡,出厂时,已设置了IP地址,IP地址为10.1.1.2/30,默认网关为10.1.1.1。用户既可以设置客户端主机的IP地址为到该网段可达的地址,也可以登录虚拟机桌面在网络设置中为虚拟机重新设置用户组网中所需要的IP地址,来完成虚拟机与客户端主机之间的网络通信。
虚拟机的业务数据交互方式分为两种:二层广播方式和三层路由方式。
终端准入控制网关中的虚拟机SR-IOV网卡缺省属于VLAN 4094。
将虚拟机的IP地址设置成与客户端主机在同一网段的地址,并设置虚拟机与客户端主机在同一VLAN内,客户端主机通过终端准入控制网关的二层以太网接口与虚拟机完成业务数据在同一VLAN间的交互,如图1-4所示。
将虚拟机网卡所属VLAN的VLAN接口IP地址设置成客户端主机路由可达网段的地址,并指定虚拟机的默认网关为VLAN接口的IP地址。客户端主机通过终端准入控制网关的三层以太网接口或VLAN接口与虚拟机完成业务数据在不同网段间的交互,如图1-5所示。
在网络中部署终端准入控制网关可以完成对网络中各终端的安全保障,网络访问行为控制以及网络认证数据的冗余备份。具体的部署流程如图2-1所示。
· 准备用于登录虚拟机桌面的管理计算机和用于连接MSR3610-IE-EAD终端准入控制网关与管理计算机的串口线和网线。
· 在管理计算机安装串口控制台,如Putty,用于登录终端准入控制网关的命令行系统,并查询虚拟机的相关参数。
· 在管理计算机上安装远程控制软件,如VNC Viewer,用于登录虚拟机桌面,并操作虚拟机处理业务。
使用串口线连接管理计算机和终端准入控制网关的Console口,管理计算机通过串口线使用Putty软件可登录终端准入控制网关命令行系统;使用网线连接管理计算机和终端准入控制网关的GE0/3,管理计算机通过网线可与终端准入控制网关相互通信。组网图如图2-2所示。
配置管理计算机IP地址的方式有两种:
· 自动获取IP地址,MSR3610-IE-EAD终端准入控制网关已开启了DHCP服务,管理计算机选择自动获得IP地址,可由终端准入控制网关从地址池中随机为管理计算分配IP地址,DHCP地址池为192.168.1.1/23~192.168.1.254/23。
· 手动设置IP地址,以管理计算机IP地址为192.168.0.2/23为例。打开网络和共享中心,在本地连接→属性→Internet协议版本4选项中为管理计算机手动设置IP地址。如图2-3所示。
图2-3 管理计算机IP地址配置示意
在管理计算机上可以ping通终端准入控制网关,在终端准入控制网关上可以ping通管理计算机则表明配置完成。
使用VNC Viewer登录虚拟机桌面,需要获取虚拟机的名称及VNC端口号,并确保虚拟机处于开启状态。
MSR3610-IE-EAD终端准入控制网关上已部署的虚拟机名称默认设置为EAD_VM,VNC端口号默认设置为98。
登录终端准入控制网关命令行系统后,通过display vmlist命令可查询虚拟机名称及状态。若虚拟机状态为shutoff,需要通过start vm命令开启虚拟机,如下所示。
(1) 查询虚拟机名称及状态。
# 查询虚拟机名称及状态。
<H3C> display vmlist
Id Name Status
------------------------------------------
- EAD_VM running
(2) (可选)开启虚拟机。
# 开启虚拟机EAD_VM。
<H3C> system-view
[H3C] vmm
[H3C-vmm] start vm EAD_VM
Domain EAD_VM started
通过display vncport vm命令可查询虚拟机的VNC端口号,如下所示。
# 查询虚拟机EAD_VM的VNC端口号。
<H3C> display vncport vm EAD_VM
:98
VNC Server IP地址以MSR3610-IE-EAD终端准入控制网关的VLAN interface 1的出厂默认IP地址192.168.0.1/23为例。
在管理计算机上使用VNC Viewer通过“VNC Server IP地址:VNC端口号”登录虚拟机桌面,如下所示:
(1) 打开VNC Viewer软件,输入VNC Server IP地址和VNC端口号。
图2-4 VNC Viewer登录界面示意
(2) 若VNC Viewer闪退,请修改VNC Viewer色彩等级为“full”,操作如下。
单击[options]→[Expert]→[ColorLevel]菜单项,在“Value”栏中修改色彩等级为“full”,具体如图2-5所示。
出于信息安全考虑,建议用户及时修改虚拟机操作系统的登录密码。
使用VNC Viewer登录虚拟机桌面后,需要输入登录虚拟机操作系统的用户名和密码。MSR3610-IE-EAD终端准入控制网关上中的虚拟机出厂时已配置了以管理员权限登录操作系统的用户名和密码分别是:用户名为root,密码为iMC123。
在如图2-6所示界面,输入密码即可登录到虚拟机的桌面。
MSR3610-IE-EAD终端准入控制网关出厂时,已设置了IP地址为10.1.1.2/30,默认网关为10.1.1.1的地址。若需要修改虚拟机的IP地址,请参见以下步骤。
登录虚拟机操作系统后,根据用户组网要求,在虚拟机的网络设置中修改虚拟机的IP地址。虚拟机的默认网关需要设置为虚拟机网卡当前所属VLAN的VLAN接口的IP地址,具体操作如下。
选中桌面右上角[网络设置]菜单项后,选中[Wired Connected]菜单项,单击[Wired Setting]选项,进入网络设置,根据需要设置IP地址。如图2-7,图2-8,图2-9所示。
图2-9 配置IP地址示意图
图2-10 网络设置界面
MSR3610-IE-EAD终端准入控制网关中的虚拟机出厂时防火墙已设置为关闭状态。完成虚拟机IP地址设置后,在管理计算机中可以ping通虚拟机,表明管理计算机与虚拟机通信正常。
若您已修改虚拟机IP地址,请同时修改iMC的server-addr.xml文件中的iMC地址,操作步骤如下:
(1) 在虚拟机桌面空白处,点击鼠标右键,选择“Open Terminal”进入CentOS系统命令行界面。
图2-11 CentOS系统命令行界面
(2) 在CentOS系统命令行界面中,输入如下命令进入iMC软件界面,点击<停止>按钮,停止iMC所有服务进程。
[root@localhost~]# cd /opt/iMC/deploy/
[root@localhost deploy]# ./dma.sh
图2-12 停止iMC部署监控代理
(3) 在CentOS系统命令行界面中,输入如下命令打开地址配置文件。
[root@localhost~]# vi /opt/iMC/common/conf/server-addr.xml
图2-13 打开地址配置文件
(4) 在CentOS系统命令行界面中,输入下面命令将配置文件旧的地址分别替换为修改后对应的地址。如需要将“10.1.1.2”替换为“20.1.1.2”,如果修改前的地址为环回地址(“127.0.0.1”或“localhost”),则不要进行替换操作。替换完成,最后输入:wq保存退出。
:%s/10.1.1.2/20.1.1.2/g
:wq
图2-14 对文件中的IP地址内容进行查找/替换操作
图2-15 保存修改
(5) 在CentOS系统命令行界面中,输入如下命令执行instInfoMgr.sh脚本。
[root@localhost~]# cd /opt/iMC/deploy
[root@localhost deploy]# sh instInfoMgr.sh
图2-16 执行instInfoMgr.sh脚本
(6) 上述步骤完成后,在iMC软件界面重启iMC进程或重启控制网关,地址修改操作完成。
在网络中部署MSR3610-IE-EAD终端准入控制网关后,可以通过管理计算机访问iMC平台的WEB界面,进行相应的配置。关于iMC平台的相关介绍和操作,请参见文档中心管理软件栏目中的H3C智能管理中心中的《H3C智能管理中心 用户手册》。
MSR3610-IE-EAD终端准入控制网关中的虚拟机安装的iMC平台相关服务在出厂时已设置为自启动。即,在虚拟机启动时,iMC平台相关服务会随着虚拟机一起启动,可通过如下方式进行查看。
(1) 点击鼠标右键,选择“Open Terminal”进入Centos系统命令行界面,如图2-17所示。
(2) 输入如下命令打开iMC平台相关服务的查看界面,如图2-18所示。
[root@localhost~]# cd /opt/iMC/deploy/
[root@localhost~]# ./dma.sh
图2-18 iMC平台服务查看界面示意图
(3) 如需查看iMC平台服务的相关进程和EAD组件的部署情况,可点击右上角的<进程>和<部署>选项查看,如图2-19,图2-20所示。
图2-19 iMC进程显示示意图
图2-20 查看EAD组件部署示意图
· 将Device A、Device B、Device C通过Switch接入到终端准入控制网关的二层以太网接口GE0/2接口。
· 将管理计算机接入到终端准入控制网关的二层以太网接口GE0/3接口。
以下组网供参考,请根据实际情况完成组网搭建。
图2-21 终端准入控制网关组网示意图
(1) 配置管理计算机的IP地址为192.168.0.2/23,默认网关为192.168.0.1;
(2) 配置Device A、Device B、Device C的IP地址分别为192.168.0.3/23、192.168.0.4/23、192.168.0.5/23,默认网关为192.168.0.1。
使用管理计算机可以ping通虚拟机,并通过“虚拟机的IP地址:端口号/imc”,可以访问iMC平台的WEB界面,如图2-22所示,表明配置无误。
图2-22 iMC平台登录界面示意图
RAID(Redundant Array of Independent Disks,独立硬盘冗余阵列)是一个通过把数据存储在多个硬盘内以保证数据的可靠性并加快数据的读写速度的方法。
MSR3610-IE-EAD终端准入控制网关出厂时内置了双SIC-M2-SATA存储卡并已配置为RAID 1模式,无需用户再手动配置。若遇特殊情况需要重新配置RAID,可参见以下步骤。
MSR3610-IE-EAD终端准入控制网关仅SIC接口模块插槽1和插槽2支持插入SIC-M2-SATA存储卡创建RAID 1。位于SIC接口模块插槽1的SIC-M2-SATA存储卡盘符为hdb,位于SIC接口模块插槽2的SIC-M2-SATA存储卡盘符为hdc。在创建RAID前,需要保证SIC接口模块插槽1和插槽2中的SIC-M2-SATA存储卡的分区数为1个,且文件系统格式为EXT4。用户可通过如下命令完成SIC-M2-SATA存储卡的分区和文件系统格式修改。
执行硬盘分区和文件系统格式修改,SIC-M2-SATA存储卡中原有的数据会被删除。
(1) 在用户视图下,将hdb和hdc硬盘分区数设置为1个。
<H3C> fdisk hdb: 1
<H3C> fdisk hdc: 1
(2) 修改硬盘分区hdb0和hdc0的文件系统格式为EXT4。
<H3C> format hdb0: ext4
<H3C> format hdc0: ext4
MSR3610-IE-EAD终端准入控制网关SIC接口模块插槽1和插槽2中的SIC-M2-SATA存储卡在RAID创建完成后,原有的数据会被删除,创建的RAID在终端准入控制网关中的盘符为md0,RAID的创建方法如下。
(1) 在系统视图下,输入raid命令进入RAID视图。
<H3C> system-view
[H3C] raid
[H3C-raid]
(2) 输入create raid命令,创建RAID 1。
[H3C-raid] create raid level 1
若当前的RAID 1成员硬盘中有一个硬盘损坏,可热拔出坏的SIC-M2-SATA存储卡,更换一个新的SSD硬盘继续使用。用于重组RAID的SIC-M2-SATA存储卡,需要确保分区数为1个且文件系统格式为EXT4。若没有提前进行分区和格式化操作,需在分区和格式化后,执行本命令,手动重组RAID。重组RAID后,新加入RAID 1成员硬盘的SIC-M2-SATA存储卡中原有的数据会被删除。
· 更换SIC-M2-SATA存储卡前,需确保RAID已处于同步完成状态(Done)。通过display raid status命令可查看RAID同步状态。
· 更换SIC-M2-SATA存储卡前,必须按下remove按键,且等待按键灯熄灭。
(1) 在系统视图下,输入raid命令进入RAID视图。
<H3C> system-view
[H3C] raid
[H3C-raid]
(2) 输入restore raid命令,手动重组RAID。
[H3C-raid] restore raid md0
删除RAID 1后,作为RAID成员硬盘的SIC-M2-SATA存储卡中原有的数据会被删除。
(1) 在系统视图下,输入raid命令进入RAID视图。
<H3C> system-view
[H3C] raid
[H3C-raid]
(2) 输入remove raid命令,删除RAID 1。
[H3C-raid] remove raid md0
在RAID创建完成后,可查看显示信息验证配置的效果。
# 在用户视图下,输入display raid status命令,显示RAID状态。
<H3C> display raid status
Name Level Status Disks Resync Size(GB)
--------------------------------------------------------------------
md0 raid1 active hdb0[0]hdc0[1] Done 447
MSR3610-IE-EAD终端准入控制网关自带的虚拟机部署在RAID 1的(md0:)盘中,以下举例中的文件保存路径和硬盘路径都以md0:/作为路径的根目录。若在MSR3610-IE-EAD终端准入控制网关上插入了外置硬盘(hda0:)盘,则文件保存路径和硬盘路径的根目录可选择md0:/或hda0:/。
(1) 系统视图下,输入vmm进入虚拟化管理视图;
<H3C> system-view
[H3C] vmm
(2) 输入命令start vm vm-name。
[H3C-vmm] start vm EAD_VM
虚拟机正常关闭时间在6分钟以内,若无法正常关闭虚拟机,则需强制关闭,即添加force参数。
(1) 系统视图下,输入vmm进入虚拟化管理视图;
<H3C> system-view
[H3C] vmm
(2) 输入命令stop vm vm-name [ force ]。
[H3C-vmm] stop vm EAD_VM
在虚拟机开启状态下配置本命令,需要重新启动虚拟机才能生效;在虚拟机关闭状态下配置本命令,虚拟机下次启动后生效。
(1) 系统视图下,输入vmm进入虚拟化管理视图;
<H3C> system-view
[H3C] vmm
(2) 输入命令autostart vm vm-name,开启虚拟机自动启动功能;
[H3C-vmm] autostart vm EAD_VM
(3) 输入命令undo autostart vm vm-name,关闭虚拟机自动启动功能。
[H3C-vmm] undo autostart vm EAD_VM
备份虚拟机需在虚拟机关闭状态下进行,备份的文件格式为.vmb。虚拟机的备份文件可用于在虚拟机故障时,恢复虚拟机。
(1) 系统视图下,输入命令vmm进入虚拟化管理视图;
<H3C> system-view
[H3C] vmm
(2) 输入命令backup vm vm-name backup-path。
[H3C-vmm] backup vm EAD_VM md0:/EAD_VM.vmb
恢复虚拟机是指利用虚拟机的备份文件,恢复故障的虚拟机。
(1) 系统视图下,输入命令vmm进入虚拟化管理视图;
<H3C> system-view
[H3C] vmm
(2) 输入命令restore pakagepath backup-image-path。
[H3C-vmm] restore pakagepath md0:/EAD_VM.vmb
制作虚拟机PKG文件,需在虚拟机关闭状态下进行。使用本功能制作的PKG文件,可用于在其他MSR3610-IE-EAD终端准入控制网关中的部署虚拟机。
(1) 系统视图下,输入命令vmm进入虚拟化管理视图;
<H3C> system-view
[H3C] vmm
(2) 输入命令export vm vm-name package-path。
[H3C-vmm] export vm EAD_VM md0:/EAD_VM.pkg
删除虚拟机,需在虚拟机关闭状态下进行。
(1) 系统视图下,输入vmm进入虚拟化管理视图;
<H3C> system-view
[H3C] vmm
(2) 输入命令uninstall vm vm-name。
[H3C-vmm] uninstall vm EAD_VM
在虚拟机开启状态下添加虚拟机硬盘,需要重启虚拟机才能生效;在虚拟机关闭状态下配置本命令,虚拟机下次启动后生效。
(1) 系统视图下,输入vmm进入虚拟化管理视图;
<H3C> system-view
[H3C] vmm
(2) 输入create-disk disk-file size size format { raw | qcow2 }。
# 创建名称为EAD_VM,文件系统格式为qcow2,大小为30G的虚拟机硬盘。
[H3C-vmm] create-disk md0:/EAD_VM.qcow size 30 format qcow2
(3) 输入命令add disk vm vm-name format { raw | qcow2 } disk-file path-file disk-bus { ide | virtio }。
# 将创建的虚拟机硬盘“EAD_VM.qcow2”添加到虚拟机EAD_VM中。
[H3C-vmm] add disk vm EAD_VM format qcow2 disk-file md0:/EAD_VM.qcow disk-bus ide
有关虚拟机硬盘、网卡、内存、CPU及其他参数详细的配置和命令请参见《H3C MSR810[2600][3600]路由器 配置指导》中的《虚拟化技术配置指导》中的《虚拟机配置》和《H3C MSR810[2600][3600]路由器 命令参考》中的《虚拟化技术命令参考》中的《虚拟机命令》。
通过display命令可以显示虚拟机的相关配置信息。
表6-1 虚拟机信息显示
|
命令 |
|
|
显示虚拟机列表 |
display vmlist |
|
显示虚拟机硬盘和CDROM的相关信息 |
display vmdisklist vm vm-name |
|
显示虚拟机详细信息 |
display vm vm-name |
|
显示虚拟化平面占用的CPU数量 |
display vcpu-pool |
|
显示虚拟机CPU利用率 |
display vmcpu-usage vm vm-name |
|
显示虚拟机的内存使用率 |
display vmmem-usage vm vm-name |
|
显示虚拟机SR-IOV网卡的信息 |
display sriov |
|
显示虚拟机接口信息 |
display vminterface vm vm-name |
|
显示虚拟机VNC端口号 |
display vncport vm vm-name |
|
显示虚拟机绑核信息 |
display vmcpupin vm vm-name |
|
显示虚拟机硬盘的容量上限及当前扩展情况 |
display vmdisk-usage vm vm-name |
|
显示虚拟机物理网卡信息 |
display passthrough |
|
显示虚拟机SR-IOV网卡的网络模式 |
display vm-network-mode |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
