网络准入ASM入网规范管理系统方案介绍
网络准入,无线准入,准入安全
是否准许终端接入,即控制网络的方式,
这个控制方式就是准入技术。
MVG简介
MVG(虚拟网关)是盈高科技专利技术,通过和网络设备联动,掌握全网设备动态,通过切换终端所接交换机接口vlan,实现准入效果。
1、基本网络配置,配置好ETH2口IP 地址,确保正常情况下能访问ETH2口,按照要求连接ASM设备
2、确定每个正常VLAN所对应的隔离VLAN,并在所有上行trunk中放行正常和隔离VLAN
3、在ASM中配置VLAN映射关系
4、将终端所接端口手动切换到隔离VLAN ,并测试终端和ETH2口的连通性。
5、在ASM 上通过telnet/ssh/snmp方式添加交换机,并测试是否能正常显示交换机面板以及是否能正常切换vlan
6、测试是否能完成正常的准入流程
策略路由简介
策略路由是基于报文源地址转发报文至指定的下一跳路由器。策略路由还可以链接到扩展IP访问列表,以便路由器可以基于像协议类型和端口号这样的标志进行路由选择。同策略路由一样,策略路由会对路由器的路由选择产生影响,但仅限于那些配置了策略路由的路由器。
策略路由主要是控制报文的转发,即可以不按照路由表进行报文的转发(因为一般报文的转发要通过查找转发表,而配上策略路由后就不用管转发表了,可以随心所欲将报文从转发出去了)。
路由策略主要控制路由信息的引入(控制哪些路由信息引到路由协议中,哪些路由器不引入,主要是针对某种路由协议,是否允许其它路由信息引进来)、发布(控制哪些发布出去,哪些不发布出去,通过同一种路由协议发布出去)、接收(控制哪些接收,哪些丢弃,)。
策略路由位于IP 层,在做IP 转发前,如果报文命中某个策略路由对应的规则,则要进行相
应的策略路由的动作(重定向到指定下一跳),然后根据重定向的下一跳代替报文的目的IP 去查FIB 表(转发信息表),做IP 转发。
配置策略路由逃生时,注意trunk修剪
ETH0口和ETH2口不能和终端同vlan
验证策略路由是否生效,采用抓包和tracert工具
配置ACL
指明要进行策略路由的ip地址信息,只对permit有效
配置策略路由
指明策略路由的一些信息(主要是下一跳)
应用策略路由
在接口上面(虚接口或者物理接口上)
access-list 10 permit any
route-map policy-route permit 10
match ip address 10
set ip next-hop 192.168.100.123(ASM ETH0口地址)
interface Vlan54
description yangfa
ip address 192.168.54.1 255.255.255.0
ip policy route-map policy-route
在CISCO IOS 11 . 0中最先应用基于策略的路由,但未必11.0以后的版本都支持策略路由
35系列的交换机的IOS不能是ipbase的版本
35系列的交换机要求先开启sdm后
sdm prefer routing
exit
reload(必须重新启动交换机)
中兴配置策略路由的方法与CISCO类似,同样使用route-map来配置路由图
acl number 3040
rule 0 permit
policy-based-route policy-route permit node 10
if-match acl 3040
apply ip-address next-hop 172.16.50.123
interface Ethernet0/3.40
ip policy-based-route policy-route
1、配置ACL策略
[H3C7506E]acl number 3040
[H3C7506E-acl-adv-3040] rule 10 permit ip source 203.133.129.16 0 dest any
[H3C7506E-acl-adv-3040]quit
2、配置匹配ACL的流分类1
[H3C7506E] traffic classifier 1
[H3C7506E-classifier-1] if-match acl 3040
[H3C7506E-classifier-1] quit
3、配置刚才定义的流分类1的行为,定义如果匹配就下一跳至203.133.131.200
[H3C7506E] traffic behavior 1
[H3C7506E-behavior-1] redirect next-hop 203.133.131.200
[H3C7506E-behavior-1] quit
4、将刚才设置的流分类及行为应用至QOS策略中,定义policy 1
[H3C7506E] qos policy 1
[H3C7506E-qospolicy-1] classifier 1
[H3C7506E-qospolicy-1] behavior 1
[H3C7506E-qospolicy-1] quit
5、在接口上应用定义的QOS策略policy 1
[H3C7506E] interface GigabitEthernet 2/0/11
[H3C7506E-GigabitEthernet2/0/11] qos apply policy 1 inbound
[H3C7506E-GigabitEthernet2/0/11] quit
acl number 3000
rule 0 permit ip source 192.168.1.0 0.0.0.254
interface Ethernet1/0
ip address 192.168.1.1 255.255.255.0
ip policy route-policy routeloadshare
route-policy routeloadshare permit node 1
if-match acl 3000
apply ip-address next-hop 140.1.1.2
acl number 3000
rule 0 permit ip source 192.168.3.0 0.0.0.255
interface GigabitEthernet6/1/1
traffic-redirect inbound ip-group 3000 rule 0 next-hop 192.168.0.12
与H3C qos policy类似
#
acl number 3000
rule 1 permit ip source 192.168.1.0 0.0.0.255
#
traffic classifier 1
if-match acl 3000
#
traffic behavior 1
redirect ip-nexthop 100.0.0.1
#
traffic policy 1
classifier 1 behavior 1
#
interface GigabitEthernet2/0/0
traffic-policy 1 inbound
#
同H3C traffic-redirect
802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题,但由于它的原理对于所有符合IEEE 802标准的局域网具有普适性,因此后来它在有线局域网中也得到了广泛的应用。
该协议是IEEE在2001.6通过的正式标准,标准的起草者包括Microsoft,Cisco,Extreme,Nortel等。
802.1x认证概述
IEEE 802.1x 称为基于端口的访问控制协议(Port based network access control protocol)。主要是为了解决局域网用户的接入认证问题。
IEEE 802.1x协议的体系结构包括三个重要的部分:
客户端(Supplicant System)
认证系统(Authenticator System)
认证服务器(Authentication Server System)。
受控端口是802.1X系统的核心概念
Authenticator 内部有受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。非受控端口始终处于双向连通状态,不必经过任何授权就可以访问或传递网络资源和服务。受控端口必须经过授权才能访问或传递网络资源和服务。
通常情况下设置端口初始状态为非授权状态,使端口仅允许EAPOL报文和广播报文收发。由EAPOL报文触发并进行认证,如果认证流程通过,则将该端口切换到授权状态。
基于端口的认证:
仅对使用同一物理端口的任何一个用户进行认证,认证通过后其他用户也就可以利用该物理端口访问网络服务。
基于MAC的认证:
对共用同一个物理端口的多个用户分别进行认证控制,限制同时使用同一个物理端口的用户数目(限制MAC地址数目),但不指定MAC地址。H3C公司交换机缺省设置为基于MAC的认证。