1. 首页 > 技术分享

准入控制系统技术配置及相关说明

作者:admin2020-01-17 12:48:07

准入控制系统技术配置及相关说明(图1)

准入控制系统技术配置及相关说明(图2)

准入控制系统技术配置及相关说明(图3)

准入控制系统技术配置及相关说明(图4)

准入控制系统技术配置及相关说明(图5)

准入控制系统技术配置及相关说明(图6)

准入控制系统技术配置及相关说明(图7)

准入控制系统技术配置及相关说明(图8)

准入控制系统技术配置及相关说明(图9)

准入控制系统技术配置及相关说明(图10)

准入控制系统技术配置及相关说明(图11)

准入控制系统技术配置及相关说明(图12)

准入控制系统技术配置及相关说明(图13)

准入控制系统技术配置及相关说明(图14)

准入控制系统技术配置及相关说明(图15)

准入控制系统技术配置及相关说明(图16)

准入控制系统技术配置及相关说明(图17)

准入控制系统技术配置及相关说明(图18)

准入控制系统技术配置及相关说明(图19)

准入控制系统技术配置及相关说明(图20)

准入控制系统技术配置及相关说明(图21)

准入控制系统技术配置及相关说明(图22)

准入控制系统技术配置及相关说明(图23)

准入控制系统技术配置及相关说明(图24)

准入控制系统技术配置及相关说明(图25)

准入控制系统技术配置及相关说明(图26)

准入控制系统技术配置及相关说明(图27)

准入控制系统技术配置及相关说明(图28)

准入控制系统技术配置及相关说明(图29)

准入控制系统技术配置及相关说明(图30)

准入控制系统技术配置及相关说明(图31)

准入控制系统技术配置及相关说明(图32)

准入控制系统技术配置及相关说明(图33)

准入控制系统技术配置及相关说明(图34)

网络准入ASM入网规范管理系统方案介绍 


网络准入,无线准入,准入安全


   是否准许终端接入,即控制网络的方式,

这个控制方式就是准入技术。

MVG简介

MVG(虚拟网关)是盈高科技专利技术,通过和网络设备联动,掌握全网设备动态,通过切换终端所接交换机接口vlan,实现准入效果。

1、基本网络配置,配置好ETH2口IP 地址,确保正常情况下能访问ETH2口,按照要求连接ASM设备

2、确定每个正常VLAN所对应的隔离VLAN,并在所有上行trunk中放行正常和隔离VLAN

3、在ASM中配置VLAN映射关系

4、将终端所接端口手动切换到隔离VLAN ,并测试终端和ETH2口的连通性。

5、在ASM 上通过telnet/ssh/snmp方式添加交换机,并测试是否能正常显示交换机面板以及是否能正常切换vlan

6、测试是否能完成正常的准入流程

策略路由简介

策略路由是基于报文源地址转发报文至指定的下一跳路由器。策略路由还可以链接到扩展IP访问列表,以便路由器可以基于像协议类型和端口号这样的标志进行路由选择。同策略路由一样,策略路由会对路由器的路由选择产生影响,但仅限于那些配置了策略路由的路由器。

策略路由主要是控制报文的转发,即可以不按照路由表进行报文的转发(因为一般报文的转发要通过查找转发表,而配上策略路由后就不用管转发表了,可以随心所欲将报文从转发出去了)。

路由策略主要控制路由信息的引入(控制哪些路由信息引到路由协议中,哪些路由器不引入,主要是针对某种路由协议,是否允许其它路由信息引进来)、发布(控制哪些发布出去,哪些不发布出去,通过同一种路由协议发布出去)、接收(控制哪些接收,哪些丢弃,)。

策略路由位于IP 层,在做IP 转发前,如果报文命中某个策略路由对应的规则,则要进行相

应的策略路由的动作(重定向到指定下一跳),然后根据重定向的下一跳代替报文的目的IP 去查FIB 表(转发信息表),做IP 转发。

配置策略路由逃生时,注意trunk修剪

ETH0口和ETH2口不能和终端同vlan

验证策略路由是否生效,采用抓包和tracert工具

配置ACL

指明要进行策略路由的ip地址信息,只对permit有效

配置策略路由

指明策略路由的一些信息(主要是下一跳)

应用策略路由

在接口上面(虚接口或者物理接口上)


access-list 10 permit any


route-map policy-route permit 10

 match ip address 10

 set ip next-hop 192.168.100.123(ASM ETH0口地址)


interface Vlan54

 description yangfa

 ip address 192.168.54.1 255.255.255.0

 ip policy route-map policy-route

在CISCO IOS 11 . 0中最先应用基于策略的路由,但未必11.0以后的版本都支持策略路由

35系列的交换机的IOS不能是ipbase的版本

35系列的交换机要求先开启sdm后

sdm prefer routing

exit

reload(必须重新启动交换机)

中兴配置策略路由的方法与CISCO类似,同样使用route-map来配置路由图

acl number 3040

 rule 0 permit

policy-based-route policy-route permit node 10

   if-match acl 3040

   apply ip-address next-hop 172.16.50.123

interface Ethernet0/3.40

ip policy-based-route policy-route

1、配置ACL策略

[H3C7506E]acl number 3040

[H3C7506E-acl-adv-3040] rule 10 permit ip source 203.133.129.16 0 dest any

[H3C7506E-acl-adv-3040]quit

2、配置匹配ACL的流分类1

[H3C7506E] traffic classifier 1

[H3C7506E-classifier-1] if-match acl 3040

[H3C7506E-classifier-1] quit

3、配置刚才定义的流分类1的行为,定义如果匹配就下一跳至203.133.131.200

[H3C7506E] traffic behavior 1

[H3C7506E-behavior-1] redirect next-hop 203.133.131.200

[H3C7506E-behavior-1] quit

4、将刚才设置的流分类及行为应用至QOS策略中,定义policy 1

[H3C7506E] qos policy 1

[H3C7506E-qospolicy-1] classifier 1 

[H3C7506E-qospolicy-1] behavior 1

[H3C7506E-qospolicy-1] quit

5、在接口上应用定义的QOS策略policy 1

[H3C7506E] interface GigabitEthernet 2/0/11

[H3C7506E-GigabitEthernet2/0/11] qos apply policy 1 inbound

[H3C7506E-GigabitEthernet2/0/11] quit

acl number 3000 

rule 0 permit ip source 192.168.1.0 0.0.0.254                                                            

interface Ethernet1/0  

ip address 192.168.1.1 255.255.255.0  

ip policy route-policy routeloadshare                         

route-policy routeloadshare permit node 1  

if-match acl 3000                                                   

 apply ip-address next-hop 140.1.1.2

acl number 3000 

rule 0 permit ip source 192.168.3.0 0.0.0.255

interface GigabitEthernet6/1/1 

traffic-redirect inbound ip-group 3000 rule 0 next-hop 192.168.0.12 

与H3C qos policy类似

#

acl number 3000  

rule 1 permit  ip source  192.168.1.0 0.0.0.255

#

traffic classifier 1 

if-match acl 3000 

#

traffic behavior 1    

redirect ip-nexthop 100.0.0.1

#

traffic policy 1     

classifier 1 behavior 1      

#  

interface GigabitEthernet2/0/0   

traffic-policy 1 inbound   

#

同H3C traffic-redirect 

 802.1x协议起源于802.11协议,后者是标准的无线局域网协议,802.1x协议的主要目的是为了解决无线局域网用户的接入认证问题,但由于它的原理对于所有符合IEEE 802标准的局域网具有普适性,因此后来它在有线局域网中也得到了广泛的应用。

该协议是IEEE在2001.6通过的正式标准,标准的起草者包括Microsoft,Cisco,Extreme,Nortel等。

802.1x认证概述

IEEE 802.1x 称为基于端口的访问控制协议(Port based network access control protocol)。主要是为了解决局域网用户的接入认证问题。

IEEE 802.1x协议的体系结构包括三个重要的部分:

客户端(Supplicant System)

认证系统(Authenticator System)

认证服务器(Authentication Server System)。

受控端口是802.1X系统的核心概念

Authenticator 内部有受控端口(Controlled Port)和非受控端口(Uncontrolled Port)。非受控端口始终处于双向连通状态,不必经过任何授权就可以访问或传递网络资源和服务。受控端口必须经过授权才能访问或传递网络资源和服务。

通常情况下设置端口初始状态为非授权状态,使端口仅允许EAPOL报文和广播报文收发。由EAPOL报文触发并进行认证,如果认证流程通过,则将该端口切换到授权状态。

基于端口的认证:

仅对使用同一物理端口的任何一个用户进行认证,认证通过后其他用户也就可以利用该物理端口访问网络服务。

基于MAC的认证:

对共用同一个物理端口的多个用户分别进行认证控制,限制同时使用同一个物理端口的用户数目(限制MAC地址数目),但不指定MAC地址。H3C公司交换机缺省设置为基于MAC的认证。

上一篇 : Exchange邮件系统升级实施方案