園區(qū)網(wǎng)解決方案

DOCPROPERTY"Product&ProjectName"園區(qū)網(wǎng)解決方案DOCPROPERTYDocumentName部署指南圖5-5所示線序，將兩臺設(shè)備進行連接。操作步驟執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令setcss{idnew-id|prioritypriority}[frameframe-id]，設(shè)置堆疊機框的ID或堆疊機框競爭的優(yōu)先級。（可選）執(zhí)行命令cssmasterforce[frameframe-id]，強制指定交換機在堆疊系統(tǒng)中作為堆疊主交換機。執(zhí)行命令cssenable，使能設(shè)備的堆疊功能。結(jié)束配置MPLSL3VPN配置IP地址和IGP按照規(guī)劃配置各設(shè)備的物理接口和Loopback接口的IP地址，具體的配置過程略。按照規(guī)劃在PE設(shè)備和P設(shè)備上配置IGP（如果是在核心層部署MPLSL3VPN，則可能沒有P設(shè)備）。IGP可以選擇OSPF或者IS-IS，具體的配置過程略。使能MPLS基本能力請在PE和P節(jié)點上進行如下配置。執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令mplslsr-idlsr-id，配置本節(jié)點的LSRID。執(zhí)行命令mpls，使能本節(jié)點的MPLS功能，并進入MPLS視圖。執(zhí)行命令quit，返回系統(tǒng)視圖。執(zhí)行命令mplsldp，使能全局的LDP功能，并進入MPLS-LDP視圖。執(zhí)行命令quit，返回系統(tǒng)視圖。執(zhí)行命令interfacevlanifinterface-number，進入VLANIF接口視圖。執(zhí)行命令mpls，使能接口的MPLS功能。執(zhí)行命令mplsldp，使能接口的LDP功能。如果所有的VPN業(yè)務(wù)都是用MPLSTE隧道來承載，則可以不使能LDP，而是使用RSVP-TE作為隧道建立的信令協(xié)議。結(jié)束（可選）配置MPLSTE隧道如果需要使用可靠性較高的基于RSVP-TE的MPLSTE隧道，而不是普通的LDPLSP來承載VPN業(yè)務(wù)，則需要執(zhí)行本任務(wù)。使能MPLSTE和RSVP-TE請在所有PE和P節(jié)點上進行如下配置。執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令mpls，進入MPLS視圖。執(zhí)行命令mplste，使能本節(jié)點的MPLSTE功能。執(zhí)行命令mplsrsvp-te，使能本節(jié)點的RSVP-TE功能。執(zhí)行命令mplstecspf，使能本節(jié)點的CSPF功能。執(zhí)行命令quit，返回系統(tǒng)視圖。執(zhí)行命令interfacevlanifinterface-number，進入VLANIF接口視圖。這里的VLANIF接口是指MPLSTE隧道兩端的物理接口所屬的VLANIF接口。執(zhí)行命令mplste，使能接口的MPLSTE功能。執(zhí)行命令mplsrsvp-te，在接口上使能RSVP-TE功能。結(jié)束（可選）使能IGPTE如果不配置IGPTE（OSPFTE或IS-ISTE），則網(wǎng)絡(luò)中不能形成TEDB。此時生成的CR-LSP是由IGP（OSPF或IS-IS）路由計算得到的，而非CSPF計算得到。為了使CR-LSP由CSPF計算生成，需要使能IGP-TE。對于OSPF，請在所有PE和P節(jié)點上進行如下配置。執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令ospf[process-id]，進入OSPF視圖。執(zhí)行命令opaque-capabilityenable，使能OSPF的Opaque能力。執(zhí)行命令areaarea-id，進入OSPF的區(qū)域視圖。執(zhí)行命令mpls-teenable[standard-complying]，在當前OSPF區(qū)域使能TE。對于IS-IS，請在所有PE和P節(jié)點上進行如下配置。執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令isis[process-id]，進入IS-IS協(xié)議視圖。執(zhí)行命令cost-style{compatible[relax-spf-limit]|wide|wide-compatible}，配置IS-IS的WideMetric屬性。執(zhí)行命令traffic-eng[level-1|level-2|level-1-2]，使能IS-ISTE。創(chuàng)建并配置MPLSTE隧道對于堆疊/集群系統(tǒng)，Tunnel接口請在堆疊/集群系統(tǒng)中進行配置，不要配置在單臺成員交換機上，避免因物理故障導(dǎo)致Tunnel接口故障。請在隧道的入節(jié)點（例如PE節(jié)點）上進行如下配置。執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令interfacetunneltunnel-number，創(chuàng)建Tunnel接口，并進入Tunnel接口視圖。執(zhí)行命令ipaddressunnumberedinterfaceloopbackinterface-number，配置隧道接口借用環(huán)回接口的IP地址。執(zhí)行命令tunnel-protocolmplste，配置隧道協(xié)議為MPLSTE。執(zhí)行命令destinationip-address，配置隧道的目的地址（出節(jié)點的LSRID）。執(zhí)行命令mplstetunnel-idtunnel-id，配置隧道ID。執(zhí)行命令mplstesignal-protocolrsvp-te，配置隧道使用RSVP-TE作為信令協(xié)議。執(zhí)行命令mplstereserved-for-binding，使能隧道的VPN綁定。執(zhí)行命令mplstecommit，提交隧道當前配置。結(jié)束創(chuàng)建隧道策略請在隧道的入節(jié)點（例如PE節(jié)點）上進行如下配置。執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令tunnel-policypolicy-name，創(chuàng)建隧道策略，并進入隧道策略視圖。執(zhí)行命令tunnelbindingdestinationdest-ip-addresstetunnelinterface-number，將對端地址與隧道策略綁定，使從本端到目的地址的VPN數(shù)據(jù)從綁定的隧道上傳輸。結(jié)束配置VPN實例在接入CE的PE設(shè)備上進行如下配置。執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令ipvpn-instancevpn-instance-name，創(chuàng)建VPN實例，并進入VPN實例視圖。執(zhí)行命令ipv4-family，使能VPN實例IPv4地址族，并進入VPN實例IPv4地址族視圖。執(zhí)行命令route-distinguisherroute-distinguisher，配置VPN實例IPv4地址族的RD。執(zhí)行命令vpn-targetvpn-target&<1-8>[both|export-extcommunity|import-extcommunity]，為VPN實例IPv4地址族配置VPN-target擴展團體屬性。（可選）執(zhí)行命令tnl-policypolicy-name，對VPN實例IPv4地址族應(yīng)用隧道策略。結(jié)束在接口上綁定VPN實例在接入CE的PE設(shè)備上進行如下配置。執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令interfacevlanifinterface-number，進入要綁定VPN實例的接口視圖。執(zhí)行命令ipbindingvpn-instancevpn-instance-name，將當前接口與VPN實例綁定。執(zhí)行命令ipaddressip-address{mask|mask-length}，配置接口的IP地址。結(jié)束在PE之間建立MP-IBGP對等體在接入CE的PE設(shè)備上進行如下配置。執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令bgpas-number，進入BGP視圖。執(zhí)行命令peeripv4-addressas-numberas-number，將對端PE配置為對等體。執(zhí)行命令peeripv4-addressconnect-interfaceloopbackinterface-number，指定建立TCP連接的接口。執(zhí)行ipv4-familyvpnv4，進入BGP-VPNv4子地址族視圖。執(zhí)行peeripv4-addressenable，使能對等體交換VPNv4路由信息的能力。結(jié)束配置PE和CE/MCE之間的路由交互PE和CE/MCE間的路由交互可以采用EBGP、IBGP、靜態(tài)路由、RIP、OSPF、ISIS，任選一種即可。以下過程以EBGP為例進行描述，其余方式請參考相應(yīng)產(chǎn)品的文檔中關(guān)于VPN的配置指導(dǎo)。在PE上配置EBGP執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令bgpas-number，進入BGP視圖。執(zhí)行命令ipv4-familyvpn-instancevpn-instance-name，進入BGP-VPN實例IPv4地址族視圖。執(zhí)行命令peeripv4-addressas-numberas-number，將CE配置為VPN私網(wǎng)對等體。（可選）執(zhí)行命令import-routedirect[medmed|route-policyroute-policy-name]*，引入到本地CE的直連路由。結(jié)束在CE/MCE上配置EBGP執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令bgpas-number，進入BGP視圖。（可選）如果是MCE設(shè)備，執(zhí)行命令ipv4-familyvpn-instancevpn-instance-name，進入BGP-VPN實例視圖。執(zhí)行命令peeripv4-addressas-numberas-number，將PE配置為對等體。執(zhí)行命令import-route{direct|static|ripprocess-id|ospfprocess-id|isisprocess-id}[medmed|route-policyroute-policy-name]*，引入本站點的路由。結(jié)束配置MCE如前所述，如果匯聚層設(shè)備不支持MPLS，則核心層設(shè)備作為PE來部署MPLSVPN，匯聚層設(shè)備上可以部署MCE功能（需要匯聚層設(shè)備支持MCE功能），實現(xiàn)不同VPN的接入。或者匯聚層設(shè)備支持MPLS，但是每個接入交換機下可接入多個VPN，則匯聚層設(shè)備作為PE來部署MPLSVPN，核心層設(shè)備只作為P設(shè)備，同時接入交換機上部署MCE功能（需要接入交換機支持MCE功能），實現(xiàn)不同VPN的接入。本節(jié)介紹作為MCE的匯聚交換機或接入交換機上如何配置MCE功能。配置VPN實例執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令ipvpn-instancevpn-instance-name，創(chuàng)建VPN實例，并進入VPN實例視圖。執(zhí)行命令route-distinguisherroute-distinguisher，配置VPN實例IPv4地址族的RD。結(jié)束由于MCE下接入多個VPN，所以請根據(jù)需要創(chuàng)建多個VPN實例。在接口上綁定VPN實例執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令interfacevlanifinterface-number，進入要綁定VPN實例的VLAN接口視圖。執(zhí)行命令ipbindingvpn-instancevpn-instance-name，將當前接口與VPN實例綁定。執(zhí)行命令ipaddressip-address{mask|mask-length}，配置接口的IP地址。結(jié)束配置PE和MCE之間的路由交互請參見“REF_Ref301266208\r\h5.3.7REF_Ref301266212\h配置PE和CE/MCE之間的路由交互”。配置MCE和CE之間的路由交互MCE與CE之間的路由交互可以采用EBGP、IBGP、靜態(tài)路由、RIP、OSPF、ISIS，任選一種即可。以下過程以EBGP為例進行描述，其余方式請參考相應(yīng)產(chǎn)品的文檔中關(guān)于VPN的配置指導(dǎo)。在MCE上配置EBGP執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令bgpas-number，進入BGP視圖。執(zhí)行命令ipv4-familyvpn-instancevpn-instance-name，進入BGP-VPN實例IPv4地址族視圖。執(zhí)行命令peeripv4-addressas-numberas-number，將CE配置為VPN私網(wǎng)對等體。（可選）執(zhí)行命令import-routedirect[medmed|route-policyroute-policy-name]*，引入到本地CE的直連路由。結(jié)束在CE上配置EBGP執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令bgpas-number，進入BGP視圖。執(zhí)行命令peeripv4-addressas-numberas-number，將PE配置為對等體。執(zhí)行命令import-route{direct|static|ripprocess-id|ospfprocess-id|isisprocess-id}[medmed|route-policyroute-policy-name]*，引入本站點的路由。結(jié)束配置舉例組網(wǎng)需求企業(yè)信息網(wǎng)絡(luò)中，接入、匯聚、核心層采用支持堆疊/集群功能的交換機，組成堆疊/集群系統(tǒng)。同時，企業(yè)中的接入?yún)R聚層，根據(jù)部門設(shè)置，將用戶劃分為VPN-A和VPN-B，對于數(shù)據(jù)中心，同樣劃分為VPN-A的服務(wù)器群和VPN-B的服務(wù)器群，另有公共的服務(wù)器群，可供所有的用戶同時訪問。如REF_Ref301529845\r\h圖5-6所示。在該組網(wǎng)中，由于匯聚層設(shè)備不支持MPLS，因此只在核心層設(shè)備上配置MPLSL3VPN，而在匯聚層部署MCE功能，負責(zé)匯聚接入多個VPN。數(shù)據(jù)準備配置項配置子項數(shù)據(jù)接口和VLANACC1ToAGG1：GE0/0/1，VLAN11ACC2ToAGG1：GE0/0/1，VLAN22ACC3ToAGG2：GE0/0/1，VLAN11ACC4ToAGG2：GE0/0/1，VLAN22ACC5ToAGG3：GE0/0/1，VLAN11ACC6ToAGG3：GE0/0/1，VLAN22ACC7ToAGG3：GE0/0/1，VLAN33AGG1ToACC1：GE1/0/1，VLAN11ToACC2：GE2/0/1，VLAN22ToCORE1：Eth-Trunk1（GE1/0/24、GE2/0/24），VLAN101202AGG2ToACC3：GE1/0/1，VLAN11ToACC4：GE2/0/1，VLAN22ToCORE2：Eth-Trunk1（GE1/0/24、GE2/0/24），VLAN101202AGG3ToACC5：GE1/0/1，VLAN11ToACC6：GE2/0/1，VLAN22ToACC7：GE3/0/1，VLAN33ToCORE1：Eth-Trunk3（GE1/0/24、GE2/0/24），VLAN111222333CORE1ToAGG1：Eth-Trunk1（GE1/1/0/24、GE2/1/0/24），VLAN101202ToAGG3：Eth-Trunk3（GE1/2/0/24、GE2/2/0/24），VLAN111222333ToCORE2：Eth-Trunk2（GE1/3/0/23、GE1/3/0/24、GE2/3/0/23、GE2/3/0/24），VLAN100CORE2ToAGG2：Eth-Trunk1（GE1/1/0/24、GE2/1/0/24），VLAN101202ToCORE1：Eth-Trunk2（GE1/3/0/23、GE1/3/0/24、GE2/3/0/23、GE2/3/0/24），VLAN100IP地址AGG1VLANIF11：1/24VLANIF22：1/24VLANIF101：1/24VLANIF202：1/24AGG2VLANIF11：1/24VLANIF22：1/24VLANIF101：1/24VLANIF202：1/24AGG3VLANIF11：1/24VLANIF22：1/24VLANIF33：1/24VLANIF111：1/24VLANIF222：1/24VLANIF333：1/24CORE1VLANIF101：2/24VLANIF202：2/24VLANIF111：2/24VLANIF222：2/24VLANIF333：2/24VLANIF100：/24Loopback0：/32CORE2VLANIF101：2/24VLANIF202：2/24VLANIF100：/24Loopback0：/32VPNVPN-AVLAN：11、101、111OSPF進程號：11RD：11:1VPN-Target（Export）：11:1VPN-Target（Import）：11:1VPN-BVLAN：22、202、222OSPF進程號：22RD：22:1VPN-Target（Export）：22:1VPN-Target（Import）：22:1VPN-PublicVLAN：33、333OSPF進程號：33RD：33:1VPN-Target（Export）：11:122:1VPN-Target（Import）：11:122:1操作步驟配置CORE1和CORE2的CSS集群。#在CORE1的主交換機上配置CSS集群。#在CORE1的從交換機上配置CSS集群。配置之后，CORE1集群建立，后續(xù)的配置都在主交換機上進行。CORE2的配置與之相同。對于其余交換機設(shè)備，只要各交換機都插入堆疊卡，并且使用堆疊線纜正確連接，則各交換機上電之后，會自動建立iStack堆疊系統(tǒng)，無需進行配置。配置接口和VLAN。#配置接入交換機ACC1的接口和VLAN。其余接入交換機的配置與之類似，其中ACC3、ACC5的VLAN也是11，ACC2、ACC4、ACC6的VLAN是22，ACC7的VLAN是33。#配置匯聚交換機AGG1的接口和VLAN。#配置匯聚交換機AGG2的接口和VLAN。#配置匯聚交換機AGG3的接口和VLAN。#配置核心交換機CORE1的接口和VLAN。#配置核心交換機CORE2的接口和VLAN。配置MCE。#配置匯聚交換機AGG1上的MCE功能。#配置匯聚交換機AGG2上的MCE功能。#配置匯聚交換機AGG3上的MCE功能。配置公網(wǎng)路由協(xié)議，實現(xiàn)互通。#配置CORE1上的路由協(xié)議。#配置CORE2上的路由協(xié)議。使能MPLS。#配置CORE1的MPLS和LDP功能。#配置CORE2的MPLS和LDP功能。配置MPLSTE隧道承載VPN業(yè)務(wù)。#配置CORE1的MPLSTE隧道。#配置CORE2的MPLSTE隧道。配置MPLSL3VPN。#配置CORE1的VPN業(yè)務(wù)。#配置CORE2的VPN業(yè)務(wù)。在PE間建立MP-IBGP對等體。#配置CORE1。#配置CORE2。配置PE和MCE之間的路由交互。#配置AGG1。#配置AGG2。#配置AGG3。#配置CORE1。#配置CORE2。VPN路由配置。#配置AGG3。#配置CORE1。#配置CORE2。結(jié)束配置文件ACC1配置文件ACC2~ACC7的配置與之類似，其中ACC3、ACC5的VLAN也是11，ACC2、ACC4、ACC6的VLAN是22，ACC7的VLAN是33。AGG1配置文件AGG2配置文件AGG3配置文件CORE1的配置文件CORE2的配置文件NAC系統(tǒng)部署概述NAC系統(tǒng)簡介NAC系統(tǒng)的作用和組成如何在企業(yè)中構(gòu)建安全的網(wǎng)絡(luò)，在辦公便捷、網(wǎng)絡(luò)資源合理共享的同時發(fā)現(xiàn)并隔離不合法和不安全的終端主機，確保只有被授權(quán)的和通過安全檢查的終端主機才能訪問網(wǎng)絡(luò)資源，從而保護重要的網(wǎng)絡(luò)資源，是高層管理人員和IT部門較為關(guān)注的問題。按照通用的企業(yè)網(wǎng)絡(luò)架構(gòu)，對于用戶的認證和授權(quán)是通過部署NAC系統(tǒng)來完成。NAC系統(tǒng)一般由如下部件組成：終端代理終端代理是安裝在用戶終端系統(tǒng)上的專用客戶端軟件，與準入服務(wù)器聯(lián)動進行用戶身份認證、終端安全檢查、系統(tǒng)修復(fù)升級，終端行為監(jiān)控審計等工作。網(wǎng)絡(luò)準入設(shè)備網(wǎng)絡(luò)準入設(shè)備是終端訪問網(wǎng)絡(luò)的網(wǎng)絡(luò)控制點，是企業(yè)安全策略的實施者，負責(zé)按照準入服務(wù)器制定的安全策略，實施相應(yīng)的準入控制（允許、拒絕、隔離或限制）。網(wǎng)絡(luò)準入設(shè)備通常又可稱為用戶業(yè)務(wù)網(wǎng)關(guān)，并不是一個物理實體，而是一個角色概念，通常由網(wǎng)絡(luò)中的匯聚交換機（或者接入交換機）來擔任。準入服務(wù)器準入服務(wù)器是后臺的安全管理和控制服務(wù)器。它可以進行用戶管理，增加、刪除、修改用戶權(quán)限及用戶部門配置，及安全策略的定制和管理等。還需要進行用戶認證和安全審核，實施安全策略，并且與網(wǎng)絡(luò)準入設(shè)備聯(lián)動，下發(fā)用戶權(quán)限。另外，準入服務(wù)器也包括病毒庫服務(wù)器和補丁服務(wù)器等用于終端安全修復(fù)的服務(wù)器。準入服務(wù)器經(jīng)常也被稱為AAA服務(wù)器，它與用戶業(yè)務(wù)網(wǎng)關(guān)之間可采用RADIUS等協(xié)議進行通信，共同完成對于用戶的認證、計費和授權(quán)等功能。接入認證技術(shù)簡介華為公司NAC方案，支持802.1x、MAC認證、Portal認證多種網(wǎng)絡(luò)訪問控制方式，并可靈活部署在用戶網(wǎng)絡(luò)的接入交換機、匯聚交換機、無線控制器、AR等多種網(wǎng)絡(luò)設(shè)備上，配合NAC的代理客戶端和服務(wù)器共同完成NAC控制，為企業(yè)網(wǎng)、園區(qū)網(wǎng)、城域網(wǎng)提供安全可靠的訪問控制。在園區(qū)網(wǎng)中，用戶的接入認證技術(shù)主要如下幾種：Portal認證Portal認證是一種三層認證方式。用戶可以通過訪問Portal服務(wù)器（Web服務(wù)器）上的Web認證頁面，輸入用戶帳號信息，實現(xiàn)對終端用戶身份的認證。采用Portal認證，有如下幾種認證方式：用戶使用Web瀏覽器直接訪問Portal服務(wù)器的認證頁面，并在認證頁面上輸入用戶名和密碼進行認證。用戶使用Web瀏覽器訪問任意其他站點，由業(yè)務(wù)網(wǎng)關(guān)將其訪問重定向到Portal服務(wù)器的認證頁面，用戶在認證頁面上輸入用戶名和密碼進行認證。用戶使用TSMAgent軟件（需配置好Portal認證服務(wù)器的地址），在軟件界面上輸入用戶名和密碼進行認證。如果需要實現(xiàn)對終端狀態(tài)的安全檢查，則有兩種方式：使用TSMAgent軟件進行認證，TSMAgent軟件具備終端安全檢查和修復(fù)的功能。如果使用Web瀏覽器進行訪問和認證，則需要在對Portal服務(wù)器的認證頁面加上ActiveX插件下載的功能，用戶通過認證之后，Web瀏覽器可自動下載一個ActiveX插件，該插件可以對終端安全進行檢查并報告Portal服務(wù)器。802.1x認證802.1x協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，用于在局域網(wǎng)接入設(shè)備的端口一級對所接入的用戶設(shè)備進行認證和控制。連接在端口上的用戶設(shè)備如果能通過認證，就可以訪問局域網(wǎng)中的資源；如果不能通過認證，則無法訪問局域網(wǎng)中的資源。802.1x認證使用EAP（ExtensibleAuthenticationProtocol）認證協(xié)議，實現(xiàn)客戶端、設(shè)備端和認證服務(wù)器之間認證信息的交換。在客戶端與設(shè)備端之間，EAP協(xié)議報文使用EAPoL（EAPoverLAN）封裝格式，直接承載于LAN環(huán)境中。MAC認證對某些特殊情況，終端用戶不想或不能通過輸入用戶帳號信息的方式完成認證。例如某些特權(quán)終端希望能“免認證”直接訪問網(wǎng)絡(luò)；對于某些特殊的PC終端，如打印機、IP電話等設(shè)備，無法安裝客戶端軟件，也無法通過輸入用戶帳號信息的方式進行認證授權(quán)。此時可以采用MAC認證的方式實現(xiàn)對終端的網(wǎng)絡(luò)訪問控制。MAC認證就是以終端的MAC地址作為身份憑據(jù)到系統(tǒng)進行認證。啟用MAC認證后，當終端接入網(wǎng)絡(luò)時，網(wǎng)絡(luò)準入設(shè)備提取終端MAC地址，并將該MAC地址作為用戶名和密碼進行認證。如果認證失敗使用戶下線，并保持一段時間內(nèi)不再發(fā)起認證和探測，超時后重新開始探測過程。如果認證成功，交換機將增加該MAC地址進入MAC表，用戶將可以正常訪問網(wǎng)絡(luò)。技術(shù)比較MACPortal802.1x標準化程度標準Web軟件廠商私有標準IP地址無認證認證前分配認證后分配客戶端軟件不需要不需要需要對設(shè)備要求無私有設(shè)備大多數(shù)交換機安全性低高高使用場景適用于SIP終端，打印機，傳真機等終端接入認證的場景認證方式靈活，適用于用戶分散、無線、外客訪問等場景新建網(wǎng)絡(luò)，用戶集中，信息安全要求嚴格的場景結(jié)束TSM簡介為了解決企業(yè)內(nèi)部網(wǎng)絡(luò)管理失控的問題，保障企業(yè)內(nèi)部網(wǎng)絡(luò)的暢通、終端主機的安全和公司信息數(shù)據(jù)的安全，實現(xiàn)企業(yè)網(wǎng)絡(luò)安全建設(shè)的目標，華為公司推出TSM產(chǎn)品，該產(chǎn)品為企業(yè)提供整合的內(nèi)部網(wǎng)絡(luò)安全解決方案，實現(xiàn)從終端到業(yè)務(wù)系統(tǒng)的控制和管理功能。TSM基于TSM代理為企業(yè)提供安全接入控制、終端安全管理、補丁管理、終端用戶的行為管理、軟件分發(fā)和資產(chǎn)管理六大功能。其核心思想是建立網(wǎng)絡(luò)準入控制機制，基本要素是安全檢查、訪問控制和安全修復(fù)。有效控制網(wǎng)絡(luò)日漸增多的接入點，包括企業(yè)員工、外部訪客、合作伙伴和臨時雇員等對網(wǎng)絡(luò)的訪問，發(fā)現(xiàn)并隔離帶有威脅的終端主機，提升網(wǎng)絡(luò)防御安全威脅的能力。TSM系統(tǒng)基于Client/Server模式，由TSMServer和TSMAgent兩部分組成。其中TSMAgent是TSM的一個組件，作為TSM的客戶端軟件，安裝在終端主機。TSMServer是TSM系統(tǒng)的后臺服務(wù)器部分，它可以作為企業(yè)NAC系統(tǒng)的準入服務(wù)器來進行部署，可提供接入認證、權(quán)限控制、終端管理、攻擊防御、資產(chǎn)管理等功能，并具有高可靠性、執(zhí)行靈活、融合開放等特點。TSMAgent并不僅僅是一個認證客戶端軟件，而是一個終端安全綜合管理軟件，它提供了強大的終端安全管理功能，包括身份認證、終端安全狀態(tài)檢查和修復(fù)、終端用戶行為管理、注冊資產(chǎn)、接收公告等多種功能。對于TSMAgent來說，支持Portal認證、802.1x認證、MAC認證等多種認證方式，并且其認證方式是集成融合的，一個客戶端即可實現(xiàn)多種認證方式。用戶不需要再使用Web瀏覽器或者單獨的802.1x客戶端軟件。典型組網(wǎng)NAC系統(tǒng)部署的典型組網(wǎng)如REF_Ref301512722\r\h圖6-2所示。在NAC系統(tǒng)中，準入服務(wù)器可以使用TSMServer，終端代理可使用TSMAgent。如果是802.1x認證或MAC認證，可以使用接入交換機作為網(wǎng)絡(luò)準入設(shè)備，如果是Portal認證，可以使用匯聚交換機作為網(wǎng)絡(luò)準入設(shè)備。配套版本部件產(chǎn)品版本接入交換機S2700/S3700系列V100R006C01匯聚交換機S5700/S7700系列V100R006C01核心交換機S7700/S9300系列V100R006C01終端代理TSMAgentV100R002C06準入服務(wù)器TSMServerV100R002C06部署思路前置任務(wù)完成各網(wǎng)元/部件的安裝調(diào)試和線纜連接，各網(wǎng)元上電正常工作。TSM服務(wù)器的操作系統(tǒng)和TSM軟件已經(jīng)安裝完畢。完成VLAN/SSID、IP地址等數(shù)據(jù)的規(guī)劃。配置思路配置思路配置注意事項在各網(wǎng)元部件上配置接口、VLAN、IP地址和路由，實現(xiàn)網(wǎng)絡(luò)的基礎(chǔ)互通。本章不再描述配置步驟。當需要把用戶側(cè)接口配置為802.1x認證時，不要配置接口類型，使用默認的Hybrid類型即可。也不要配置默認VLAN。如果在接入層部署802.1x認證，則接入交換機需要配置上行的VLANIF接口并配置IP地址，以便和認證服務(wù)器進行通信。在業(yè)務(wù)網(wǎng)關(guān)上配置NAC功能，實現(xiàn)對接入用戶的認證和授權(quán)。業(yè)務(wù)網(wǎng)關(guān)的角色根據(jù)接入認證方式的選擇而定。如果是802.1x認證，則選擇接入交換機；如果是Portal認證，則選擇匯聚交換機。主要包括：配置AAA功能，設(shè)置用戶的歸屬域、認證/授權(quán)的模式以及相應(yīng)的AAA服務(wù)器等。在接入交換機上配置802.1x認證或者在匯聚交換機上配置Portal認證。配置TSM服務(wù)器。主要配置包括：配置認證服務(wù)器（Portal認證服務(wù)器或者802.1x認證服務(wù)器），用于對終端進行安全認證。配置隔離域和認證后域的信息。配置策略模板，并將策略下發(fā)到用戶。配置用戶賬號（包括普通賬號、MAC賬號、AD賬號及LDAP賬號等），為賬號配置接入隔離域及后域，實現(xiàn)對用戶的網(wǎng)絡(luò)權(quán)限控制。DHCP服務(wù)器、DNS服務(wù)器、TSM服務(wù)器屬于認證前域。用于安全修復(fù)的補丁服務(wù)器或者病毒庫服務(wù)器則劃分到隔離域。其他的應(yīng)用服務(wù)器屬于認證后域。如果是普通賬號，則需要在TSM服務(wù)器上配置用戶名和密碼。如果是AD域賬號，則需要另外部署域控制服務(wù)器，并配置用戶名和密碼。然后將賬號同步至TSM服務(wù)器。配置終端代理TSMAgent。配置認證方式、認證服務(wù)器等，并進行認證接入。配置業(yè)務(wù)網(wǎng)關(guān)在業(yè)務(wù)網(wǎng)關(guān)上（例如S9300交換機），NAC的部署主要包括如下幾方面：配置AAA功能，設(shè)置用戶的歸屬域、認證/授權(quán)的模式以及相應(yīng)的AAA服務(wù)器等。在用戶接入的接口下配置802.1x或者Portal認證。下面以S9300作為業(yè)務(wù)網(wǎng)關(guān)為例，列出了最基本的常用NAC配置步驟。更詳細完整的配置步驟和內(nèi)容請參見所使用產(chǎn)品的產(chǎn)品文檔。配置AAA功能配置認證方案執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令aaa，進入AAA視圖。執(zhí)行命令authentication-schemeauthentication-scheme-name，創(chuàng)建認證方案，并進入認證方案視圖。執(zhí)行命令authentication-mode{hwtacacs|radius|local}*[none]，配置認證模式。結(jié)束配置授權(quán)方案執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令aaa，進入AAA視圖。執(zhí)行命令authorization-schemeauthorization-scheme-name，創(chuàng)建授權(quán)方案，并進入授權(quán)方案視圖。執(zhí)行命令authorization-mode[hwtacacs]{if-authenticated|local|none}，配置授權(quán)模式。結(jié)束配置RADIUS服務(wù)器模板執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令radius-servertemplatetemplate-name，創(chuàng)建RADIUS服務(wù)器模板，并進入RADIUS服務(wù)器模板視圖。執(zhí)行命令radius-serverauthenticationip-addressport[sourceloopbackinterface-number]，配置RADIUS認證服務(wù)器。執(zhí)行命令radius-serveraccountingip-addressport[sourceloopbackinterface-number]，配置RADIUS計費服務(wù)器。執(zhí)行命令quit，返回系統(tǒng)視圖。執(zhí)行命令radius-serverauthorizationip-address{server-groupgroup-name|shared-key{cipher|simple}key-string}*[ack-reserved-intervalinterval]，配置RADIUS授權(quán)服務(wù)器。結(jié)束配置域執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令aaa，進入AAA視圖。執(zhí)行命令domaindomain-name，創(chuàng)建域，并進入域視圖。執(zhí)行命令authentication-schemeauthentication-scheme-name，配置域使用的認證方案。（可選）執(zhí)行命令authorization-schemeauthorization-scheme-name，配置域使用的授權(quán)方案。如果使用RADIUS認證，則省略本步驟。執(zhí)行命令accounting-schemeaccounting-scheme-name，配置域使用的計費方案。執(zhí)行命令radius-servertemplate-name，配置域使用的RADIUS服務(wù)器模板。結(jié)束配置Portal認證配置Web認證服務(wù)器執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令web-auth-serverserver-name，配置Web認證服務(wù)器，并進入Web認證服務(wù)器視圖。執(zhí)行命令server-ipip-address，配置Web認證服務(wù)器的IP地址。執(zhí)行命令portport-number[all]，配置Web認證服務(wù)器接收S9300發(fā)送的通知報文的端口號。（可選）如果要部署Web強推認證，執(zhí)行命令urlurl-string，配置Web認證服務(wù)器的認證頁面所對應(yīng)的URL。Web強推認證是指當需要Portal認證的用戶，在未認證前試圖訪問其無權(quán)訪問的地址時，業(yè)務(wù)網(wǎng)關(guān)將其訪問請求強制重定向到強制Web認證服務(wù)器，讓用戶進行認證。如果不部署Web強推認證，則用戶在未認證之前進行未授權(quán)訪問時，業(yè)務(wù)網(wǎng)關(guān)直接阻斷其訪問請求，而不會進行重定向操作。如果希望對于使用Web瀏覽器進行訪問和認證的用戶進行終端安全檢查，則URL應(yīng)指向具有ActiveX下載功能的認證頁面。結(jié)束接口下綁定Web認證服務(wù)器執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令interfaceinterface-typeinterface-number，進入接口視圖。只能是VLANIF接口，S9300/S7700只能通過VLANIF接口完成對接入用戶的Web認證。執(zhí)行命令web-auth-serverserver-name，在VLANIF接口下綁定Web認證服務(wù)器。結(jié)束（可選）配置Portal認證的FreeRule當某些特殊用戶在未通過認證的情況下需要訪問特定資源，可以配置FreeRule。執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令portalfree-rulerule-id{destination{any|ip{ip-addressmask{mask-length|ip-mask}|any}}|source{any|{interfaceinterface-typeinterface-number|ip{ip-addressmask{mask-length|ip-mask}|any}|vlanvlan-id}*}}*，配置免認證規(guī)則。結(jié)束配置802.1x認證使能802.1x認證執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令dot1xenable，使能全局802.1x認證功能。執(zhí)行命令interfaceinterface-typeinterface-number，進入接口視圖。執(zhí)行命令dot1xenable，在接口下使能802.1x認證功能。結(jié)束配置802.1x用戶的認證方法執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令dot1xauthentication-method{chap|eap|pap}，配置802.1x用戶的認證方法。結(jié)束配置802.1x認證的GuestVLAN執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令interfaceinterface-typeinterface-number，進入接口視圖。執(zhí)行命令dot1xguest-vlanvlan-id，配置接口的GuestVLAN。結(jié)束（可選）使能MAC旁路認證功能MAC旁路認證，指當終端進行802.1x認證失敗后，把它的MAC地址作為用戶名和密碼上送RADIUS服務(wù)器進行認證。對于某些特殊終端，例如打印機等，無法使用和安裝802.1x終端軟件，可以通過基于MAC的旁路認證方式進行認證。執(zhí)行命令system-view，進入系統(tǒng)視圖。執(zhí)行命令interfaceinterface-typeinterface-number，進入接口視圖。執(zhí)行命令dot1xmac-bypass，在接口下使能MAC旁路認證功能。結(jié)束配置TSM服務(wù)器在本節(jié)中，重點描述TSM的接入認證和權(quán)限控制功能的配置，其余功能（例如終端管理、攻擊防御、資產(chǎn)管理等）的配置請參考TSM產(chǎn)品的相關(guān)文檔。TSM在接入認證和權(quán)限控制方面，主要發(fā)揮如下作用：對本地用戶進行管理，增加、刪除、修改用戶權(quán)限及用戶部門配置，以及安全策略的定制和管理等?；蛘邔ν獠空J證源服務(wù)器的用戶賬號進行同步。與網(wǎng)絡(luò)準入設(shè)備聯(lián)動，基于用戶賬號（本地賬號或者同步的外部賬號）完成用戶認證和安全審核，實施安全策略，下發(fā)用戶權(quán)限。下面的TSM服務(wù)器部署也主要圍繞著兩大方面來進行介紹。包括如下內(nèi)容：配置普通賬號同步AD域賬號配置Portal認證控制配置802.1x認證控制TSM不支持同時啟用802.1x交換機接入控制方式和Portal網(wǎng)關(guān)接入控制方式。配置普通賬號在TSM中，用戶管理涉及三個依次隸屬的概念：部門、終端用戶、賬號。一個部門可以包含多個終端用戶，一個終端用戶可包含多個賬號。賬號可以分為本地賬號和外部認證源賬號（例如AD域賬號）兩種。本地賬號是指用戶名和密碼等信息都配置在TSM服務(wù)器上的普通賬號。外部認證源賬號是指企業(yè)中另外部署了其他認證服務(wù)器，為了確保終端用戶使用現(xiàn)有的賬號而不是新建賬號進行認證，TSM服務(wù)器上只同步外部認證源賬號信息（不包括密碼），用戶直接使用外部認證源賬號進行網(wǎng)絡(luò)登錄。配置部門信息在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“部門用戶>部門用戶管理”，進入“部門用戶管理”頁面。在右側(cè)操作區(qū)域選擇“部門”頁簽。在部門導(dǎo)航樹選擇待創(chuàng)建部門的上級部門。在“部門”頁簽下方單擊“增加”，出現(xiàn)“增加部門”對話框。輸入部門的參數(shù)后，單擊“確定”，出現(xiàn)“增加成功”的對話框。單擊“確定”，完成部門信息的創(chuàng)建。結(jié)束配置終端用戶信息在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“部門用戶>部門用戶管理”，進入“部門用戶管理”頁面。在右側(cè)操作區(qū)域選擇“用戶”頁簽。在部門導(dǎo)航樹選擇需要創(chuàng)建終端用戶的目標部門。在“用戶”頁簽下方單擊“增加”，出現(xiàn)“增加用戶”對話框。輸入終端用戶的參數(shù)后，單擊“確定”，出現(xiàn)“增加成功”的對話框。單擊“確定”，完成終端用戶信息的創(chuàng)建。結(jié)束配置本地賬號信息在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“部門用戶>部門用戶管理”，進入“部門用戶管理”頁面。在右側(cè)操作區(qū)域選擇“用戶”頁簽。在“部門用戶管理”界面左側(cè)的部門導(dǎo)航樹選擇需要創(chuàng)建普通賬號的目標部門。“部門用戶管理”界面右側(cè)顯示該部門下的所有終端用戶。在需要創(chuàng)建普通賬號的終端用戶右側(cè)單擊。顯示終端用戶的賬戶列表。單擊“增加”，出現(xiàn)“增加賬號”對話框。輸入普通賬號的參數(shù)后，單擊“確定”，出現(xiàn)“增加成功”的對話框。普通賬號的登錄類型有Web、Agent、ActiveX三種，其含義如下：Web：表示允許終端用戶使用該賬號通過Web瀏覽器進行身份認證。Agent：表示允許終端用戶使用該賬號通過TSMAgent軟件進行身份認證。ActiveX：表示允許終端用戶使用該賬號通過Web瀏覽器的Agent插件進行身份認證。單擊“確定”，完成普通賬號信息的創(chuàng)建。結(jié)束配置按OU方式同步AD域賬號信息關(guān)于AD域控制服務(wù)器的設(shè)置，以及用戶賬號信息的創(chuàng)建的步驟，請參考相關(guān)產(chǎn)品的幫助或文檔，或者參考TSMServer軟件的聯(lián)機幫助文檔。本節(jié)只描述如何將AD域服務(wù)器上的AD賬號信息同步到TSM服務(wù)器的過程和步驟。啟用MicrosoftAD域認證方式在TSM管理器的導(dǎo)航欄單擊“系統(tǒng)配置”。在左側(cè)菜單欄選擇“終端配置>全局參數(shù)”。出現(xiàn)“配置代理終端認證類型”對話框。選中“允許AD域賬號認證”。單擊“確定”，出現(xiàn)“修改成功”的對話框。單擊“確定”，完成配置。結(jié)束（可選）配置非MicrosoftAD域用戶啟用域賬號登錄在TSM管理器的導(dǎo)航欄單擊“系統(tǒng)配置”。在左側(cè)菜單欄選擇“終端配置>全局參數(shù)”。出現(xiàn)“終端代理自啟動和非AD域用戶登錄”對話框。根據(jù)實際情況選擇是否允許未使用MicrosoftAD域賬號登錄的終端用戶通過MicrosoftAD域賬號進行認證。要允許未使用MicrosoftAD域賬號登錄的終端用戶通過MicrosoftAD域賬號進行認證，選中“配置非AD域用戶啟用域賬號登錄”右側(cè)的“啟用”。要禁止未使用MicrosoftAD域賬號登錄的終端用戶通過MicrosoftAD域賬號進行認證，選中“配置非AD域用戶啟用域賬號登錄”右側(cè)的“禁用”。單擊“確定”，出現(xiàn)“修改成功”的對話框。單擊“確定”，完成配置。結(jié)束配置MicrosoftAD域控制器的連接參數(shù)在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“外部數(shù)據(jù)源>AD服務(wù)器”。單擊“增加”，出現(xiàn)“增加AD”對話框。詳細參數(shù)解釋如REF_Ref299610550\r\h表6-3所示。參數(shù)類型說明同步類型必填項設(shè)置是否從MicrosoftAD域控制器同步節(jié)點與賬號。按OU同步MicrosoftAD域賬號時，選擇“按OU同步”。認證源必填項設(shè)置MicrosoftAD域控制器的名稱，方便管理員區(qū)分TSM與哪一臺MicrosoftAD域控制器聯(lián)動。該名稱不能與已配置的認證源名稱重復(fù)，最大長度為100byte。類型無顯示外部認證源的類型。主服務(wù)器地址必填項輸入MicrosoftAD域控制器的IP地址。備用服務(wù)器地址選填項如果MicrosoftAD域控制器采用主備方式部署，請輸入MicrosoftAD備份域控制器的IP地址。端口必填項輸入MicrosoftAD域控制器提供目錄服務(wù)的端口號。在安裝MicrosoftAD域控制器時，如果不配置SSL，MicrosoftAD域控制器默認使用389作為服務(wù)端口。如果配置了SSL，MicrosoftAD域控制器默認使用636作為服務(wù)端口。除非在安裝規(guī)劃時改變了服務(wù)端口，否則請保持默認值。服務(wù)器域名必填項輸入MicrosoftAD域控制器的域名。基準DN必填項輸入根節(jié)點的DN。同步賬號必填項輸入在MicrosoftAD域控制器中創(chuàng)建的同步賬號。同步密碼必填項輸入“同步賬號”對應(yīng)的密碼。認證賬號選填項輸入在MicrosoftAD域控制器中創(chuàng)建的認證賬號。認證密碼選填項輸入“認證賬號”對應(yīng)的密碼。AD故障時，允許AD認證直接通過(Kerberos除外)選填項設(shè)置當MicrosoftAD域控制器出現(xiàn)故障時，是否取消向MicrosoftAD域控制器驗證終端用戶身份的過程。該參數(shù)僅適用于非Kerberos認證流程。選中該項，當MicrosoftAD域賬號認證不采用Kerberos認證流程時，只要終端用戶使用的MicrosoftAD域賬號已經(jīng)同步到TSM管理器，則終端用戶能夠認證通過。啟用SSL選填項設(shè)置是否啟用SSL。啟用SSL后，TSM與MicrosoftAD域控制器聯(lián)動時，將采用SSL協(xié)議加密，能夠提高聯(lián)動過程的安全性。在TSM配置啟用SSL的前提條件是：已經(jīng)在MicrosoftAD域控制器完成了SSL的相關(guān)配置。有關(guān)在MicrosoftAD域控制器配置SSL的操作請參見MicrosoftAD域控制器的相關(guān)文檔。輸入MicrosoftAD域控制器的連接參數(shù)后，單擊“確定”，出現(xiàn)“增加成功”的對話框。單擊“確定”，完成MicrosoftAD域控制器的連接參數(shù)的配置。結(jié)束配置部門信息請參見“REF_Ref300732186\r\h6.3.1REF_Ref300732188\h配置普通賬號”中的“REF_Ref299610763\h配置部門信息”。設(shè)置MicrosoftAD域賬號支持的接入方式在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“外部數(shù)據(jù)源>AD服務(wù)器”，出現(xiàn)外部認證源列表。單擊認證源右側(cè)的。出現(xiàn)“外部認證源配置”對話框。在“登錄類型”中選中需要支持的接入受控網(wǎng)絡(luò)的方式。單擊“確定”，出現(xiàn)“設(shè)置成功”的對話框。單擊“確定”，完成配置。結(jié)束（可選）自定義TSM管理器與MicrosoftAD域控制器字段的關(guān)聯(lián)關(guān)系在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“外部數(shù)據(jù)源>AD服務(wù)器”，出現(xiàn)外部認證源列表。單擊認證源右側(cè)的。出現(xiàn)“外部認證源配置”對話框。選擇“部門”頁簽。輸入部門參數(shù)。選擇“用戶”頁簽。輸入終端用戶參數(shù)。選擇“其它”頁簽。輸入其它參數(shù)。單擊“確定”，出現(xiàn)“設(shè)置成功”的對話框。單擊“確定”，完成配置。結(jié)束關(guān)聯(lián)源DN與目標部門指定源節(jié)點與目標部門的關(guān)聯(lián)關(guān)系，以便源節(jié)點的子節(jié)點及其賬號能夠同步復(fù)制到TSM管理器的目標部門。在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“外部數(shù)據(jù)源>同步范圍”。單擊“增加OU同步”。出現(xiàn)設(shè)置源DN和目標部門的關(guān)聯(lián)對話框。設(shè)置源DN與目標部門的關(guān)聯(lián)參數(shù)，單擊“確定”，出現(xiàn)“增加成功”對話框。單擊“確定”，完成源DN和目標部門的關(guān)聯(lián)。結(jié)束配置同步任務(wù)的執(zhí)行周期在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“外部數(shù)據(jù)源>AD服務(wù)器”，出現(xiàn)外部認證源列表。單擊認證源右側(cè)的。出現(xiàn)“自動同步設(shè)置”對話框。設(shè)置自動同步參數(shù)，單擊“確定”，出現(xiàn)“設(shè)置成功”的對話框。單擊“確定”，完成配置。結(jié)束立即同步子節(jié)點和賬號在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“外部數(shù)據(jù)源>AD服務(wù)器”，出現(xiàn)外部認證源列表。單擊認證源右側(cè)的。出現(xiàn)“同步任務(wù)開始執(zhí)行”對話框。單擊“確定”，等待同步任務(wù)完成。結(jié)束配置Portal認證控制配置Portal網(wǎng)關(guān)在TSM管理器頂部單擊“接入控制”。在左側(cè)的菜單欄中選擇“接入控制配置>PORTAL網(wǎng)關(guān)”。選擇“PORTAL網(wǎng)關(guān)”頁簽。單擊“增加”。出現(xiàn)Portal網(wǎng)關(guān)配置對話框。輸入Portal網(wǎng)關(guān)的連接參數(shù)。單擊“增加”，出現(xiàn)“增加IP地址段”對話框。輸入起始IP地址和結(jié)束IP地址。單擊“確定”，關(guān)閉“增加IP地址段”對話框。完成IP地址段的配置，將終端主機所在網(wǎng)段加入IP地址列表，表示對這些IP地址段啟用Portal認證網(wǎng)關(guān)。單擊“確定”，出現(xiàn)“增加成功”對話框。單擊“確定”，完成配置。結(jié)束配置隔離域在TSM管理器頂部單擊“接入控制”。在左側(cè)的菜單欄中選擇“接入控制配置>PORTAL網(wǎng)關(guān)”。選擇“隔離域”頁簽。單擊“增加”，出現(xiàn)隔離域配置對話框。輸入隔離域的相關(guān)參數(shù)。單擊“增加”。出現(xiàn)“增加規(guī)則”對話框。輸入規(guī)則的相關(guān)參數(shù)。單擊“確定”，完成規(guī)則的配置并返回隔離域配置對話框。單擊“確定”，出現(xiàn)“增加成功”對話框。單擊“確定”，完成隔離域的配置。結(jié)束配置認證后域在TSM管理器頂部單擊“接入控制”。在左側(cè)的菜單欄中選擇“接入控制配置>PORTAL網(wǎng)關(guān)”。選擇“后域”頁簽。單擊“增加”，出現(xiàn)認證后域配置對話框。輸入認證后域的相關(guān)參數(shù)。單擊“增加”。出現(xiàn)“增加規(guī)則”對話框。輸入規(guī)則的相關(guān)參數(shù)。單擊“確定”，完成規(guī)則的配置并返回認證后域配置對話框。單擊“確定”，出現(xiàn)“增加成功”對話框。單擊“確定”，完成認證后域的配置。結(jié)束將隔離域和認證后域應(yīng)用到部門在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“部門用戶>部門用戶管理”。選擇“部門”頁簽。在部門導(dǎo)航樹中選中待應(yīng)用隔離域和認證后域的部門，然后在工具欄單擊“部門接入控制管理”。選擇“自定義設(shè)置”。選擇“PORTAL網(wǎng)關(guān)”頁簽。設(shè)置開發(fā)部的隔離域和認證后域。單擊“確定”，出現(xiàn)“設(shè)置成功”對話框。單擊“確定”，完成隔離域和認證后域到部門的應(yīng)用。結(jié)束配置802.1x認證控制本節(jié)所描述的配置步驟和過程是基于802.1x標準協(xié)議（交換機組中的交換機類型選擇除“華為NAC系列”之外的類型），該種方式下無法基于部門和角色對用戶權(quán)限進行控制。如果選擇的是華為NAC系列，則還可以配置隔離域、認證后域，并應(yīng)用到部門或者具體賬號。主要注意的是，802.1x認證中的隔離域和認證后域的配置方式與Portal認證的配置方式有所不同，相關(guān)詳細配置請參考TSMServer的幫助文檔。配置交換機組在TSM管理器的導(dǎo)航欄單擊“接入控制”。在左側(cè)菜單欄選擇“接入控制配置>802.1x交換機”。選擇“交換機組”頁簽。單擊“增加”，輸入交換機組的相關(guān)參數(shù)。參數(shù)說明組名稱輸入交換機組的唯一名稱。交換機類型選擇該交換機組中交換機的廠家類型，未在下拉列表中單獨列出的交換機類型，請選擇其他類型。認證密鑰交換機上配置的與TSM控制器通信的認證加密密鑰。啟用計費功能少數(shù)交換機需要啟用計費功能，才能使認證通過的終端主機長時間保持端口開放，服務(wù)器上配置啟用該功能用于配合交換機完成計費。計費密鑰如果配置啟用計費功能，此處填寫交換機上配置的計費加密密鑰。接入控制方式當“交換機類型”設(shè)置為“華為NAC系列”時，設(shè)置是通過“動態(tài)VLAN”還是“動態(tài)ACL”來實現(xiàn)接入控制。在使用標準802.1x協(xié)議的交換機實施接入控制時不能選擇接入控制方式。單擊“確定”，出現(xiàn)“保存配置信息成功”對話框。單擊“確定”，完成交換機組的配置。結(jié)束配置交換機列表配置交換機組成功后，會自動跳轉(zhuǎn)到交換機列表界面。單擊“增加”，出現(xiàn)“增加交換機”對話框。輸入交換機的參數(shù)。參數(shù)說明地址類型IP地址：通過增加IP地址增加一臺交換機。IP段：指定一個地址段，該IP地址段中的所有地址均是交換機的IP地址。子網(wǎng)：通過地址+掩碼的方式指定一個子網(wǎng)，該子網(wǎng)中所有的IP地址均為交換機的IP地址。交換機可能配置了多個IP地址，NAS-IP是交換機專門供RADIUS通信用的地址，添加的交換機IP地址必須是交換機的NAS-IP，否則會產(chǎn)生“radiusnoresponse”錯誤。如果交換機沒有提供配置NAS-IP的命令，則應(yīng)在交換機路由表中查找到達TSM控制器的出接口，出接口對應(yīng)的IP地址作為添加交換機時輸入的IP地址。描述輸入交換機的描述信息，方便管理員維護該交換機列表。單擊“確定”，出現(xiàn)“增加交換機成功”對話框。單擊“確定”，完成交換機的配置。結(jié)束配置TSMAgent很多情況下，TSMAgent的安裝程序已經(jīng)根據(jù)企業(yè)的部署需求，由網(wǎng)絡(luò)管理員或華為技術(shù)支持工程師完成定制，此時終端用戶只需要完成軟件的安裝后，即可進行認證并接入網(wǎng)絡(luò)，無需進行額外的配置。在終端上安裝TSMAgent軟件，具體過程略。安裝完成后，Windows桌面的系統(tǒng)托盤中會出現(xiàn)TSMAgent的圖標。表示終端用戶未進行認證。雙擊圖標，打開TSMAgent認證界面。在賬號和密碼框中分別輸入用戶名和密碼。然后根據(jù)需要選擇是否“保存密碼”和“自動認證”。用戶名和密碼必須已在TSM服務(wù)器上注冊，詳細過程請參見“REF_Ref300732506\r\h6.3.1REF_Ref300732510\h配置普通賬號”或者“REF_Ref300732519\r\h6.3.2REF_Ref300732521\h配置按OU方式同步AD域賬號信息”。如果是首次使用TSMAgent，則單擊“高級設(shè)置”按鈕，展開高級設(shè)置選項。在“服務(wù)器”中輸入TSM認證服務(wù)器的IP地址。如果要使用802.1x認證，則選中“啟用802.1x協(xié)議”復(fù)選框，并且根據(jù)需要選擇是否啟用安全認證（推薦啟用）以及802.1x的接入?yún)f(xié)議（推薦使用標準協(xié)議即可）。如果使用Portal認證，則不選中“啟用802.1x協(xié)議”復(fù)選框。單擊“保存”按鈕，保存所有的高級設(shè)置。單擊“認證”按鈕，客戶端發(fā)起認證。如果認證通過，則系統(tǒng)托盤中的圖標變成，表示終端用戶成功通過身份認證和安全認證。用戶可以正常訪問網(wǎng)絡(luò)。如果系統(tǒng)托盤中的圖標為，表示終端用戶已經(jīng)通過安全認證，但是終端主機存在違規(guī)信息。如果系統(tǒng)托盤中的圖標為，表示終端用戶未通過安全認證，終端主機的網(wǎng)絡(luò)訪問受限。結(jié)束上述配置過程是以普通賬號來進行舉例的。在企業(yè)網(wǎng)絡(luò)中，用戶也可以通過AD域賬號進行認證。如REF_Ref299546048\r\h圖6-33所示。如果用戶使用AD域賬號登錄，則需要注意以下幾點：需要另外部署域控制服務(wù)器，在域服務(wù)器上配置用戶名和密碼。有關(guān)于控制服務(wù)器的配置請按照相關(guān)產(chǎn)品的文檔指導(dǎo)進行。TSM服務(wù)器上只需要同步配置AD域用戶賬號。請參考“REF_Ref300732519\r\h6.3.2REF_Ref300732521\h配置按OU方式同步AD域賬號信息”。用戶終端需要加入域，詳細配置請參考終端操作系統(tǒng)（例如Windows）的幫助文檔。配置舉例部署基于802.1x認證的NAC系統(tǒng)組網(wǎng)需求企業(yè)的園區(qū)網(wǎng)中，將網(wǎng)絡(luò)分為接入、匯聚和核心三層。在接入層交換機上，使用802.1x認證對部門A和部門B的接入用戶進行認證，認證服務(wù)器使用TSMServer。如REF_Ref302137739\r\h圖6-34所示。園區(qū)中的數(shù)據(jù)中心分為認證前域（包括DHCP服務(wù)器、DNS服務(wù)器和TSM服務(wù)器）、隔離域（包括補丁服務(wù)器和病毒庫服務(wù)器）和認證后域（企業(yè)的業(yè)務(wù)服務(wù)器）。用戶未認證前只能訪問認證前域。用戶通過認證后，如果終端不安全，則只能訪問隔離域中的服務(wù)器進行補丁修復(fù)和病毒庫升級。當用戶通過認證并且終端安全時，可正常訪問業(yè)務(wù)服務(wù)器。數(shù)據(jù)準備配置項配置子項數(shù)據(jù)接口和VLANACC1~ACC2用戶認證前VLAN：11用戶隔離VLAN：12用戶認證后VLAN：13交換機上行VLAN：14AGG3~ACC4用戶認證前VLAN：21用戶隔離VLAN：22用戶認證后VLAN：23交換機上行VLAN：24AGG1上行VLAN：101AGG2上行VLAN：102CORE認證前域VLAN：201隔離域VLAN：202認證后域VLAN：203設(shè)備IP地址ACC1VLANIF14：/24ACC2VLANIF14：/24ACC3VLANIF24：/24ACC4VLANIF24：/24AGG1VLANIF11：/24VLANIF12：/24VLANIF13：/24VLANIF14：/24VLANIF101：/24Loopback0：/32AGG2VLANIF21：/24VLANIF22：/24VLANIF23：/24VLANIF24：/24VLANIF102：/24Loopback0：/32COREVLANIF101：/24VLANIF102：/24VLANIF201：/24VLANIF202：/24VLANIF203：/24Loopback0：/32服務(wù)器IP地址TSM服務(wù)器DHCP服務(wù)器DNS服務(wù)器補丁服務(wù)器病毒庫服務(wù)器業(yè)務(wù)服務(wù)器操作步驟配置接口和VLAN。#配置接入交換機ACC1的接口和VLAN。當需要把用戶側(cè)接口配置為802.1x認證時，不要配置接口類型，使用默認的Hybrid類型即可。也不要配置默認VLAN。ACC2的配置與ACC1相似，但VLANIF14的IP地址為。#配置接入交換機ACC3的接口和VLAN。ACC4的配置與ACC3相似，但是VLANIF14的IP地址為。#配置匯聚交換機AGG1的接口和VLAN。#配置匯聚交換機AGG2的接口和VLAN。#配置核心交換機CORE的接口和VLAN。配置路由協(xié)議。#配置AGG1上的路由協(xié)議。#配置AGG2上的路由協(xié)議。#配置CORE1上的路由協(xié)議。配置DHCP。#在DHCP服務(wù)器上分別配置如下6個地址池：地址池1：/24，網(wǎng)關(guān)地址：，DNS地址：地址池2：/24，網(wǎng)關(guān)地址：，DNS地址：地址池3：/24，網(wǎng)關(guān)地址：，DNS地址：地址池4：/24，網(wǎng)關(guān)地址：，DNS地址：地址池5：/24，網(wǎng)關(guān)地址：，DNS地址：地址池6：/24，網(wǎng)關(guān)地址：，DNS地址：具體配置過程略。#配置ACC1上的DHCPSnooping功能。ACC2、ACC3、ACC4的配置與ACC1相同。#配置AGG1上的DHCPRelay功能。#配置AGG2上的DHCPRelay功能。配置AAA功能。#配置ACC1上的AAA功能。ACC2~ACC4上的配置與ACC1相同。配置802.1x認證。#在ACC1上配置802.1x認證。ACC2的配置與ACC1相同。#在ACC3上配置802.1x認證。ACC4的配置與ACC3相同。配置TSM服務(wù)器。TSM服務(wù)器上的配置請參考“REF_Ref302134291\r\h6.3REF_Ref302134293\h配置TSM服務(wù)器”。在TSM服務(wù)器上需要配置隔離域和認證后域，并且為每個交換機指定隔離域和認證后域的動態(tài)VLAN。ACC1和ACC2的隔離域動態(tài)VLAN為12，認證后域的動態(tài)VLAN為13。ACC3和ACC4的隔離域動態(tài)VLAN為22，認證后域的動態(tài)VLAN為23。結(jié)束配置文件ACC1配置文件ACC2配置與ACC1相似，唯一不同的是VLANIF14的IP地址為。ACC3配置文件ACC4配置與ACC3相似，唯一不同的是VLANIF24的IP地址為。AGG1配置文件AGG2配置文件CORE的配置文件部署基于Portal認證的NAC系統(tǒng)組網(wǎng)需求企業(yè)的園區(qū)網(wǎng)中，將網(wǎng)絡(luò)分為接入、匯聚和核心三層。在匯聚層交換機上，使用Portal認證對部門A和部門B的接入用戶進行認證，認證服務(wù)器使用TSMServer。如REF_Ref302137567\r\h圖6-35所示。園區(qū)中的數(shù)據(jù)中心分為認證前域（包括DHCP服務(wù)器、DNS服務(wù)器和TSM服務(wù)器）、隔離域（包括補丁服務(wù)器和病毒庫服務(wù)器）和認證后域（企業(yè)的業(yè)務(wù)服務(wù)器）。用戶未認證前只能訪問認證前域。用戶通過認證后，如果終端不安全，則只能訪問隔離域中的服務(wù)器進行補丁修復(fù)和病毒庫升級。當用戶通過認證并且終端安全時，可正常訪問業(yè)務(wù)服務(wù)器。數(shù)據(jù)準備配置項配置子項數(shù)據(jù)接口和VLANACC1~ACC2部門A用戶接入VLAN：11AGG3~ACC4部門B用戶接入VLAN：12AGG1上行VLAN：101AGG2上行VLAN：102CORE認證前域VLAN：201隔離域VLAN：202認證后域VLAN：203設(shè)備IP地址AGG1VLANIF1：/24VLANIF101：/24Loopback0：/32AGG2VLANIF2：/24VLANIF102：/24Loopback0：/32COREVLANIF101：/24VLANIF102：/24VLANIF201：/24VLANIF202：/24VLANIF203：/24Loopback0：/32服務(wù)器IP地址TSM服務(wù)器DHCP服務(wù)器DNS服務(wù)器補丁服務(wù)器病毒庫服務(wù)器業(yè)務(wù)服務(wù)器操作步驟配置接口和VLAN。#配置接入交換機ACC1的接口和VLAN。ACC2的配置與ACC1相同。#配置接入交換機ACC3的接口和VLAN。ACC4的配置與ACC3相同。#配置匯聚交換機AGG1的接口和VLAN。#配置匯聚交換機AGG2的接口和VLAN。#配置核心交換機CORE的接口和VLAN。配置路由協(xié)議。#配置AGG1上的路由協(xié)議。#配置AGG2上的路由協(xié)議。#配置CORE1上的路由協(xié)議。配置DHCP。#在DHCP服務(wù)器上分別配置如下兩個地址池：地址池1：/24，網(wǎng)關(guān)地址：，DNS地址：地址池2：/24，網(wǎng)關(guān)地址：，DNS地址：具體配置過程略。#配置ACC1上的DHCPSnooping功能。ACC2、ACC3、ACC4的配置與ACC1相同。#配置AGG1上的DHCPRelay功能。#配置AGG2上的DHCPRelay功能。配置AAA功能。#配置AGG1上的AAA功能。AGG2上的配置與AGG1相同。配置Portal認證。#在AGG1上配置Portal認證。#在AGG2上配置Portal認證。配置TSM服務(wù)器。TSM服務(wù)器上的配置請參考“REF_Ref302134291\r\h6.3REF_Ref302134293\h配置TSM服務(wù)器”。結(jié)束配置文件ACC1配置文件ACC2~ACC4配置類似。ACC2配置VLAN是11，ACC3~ACC4配置VLAN是12。AGG1配置文件AGG2配置文件CORE的配置文件VoIP語音部署概述企業(yè)語音業(yè)務(wù)簡介在大型企業(yè)中，可以基于IP網(wǎng)絡(luò)自建語音通信系統(tǒng)，可以使企業(yè)內(nèi)部的語音通信不再需要通信費用，從而節(jié)省了企業(yè)的運營成本。建設(shè)IP語音通信系統(tǒng)面臨的挑戰(zhàn)是如何在IP網(wǎng)絡(luò)基礎(chǔ)上，既可以保護原有投資和用戶使用習(xí)慣，又可以讓企業(yè)的語音業(yè)務(wù)和數(shù)據(jù)業(yè)務(wù)在同一張IP網(wǎng)絡(luò)上協(xié)調(diào)運作，同時可以滿足IP語音通信后續(xù)的發(fā)展及用戶數(shù)量的擴容需求。在企業(yè)中部署IP語音業(yè)務(wù)，需要重點考慮如下內(nèi)容。呼叫控制方案呼叫控制方案分為集中式、分布式和混合型三種。集中式呼叫控制企業(yè)總部集中部署IPPBX（AR/SoftCo），分支機構(gòu)的語音網(wǎng)關(guān)（VG）部署為AG形態(tài)，分支與企業(yè)總部之間通過WAN/MAN連接?？偛颗c分支的語音用戶全部注冊到企業(yè)總部的IPPBX?？偛縄PPBX為企業(yè)內(nèi)所有用戶提供呼叫控制服務(wù)，并且提供與本地運營商互通。集中式呼叫控制比較適合企業(yè)在同一個區(qū)域的情況。分布式呼叫控制企業(yè)總部和各分支機構(gòu)分別部署IPPBX，分支與總部之間通過企業(yè)IP專網(wǎng)連接?？偛颗c分支的IPPBX分別完成本地用戶的注冊和呼叫控制，總部IPPBX為各個分支互通提供呼叫路由，形成總部為一級呼叫路由，分支為二級呼叫路由的結(jié)構(gòu)?？偛亢头种У腎PPBX分別完成與當?shù)剡\營商的PTSN網(wǎng)絡(luò)的互通。分布式呼叫控制比較適合企業(yè)在不同區(qū)域的情況?；旌闲秃艚锌刂苹旌闲秃艚锌刂剖巧鲜鰞煞N方式的結(jié)合，該方案針對企業(yè)分布復(fù)雜，既有同區(qū)域分支，也有不同區(qū)域的分支的情況，分別采用不同的呼叫控制方式。如果某個區(qū)域有多個分支，則可以選擇其中較大的一個分支部署IPPBX，而其余分支部署AG，由大分支的IPPBX完成該區(qū)域所有分支的呼叫控制。終端接入方式在企業(yè)的IP語音通信系統(tǒng)中，主要的終端類型有模擬電話（POTS話機）、IP電話（SIP話機）、PC軟終端和傳真機等。POTS話機接入POTS話機的接入方式主要有如下幾種：POTS話機通過FXS線路接到AG，再接到IPPBX。POTS話機通過FXS線路接到IAD設(shè)備，IAD設(shè)備通過以太網(wǎng)接到IPPBX。POTS話機通過FXS線路接到TDMPBX設(shè)備，TDMPBX設(shè)備通過E1線路接到IPPBX。SIP話機接入SIP話機通過LAN網(wǎng)絡(luò)接入并注冊到IPPBX設(shè)備。PC軟終端PC軟終端通過LAN網(wǎng)絡(luò)接入并注冊到IPPBX設(shè)備。傳真機接入傳真機的接入方式與POTS話機接入方式相同。原有電話系統(tǒng)接入原有語音通信系統(tǒng)中有大量已有的投資，如TDMPBX、POTS話機，新建IP語音通信系統(tǒng)應(yīng)充分考慮對原有投資的利用。對于企業(yè)語音通信系統(tǒng)的更新，原有設(shè)備的處理方案有二種方案：原有連接PSTN網(wǎng)絡(luò)的TDMPBX設(shè)備，將原來連接PSTN網(wǎng)絡(luò)的E1/FXO接口切換接入到企業(yè)出口多業(yè)務(wù)路由器AR設(shè)備上，從而保證原有設(shè)備的充分利用。對于TDMPBX設(shè)備下的語音用戶比較多，同時還有一定擴容能力的TDMPBX設(shè)備，可以通過E1接口將AR的語音用戶轉(zhuǎn)到TDMPBX設(shè)備，再通過TDMPBX設(shè)備連接到PSTN網(wǎng)絡(luò)。號碼規(guī)劃企業(yè)的號碼規(guī)劃一般有DDI方式和非DDI兩種方式。規(guī)劃方式說明DDI方式企業(yè)內(nèi)部的每部電話都有一個長號，同時企業(yè)內(nèi)部將長號的后四位或后五位作為每部電話的短號，企業(yè)內(nèi)部的拔號直接通過短號互拔。企業(yè)拔打公網(wǎng)語音用戶，則通過拔打出局字冠+被叫號碼進行出局形成出局呼叫。公網(wǎng)語音用戶拔打企業(yè)語音用戶時，可以直接使用企業(yè)語音用戶的長號進行拔號通信。非DDI方式非DDI方式下的企業(yè)號碼規(guī)劃，企業(yè)內(nèi)部的每部電話分配一個短號，企業(yè)內(nèi)部的拔號直接通過短號互拔。企業(yè)內(nèi)部語音用戶拔打公網(wǎng)語音用戶時，通過IPPBX智能選擇一個空閑出局號碼，形成出局呼叫。公網(wǎng)語音用戶拔打企業(yè)語音用戶時，外線先拔總機號碼，再按照語音提示轉(zhuǎn)發(fā)分機號碼進行拔號通信。對于不同類型的企業(yè)進行號碼規(guī)劃方式的選擇建議如下：外貿(mào)型企業(yè)，企業(yè)的語音通信主要是對外，建議采用DDI的方式進行企業(yè)語音用戶的號碼規(guī)劃。生產(chǎn)型企業(yè)，企業(yè)的語音通信主要是內(nèi)部通信，建議采用非DDI方式進行企業(yè)語音用戶的號碼規(guī)劃，同時根據(jù)對外的業(yè)務(wù)分析來確定企業(yè)內(nèi)部語音用戶拔打外線的收斂比例。PSTN/PLMN出局PSTN/PLMN出局主要有三個作用：提供企業(yè)內(nèi)部語音用戶與PSTN/PLMN公網(wǎng)語音用戶進行語音互通。提供語音用戶拔打有企業(yè)分支的地區(qū)時，通過企業(yè)IP網(wǎng)絡(luò)出局到被叫語音用戶所在地，再通過企業(yè)分支出局到PSTN/PLMN網(wǎng)絡(luò)，從而使企業(yè)的長途通話，只花費被叫用戶的本地市話費。提供企業(yè)語音用戶的故障保護，在總部與分支之間的IP網(wǎng)絡(luò)出現(xiàn)問題后，企業(yè)的語音用戶可以通過PSTN/PLMN網(wǎng)絡(luò)進行語音用戶保護。對于集中式呼叫控制的企業(yè)，由企業(yè)總部的IPPBX統(tǒng)一出局，與