• 产品与解决方案
  • 行业解决方案
  • 服务
  • 支持
  • 合作伙伴
  • 新华三人才研学中心
  • 关于我们

03-安全策略配置指导

目录

19-用户标签配置指导

本章节下载 19-用户标签配置指导  (315.55 KB)

19-用户标签配置指导


1 用户标签

1.1  用户标签简介

用户在审计设备上的访问日志给用户加一个标签(理财、网购…),此标签需要携带到云端的AAA和内容平台上,以便根据此标签决定后续的认证、推送、营销策略等。

1.2  配置IMC标签上报服务器

操作

参数

说明

进入系统视图

system-view

-

配置IMC标签上报服务器

User-lable imc-server A.B.C.D PORT NAME PASSWORD

必选

用户标签上报启用

User-lable enable

必选

用户标签上报类型

url-category <1-1025> to <1-1025> user-label enable/disable

IMc服务器登录用户名

手动执行用户标签上报

user-label report

IMC服务器登录密码

 

1.3  用户标签来源

对终端用户上网访问的URL进行汇总分类,从而得到用户标签,URL分类是根据URL分类库来完成,每个URL都被默认分到了某一类中。

分类ID

中文名称

英文名称

是否加入用户标签(建议)

1

广告

ad

N

2

成人

adult

N

3

傀儡主机

botnet

N

4

艺术

art

Y

5

在线音乐

music

Y

6

机动车

automobile

Y

7

BBS站点

BBS

Y

8

键盘记录网站

keyboard-recorder

N

9

博彩

lottery

N

10

商业

business

Y

11

计算机与互联网

network

Y

12

犯罪

crime

N

13

钓鱼网站

fishing

Y

14

毒品

drug

N

15

教育

education

N

16

娱乐

entertainment

N

17

在线股票交易

transaction

Y

18

证券公司

securities

N

19

赌博

gambling

N

20

游戏

game

N

21

木马病毒

trojan

N

22

网络资源

network-resources

N

23

医疗健康

health

N

24

违反法律

illegal

N

25

违反道德

immoral

N

26

求职招聘

recruitment

Y

27

儿童

child

N

28

法律

law

N

29

社会生活

society

N

31

网上交易

trade

N

32

新闻媒体

news

N

33

文学

literature

N

34

在线聊天

chat

N

35

财经

economics

Y

36

非盈利组织

charity

N

37

政治

political

N

38

色情

porn

N

39

门户网站与搜索引擎

portal-searcher

N

40

远程代理

proxy

N

41

房地产

estate

N

42

参考

reference

N

43

宗教与信仰

religion

N

44

科学

science

Y

45

期货

futures

Y

46

银行

bank

Y

47

体育

sports

Y

48

股票

stock

Y

49

基金

fund

Y

50

外汇

exchange

N

51

旅游

travel

Y

52

暴力

violence

N

53

病毒

virus

N

54

WEB通信

web-im

N

55

交通住宿预定

hotal

Y

56

白名单

whitelist

N

 

默认所有预定义URL分类都加入用户标签,用户可以通过命令行来配置决定某一URL分类是否加入用户标签。

用户还可以自定义URL分类,针对用户自定义URL分类,不加入用户标签;

1.4  用户标签配置查看和维护

在完成上述配置后,在任意视图下执行display命令查看用户标签的配置情况。

表1-1 广告推送显示和维护

操作

命令

说明

查看IMC上报服务器

Display user-lable imc-server

-

查看参与标签上报的URL分类有哪些

display url-category user-label report

-

查看不参与标签上报的URL分类有哪些(注:默认所有URL分类均参与标签上报)

display url-category user-label no-report

-

Debug定位用户上报情况

debug user-label

-

 

2 用户标签二层组网配置举例

2.1  组网需求

图2-1所示,在公司出口网关开启用户标签上报功能,用户在审计设备上的访问日志给用户加一个标签(理财、网购等),此标签上报到标签服务器,以便根据此标签决定后续的认证、推送、营销策略等。具体应用需求如下:

(1)     公司组网为二层组网,下联所有网段直接通过网关出口上网;

(2)     上报所有用户标签。

图2-1 二层环境用户标签配置案例组网图

 

2.2  配置思路

按照组网图组网。

(1)     配置安全策略

(2)     配置用户标签上报服务器

(3)     开启用户标签上报

(4)     配置终端

2.3  配置步骤

2.3.1  配置设备

1. 配置安全策略

系统视图下配置IPv4安全策略,并开启URL审计。

host(config)# policy any ge2 any any any any any always audit

WARNING: Audit policy need configure application audit rule.

host(config-policy)#  website-policy malware disable

host(config-policy)# website-policy 1 any accept info FilterUrl

host(config-policy)# website-policy enable 1

2. 配置用户标签上报服务器

在命令行系统模式下配置用户标签上报服务器。服务器地址10.0.50.212,端口8080,用户名admin,密码admin

host(config)# user-label imc-server 10.0.50.212 8080 admin admin

host(config)# display user-label imc-server

server ip:10.0.50.212, port:8080, name:admin, password:Hg6MAD7MGTUEcoT9gHG+LhDc6E07QwG71SmiEodL/fQT/YirzsAURqDjk69469y 

3. 开启用户标签上报

host(config)# user-label enable

host(config)# url-category 1 to 1025 user-label enable

4. 配置终端信息

配置下联pc上网ip,下联PC访问http多种网站类型(商业、博彩、艺术类、计算机与互联网)上网。

2.4  验证配置

(1)     抓包查看上报标签是否正确

设备用户标签信息本地配置文件存储周期为15分钟。上报imc服务器周期为24小时。时间太久,可以等15分钟后标签本地存储完成后在设备抓包过滤服务区地址,协议选择tcp目的端口选择8080过滤查看用户标签信息。在命令行 (config)#模式下执行 user-label report查看标签信息。

 

3 用户标签三层组网配置举例

3.1  组网需求

图3-1所示,在公司出口网关开启用户标签上报功能,用户在审计设备上的访问日志给用户加一个标签(理财、网购等),此标签上报到标签服务器,以便根据此标签决定后续的认证、推送、营销策略等。具体应用需求如下:

(1)     公司组网为三层组网,用户标签功能在出口开启

(2)     内网用户通过一台三层设备上网

(3)     General switch交换机开启snmp功能,并且配置管理地址

图3-1 二层环境用户标签配置案例组网图

 

 

3.2  配置思路

按照组网图组网。

(1)     配置安全策略

(2)     配置用户标签上报服务器

(3)     General switch交换机开启snmp功能,并且配置管理地址

(4)     DUT设备开启跨三层MAC地址学习功能

(5)     DUT设备跨三层MAC地址学习全局配置开启

(6)     配置终端

3.3  配置步骤

3.3.1  配置设备

1. 配置安全策略

系统视图下配置IPv4安全策略,并开启URL审计。

host(config)# policy any ge2 any any any any any always audit

WARNING: Audit policy need configure application audit rule.

host(config-policy)#  website-policy malware disable

host(config-policy)# website-policy 1 any accept info FilterUrl

host(config-policy)# website-policy  enable 1

2. 配置用户标签上报服务器

在命令行系统模式下配置用户标签上报服务器。服务器地址10.0.50.212,端口8080,用户名admin,密码admin

host(config)# user-label imc-server 10.0.50.212 8080 admin admin

host(config)# do display user-label imc-server

server ip:10.0.50.212, port:8080, name:admin, password:Hg6MAD7MGTUEcoT9gHG+LhDc6E07QwG71SmiEodL/fQT/YirzsAURqDjk69469y 

3. 开启用户标签上报

host(config)# user-label enable

host(config)# url-category 1 to 1025 user-label enable

4. 在General switch交换机配置管理IP

General switch交换机配置管理IP,开启SNMP功能配置团体字(交换机snmp功能自行配置)

5. 设备开启跨三层MAC地址学习功能

host(config)# snmp   mac-learn  switch 172.20.2.51  14:14:4b:60:46:09 public  v1

6. 跨三层MAC地址学习全局配置开启30秒更新。

host(config)# snmp mac-learn enable 

host(config)# snmp mac-learn updatetimes 30

7. 配置终端信息

配置下联pc上网ip,下联PC访问http多种网站类型(商业、博彩、艺术类、计算机与互联网)上网。

3.4  验证配置

(1)     抓包查看上报标签是否正确

设备用户标签信息本地配置文件存储周期为15分钟。上报imc服务器周期为24小时。时间太久,可以等15分钟后标签本地存储完成后在设备抓包过滤服务区地址,协议选择tcp目的端口选择8080过滤查看用户标签信息。在命令行 (config)#模式下执行 user-label report查看标签信息。

 

1、依次访问商业、博彩、艺术类、计算机与互联网这四类网站后设备记录的标签信息只记录博彩、艺术类、计算机与互联网

2、设备不开启跨三层MAC地址学习时,下联多台pc访问不同类型的网站,过了三层设备后,mac地址显示成设备mac地址。

3、设备开启跨三层MAC地址学习后,下联多台pc访问不同类型的网站,待30秒DUT设备学习到终端mac后,标签上报显示的是终端的mac地址和标签类型。

 

不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!

新华三官网
联系我们