48-无线非经功能典型配置举例
本章节下载 (1.74 MB)
目 录
本文档介绍设备的无线非经功能配置举例,包括厂商、场所、AP、上报周期、应用关系对照表配置。
在配置前,先了解如下几个定义:
· 无线非经:即公共场所无线上网安全管理条例,非经营性互联网信息服务提供者从事非经营性互联网信息服务时,应当遵守国家的有关规定,接受有关部门依法实施的监督管理 。
· 厂商:隶属相关部门授权并遵循指定的标准(协议、应用维度)和一定的行为规则(场所编码规则、经营性质等),对外提供开放接口用来收集指定场所用户上网行为数据平台。
· 场所:经过设备的流量是从哪些场所过来,就填写哪些场所,表明有多少个场所流量经过设备;
· AP:AP是存在于场所内的,表明该场所内有多少个AP,这样可以知道具体某个用户是在哪一个场所中的哪一个AP使用网络。
· 上报周期:根据对接厂商标准接口文档按一定的周期上报无线非经数据。
· 应用关系对照表:按照对接厂商平台要求,将我司应用转换成其对应的应用ID上报至网监平台,以便网监平台显示对应应用名称。
无线非经功能主要目的是将对接厂商需要的数据按照一定的格式要求,采用指定的协议标准上传至网监平台服务器,实现网监对非经营性场所上网用户行为的监控。
无线非经功能主要涉及到三大块,分别为应用识别审计、数据组织及数据上报,即按网监要求的格式对审计到的数据以固定的字段格式上报到网监系统对应的平台上去。
· 应用识别审计:主要是流量经过设备之后能够对其进行分析识别并审计,此块主要与引擎和特征库相关。
· 数据组织:设备上根据识别审计的日志以及日志平台需要上报的内容进行日志过滤及存储入数据库,并按网监要求生成对应的文件。
· 数据上报:设备根据对接厂商要求,在指定目录下获取生成的数据文件,按照网监平台指定的协议进行上报,上报周期可以手动配置。
该文档的配置说明为老的无线非经配置,配置过于繁琐,为满足市场需要,已在R6611P02及之后版本增加非经SDK功能使用授权特性。同时为了兼容R6611P02之前版本非经功能,web页面老的无线非经功能保留,已经使用老的无线非经功能的用户可以升级新版本继续兼容使用,也可以修改到新的SDK功能使用(需要进行授权才能使用),新用户建议使用新的SDK功能,操作比较简单,只需授权激活后,命令行config视图下配置开启命令(rzx gam-audit enable)。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
在配置前,需要做如下准备:
· 获取参与对接厂商的名称及组织机构代码。
· 本文档假设您已了解无线非经功能特性。
如图1所示,某公司内网研发部门办公网段IP地址192.168.10.0/24,其中192.168.10.1/24作为内网的网关地址。TPLINK设备上开启DHCP,地址池为192.168.10.2/24~192.168.10.254/24。使用设备的ge0和ge1接口作为路由模式,设备作为研发部门网关出口设备,上连公司出口防火墙,下连二层交换机。设备的上开启审计、本地认证和无线非经功能。具体应用需求如下:
· 内网用户访问外网时需要通过本地认证。
· 内网用户访问外网的流量通过设备处理上报至派博平台。
· 网络基础配置,配置接口地址、路由、NAT、DNS等信息。
· 升级特征库。
· 配置审计策略。
· 配置Web认证功能,添加认证账号、地址对象等信息。
· 配置无线非经功能,添加厂商、场所、AP和上报周期等信息。
本举例是在R6612版本上进行配置和验证的。
(1) 配置接口地址
如图2所示,进入“网络配置>接口配置>物理接口”页面,点击对应接口后面的操作,进行接口IPv4地址配置。
(2) 配置静态路由
如图3所示,进入“网络配置>路由管理>静态路由”页面,点击<新建>添加一条缺省路由。
(3) 配置源NAT
如图4所示,进入“策略配置>NAT转换策略>源NAT”页面,点击<新建>添加一条源NAT,使内网地址访问外网做NAT。
(4) 配置DNS服务器
如图5所示,进入“网络配置>基础网络>DNS服务>DNS服务器”页面,勾选“启用DNS全局代理”,并配置DNS服务器地址,使其设备能够进行域名解析。
图5 配置DNS服务器
(1) 升级license
如图6所示,进入“系统管理>系统维护>授权管理”页面,点击<导入许可证>,将license文件信息复制到license栏点并击提交。
(2) 升级特征库
如图7所示,进入“系统管理>系统维护>系统升级”页面,升级应用控制特征库,如果网络较好,可以直接连网点击立即升级,如果网络状况较差,可以将特征库文件下载到本地,进行本地导入升级。
(1) 添加审计策略
如图8所示,进入“策略配置>审计策略”页面,点击<新建>审计策略,审计对象全选,点击提交。
图8 配置审计策略
(1) 配置地址对象
如图9所示,进入“策略配置>对象管理> 地址对象> 地址对象”页面,配置需要认证的网段地址,点击<提交>。
(2) 配置认证账号
如图10所示,进入“用户管理>用户组织结构”页面,选择新建认证账号,如添加测试认证账号分别为test1,test2等。
(3) 配置本地认证策略
如图11所示,进入“用户管理>认证管理>认证策略”页面,点击<新建>创建本地认证策略。
(1) 添加厂商配置
如图12所示,进入“系统管理>系统设定>无线非经>厂商配置”页面,对接厂商选择<派博>,其它信息根据要求进行配置,提交配置。
(2) 添加场所配置
如图13所示,进入“系统管理>系统设定>无线非经>场所配置”页面,点击<添加场所>,将场所信息根据要求进行配置,提交配置。
(3) 添加AP配置
如图14所示,进入“系统管理>系统设定>无线非经>厂商配置>场所配置”页面,勾选对应场所,并点击<添加AP>,将AP信息根据要求进行配置,提交配置。
图14 添加AP配置
(4) 添加上报周期
如上图所示,进入“系统管理>系统设定>无线非经>厂商配置>上报周期设置”页面,点击<新建>,根据上报平台的要求配置上报周期,提交配置。派博对接平台上报周期为系统内置,不需要进行设定,其它厂商根据实际需要进行配置。
(5) 添加应用关系对照表
如图15所示,进入“系统管理>系统设定>无线非经>厂商配置>应用关系对照表”页面,点击<新建>,选择对应厂商及应用名称,并填上对照关系ID,提交配置。
· 特征库在线升级必须要配置DNS,否则在线升级不成功。
· 非经版本只记录认证用户上网产生的数据,匿名用户数据不记录。
· 对应厂商的应用关系对照表需要进行配置,如果没有,则对应的应用产生的审计数据不进行入库处理。
如图16所示,内网用户访问外网需要先进行web认证,在“数据中心>系统监控>在线用户”页面,可以查看到本地认证的在线用户。
如图17所示,认证用户访问IM软件及社区网站有产生相应的审计日志信息。
如图18所示,在测试平台上查看字段解析正常。
如图19所示,某公司内网办公网段IP地址90.1.1.0/24,其中90.1.1.1/24作为内网用户的网关。使用设备的ge1-0和ge1-1接口作为透明桥,串接部署在网络中,设备上联出口FW,下联二层交换机设备;并在AC设备上开启AAA认证功能,AC设备只跑路由模式不做NAT,认证服务器为第三方服务器,第三方服务器将用户上下线日志信息直接发给设备(注:设备不参与认证时,所有的用户信息需要设备与第三方认证服务器通过特定接口对接实现,如泰联和IMC服务器是通过udp9999端口将用户上下线信息发送至设备)。设备上开启审计和无线非经功能。具体应用需求如下:
· 设备上可以接收到第三方服务器发过来的用户上下线信息。
· 内网用户访问外网的流量通过设备处理上报至网博平台。
· 网络基础配置,配置网桥、路由、DNS等信息。
· 升级特征库。
· 配置审计策略。
· 配置无线非经功能,添加厂商、场所、AP和上报周期等信息。
本举例是在R6612版本上进行配置和验证的。
(1) 配置网桥接口及地址
如图20所示,进入“网络配置>接口配置>网桥接口”页面,点击<新建>添加网桥,将需要的接口添加至网桥中,并配置网桥接口的IPv4地址配置。
(2) 添加静态路由
如图21所示,进入“网络配置>路由管理>静态路由”页面,点击<新建>添加一条缺省路由。
(3) 配置DNS服务器
如图22所示,进入“网络配置>基础网络>DNS服务>DNS服务器”页面,勾选“启用DNS全局代理”,并配置DNS服务器地址,使其设备能够进行域名解析。
图22 配置DNS服务器
(1) 升级license
如图23所示,进入“系统管理>系统维护>授权管理”页面,点击<导入许可证>,将license文件信息复制到license栏点并击提交。
(2) 升级特征库
如图24所示,进入“系统管理>系统维护>系统升级”页面,升级应用控制特征库,如果网络较好,可以直接联网点击立即升级,如果网络状况较差,可以将特征库文件下载到本地,进行本地导入升级。
(1) 添加应用审计策略
如图25所示,进入“策略配置>审计策略”页面,点击<新建>审计策略,审计对象全选,点击提交。
图25 配置审计策略
(1) 添加厂商配置
如图26所示,进入“系统管理>系统设定>无线非经>厂商配置”页面,对接厂商选择<网博>,其它信息根据要求进行配置,提交配置。
(2) 添加场所配置
如图27所示,进入“系统管理>系统设定>无线非经>厂商配置>场所配置”页面,点击<添加场所>,将场所信息根据要求进行配置,提交配置。
(3) 添加AP配置
如图28所示,进入“系统管理>系统设定>无线非经>场所配置”页面,勾选对应场所,并点击<添加AP>,将AP信息根据要求进行配置,提交配置。
图28 添加AP配置
(4) 添加上报周期
如图29所示,进入“系统管理>系统设定>无线非经>厂商配置>上报周期设置”页面,点击<新建>,根据上报平台的要求配置上报周期,提交配置。
(5) 添加应用关系对照表
如图30所示,进入“系统管理>系统设定>无线非经>应用关系对照表”页面,点击<新建>,选择对应厂商及应用名称,并填上对照关系ID,提交配置。
· 第三方服务器与设备必须能够连通,否则设备无法收取到第三方服务器发送的用户认证上下线信息。
· 设备必须配置DNS和路由,特征库才能在线升级。
· 非经版本只记录认证用户上网产生的数据,匿名用户数据不记录。
· 对应厂商的应用关系对照表需要进行配置,如果没有,则对应的应用产生的审计数据不进行入库处理。
如图31所示,第三方服务器可以向设备发送用户认证上下线日志信息
如图32所示,认证用户访问外网的流量经过设备,设备可以对流量进行识别并审计。
如图33所示,在FTP服务器上可以查看到非经日志上报正常,且字段获取数据正常。
如图34所示,某公司内网无线办公网段IP地址10.0.163.0/24,其中网关为10.0.163.1。内网用户访问外网开启AAA认证功能,并将认证及上网流量通过旁路镜像方式镜像至设备上,设备上开启审计和无线非经功能。具体应用需求如下:
· AAA认证交互报文镜像至设备,设备可以监听到用户认证上下线信息。
· 内网用户访问外网的流量镜像至设备,设备处理完数据上报至任子行平台。
· 网络基础配置,配置旁路接口、路由、DNS等信息。
· 升级特征库。
· 配置审计策略。
· 配置无线非经功能,添加厂商、场所、AP和上报周期等信息。
本举例是在R6612版本上进行配置和验证的。
(1) 配置旁路接口
如图35所示,进入“网络配置>基础网络>部署方式>旁路部署”页面,启用对应的物理接口为旁路口。
(2) 添加静态路由
如图36所示,进入“网络配置>路由管理>静态路由”页面,点击<新建>添加一条缺省路由。
(3) 配置DNS服务器
如图37所示,进入“网络配置>基础网络>DNS服务>DNS服务器”页面,勾选“启用DNS全局代理”,并配置DNS服务器地址,使其设备能够进行域名解析。
图37 配置DNS服务器
(1) 升级license
如图38所示,进入“系统管理>系统维护>授权管理”页面,点击<导入许可证>,将license文件信息复制到license栏点并击提交。
(2) 升级特征库
如图39所示,进入“系统管理>系统维护>系统升级”页面,升级应用控制特征库,如果网络较好,可以直接联网点击立即升级,如果网络状况较差,可以将特征库文件下载到本地,进行本地导入升级。
(1) 添加审计策略
如图40所示,进入“策略配置>审计策略”页面,点击<新建>审计策略,审计对象全选,点击提交。
图40 配置审计策略
(1) 添加厂商配置
如图41所示,进入“系统管理>系统设定>无线非经>厂商配置”页面,对接厂商选择<任子行>,其它信息根据要求进行配置,提交配置。
(2) 添加场所配置
如图42所示,进入“系统管理>系统设定>无线非经>厂商配置>场所配置”页面,点击<添加场所>,将场所信息根据要求进行配置,提交配置。
(3) 添加AP配置
如图43所示,进入“系统管理>系统设定>无线非经>场所配置”页面,勾选对应场所,并点击<添加AP>,将AP信息根据要求进行配置,提交配置。
图43 添加AP配置
(4) 添加上报周期
如图44所示,进入“系统管理>系统设定>无线非经>厂商配置>上报周期设置”页面,点击<新建>,根据上报平台的要求配置上报周期,提交配置。
(5) 添加应用关系对照表
如图45所示,进入“系统管理>系统设定>无线非经>应用关系对照表”页面,点击<新建>,选择对应厂商及应用名称,并填上对照关系ID,提交配置。
· 用户认证上下线信息报文必须镜像到设备上。
· 设备必须配置DNS和路由,特征库才能在线升级。
· 上网流量必须双向镜像至设备上,镜像一个方向的流量至设备,可能会导致部分应用识别不完全,无法审计到需要的信息。
· 对应厂商的应用关系对照表需要进行配置,如果没有,则对应的应用产生的审计数据不进行入库处理。
如图46所示,通过将Radius报文镜像至设备上,设备可以获取到认证用户的上下线信息。
如图47所示,认证用户访问外网的流量能够被识别并审计。
如图48所示,在设备串口上可以通过命令display wireless-count查看上报统计计数,FTP服务器上可以查看到非经日志上报正常。
日志上报原则是根据不同厂商的要求,组织对应的字段进行上报,上报方式也按厂商要求进行上报。
不同厂商日志上报传输方式及生成日志类型如下所示:
对接平台 |
日志上报传输方式 |
日志上报类型 |
任子行 |
通过ftp方式传输 |
7类,分别为CSZL\SBZL\FJGJ\RZSJ\SJRZ\XWRZ\PTNR 其中CSZL\SBZL是通过页面配置场所资料和AP配置进行上报的,其它日志是通过入库的数据表中获取相关字段进行上报 |
派博 |
通过tcp、udp方式传输 |
3类,tcp18590传输用户上下线日志(包括认用户和虚拟用户) udp19590传输上网日志 |
网博 |
通过ftp方式传输 |
8类,分别为上下线日志\虚拟身份日志\上网日志\网站访问日志\厂商日志\场所资料日志\场所状态日志\设备资料日志,其中厂商日志,场所资料日志,场所状态日志,设备资料日志是通过页面配置进行上报的,其它日志是通过入库的数据表中获取相关字段进行上报 |
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!