- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
11-DDI设备联动典型配置举例
本章节下载: 11-DDI设备联动典型配置举例 (504.32 KB)
本文档介绍设备与DDI设备联动功能配置举例。设备主要是以用户为中心,展开对用户一系列上网行为的管理和控制,随着网络硬件的不断发展,越来越多的员工、客户使用自己的硬件终端去办公,个人硬件的携带通常是会通过WIFI网络接入,这种网络基本都是DHCP获取地址。DHCP服务器可以最先且最准确的获取到终端相关系统信息。
本功能主要是通过对接DDI设备,提前获取到终端相关信息,并完成相关策略的引用,从而更好的实现上网行为管理和控制的解决方案。
本文档中的配置均是在实验室环境下进行的配置和验证,配置前设备的所有参数均采用出厂时的缺省配置。如果您已经对设备进行了配置,为了保证配置效果,请确认现有配置和以下举例中的配置不冲突。
本文档假设您已了解与DDI设备联动功能的特性。
如图1所示,某企业对内网用户192.168.2.3~200/24进行控制,只允许终端类型为Microsoft Windows 10的终端进行上网,其它所有终端类型不允许上网,且对能够外网访问的这些终端进行审计和流量控制,终端用户是通过DDI服务器动态获取IP地址的,同时DDI服务器能够获取到用户终端的终端类型并将消息自动上报给Device设备。
图1 DDI设备联动组网
· 配置设备接口地址。
· 开启ddi终端用户功能。
· 配置控制策略。
· 配置审计策略。
· 配置流量控制策略。
本举例是在R6614版本上进行配置和验证的。
(1) 配置接口地址
如图2所示,进入“网络配置>接口配置>物理接口”,点击ge1<编辑>按钮,配置ge1的IP地址为192.168.2.1/24。
(2) 开启ddi终端用户功能
如图3所示,进入“用户管理>认证管理>高级选项>第三方用户同步>其它用户同步”,配置勾选ddi终端用户启用。
图3 配置开启ddi终端用户功能
(3) 配置控制策略
如图4所示,进入“策略配置>控制策略”,配置控制策略。
图4 配置两条控制策略,一条允许终端型号Microsoft_Windows_10,另一条拒绝所有。
(4) 配置审计策略
如图5示,进入“策略配置>审计策略”页面,配置审计策略,对终端型号Microsoft_Windows_10进行审计。
(5) 配置流量控制策略
如图6所示,进入“策略配置>流量控制策略”,配置对终端型号Microsoft_Windows_10进行流量控制。
(6) 配置控制策略
如图7所示,进入“策略配置>控制策略”,源地址选择50.1.1.101,行为选择拒绝,其它配置默认,<提交>策略。
· 此功能依赖于第三方DDI服务器,需要服务器将终端型号信息同步给设备。
· 此功能默认关闭,可通过命令行或者页面开启,如果未开启ddi终端用户开关,控制策略、审计策略、流量控制策略中的终端配置即使配置后也不会进行匹配,与终端类型配置为any效果一致,同时此功能只对同步过来的IP地址、终端型号和老化时间进行关联进行显示和相关策略的匹配,DDI消息报文中的其它字段暂不关注。
如图8所示,内网用户终端类型为Microsoft_Windows_10的终端可以正常访问外网需,其它类型终端无法访问。
图8 内网用户终端类型为Microsoft_Windows_10的终端可以正常上网
如图9所示,内网用户其它终端类型访问外网资源会被阻断。
如图10所示,内网用户终端类型为Microsoft_Windows_10的终端可以正常产生审计日志。
图10 内网用户终端类型为Microsoft_Windows_10的终端产生的审计日志
如图10所示,通过测速网站进行测速,内网用户终端类型为Microsoft_Windows_10的终端流量限速为10Mbps。
图11 内网用户终端类型为Microsoft_Windows_10的终端进行测速
不同款型规格的资料略有差异, 详细信息请向具体销售和400咨询。H3C保留在没有任何通知或提示的情况下对资料内容进行修改的权利!
支持
售前咨询
售后咨询
人工在线咨询
