- 產品與解決方案
- 行業解決方案
- 服務
- 支持
- 合作夥伴
- 關於我們
17-部署方式
本章節下載: 17-部署方式 (371.38 KB)
目 錄
通過菜單“網絡管理 > 基礎網絡 > 部署方式”,進入如圖1-1所示頁麵。各個配置項的含義如表1-1所示。
啟用接口旁路部署方式隻對報文進行監聽,不進行轉發。
|
標題項 |
說明 |
|
接口名稱 |
當前係統所有的接口名稱。 |
|
狀態 |
當前係統部署狀態,綠色對號圖標為該接口是旁路口。 |
|
啟用 |
勾選接口啟用,代表該接口啟用旁路口。 |
設備旁路部署時支持認證和阻斷功能。旁路模式並不替換用戶的路由器,也不提供任何NAT、DHCP或者DNS服務。通常部署在交換機旁邊,通過鏡像的方式,僅僅提供認證和阻斷的功能。旁路模式不修改網絡結構,不關心網絡細節,關機也不掉線。
適用一些密度高度集中的場所,如大型展會,大型推銷活動,演唱會,火車站或者運動會等。
· 對於沒有認證的用戶發送http 302報文重定向。
· 控製策略為拒絕時,對匹配到安全策略的TCP報文發送reset報文,阻止用戶訪問網絡。
通過菜單“網絡管理 > 基礎網絡 > 部署方式 > 高級配置”,進入如圖1-2所示頁麵。在該頁麵上可以配置旁路認證和阻斷相關功能。各個配置項含義如表1-2所示。
|
標題項 |
說明 |
|
旁路阻斷 |
旁路阻斷開關,開啟旁路阻斷配合IPV4控製實現旁路阻斷功能,默認為關閉。 |
|
旁路認證 |
旁路認證開關,開啟旁路認證配合用戶認證實現旁路認證功能,默認為關閉。 |
如圖1-3所示,某企業對內網用戶50.1.1.3-100/24工作時間都將進行用戶認證和內網用戶和50.1.1.101-254/24工作時間都進行行為控製,不提供任何NAT,DHCP或者DNS服務。部署在交換機旁邊,通過鏡像的方式,僅僅提供認證和阻斷的功能。旁路模式不修改網絡結構,不關心網絡細節,關機也不掉線,不會影響企業內部網絡。
· 配置設備接口地址。
· 配置設備旁路部署。
· 配置設備旁路認證。
· 配置設備旁路阻斷。
· 配置用戶識別範圍。
· 配置用戶認證策略。
· 配置IPv4控製策略。
(1) 配置接口地址
如圖1-4所示,進入“網絡配置 > 接口配置 > 物理接口”,點擊ge6<編輯>按鈕,配置ge6的IP地址為50.1.1.2/24。
(2) 配置部署方式
如圖1-5所示,進入“網絡管理 > 基礎網絡 > 部署方式”,配置勾選ge8口啟用。
圖1-5 配置部署方式
(3) 配置旁路認證和阻斷
如圖1-6所示,進入“網絡管理 > 基礎網絡 > 部署方式 > 高級配置”,配置旁路認證和旁路阻斷。
圖1-6 配置旁路認證和旁路阻斷
(4) 配置內網用戶地址對象
如圖1-7所示,進入“策略配置 > 對象管理 > 地址對象 > IPv4地址對象”,點擊<新建>按鈕創建內用戶地址對象50.1.1.0/24、50.1.1.3和50.1.1.101,點擊<提交>。
(5) 配置用戶識別範圍
如圖1-8所示,進入“用戶管理 > 認證管理 > 高級選項 > 全局配置”頁麵,識別範圍選擇“50.1.1.0”,其它配置默認,提交配置。
(6) 配置用戶認證策略
如圖1-9所示,進入“用戶管理 > 認證管理 > 認證策略”,新建一條認證方式為本地認證的認證策略,源地址選擇50.1.1.3,其它配置默認,<提交>策略。
(7) 配置控製策略
如圖1-10所示,進入“策略配置 > 控製策略”,源地址選擇50.1.1.101,行為選擇拒絕,其它配置默認,<提交>策略。
· 用戶認證策略和IPv4策略的源接口以及目的接口必須配置接收鏡像流量的旁路部署接口或者是any。
· 旁路認證和阻斷務必保證旁路設備到上網PC可達,否則功能無法使用。
· 旁路阻斷隻針對於TCP報文生效,對於UDP、ICMP等報文無法進行阻斷。
如圖1-11所示, 內網用戶(50.1.1.3)訪問外網需要進行本地認證,本地認證成功後,訪問外網成功。
如圖1-12所示,內網用戶(50.1.1.101)訪問外網資源會被阻斷。
不同款型規格的資料略有差異, 詳細信息請向具體銷售和400谘詢。H3C保留在沒有任何通知或提示的情況下對資料內容進行修改的權利!
支持
