1、解决方案安全局域网开局配置指导书目 录1 概述 .42 配置组网图 .43 安全局域网配置过程 .63.1 管理设备的登录 .63.2 WiNet的设置 .73.3 安全局域网部署 .103.3.1 认证用户配置 .103.3.2 安全布防 .133.3.3 用户认证 .141 概述该方案适合小规模网络的管理,无需专业网络管理人员的场景,可以使用图形化的简易部署方式,用户无需客户端。网络可以包含接入层、汇聚层交换机+出口路由器或者仅包含接入、汇聚交换机的结构。主要完成以下功能:1)设置门卫用于防止非法接入2)设置身份鉴别中心用于核实身份3)识别检查每一次网络接入访问行为4)合法的用户授予相应的
2、权限其中管理设备用作管理整个网络,管理成员设备、部署radius服务、配置认证用户以及授权信息;成员设备用于部署端口布防。2 配置组网图组网是典型的园区网络,三层结构,网关,汇聚层和接入层;网关的可选设备包括:MSR30-16/11和MSR20-20路由器;汇聚层交换机的可选设备包括:S5500EI和S5500SI设备;接入层交换机为S5120SI设备。包括三种典型组网:1) 网关(MSR )做管理设备,管理员通过 WEB登录网关设备开启认证中心,接入设备(5120 SI)做成员设备部署端口布防;ServerInternetInternet5500SI/EIMSR5120 5120图 1 组网
3、部署 12) 汇聚交换机(5500EI/SI)做管理设备,管理员通过WEB登录汇聚交换机开启认证中心,接入设备(5120 SI)做成员设备部署端口布防;ServerInternet5500EI/SIMSR5120 5120图 2 组网部署 23) 管理设备为汇聚交换机(5500EI/SI),认证中心和 Radius client都在管理设备上。ServerInternet5500EI/SI图 3 组网部署 33 安全局域网配置过程3.1 管理设备的登录首先在管理交换机上配置local-user adminpassword simple adminauthorization-attribute
4、level 3service-type telnet在管理vlan下配置三层接口interface Vlan-interface1ip address 3.3.3.16 255.255.255.0管理PC 上配置地址,可路由到管理设备的管理地址,使用IE进行HTTP登录。http:/3.3.3.16;注意以下事项:a) 如果使用MSR作为管理设备,管理 员请从交换口上登 录。b) 注意请保证管理员从管理vlan内登录。此时IE弹出登录界面,输入用户名和密码进入Web界面3.2 WiNet 的设置WiNet的设置:1、登录到管理设备的WEB界面后,点击界面左侧导航条中的WiNet,显示如下:2、
5、点击“设置”页签,进行WiNet的配置:配置WiNet的名称;配置管理VLAN:WiNet内部协议报文使用的VLAN; 配置地址池和地址池掩码:WiNet功能内部使用的私网IP地址,注意掩码配置要保证地址空间足够大。配置好上述三项后,点击启动WiNet。点击页签“WiNet管理”,出现拓扑图。因为是新的拓扑图,所以链路显示都是新增链路。注意:现在设备支持管理VLAN的同步功能,并且成 员设备的WINET口在设备收到集群报文后会自动被配置为hybrid口允许管理vlan tag通过(若初始配置为 trunk口则不会被改变端口属性),但是管理设备的WINET口不会改变配置需要手工配置允 许管理vl
6、an通过。因此倘若要改变管理vlan,请保证管理员是在管理 vlan内登录,同时保证链 路之 间在管理vlan内可达。3、点击下部的“快照”按钮,将当前的拓扑变成标准拓扑。4、在设置里设置背景图片:点击上传背景,在上传背景的过程中不要做其他操作:如果对上传的背景图不满意,可以在设置里点击清除背景。拓扑刷新、收集:可以点击“手动刷新”按钮,对当前的拓扑进行刷新。也可以从下拉菜单里选择自动刷新。可以点击“拓扑收集”按钮,进行手工拓扑收集。3.3 安全局域网部署3.3.1 认证用户配置点击用户管理,新建用户。其中可以配置授权vlan、授权acl 、过期时间以及备注信息,其中过期的用户无法上线成功,但是已经上线成功的用户到了过期时间不会下线,系统只在上线时刻做检查。总共能配置512个用户。注意:授权的acl需要在成员设备上配置,否则会下发不成功导致认证失败。(后面介绍如何登录成员设备)可以按用户名查找用户,也可以点击高级查找,以多种方式查找用户:在成员设备上配置acl需要登录成员设备:选中成员设备,此时界面下方会显示出成员设备面板,点击管理设备按钮。
