准入网关部署操作指引.docx

准入网关部署操作指引准入网关部署操作指引一、桌面管理系统服务器更新注意：注意：先备份先备份 C:\VRV\VRVEIS\VRVAuthorizeFile\VRVAuthorizeFile.xmlC:\VRV\VRVEIS\VRVAuthorizeFile\VRVAuthorizeFile.xml 和和 C:\VRV\RegionManage\edpLicense2.data,C:\VRV\RegionManage\edpLicense2.data,再替换临时序列号再替换临时序列号1. ChangeCiphertextFile.xml 替换到 C:\VRV\VRVEIS\VRVAuthorizeFil 目录下，把原 VRVAuthorizeFile.xmlVRVAuthorizeFile.xml 文件删文件删 除 注意：VRVAuthorizeFile 目录下只能有一个 xml 文件2. edpLicense2.data 替换到区域 C:\VRV\RegionManage3. 替换后把区域管理器退出，重启区域管理器，检查区域管理器标题上的点数 是否为 10000U4. 重启 IIS 服务二、桌面管理系统客户端更新将新的 DeviceRegist.exe 替换到服务器目录下：C:\VRV\VRVEIS\download目录下，在页面重新打包注册程序。

登录北信源内网安全管理及补丁分发系统：输入登录 IP，例如：http://192.168.229.141/VRVEIS/Login.aspx，输入用户名、密码详细安装说明请参考内网安全管理系统使用手册，此处不再说明服务器安装过程） 注意：在策略中心停掉注意：在策略中心停掉 IP/MACIP/MAC 绑定策略、硬件设备控制策略、普通文件分绑定策略、硬件设备控制策略、普通文件分发策略、协议防火墙策略，之后再对终端进行更新发策略、协议防火墙策略，之后再对终端进行更新客户端更新：在策略中心找到软件分发策略，将 UPagent.exe 上传，选择需要分配的 IP 段，之后启动策略三、桌面管理系统策略配置3.1 网关接入认证配置：进入策略中心模块中—安全准入管理--点击网关接入认证配置，在右面的界面中点击创建新规则，填写完成后，点击保存配置网关接入配置：进入策略中心-安全准入管理--网关接入认证：在右面窗体中，输入策略名并点击创建新策略：在新的界面中填写信息，然后点击应用保存：将接入网关 IP 添加到列表，终端认证方式中选择“终端特征认证” ，认证周期包发送周期可根据实际情况设置，建议默认设置为 1-3 分钟。

点击对象，为该条策略分配对象，在界面中填写 NAC 网关要管理的 IP 范围：配置完成后保存，并启用该策略虚拟隔离策略配置：虚拟隔离策略配置：保存策略后分配对像执行终端安全检查策略配置：终端安全检查策略配置：保存策略后分配对像执行四、准入网关上架安装1.设备面板：2.旁路监听部署：将 VRV-BMG 旁路部署在核心交换机，通过在交换机配置基于端口、VLAN 或者 ACL 的镜像，可以实现不同范围的准入控制：Core SwitchFWVRV-BMG内网区域内网区域业务边界业务边界Access SwitchAccess SwitchAccess SwitchEth0MGT说明：说明：Eth0 连接交换机的镜像口监听数据，MGT 作为干扰和管理接口与核心交换机相连建议配置上行镜像以减轻设备处理压力3、常见交换机开启端口镜像配置CiscoCisco 交换机配置交换机配置 1、镜像口配置 Switch>enable Switch#conf t Step3: 配置镜像源，可以是端口也可以是 Vlan，本次将端口 2 到端口 5 设置 设置成镜像源端口： Switch(config)#monitor session 1 source interface gigabitEthernet 0/2 - 5 rx上面命令最后一个参数:both 监听双向数据,默认为 bothrx 接收 tx 发 送Step4: 配置镜像目的端口 Switch(config)#monitor session 1 destination interface gigabitEthernet 0/6 Switch(config)#exit Switch#wr tep7:查看配置结果 Switch#show monitorSession 1---------Type : Local SessionSource Ports : RX Only : Gi0/2- 5Destination Ports : Gi0/6 Encapsulation : Native Ingress : Disabled Both 监听双向数据 RX Only 监听接收 Tx Only 监听发送2、删除镜像端口(非必须配置)Switch#conf tSwitch(config)#no monitor session 1Switch(config)#end Switch#wr Switch#show monitor No SPAN configuration is present in the system.H3CH3C 交换机配置交换机配置S3026 等交换机 S2008/S2016/S2026/S2403H/S3026 等交换机支持的都是基于端口的镜像，有两种方法：方法一 [SwitchA]monitor-port e0/8 // 配置镜像端口[SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 // 配置被镜像端口方法二 [SwitchA]port mirror Ethernet 0/1 to Ethernet 0/2 observing-port Ethernet 0/8 //可以一次性定义镜像和被镜像端口S3100/S3600/S6500/S7500 交换机镜像源端口为 gigabitethernet 1/0/1，对端口接收和发送的报文都进行镜像，镜像目的端口为 gigabitethernet 1/0/4配置 1：[h3c] system-view[h3c] mirroring-group 1 local[h3c] interface gigabitethernet 1/0/4[h3c-gigabitethernet1/0/4] mirroring-group 1 monitor-port[h3c-gigabitethernet1/0/4] quit[h3c] interface gigabitethernet 1/0/1[h3c-gigabitethernet1/0/1] mirroring-group 1 mirroring-port both[h3c-gigabitethernet1/0/1] quit[h3c]save配置 2：[h3c] system-view[h3c] mirroring-group 1 local[h3c] mirroring-group 1 monitor-port gigabitethernet 1/0/4[h3c] mirroring-group 1 mirroring-port gigabitethernet 1/0/1 both[h3c] save五、五、准入网关初始化配置准入网关初始化配置网关的 MGT 口 IP 地址为 192.168.2.88；将电脑 IP 地址修改为192.168.2.X；子网掩码默认即可，用直连线将电脑与网关的 MGT 口连接，ping 192.168.2.88。

确保网络连接正常；打开 IE 访问 http://192.168.2.88 进行登录，默认用户：admin,密码：admin如下图：1．．准入网关版本升级准入网关版本升级1.1 先升级网关补丁更新文件 NACGateway_snmp_sys_patch.tgz点浏览—选择 NACGateway_snmp_sys_patch.tgz 存放路径，点更新1.2 网关版本升级，NACGateway_update_v3.5.5.tgz 选择网关 v3.5.5.tgz 版本，点升级，升级完成后，重启网关2．．快速部署网关快速部署网关 2.1 给网关分配给网关分配 IP 地址地址打开 IE 访问 http://192.168.2.88 进行登录，默认用户：admin,密码：admin如下图：打开系统设置打开系统设置—网络设置网络设置—输入输入 IP、子网掩码和通信网关、子网掩码和通信网关 IP，点设置，点设置—保保 存配置：存配置：将网关上架，核心交换机的镜像口连接准入网关的将网关上架，核心交换机的镜像口连接准入网关的 eth0 口，网关的口，网关的 MGT 口连接核心交换机的预留网口，接入内网通信。

口连接核心交换机的预留网口，接入内网通信2.2 准入网关快速初始化准入网关快速初始化使用内网的计算机，访问 https://准入网关 IP通过 WEB 登录到设备的管理平台，点击右上角的按钮，进入快速配置向导，首先系统会进入配置向导欢迎页：点击“下一步” ，进入配置向导网络配置页：按照提示设置好 IP 地址后，获取网关 MAC 地址，点击“下一步”进入访客配置页：按照提示说明对访客参数进行设置，您可以手动登陆 http://ip：8080/ guest_login.php验证设置的参数内容是否正确设置完成后，点击“下一步”进入注册配置页注册配置是与内网安全管理服务器（EDP 服务器）联动时必须配置的选项，如果采用无客户端部署模式可以不需配置，需要注意的是 EDP 服务器端口默认为 6800,如果配置为非 6800，可能会导致无法正常通讯，在点击“下一步”之前，最好点击“EDP 服务器检测”按钮检测一下能否和 EDP 服务器正常通信联动 IP 范围可以根据客户端实际注册的 IP 范围进行填写，配置完成后点击“下一步”进入认证配置页面准入网关使用“本地认证”方式，设置完成后点击“下一步”进入网络准入配置页面。

网络准入参数需要根据使用时的实际部署情况进行配置，如果采用的是旁路监听的部署模式，则在准入方式一栏选择“旁路监听” ，并且选择镜像口为 eth0（默认，视部署时与交换机镜像对接的网口而定） ，内网 IP 范围选择实际控制范围以过滤无关数据，干扰口选择 MGT（默认，视实际使用接口而定） 配置准入策略：配置准入策略：您可以点击“添加”按钮添加相应的准入策略，策略自上而下进行匹配，策略内容包括策略名称（可随意定义） ，源 IP 地址，请根据提示进行添加，目的域，只有匹配以上所有内容，才会执行准入流程如果系统没有目的域，可点击“添加目的域”进行配置，如下图：目的域包含名称（可随意定义） ，地址（根据提示填写） 、端口以及目录点击下一步后，进入完成页，完成准入网关的基本配置六、策略结果验证未注册终端访问网页时会出现被重定向页面，提示用户需要下载安装客 户端：七、常见问题处理及调试方法。