华为AgileController配置手册园区版.doc

.产品名称密级Agile Controller-Campus秘密产品版本共55页V100R002C00Agile Controller-CampusV100R002C00 配置手册(仅供部使用)拟制:汪敦全、丁凌风、蒲俊杰日期：2021-4-2审核:日期：审核:日期：批准:日期：华为技术所有侵权必究日期修订版本描述作者2021-04-021.0初稿2021-05-201.13.2和4.6章节中增加终端平安和USB管控的License；产品更名调整汪敦全2021-07-031.1丁凌风2021-11-231.2在2.2和4.2章节增加E9000刀片效劳器的配置说明汪敦全2021 -5-82.0增加Agile Controller-Campus V100R002的配置说明汪敦全目录1Agile Controller-Campus V100R002C00总体介绍31.1系统网络逻辑构造及接口关系3效劳器网络实体组成3平安协防组件网络实体组成31.2组网方式和配置原那么介绍3效劳器的组网和配置原那么3准入控制的组网和配置原那么3硬件SACG准入控制的组网和配置原那么32产品根本配置说明32.1系统配置简介32.2SM&SC组件的效劳器和客户端配置说明3效劳器配置3客户端配置3效劳器软硬件配置说明31.单效劳器方案配置说明32.效劳器备份方案配置说明33.数据库镜像方案配置说明32.3平安协防组件设备配置说明33报价项配置说明33.1配置概述33.2Agile Controller-Campus 软件报价说明3接入控制报价项3访客管理报价项3业务随行报价项3业务编排报价项33.3平安协防软件报价说明3报价项3报价项33.4SM&SC组件的业务整机报价项说明33.5平安协防组件的业务整机效劳器报价项说明33.6配套设备报价项说明33.7存储设备报价项说明34产品配置说明34.1产品配置清单和配置说明34.2业务整机的配置说明34.3存储配置说明34.4组件｜-Agile Controller-软件34.5组件｜License配置说明3包配置说明3报价项配置说明3接入控制效劳License配置说明3访客管理特性License配置说明3业务随行特性License配置说明3业务编排特性License配置说明3平安协防特性License配置说明3定制开发License配置说明34.6外部成套电缆配置说明35资料配置说明36局部配件说明36.1市场建议36.2用户自备硬件说明36.3合同预审要求37扩容和升级改造方法与配置说明37.1扩容方法与配置说明3扩容的方法与原那么3扩容设备的清单3可扩容局部的说明3扩容所涉及的机柜、母板插框、单板等的配置原那么3扩容中需特别注意的问题37.2升级改造方法与配置说明3升级改造方法3升级设备的清单3可升级局部的说明3更换部件本卷须知38其它配置说明38.1附录I：缩略语清单3表目录表1 集中组网推荐配置表3表2 分布式组网分支机构推荐配置表3表3 AnyOffice客户端的运行环境3图目录图1 Agile Controller-Campus系统网络实体组成3图2 单效劳器集中组网方案3图3 双效劳器集中组网方案3图4 三效劳器集中组网方案3图5 业务控制器分布式组网方案3图6 在接入层交换机上实施802.1X3图7 在会聚层交换机上实施802.1X3图8 SACG直挂路由模式部署方案3图9 SACG侧挂路由模式部署方案3图10 SACG透明/混合模式部署方案3图11 SACG侧挂侧挂核心交换机示意图3 Agile Controller-Campus V100R002C00配置手册关键词：准入控制、补丁管理、软件分发、平安接入控制网关、 WEB认证客户端。

摘要：本文描述了Agile Controller-Campus V100R002C00的构造、配置、组网等容，对Agile Controller 系统的销售、部署具有指导作用文档管理：本文档由Agile Controller-Campus V100R002C00 团队编写和修订，研发、电信设计〔投标办〕、成套、技术支援等部门共同参与审核，在试验局申请阶段提供第一稿，每季度至少更新一次本文档纳入配置管理，经相关部门评审通过后在文档中心归档，同时通过市场技术资料平台3MS.HUAWEI 数据库进展发布，相关部门的资料接收人应做好工作，不得随意扩散文档使用：本文档属于公司部使用的资料，不可直接传给局方和落入竞争对手手中，否那么，要追究相关部门和人员的责任〔警告、罚款、降薪、劝退〕优选. -1 Agile Controller-Campus V100R002C00总体介绍华为Agile Controller-Campus作为企业园区的控制器，实现整个园区网络全网策略控制，同时实现网络的协同整体防护。

提供统一的策略引擎，在整个组织实施统一访问策略，实现基于用户、设备类型、接入时间、接入地点、接入方式多维度的认证和授权，满足企业接入认证多层次、泛终端接入的需求同时系统提供全生命流程的访客管理，给访客提供一个随时随地上网的空间，提高访客工作效率，提升企业品牌形象，降低IT运维的压力华为Agile Controller-Campus包括接入认证、访客管理、业务随行、业务编排、平安协防组件构成其中平安协防为独立组件，在界面进展SSO集成，在系统部署配置原那么上存在差异，该组件单独进展描述在V100R002版本中，平安协防组件不再发货1.1 系统网络逻辑构造及接口关系1.1.1 Agile Controller-Campus效劳器网络实体组成图1 Agile Controller-Campus系统网络实体组成Controller支持集中部署和分布式部署，集中部署可将SM/SC部署在单台效劳器同时支持多个SC分布式部署n SM：Service Manager (业务管理器)负责对Agile Controller-Campus的业务配置管理以及对业务控制器进展管理采用B/S架构，系统管理员通过WEB管理界面可以完成终端用户管理、策略配置等业务管理工作。

作为业务业务管理器，SM将管理其下的各个业务业务控制器SC向已经连接的节点发送实时指令，完成各种业务n SC：Service Controller (业务控制器)负责接入认证以及设备配置管理，分为RadiusServer、PortalServer、AuthsServer 、NetworkServer组件RadiusServer：提供标准的Radius效劳，整个组织实施统一访问策略,实现基于用户、设备类型、接入时间、接入地点、接入方式等多种维度的认证和授权PortalServer：提供标准的Portal认证效劳，提供WEB认证页面，跟接入设备进展Portal协议对接AuthsServer：提供根本认证效劳平台〔提供根本的SACG接入控制以及终端升级等功能〕NetworkServer：提供网络设备配置功能，在业务随行、业务编排功能中，通过NetwokServer完成设备业务配置，支持XMPP、Telnet、SNMP协议1.1.2 Agile Controller-Campus平安协防组件网络实体组成【V100R002版本不再提供】平安协防组件在界面以SSO方式集成到Agile Controller-Campus中, 平安协防组件包括SecView、iRadar、关联分析机、日志采集机。

1.2 组网方式和配置原那么介绍1.2.1 Controller效劳器的组网和配置原那么1. 单效劳器集中组网方案图2 单效劳器集中组网方案1〕组网方式：说明：使用一台效劳器，安装全部软件模块，包括数据库，业务管理器以及业务控制器，适合较小型网络，以及不需要数据库备份的局点效劳器数量：1台效劳器1安装组件：数据库，业务管理器SM，业务控制器SC2〕选择该方案，需要满足如下条件：l 终端数量：建议单效劳器集中组网时，被管理终端的数量小于2000当终端数量大于2000终端时，网络的规模已经比较大，对可靠性的要求会更高，虽然一个业务控制器SC能够管理1万终端，但是从可靠性的角度考虑，不推荐使用该方案l 网络环境：A〕适用于网络相对集中，网络之间的带宽比较大的网络，例如典型的园区网B〕适用于小型多分支机构的网络，并且分支机构到总部之间的带宽比较小，典型的如金融行业的网络，分支机构到总部的带宽是2Mbps能够容忍因为分支机构到总部链路故障，导致无法提供有效的准入控制访问小型多分支机构的定义：分支机构到总部的带宽=2Mbps，分支机构的终端数量<=100分支机构到总部的带宽=10Mbps，分支机构的终端数量<=500评估模型：需要计算终端对带宽的需求，需要保证在一般情况下〔包括认证阶段，以及平时的业务阶段对带宽的占用率<1%，认证阶段<5%〕假设分支机构到总部的带宽=2Mbps5%的带宽=2000Kbps*5%=100Kbps1%待带宽=2000Kbps*1%=20Kbps查询下表的数据，400终端可以满足认证阶段对带宽的需求。

下表中的数据可以用于评估分支机构到总部的流量，以判断Agile Controller 系统对分支构造到总部之间网络带宽的影响，进而判断是否适合采用集中式部署l 该方案的优点和局限性：单效劳器集中组网方案，由于只有一台效劳器，只能安装一个数据库，无法提供数据库热备功能，当数据库发生故障的时候，会影响如下业务：A〕管理员无法通过操作界面管理相关业务；B〕业务控制器SC不重启的情况下，即使数据库暂时无法工作，提供根本的准入控制业务依然可以工作〔即已有用户可以正常认证〕；C〕当业务控制器SC重启的情况下，业务控制器SC无法提供任何效劳；单效劳器集中组网方案，由于只有一台效劳器，只能部署一个业务控制器SC，无法提供业务控制器失效转移功能，当业务控制器SC发生故障的时候，无法提供终端的身份认证和准入控制等根本效劳2. 双效劳器集中组网方案图3 双效劳器集中组网方案1〕组网方式说明：使用两台效劳器，集中部署安装两个业务控制器SC，提供资源池模式的负载均衡和失效转移方案，允许一个业务控制器发生故障的时候，另一个业务控制器能够继续工作效劳器数量：2台效劳器1安装组件：业务管理器SM、业务控制器SC效劳器2安装组件：业务控制器SC、数据库DB2〕选择该方案，需要满足如下条件：l 终端数量：建议双效劳器集中组网时，被管理终端的数量小于10000。

当终端数量大于10000终端时，网络的规模已经非常大，对可靠性的要求会更高，虽然一个业务控制器SC能够管理1万终端，两个效劳器能够支撑20000终端，但是从。