ViaControl 网络准入控制 使用说明Word下载.docx
- 文档编号:938240
- 上传时间:2023-04-29
- 格式:DOCX
- 页数:24
- 大小:823.17KB
ViaControl 网络准入控制 使用说明Word下载.docx
《ViaControl 网络准入控制 使用说明Word下载.docx》由会员分享,可在线阅读,更多相关《ViaControl 网络准入控制 使用说明Word下载.docx(24页珍藏版)》请在冰点文库上搜索。
VIA-1000:
5个百兆网卡,无管理端口;
RESET键用于恢复出厂设置;
VIA-2000:
3个千兆网卡,其中管理端口为EMP;
VIA-3000:
4个千兆网卡,一组BYPASS(ETH0和ETH1),其中管理端口为EMP;
VIA-4000:
说明对于有管理端口的控制器,管理端口的IP固定为190.190.190.190,初始配置使用管理端口;
对于没有管理端口的控制器,出厂设置下任一端口的IP均为190.190.190.190,初始配置可使用任一端口;
BYPASS功能,可以在控制器断电或死机的情况下,将控制器所连接的两端直接物理上导通,不影响网络的使用。
3.2部署方式
串接方式(网桥模式)
ViaControl网络控制器以桥接的方式串接入网络。
控制器一般位于限制访问网络或计算机之前。
连接方法:
使用设备的两个端口将其连入网络;
VIA-1000使用ETH1四个端口中任意一个和ETH0;
VIA-2000使用ETH0和ETH1;
VIA-3000、VIA-4000使用ETH0、ETH1、ETH2中任两个;
准旁路方式(路由模式)
使用设备的一个端口连接交换机;
VIA-1000使用ETH1四个端口的任意一个;
VIA-2000、VIA-3000、VIA-4000都只能使用ETH0;
说明部署前为保证控制器能在网络中正常通讯,需要对其设置IP,详见4.2。
使用路由模式前,需要对交换机加上策略路由配置,具体配置见文档《策略路由配置》;
4使用
4
4.1界面
网络准入管理器的主界面,如下图所示:
ViaControl网络准入管理器的主界面
4.2设置控制器IP
有管理端口的设备使用管理端口进行设置,没有管理端口的设备(例如VIA-1000),则使用任一端口进行设置。
具体步骤如下:
1.计算机A安装了网络准入管理器,使计算机A脱离内网环境,而直接用网线将控制器的管理端口(VIA-1000是任一端口)与计算机A连接,修改计算机A的IP,让它能与控制器通讯。
如:
IP地址:
190.190.0.1
子网掩码:
255.255.0.0
默认网关:
可不填
2.在计算机A上启动网络准入管理器,“工具→控制器连接参数”。
如图2:
图2
控制器:
输入此时连入端口的IP,即190.190.190.190;
密码:
初始为空
3.点击【确定】,进入网络准入管理器主界面。
“工具->
控制器管理”,见图5;
4.点击【设置运行模式】,弹出IP设置对话框,如图3:
图3
5.选择控制器连入网络环境选择接入的模式,并设置相应的IP信息。
设置完成后,点击【确定】,会提示需重启控制器方能生效。
6.点击控制器管理界面上的【重启控制器】按钮,控制器重启之后,IP修改成功。
4.3连接控制器
启动网络准入管理器,若之前并未进行任何设置,会弹出的控制器连接参数设置窗口。
见图2。
对话框中包含以下内容:
字段
说明
控制器
输入修改后的控制器IP;
密码
初始密码为空,成功连接控制台后可以修改密码,在“工具->
控制器管理->
修改登录密码”中修改。
如需要重新连接控制器,在菜单栏,“系统->
重新连接”,可与控制器重新建立连接。
如需要连接其他的控制器,在菜单栏,“工具->
控制器连接参数”,弹出图2窗口,输入其他控制器的IP和登录密码即可。
4.4连接服务器
菜单栏,“工具->
服务器连接参数”,如图4:
图4
填入所要连接的ViaControl服务器地址,管理员、密码为该ViaControl服务器的管理员名称以及密码。
(需是有查看在线计算机权限的管理员。
)
如需要重新连接服务器,在菜单栏,“系统->
重新连接”,可与服务器重新建立连接。
说明控制器成功连接的ViaControl服务器,其所管理的客户端如果为在线状态会被服务器自动授权认证,状态为“授权”。
可以正常访问网络。
相对应的,控制器未连接的ViaControl服务器,其管理的客户端也可通过“信任客户端主动认证”,正常访问网络,状态为“信任”。
具体详见4.9
4.5控制器管理
控制器管理”,如图5
图5
按钮
功能说明
修改登录密码
可修改连接控制器的密码;
升级
可导入ViaControl提供的版本升级包,对控制器软件进行升级;
恢复出厂设置
可将控制器的设置恢复到出厂时的设置;
重启控制器
可将控制器重启;
设置控制器时间
可设置控制器当前的时间;
设置运行模式
可设置控制器的运行模式,目前仅支持网桥模式;
设置VLAN配置
可设置并启用TRUNK功能(网桥模式下);
说明TRUNK功能,详细参见4.7
对于VIA-1000,也可通过RESET键将控制器的设置恢复到出厂时设置;
使用时按住该键五秒以上即可。
4.6管理配置
“安全管理器主界面->
配置管理”,在此设置控制器的管理配置信息。
如图6:
图6
配置项目
管理范围
设置控制器所能管理的计算机范围,此范围的计算机有通信经过控制器时,就会出现在“状态信息”内。
支持“IP/掩码,IP”的输入,如:
192.168.1.1/24,192.168.2.102。
控制范围
设置控制器所能控制的计算机范围,此范围内无法通过认证的计算机被阻断,访问网络受限。
例外网络地址
设置被阻断的计算机也能访问的网络地址。
转发设置
设置访问网络受限时,转而链接到的地址
转发的url
输入转到的url;
转发的端口
输入转发的端口,通过该端口访问被限制后会自动转发到“转发的url”;
主动认证
设置是否启用主动认证验证方式。
信任客户端主动认证
勾选此项,则控制器会接受客户端发送的主动认证信息。
绑定序列号
输入ViaControl产品ID,则控制器只接受该产品ID客户端发送的认证信息。
空为不做产品ID限制。
说明关于客户端主动认证的相关操作,详细参见4.9.2
关于转发地址的具体部署,详细参见5.1
4.7启用TRUNK功能
在网桥运行模式下,如果网络准入控制器连接网络设备(例:
交换机)的接口的接入模式是TRUNK,同时设置被阻断时的转发功能,则需要启用准入控制器的TRUNK功能。
具体步骤:
1.“工具”→“控制器管理”,点击【设置VLAN配置】,如图7:
图7
2.勾选“开启Trunk”;
3.点击【添加】按钮,逐个添加VLAN配置;
4.添加完毕之后,点击【确定】按钮,完成配置。
说明添加VLAN配置时,请根据交换机或其他网络设备的VLAN配置进行添加。
例子假设准入控制器两边分别连接了H3C3600和CISCO3560,其中:
H3C3600交换机上存在:
interfaceVlan-interface20
ipaddress192.168.2.100255.255.255.0
CISCO3560交换机上存在:
interfaceVlan20
ipaddress192.168.2.200255.255.255.0
则添加:
VlanID:
20
IP:
192.168.2.x
掩码:
255.255.255.0
4.8开启控制
为了避免影响网络使用,建议完成以上控制器的连接、管理配置后再开启准入控制功能。
“菜单栏->
系统->
开启”,则准入控制功能会按照各项设置生效。
关闭”,准入控制功能关闭。
4.9准入认证
对于网络准入控制,安装了ViaControl客户端且通过认证的机子可以正常访问网络。
认证的方式有两种:
授权和信任。
4.1
4.2
4.3
4.4
4.5
4.6
4.7
4.8
4.9
4.9.1授权
对于控制器连接的ViaControl服务器,其所管理的客户端如果为在线状态会被服务器自动授权认证,状态为“授权”。
说明为了确保能成功授权,需将控制器连接的ViaControl服务器的IP地址设为例外
4.9.2信任
对于没有被控制器连接的ViaControl服务器,其所管理的客户端需要主动认证,状态显示为“信任”,具体步骤为:
1.在管理配置处(图6)勾选“信任客户端主动认证”;
2.客户端升级到准入控制功能版本;
3.设置客户端配置;
使用“–ad”参数启动ViaControl控制台,“策略”→“客户端配置”,添加以下信息:
NAC_ENABLE=1(1为启用主动认证,0为不启用)
NAC_IP_LIST=192.168.0.5(控制器IP,多个IP时,以“,”分隔)
NAC_MAX_OFFLINE=300(单位:
秒;
小于300时,则按300算;
客户端与服务器断开连接超过这个时间,则阻断网络)
NAC_SEND_INTERVAL=30(单位:
发送认证报文的时间间隔)
说明控制器连接的ViaControl服务器,其所管理的客户端也建议设置客户端配置
4.9.3设置白名单
对于没有安装客户端,或是没有通过授权和信任认证的机器,访问网络将被阻断。
将其设置白名单,便可解除限制。
设置白名单
方法1:
切换至“状态信息”窗口,选中一台或多台计算机,右键菜单->
设置白名单,也可取消白名单。
方法2:
切换至“白名单”标签页,右键菜单->
添加白名单,如图8:
图8
填入要设为白名单的计算机IP,多个IP使用“,”分隔开,支持IP、IP段输入,如:
192.168.3.0,192.168.0.2-192.168.0.160。
点击【确定】之后,设置成功,列表中出现添加的IP机器。
删除白名单
在“白名单”列表中选择一个或多个计算机,右键菜单->
删除白名单,这些机器将不再具有白名单功能。
4.10状态信息
窗口标签页切换到“状态信息”窗口。
可以查看管理范围内计算机的状态信息,包括:
计算机名称、网络地址、启动时间、最后在线时间、是否白名单、是否授权、是否信任等。
在此窗口下,选定列表中的机器,右键菜单可以进行如下操作:
刷新当前列表
输入关键字查找列表中的机器
设置\取消白名单
删除
ViaControl网络准入管理器状态信息
4.11查看日志
切换到“日志记录”标签页,可以查看控制器连接信息连接成功/失败、控制器连接中断、新发现的计算机、计算机名称改变等日志信息。
5备注
5
5.1转发设置部署
转发设置主要作用在于:
未通过认证的计算机访问网络受阻后,将其经由设置好的“转发的端口”引导至“转发的url”,该计算机可下载ViaControl客户端进行修复,得以通过网络准入控制的认证,从而保证正常访问网络。
1.可使用ViaControl提供web服务器架设程序(ViaWebServerSetup)进行部署。
2.双击运行该程序,根据默认提示安装。
成功安装之后,web服务自动在后台运行,默认开放8282端口。
ViaControlWebServer(Nginx)安装向导
完成ViaControlWebServer(Nginx)安装
3.将客户端程序改名为Agent3.exe,放置在WebServer安装目录下的html文件夹里即可。
以上步骤完成之后,则可在管理配置标签页中的转发设置处填写:
把客户端安装程序Agent3.exe放置在HUPU\WebServer下的html文件夹里
转发的url:
设置好的转发网页地址,即http:
//192.168.1.76:
8282
(192.168.1.76为安装web服务的机器IP)
转发的端口:
一般填写80,8080,1080,8000,808
说明为了确保受阻断的计算机能正常转连接到网页,服务器所在地址需加入到例外网络地址中。
5.2白名单与例外地址的区别
网络中除了被阻断的IP之外,其余的任意IP都能与白名单地址通讯;
网络中的任意IP,都能与例外地址通讯;
5.1
5.2
5.3
6
7
7.1
7.2
7.3
7.4
7.5
7.6
7.7
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- ViaControl 网络准入控制 使用说明 网络 准入 控制