DOCPROPERTY"Product&ProjectName"園區(qū)網(wǎng)解決方案DOCPROPERTYDocumentName部署指南圖5-5所示線序，將兩臺(tái)設(shè)備進(jìn)行連接。操作步驟執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令setcss{idnew-id|prioritypriority}[frameframe-id]，設(shè)置堆疊機(jī)框的ID或堆疊機(jī)框競(jìng)爭(zhēng)的優(yōu)先級(jí)。（可選）執(zhí)行命令cssmasterforce[frameframe-id]，強(qiáng)制指定交換機(jī)在堆疊系統(tǒng)中作為堆疊主交換機(jī)。執(zhí)行命令cssenable，使能設(shè)備的堆疊功能。結(jié)束配置MPLSL3VPN配置IP地址和IGP按照規(guī)劃配置各設(shè)備的物理接口和Loopback接口的IP地址，具體的配置過程略。按照規(guī)劃在PE設(shè)備和P設(shè)備上配置IGP（如果是在核心層部署MPLSL3VPN，則可能沒有P設(shè)備）。IGP可以選擇OSPF或者IS-IS，具體的配置過程略。使能MPLS基本能力請(qǐng)?jiān)赑E和P節(jié)點(diǎn)上進(jìn)行如下配置。執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令mplslsr-idlsr-id，配置本節(jié)點(diǎn)的LSRID。執(zhí)行命令mpls，使能本節(jié)點(diǎn)的MPLS功能，并進(jìn)入MPLS視圖。執(zhí)行命令quit，返回系統(tǒng)視圖。執(zhí)行命令mplsldp，使能全局的LDP功能，并進(jìn)入MPLS-LDP視圖。執(zhí)行命令quit，返回系統(tǒng)視圖。執(zhí)行命令interfacevlanifinterface-number，進(jìn)入VLANIF接口視圖。執(zhí)行命令mpls，使能接口的MPLS功能。執(zhí)行命令mplsldp，使能接口的LDP功能。如果所有的VPN業(yè)務(wù)都是用MPLSTE隧道來承載，則可以不使能LDP，而是使用RSVP-TE作為隧道建立的信令協(xié)議。結(jié)束（可選）配置MPLSTE隧道如果需要使用可靠性較高的基于RSVP-TE的MPLSTE隧道，而不是普通的LDPLSP來承載VPN業(yè)務(wù)，則需要執(zhí)行本任務(wù)。使能MPLSTE和RSVP-TE請(qǐng)?jiān)谒蠵E和P節(jié)點(diǎn)上進(jìn)行如下配置。執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令mpls，進(jìn)入MPLS視圖。執(zhí)行命令mplste，使能本節(jié)點(diǎn)的MPLSTE功能。執(zhí)行命令mplsrsvp-te，使能本節(jié)點(diǎn)的RSVP-TE功能。執(zhí)行命令mplstecspf，使能本節(jié)點(diǎn)的CSPF功能。執(zhí)行命令quit，返回系統(tǒng)視圖。執(zhí)行命令interfacevlanifinterface-number，進(jìn)入VLANIF接口視圖。這里的VLANIF接口是指MPLSTE隧道兩端的物理接口所屬的VLANIF接口。執(zhí)行命令mplste，使能接口的MPLSTE功能。執(zhí)行命令mplsrsvp-te，在接口上使能RSVP-TE功能。結(jié)束（可選）使能IGPTE如果不配置IGPTE（OSPFTE或IS-ISTE），則網(wǎng)絡(luò)中不能形成TEDB。此時(shí)生成的CR-LSP是由IGP（OSPF或IS-IS）路由計(jì)算得到的，而非CSPF計(jì)算得到。為了使CR-LSP由CSPF計(jì)算生成，需要使能IGP-TE。對(duì)于OSPF，請(qǐng)?jiān)谒蠵E和P節(jié)點(diǎn)上進(jìn)行如下配置。執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令ospf[process-id]，進(jìn)入OSPF視圖。執(zhí)行命令opaque-capabilityenable，使能OSPF的Opaque能力。執(zhí)行命令areaarea-id，進(jìn)入OSPF的區(qū)域視圖。執(zhí)行命令mpls-teenable[standard-complying]，在當(dāng)前OSPF區(qū)域使能TE。對(duì)于IS-IS，請(qǐng)?jiān)谒蠵E和P節(jié)點(diǎn)上進(jìn)行如下配置。執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令isis[process-id]，進(jìn)入IS-IS協(xié)議視圖。執(zhí)行命令cost-style{compatible[relax-spf-limit]|wide|wide-compatible}，配置IS-IS的WideMetric屬性。執(zhí)行命令traffic-eng[level-1|level-2|level-1-2]，使能IS-ISTE。創(chuàng)建并配置MPLSTE隧道對(duì)于堆疊/集群系統(tǒng)，Tunnel接口請(qǐng)?jiān)诙询B/集群系統(tǒng)中進(jìn)行配置，不要配置在單臺(tái)成員交換機(jī)上，避免因物理故障導(dǎo)致Tunnel接口故障。請(qǐng)?jiān)谒淼赖娜牍?jié)點(diǎn)（例如PE節(jié)點(diǎn)）上進(jìn)行如下配置。執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令interfacetunneltunnel-number，創(chuàng)建Tunnel接口，并進(jìn)入Tunnel接口視圖。執(zhí)行命令ipaddressunnumberedinterfaceloopbackinterface-number，配置隧道接口借用環(huán)回接口的IP地址。執(zhí)行命令tunnel-protocolmplste，配置隧道協(xié)議為MPLSTE。執(zhí)行命令destinationip-address，配置隧道的目的地址（出節(jié)點(diǎn)的LSRID）。執(zhí)行命令mplstetunnel-idtunnel-id，配置隧道ID。執(zhí)行命令mplstesignal-protocolrsvp-te，配置隧道使用RSVP-TE作為信令協(xié)議。執(zhí)行命令mplstereserved-for-binding，使能隧道的VPN綁定。執(zhí)行命令mplstecommit，提交隧道當(dāng)前配置。結(jié)束創(chuàng)建隧道策略請(qǐng)?jiān)谒淼赖娜牍?jié)點(diǎn)（例如PE節(jié)點(diǎn)）上進(jìn)行如下配置。執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令tunnel-policypolicy-name，創(chuàng)建隧道策略，并進(jìn)入隧道策略視圖。執(zhí)行命令tunnelbindingdestinationdest-ip-addresstetunnelinterface-number，將對(duì)端地址與隧道策略綁定，使從本端到目的地址的VPN數(shù)據(jù)從綁定的隧道上傳輸。結(jié)束配置VPN實(shí)例在接入CE的PE設(shè)備上進(jìn)行如下配置。執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令ipvpn-instancevpn-instance-name，創(chuàng)建VPN實(shí)例，并進(jìn)入VPN實(shí)例視圖。執(zhí)行命令ipv4-family，使能VPN實(shí)例IPv4地址族，并進(jìn)入VPN實(shí)例IPv4地址族視圖。執(zhí)行命令route-distinguisherroute-distinguisher，配置VPN實(shí)例IPv4地址族的RD。執(zhí)行命令vpn-targetvpn-target&<1-8>[both|export-extcommunity|import-extcommunity]，為VPN實(shí)例IPv4地址族配置VPN-target擴(kuò)展團(tuán)體屬性。（可選）執(zhí)行命令tnl-policypolicy-name，對(duì)VPN實(shí)例IPv4地址族應(yīng)用隧道策略。結(jié)束在接口上綁定VPN實(shí)例在接入CE的PE設(shè)備上進(jìn)行如下配置。執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令interfacevlanifinterface-number，進(jìn)入要綁定VPN實(shí)例的接口視圖。執(zhí)行命令ipbindingvpn-instancevpn-instance-name，將當(dāng)前接口與VPN實(shí)例綁定。執(zhí)行命令ipaddressip-address{mask|mask-length}，配置接口的IP地址。結(jié)束在PE之間建立MP-IBGP對(duì)等體在接入CE的PE設(shè)備上進(jìn)行如下配置。執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令bgpas-number，進(jìn)入BGP視圖。執(zhí)行命令peeripv4-addressas-numberas-number，將對(duì)端PE配置為對(duì)等體。執(zhí)行命令peeripv4-addressconnect-interfaceloopbackinterface-number，指定建立TCP連接的接口。執(zhí)行ipv4-familyvpnv4，進(jìn)入BGP-VPNv4子地址族視圖。執(zhí)行peeripv4-addressenable，使能對(duì)等體交換VPNv4路由信息的能力。結(jié)束配置PE和CE/MCE之間的路由交互PE和CE/MCE間的路由交互可以采用EBGP、IBGP、靜態(tài)路由、RIP、OSPF、ISIS，任選一種即可。以下過程以EBGP為例進(jìn)行描述，其余方式請(qǐng)參考相應(yīng)產(chǎn)品的文檔中關(guān)于VPN的配置指導(dǎo)。在PE上配置EBGP執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令bgpas-number，進(jìn)入BGP視圖。執(zhí)行命令ipv4-familyvpn-instancevpn-instance-name，進(jìn)入BGP-VPN實(shí)例IPv4地址族視圖。執(zhí)行命令peeripv4-addressas-numberas-number，將CE配置為VPN私網(wǎng)對(duì)等體。（可選）執(zhí)行命令import-routedirect[medmed|route-policyroute-policy-name]*，引入到本地CE的直連路由。結(jié)束在CE/MCE上配置EBGP執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令bgpas-number，進(jìn)入BGP視圖。（可選）如果是MCE設(shè)備，執(zhí)行命令ipv4-familyvpn-instancevpn-instance-name，進(jìn)入BGP-VPN實(shí)例視圖。執(zhí)行命令peeripv4-addressas-numberas-number，將PE配置為對(duì)等體。執(zhí)行命令import-route{direct|static|ripprocess-id|ospfprocess-id|isisprocess-id}[medmed|route-policyroute-policy-name]*，引入本站點(diǎn)的路由。結(jié)束配置MCE如前所述，如果匯聚層設(shè)備不支持MPLS，則核心層設(shè)備作為PE來部署MPLSVPN，匯聚層設(shè)備上可以部署MCE功能（需要匯聚層設(shè)備支持MCE功能），實(shí)現(xiàn)不同VPN的接入。或者匯聚層設(shè)備支持MPLS，但是每個(gè)接入交換機(jī)下可接入多個(gè)VPN，則匯聚層設(shè)備作為PE來部署MPLSVPN，核心層設(shè)備只作為P設(shè)備，同時(shí)接入交換機(jī)上部署MCE功能（需要接入交換機(jī)支持MCE功能），實(shí)現(xiàn)不同VPN的接入。本節(jié)介紹作為MCE的匯聚交換機(jī)或接入交換機(jī)上如何配置MCE功能。配置VPN實(shí)例執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令ipvpn-instancevpn-instance-name，創(chuàng)建VPN實(shí)例，并進(jìn)入VPN實(shí)例視圖。執(zhí)行命令route-distinguisherroute-distinguisher，配置VPN實(shí)例IPv4地址族的RD。結(jié)束由于MCE下接入多個(gè)VPN，所以請(qǐng)根據(jù)需要?jiǎng)?chuàng)建多個(gè)VPN實(shí)例。在接口上綁定VPN實(shí)例執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令interfacevlanifinterface-number，進(jìn)入要綁定VPN實(shí)例的VLAN接口視圖。執(zhí)行命令ipbindingvpn-instancevpn-instance-name，將當(dāng)前接口與VPN實(shí)例綁定。執(zhí)行命令ipaddressip-address{mask|mask-length}，配置接口的IP地址。結(jié)束配置PE和MCE之間的路由交互請(qǐng)參見“REF_Ref301266208\r\h5.3.7REF_Ref301266212\h配置PE和CE/MCE之間的路由交互”。配置MCE和CE之間的路由交互MCE與CE之間的路由交互可以采用EBGP、IBGP、靜態(tài)路由、RIP、OSPF、ISIS，任選一種即可。以下過程以EBGP為例進(jìn)行描述，其余方式請(qǐng)參考相應(yīng)產(chǎn)品的文檔中關(guān)于VPN的配置指導(dǎo)。在MCE上配置EBGP執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令bgpas-number，進(jìn)入BGP視圖。執(zhí)行命令ipv4-familyvpn-instancevpn-instance-name，進(jìn)入BGP-VPN實(shí)例IPv4地址族視圖。執(zhí)行命令peeripv4-addressas-numberas-number，將CE配置為VPN私網(wǎng)對(duì)等體。（可選）執(zhí)行命令import-routedirect[medmed|route-policyroute-policy-name]*，引入到本地CE的直連路由。結(jié)束在CE上配置EBGP執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令bgpas-number，進(jìn)入BGP視圖。執(zhí)行命令peeripv4-addressas-numberas-number，將PE配置為對(duì)等體。執(zhí)行命令import-route{direct|static|ripprocess-id|ospfprocess-id|isisprocess-id}[medmed|route-policyroute-policy-name]*，引入本站點(diǎn)的路由。結(jié)束配置舉例組網(wǎng)需求企業(yè)信息網(wǎng)絡(luò)中，接入、匯聚、核心層采用支持堆疊/集群功能的交換機(jī)，組成堆疊/集群系統(tǒng)。同時(shí)，企業(yè)中的接入?yún)R聚層，根據(jù)部門設(shè)置，將用戶劃分為VPN-A和VPN-B，對(duì)于數(shù)據(jù)中心，同樣劃分為VPN-A的服務(wù)器群和VPN-B的服務(wù)器群，另有公共的服務(wù)器群，可供所有的用戶同時(shí)訪問。如REF_Ref301529845\r\h圖5-6所示。在該組網(wǎng)中，由于匯聚層設(shè)備不支持MPLS，因此只在核心層設(shè)備上配置MPLSL3VPN，而在匯聚層部署MCE功能，負(fù)責(zé)匯聚接入多個(gè)VPN。數(shù)據(jù)準(zhǔn)備配置項(xiàng)配置子項(xiàng)數(shù)據(jù)接口和VLANACC1ToAGG1：GE0/0/1，VLAN11ACC2ToAGG1：GE0/0/1，VLAN22ACC3ToAGG2：GE0/0/1，VLAN11ACC4ToAGG2：GE0/0/1，VLAN22ACC5ToAGG3：GE0/0/1，VLAN11ACC6ToAGG3：GE0/0/1，VLAN22ACC7ToAGG3：GE0/0/1，VLAN33AGG1ToACC1：GE1/0/1，VLAN11ToACC2：GE2/0/1，VLAN22ToCORE1：Eth-Trunk1（GE1/0/24、GE2/0/24），VLAN101202AGG2ToACC3：GE1/0/1，VLAN11ToACC4：GE2/0/1，VLAN22ToCORE2：Eth-Trunk1（GE1/0/24、GE2/0/24），VLAN101202AGG3ToACC5：GE1/0/1，VLAN11ToACC6：GE2/0/1，VLAN22ToACC7：GE3/0/1，VLAN33ToCORE1：Eth-Trunk3（GE1/0/24、GE2/0/24），VLAN111222333CORE1ToAGG1：Eth-Trunk1（GE1/1/0/24、GE2/1/0/24），VLAN101202ToAGG3：Eth-Trunk3（GE1/2/0/24、GE2/2/0/24），VLAN111222333ToCORE2：Eth-Trunk2（GE1/3/0/23、GE1/3/0/24、GE2/3/0/23、GE2/3/0/24），VLAN100CORE2ToAGG2：Eth-Trunk1（GE1/1/0/24、GE2/1/0/24），VLAN101202ToCORE1：Eth-Trunk2（GE1/3/0/23、GE1/3/0/24、GE2/3/0/23、GE2/3/0/24），VLAN100IP地址AGG1VLANIF11：1/24VLANIF22：1/24VLANIF101：1/24VLANIF202：1/24AGG2VLANIF11：1/24VLANIF22：1/24VLANIF101：1/24VLANIF202：1/24AGG3VLANIF11：1/24VLANIF22：1/24VLANIF33：1/24VLANIF111：1/24VLANIF222：1/24VLANIF333：1/24CORE1VLANIF101：2/24VLANIF202：2/24VLANIF111：2/24VLANIF222：2/24VLANIF333：2/24VLANIF100：/24Loopback0：/32CORE2VLANIF101：2/24VLANIF202：2/24VLANIF100：/24Loopback0：/32VPNVPN-AVLAN：11、101、111OSPF進(jìn)程號(hào)：11RD：11:1VPN-Target（Export）：11:1VPN-Target（Import）：11:1VPN-BVLAN：22、202、222OSPF進(jìn)程號(hào)：22RD：22:1VPN-Target（Export）：22:1VPN-Target（Import）：22:1VPN-PublicVLAN：33、333OSPF進(jìn)程號(hào)：33RD：33:1VPN-Target（Export）：11:122:1VPN-Target（Import）：11:122:1操作步驟配置CORE1和CORE2的CSS集群。#在CORE1的主交換機(jī)上配置CSS集群。#在CORE1的從交換機(jī)上配置CSS集群。配置之后，CORE1集群建立，后續(xù)的配置都在主交換機(jī)上進(jìn)行。CORE2的配置與之相同。對(duì)于其余交換機(jī)設(shè)備，只要各交換機(jī)都插入堆疊卡，并且使用堆疊線纜正確連接，則各交換機(jī)上電之后，會(huì)自動(dòng)建立iStack堆疊系統(tǒng)，無需進(jìn)行配置。配置接口和VLAN。#配置接入交換機(jī)ACC1的接口和VLAN。其余接入交換機(jī)的配置與之類似，其中ACC3、ACC5的VLAN也是11，ACC2、ACC4、ACC6的VLAN是22，ACC7的VLAN是33。#配置匯聚交換機(jī)AGG1的接口和VLAN。#配置匯聚交換機(jī)AGG2的接口和VLAN。#配置匯聚交換機(jī)AGG3的接口和VLAN。#配置核心交換機(jī)CORE1的接口和VLAN。#配置核心交換機(jī)CORE2的接口和VLAN。配置MCE。#配置匯聚交換機(jī)AGG1上的MCE功能。#配置匯聚交換機(jī)AGG2上的MCE功能。#配置匯聚交換機(jī)AGG3上的MCE功能。配置公網(wǎng)路由協(xié)議，實(shí)現(xiàn)互通。#配置CORE1上的路由協(xié)議。#配置CORE2上的路由協(xié)議。使能MPLS。#配置CORE1的MPLS和LDP功能。#配置CORE2的MPLS和LDP功能。配置MPLSTE隧道承載VPN業(yè)務(wù)。#配置CORE1的MPLSTE隧道。#配置CORE2的MPLSTE隧道。配置MPLSL3VPN。#配置CORE1的VPN業(yè)務(wù)。#配置CORE2的VPN業(yè)務(wù)。在PE間建立MP-IBGP對(duì)等體。#配置CORE1。#配置CORE2。配置PE和MCE之間的路由交互。#配置AGG1。#配置AGG2。#配置AGG3。#配置CORE1。#配置CORE2。VPN路由配置。#配置AGG3。#配置CORE1。#配置CORE2。結(jié)束配置文件ACC1配置文件ACC2~ACC7的配置與之類似，其中ACC3、ACC5的VLAN也是11，ACC2、ACC4、ACC6的VLAN是22，ACC7的VLAN是33。AGG1配置文件AGG2配置文件AGG3配置文件CORE1的配置文件CORE2的配置文件NAC系統(tǒng)部署概述NAC系統(tǒng)簡(jiǎn)介NAC系統(tǒng)的作用和組成如何在企業(yè)中構(gòu)建安全的網(wǎng)絡(luò)，在辦公便捷、網(wǎng)絡(luò)資源合理共享的同時(shí)發(fā)現(xiàn)并隔離不合法和不安全的終端主機(jī)，確保只有被授權(quán)的和通過安全檢查的終端主機(jī)才能訪問網(wǎng)絡(luò)資源，從而保護(hù)重要的網(wǎng)絡(luò)資源，是高層管理人員和IT部門較為關(guān)注的問題。按照通用的企業(yè)網(wǎng)絡(luò)架構(gòu)，對(duì)于用戶的認(rèn)證和授權(quán)是通過部署NAC系統(tǒng)來完成。NAC系統(tǒng)一般由如下部件組成：終端代理終端代理是安裝在用戶終端系統(tǒng)上的專用客戶端軟件，與準(zhǔn)入服務(wù)器聯(lián)動(dòng)進(jìn)行用戶身份認(rèn)證、終端安全檢查、系統(tǒng)修復(fù)升級(jí)，終端行為監(jiān)控審計(jì)等工作。網(wǎng)絡(luò)準(zhǔn)入設(shè)備網(wǎng)絡(luò)準(zhǔn)入設(shè)備是終端訪問網(wǎng)絡(luò)的網(wǎng)絡(luò)控制點(diǎn)，是企業(yè)安全策略的實(shí)施者，負(fù)責(zé)按照準(zhǔn)入服務(wù)器制定的安全策略，實(shí)施相應(yīng)的準(zhǔn)入控制（允許、拒絕、隔離或限制）。網(wǎng)絡(luò)準(zhǔn)入設(shè)備通常又可稱為用戶業(yè)務(wù)網(wǎng)關(guān)，并不是一個(gè)物理實(shí)體，而是一個(gè)角色概念，通常由網(wǎng)絡(luò)中的匯聚交換機(jī)（或者接入交換機(jī)）來?yè)?dān)任。準(zhǔn)入服務(wù)器準(zhǔn)入服務(wù)器是后臺(tái)的安全管理和控制服務(wù)器。它可以進(jìn)行用戶管理，增加、刪除、修改用戶權(quán)限及用戶部門配置，及安全策略的定制和管理等。還需要進(jìn)行用戶認(rèn)證和安全審核，實(shí)施安全策略，并且與網(wǎng)絡(luò)準(zhǔn)入設(shè)備聯(lián)動(dòng)，下發(fā)用戶權(quán)限。另外，準(zhǔn)入服務(wù)器也包括病毒庫(kù)服務(wù)器和補(bǔ)丁服務(wù)器等用于終端安全修復(fù)的服務(wù)器。準(zhǔn)入服務(wù)器經(jīng)常也被稱為AAA服務(wù)器，它與用戶業(yè)務(wù)網(wǎng)關(guān)之間可采用RADIUS等協(xié)議進(jìn)行通信，共同完成對(duì)于用戶的認(rèn)證、計(jì)費(fèi)和授權(quán)等功能。接入認(rèn)證技術(shù)簡(jiǎn)介華為公司NAC方案，支持802.1x、MAC認(rèn)證、Portal認(rèn)證多種網(wǎng)絡(luò)訪問控制方式，并可靈活部署在用戶網(wǎng)絡(luò)的接入交換機(jī)、匯聚交換機(jī)、無線控制器、AR等多種網(wǎng)絡(luò)設(shè)備上，配合NAC的代理客戶端和服務(wù)器共同完成NAC控制，為企業(yè)網(wǎng)、園區(qū)網(wǎng)、城域網(wǎng)提供安全可靠的訪問控制。在園區(qū)網(wǎng)中，用戶的接入認(rèn)證技術(shù)主要如下幾種：Portal認(rèn)證Portal認(rèn)證是一種三層認(rèn)證方式。用戶可以通過訪問Portal服務(wù)器（Web服務(wù)器）上的Web認(rèn)證頁(yè)面，輸入用戶帳號(hào)信息，實(shí)現(xiàn)對(duì)終端用戶身份的認(rèn)證。采用Portal認(rèn)證，有如下幾種認(rèn)證方式：用戶使用Web瀏覽器直接訪問Portal服務(wù)器的認(rèn)證頁(yè)面，并在認(rèn)證頁(yè)面上輸入用戶名和密碼進(jìn)行認(rèn)證。用戶使用Web瀏覽器訪問任意其他站點(diǎn)，由業(yè)務(wù)網(wǎng)關(guān)將其訪問重定向到Portal服務(wù)器的認(rèn)證頁(yè)面，用戶在認(rèn)證頁(yè)面上輸入用戶名和密碼進(jìn)行認(rèn)證。用戶使用TSMAgent軟件（需配置好Portal認(rèn)證服務(wù)器的地址），在軟件界面上輸入用戶名和密碼進(jìn)行認(rèn)證。如果需要實(shí)現(xiàn)對(duì)終端狀態(tài)的安全檢查，則有兩種方式：使用TSMAgent軟件進(jìn)行認(rèn)證，TSMAgent軟件具備終端安全檢查和修復(fù)的功能。如果使用Web瀏覽器進(jìn)行訪問和認(rèn)證，則需要在對(duì)Portal服務(wù)器的認(rèn)證頁(yè)面加上ActiveX插件下載的功能，用戶通過認(rèn)證之后，Web瀏覽器可自動(dòng)下載一個(gè)ActiveX插件，該插件可以對(duì)終端安全進(jìn)行檢查并報(bào)告Portal服務(wù)器。802.1x認(rèn)證802.1x協(xié)議是一種基于端口的網(wǎng)絡(luò)接入控制協(xié)議，用于在局域網(wǎng)接入設(shè)備的端口一級(jí)對(duì)所接入的用戶設(shè)備進(jìn)行認(rèn)證和控制。連接在端口上的用戶設(shè)備如果能通過認(rèn)證，就可以訪問局域網(wǎng)中的資源；如果不能通過認(rèn)證，則無法訪問局域網(wǎng)中的資源。802.1x認(rèn)證使用EAP（ExtensibleAuthenticationProtocol）認(rèn)證協(xié)議，實(shí)現(xiàn)客戶端、設(shè)備端和認(rèn)證服務(wù)器之間認(rèn)證信息的交換。在客戶端與設(shè)備端之間，EAP協(xié)議報(bào)文使用EAPoL（EAPoverLAN）封裝格式，直接承載于LAN環(huán)境中。MAC認(rèn)證對(duì)某些特殊情況，終端用戶不想或不能通過輸入用戶帳號(hào)信息的方式完成認(rèn)證。例如某些特權(quán)終端希望能“免認(rèn)證”直接訪問網(wǎng)絡(luò)；對(duì)于某些特殊的PC終端，如打印機(jī)、IP電話等設(shè)備，無法安裝客戶端軟件，也無法通過輸入用戶帳號(hào)信息的方式進(jìn)行認(rèn)證授權(quán)。此時(shí)可以采用MAC認(rèn)證的方式實(shí)現(xiàn)對(duì)終端的網(wǎng)絡(luò)訪問控制。MAC認(rèn)證就是以終端的MAC地址作為身份憑據(jù)到系統(tǒng)進(jìn)行認(rèn)證。啟用MAC認(rèn)證后，當(dāng)終端接入網(wǎng)絡(luò)時(shí)，網(wǎng)絡(luò)準(zhǔn)入設(shè)備提取終端MAC地址，并將該MAC地址作為用戶名和密碼進(jìn)行認(rèn)證。如果認(rèn)證失敗使用戶下線，并保持一段時(shí)間內(nèi)不再發(fā)起認(rèn)證和探測(cè)，超時(shí)后重新開始探測(cè)過程。如果認(rèn)證成功，交換機(jī)將增加該MAC地址進(jìn)入MAC表，用戶將可以正常訪問網(wǎng)絡(luò)。技術(shù)比較MACPortal802.1x標(biāo)準(zhǔn)化程度標(biāo)準(zhǔn)Web軟件廠商私有標(biāo)準(zhǔn)IP地址無認(rèn)證認(rèn)證前分配認(rèn)證后分配客戶端軟件不需要不需要需要對(duì)設(shè)備要求無私有設(shè)備大多數(shù)交換機(jī)安全性低高高使用場(chǎng)景適用于SIP終端，打印機(jī)，傳真機(jī)等終端接入認(rèn)證的場(chǎng)景認(rèn)證方式靈活，適用于用戶分散、無線、外客訪問等場(chǎng)景新建網(wǎng)絡(luò)，用戶集中，信息安全要求嚴(yán)格的場(chǎng)景結(jié)束TSM簡(jiǎn)介為了解決企業(yè)內(nèi)部網(wǎng)絡(luò)管理失控的問題，保障企業(yè)內(nèi)部網(wǎng)絡(luò)的暢通、終端主機(jī)的安全和公司信息數(shù)據(jù)的安全，實(shí)現(xiàn)企業(yè)網(wǎng)絡(luò)安全建設(shè)的目標(biāo)，華為公司推出TSM產(chǎn)品，該產(chǎn)品為企業(yè)提供整合的內(nèi)部網(wǎng)絡(luò)安全解決方案，實(shí)現(xiàn)從終端到業(yè)務(wù)系統(tǒng)的控制和管理功能。TSM基于TSM代理為企業(yè)提供安全接入控制、終端安全管理、補(bǔ)丁管理、終端用戶的行為管理、軟件分發(fā)和資產(chǎn)管理六大功能。其核心思想是建立網(wǎng)絡(luò)準(zhǔn)入控制機(jī)制，基本要素是安全檢查、訪問控制和安全修復(fù)。有效控制網(wǎng)絡(luò)日漸增多的接入點(diǎn)，包括企業(yè)員工、外部訪客、合作伙伴和臨時(shí)雇員等對(duì)網(wǎng)絡(luò)的訪問，發(fā)現(xiàn)并隔離帶有威脅的終端主機(jī)，提升網(wǎng)絡(luò)防御安全威脅的能力。TSM系統(tǒng)基于Client/Server模式，由TSMServer和TSMAgent兩部分組成。其中TSMAgent是TSM的一個(gè)組件，作為TSM的客戶端軟件，安裝在終端主機(jī)。TSMServer是TSM系統(tǒng)的后臺(tái)服務(wù)器部分，它可以作為企業(yè)NAC系統(tǒng)的準(zhǔn)入服務(wù)器來進(jìn)行部署，可提供接入認(rèn)證、權(quán)限控制、終端管理、攻擊防御、資產(chǎn)管理等功能，并具有高可靠性、執(zhí)行靈活、融合開放等特點(diǎn)。TSMAgent并不僅僅是一個(gè)認(rèn)證客戶端軟件，而是一個(gè)終端安全綜合管理軟件，它提供了強(qiáng)大的終端安全管理功能，包括身份認(rèn)證、終端安全狀態(tài)檢查和修復(fù)、終端用戶行為管理、注冊(cè)資產(chǎn)、接收公告等多種功能。對(duì)于TSMAgent來說，支持Portal認(rèn)證、802.1x認(rèn)證、MAC認(rèn)證等多種認(rèn)證方式，并且其認(rèn)證方式是集成融合的，一個(gè)客戶端即可實(shí)現(xiàn)多種認(rèn)證方式。用戶不需要再使用Web瀏覽器或者單獨(dú)的802.1x客戶端軟件。典型組網(wǎng)NAC系統(tǒng)部署的典型組網(wǎng)如REF_Ref301512722\r\h圖6-2所示。在NAC系統(tǒng)中，準(zhǔn)入服務(wù)器可以使用TSMServer，終端代理可使用TSMAgent。如果是802.1x認(rèn)證或MAC認(rèn)證，可以使用接入交換機(jī)作為網(wǎng)絡(luò)準(zhǔn)入設(shè)備，如果是Portal認(rèn)證，可以使用匯聚交換機(jī)作為網(wǎng)絡(luò)準(zhǔn)入設(shè)備。配套版本部件產(chǎn)品版本接入交換機(jī)S2700/S3700系列V100R006C01匯聚交換機(jī)S5700/S7700系列V100R006C01核心交換機(jī)S7700/S9300系列V100R006C01終端代理TSMAgentV100R002C06準(zhǔn)入服務(wù)器TSMServerV100R002C06部署思路前置任務(wù)完成各網(wǎng)元/部件的安裝調(diào)試和線纜連接，各網(wǎng)元上電正常工作。TSM服務(wù)器的操作系統(tǒng)和TSM軟件已經(jīng)安裝完畢。完成VLAN/SSID、IP地址等數(shù)據(jù)的規(guī)劃。配置思路配置思路配置注意事項(xiàng)在各網(wǎng)元部件上配置接口、VLAN、IP地址和路由，實(shí)現(xiàn)網(wǎng)絡(luò)的基礎(chǔ)互通。本章不再描述配置步驟。當(dāng)需要把用戶側(cè)接口配置為802.1x認(rèn)證時(shí)，不要配置接口類型，使用默認(rèn)的Hybrid類型即可。也不要配置默認(rèn)VLAN。如果在接入層部署802.1x認(rèn)證，則接入交換機(jī)需要配置上行的VLANIF接口并配置IP地址，以便和認(rèn)證服務(wù)器進(jìn)行通信。在業(yè)務(wù)網(wǎng)關(guān)上配置NAC功能，實(shí)現(xiàn)對(duì)接入用戶的認(rèn)證和授權(quán)。業(yè)務(wù)網(wǎng)關(guān)的角色根據(jù)接入認(rèn)證方式的選擇而定。如果是802.1x認(rèn)證，則選擇接入交換機(jī)；如果是Portal認(rèn)證，則選擇匯聚交換機(jī)。主要包括：配置AAA功能，設(shè)置用戶的歸屬域、認(rèn)證/授權(quán)的模式以及相應(yīng)的AAA服務(wù)器等。在接入交換機(jī)上配置802.1x認(rèn)證或者在匯聚交換機(jī)上配置Portal認(rèn)證。配置TSM服務(wù)器。主要配置包括：配置認(rèn)證服務(wù)器（Portal認(rèn)證服務(wù)器或者802.1x認(rèn)證服務(wù)器），用于對(duì)終端進(jìn)行安全認(rèn)證。配置隔離域和認(rèn)證后域的信息。配置策略模板，并將策略下發(fā)到用戶。配置用戶賬號(hào)（包括普通賬號(hào)、MAC賬號(hào)、AD賬號(hào)及LDAP賬號(hào)等），為賬號(hào)配置接入隔離域及后域，實(shí)現(xiàn)對(duì)用戶的網(wǎng)絡(luò)權(quán)限控制。DHCP服務(wù)器、DNS服務(wù)器、TSM服務(wù)器屬于認(rèn)證前域。用于安全修復(fù)的補(bǔ)丁服務(wù)器或者病毒庫(kù)服務(wù)器則劃分到隔離域。其他的應(yīng)用服務(wù)器屬于認(rèn)證后域。如果是普通賬號(hào)，則需要在TSM服務(wù)器上配置用戶名和密碼。如果是AD域賬號(hào)，則需要另外部署域控制服務(wù)器，并配置用戶名和密碼。然后將賬號(hào)同步至TSM服務(wù)器。配置終端代理TSMAgent。配置認(rèn)證方式、認(rèn)證服務(wù)器等，并進(jìn)行認(rèn)證接入。配置業(yè)務(wù)網(wǎng)關(guān)在業(yè)務(wù)網(wǎng)關(guān)上（例如S9300交換機(jī)），NAC的部署主要包括如下幾方面：配置AAA功能，設(shè)置用戶的歸屬域、認(rèn)證/授權(quán)的模式以及相應(yīng)的AAA服務(wù)器等。在用戶接入的接口下配置802.1x或者Portal認(rèn)證。下面以S9300作為業(yè)務(wù)網(wǎng)關(guān)為例，列出了最基本的常用NAC配置步驟。更詳細(xì)完整的配置步驟和內(nèi)容請(qǐng)參見所使用產(chǎn)品的產(chǎn)品文檔。配置AAA功能配置認(rèn)證方案執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令aaa，進(jìn)入AAA視圖。執(zhí)行命令authentication-schemeauthentication-scheme-name，創(chuàng)建認(rèn)證方案，并進(jìn)入認(rèn)證方案視圖。執(zhí)行命令authentication-mode{hwtacacs|radius|local}*[none]，配置認(rèn)證模式。結(jié)束配置授權(quán)方案執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令aaa，進(jìn)入AAA視圖。執(zhí)行命令authorization-schemeauthorization-scheme-name，創(chuàng)建授權(quán)方案，并進(jìn)入授權(quán)方案視圖。執(zhí)行命令authorization-mode[hwtacacs]{if-authenticated|local|none}，配置授權(quán)模式。結(jié)束配置RADIUS服務(wù)器模板執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令radius-servertemplatetemplate-name，創(chuàng)建RADIUS服務(wù)器模板，并進(jìn)入RADIUS服務(wù)器模板視圖。執(zhí)行命令radius-serverauthenticationip-addressport[sourceloopbackinterface-number]，配置RADIUS認(rèn)證服務(wù)器。執(zhí)行命令radius-serveraccountingip-addressport[sourceloopbackinterface-number]，配置RADIUS計(jì)費(fèi)服務(wù)器。執(zhí)行命令quit，返回系統(tǒng)視圖。執(zhí)行命令radius-serverauthorizationip-address{server-groupgroup-name|shared-key{cipher|simple}key-string}*[ack-reserved-intervalinterval]，配置RADIUS授權(quán)服務(wù)器。結(jié)束配置域執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令aaa，進(jìn)入AAA視圖。執(zhí)行命令domaindomain-name，創(chuàng)建域，并進(jìn)入域視圖。執(zhí)行命令authentication-schemeauthentication-scheme-name，配置域使用的認(rèn)證方案。（可選）執(zhí)行命令authorization-schemeauthorization-scheme-name，配置域使用的授權(quán)方案。如果使用RADIUS認(rèn)證，則省略本步驟。執(zhí)行命令accounting-schemeaccounting-scheme-name，配置域使用的計(jì)費(fèi)方案。執(zhí)行命令radius-servertemplate-name，配置域使用的RADIUS服務(wù)器模板。結(jié)束配置Portal認(rèn)證配置Web認(rèn)證服務(wù)器執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令web-auth-serverserver-name，配置Web認(rèn)證服務(wù)器，并進(jìn)入Web認(rèn)證服務(wù)器視圖。執(zhí)行命令server-ipip-address，配置Web認(rèn)證服務(wù)器的IP地址。執(zhí)行命令portport-number[all]，配置Web認(rèn)證服務(wù)器接收S9300發(fā)送的通知報(bào)文的端口號(hào)。（可選）如果要部署Web強(qiáng)推認(rèn)證，執(zhí)行命令urlurl-string，配置Web認(rèn)證服務(wù)器的認(rèn)證頁(yè)面所對(duì)應(yīng)的URL。Web強(qiáng)推認(rèn)證是指當(dāng)需要Portal認(rèn)證的用戶，在未認(rèn)證前試圖訪問其無權(quán)訪問的地址時(shí)，業(yè)務(wù)網(wǎng)關(guān)將其訪問請(qǐng)求強(qiáng)制重定向到強(qiáng)制Web認(rèn)證服務(wù)器，讓用戶進(jìn)行認(rèn)證。如果不部署Web強(qiáng)推認(rèn)證，則用戶在未認(rèn)證之前進(jìn)行未授權(quán)訪問時(shí)，業(yè)務(wù)網(wǎng)關(guān)直接阻斷其訪問請(qǐng)求，而不會(huì)進(jìn)行重定向操作。如果希望對(duì)于使用Web瀏覽器進(jìn)行訪問和認(rèn)證的用戶進(jìn)行終端安全檢查，則URL應(yīng)指向具有ActiveX下載功能的認(rèn)證頁(yè)面。結(jié)束接口下綁定Web認(rèn)證服務(wù)器執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令interfaceinterface-typeinterface-number，進(jìn)入接口視圖。只能是VLANIF接口，S9300/S7700只能通過VLANIF接口完成對(duì)接入用戶的Web認(rèn)證。執(zhí)行命令web-auth-serverserver-name，在VLANIF接口下綁定Web認(rèn)證服務(wù)器。結(jié)束（可選）配置Portal認(rèn)證的FreeRule當(dāng)某些特殊用戶在未通過認(rèn)證的情況下需要訪問特定資源，可以配置FreeRule。執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令portalfree-rulerule-id{destination{any|ip{ip-addressmask{mask-length|ip-mask}|any}}|source{any|{interfaceinterface-typeinterface-number|ip{ip-addressmask{mask-length|ip-mask}|any}|vlanvlan-id}*}}*，配置免認(rèn)證規(guī)則。結(jié)束配置802.1x認(rèn)證使能802.1x認(rèn)證執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令dot1xenable，使能全局802.1x認(rèn)證功能。執(zhí)行命令interfaceinterface-typeinterface-number，進(jìn)入接口視圖。執(zhí)行命令dot1xenable，在接口下使能802.1x認(rèn)證功能。結(jié)束配置802.1x用戶的認(rèn)證方法執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令dot1xauthentication-method{chap|eap|pap}，配置802.1x用戶的認(rèn)證方法。結(jié)束配置802.1x認(rèn)證的GuestVLAN執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令interfaceinterface-typeinterface-number，進(jìn)入接口視圖。執(zhí)行命令dot1xguest-vlanvlan-id，配置接口的GuestVLAN。結(jié)束（可選）使能MAC旁路認(rèn)證功能MAC旁路認(rèn)證，指當(dāng)終端進(jìn)行802.1x認(rèn)證失敗后，把它的MAC地址作為用戶名和密碼上送RADIUS服務(wù)器進(jìn)行認(rèn)證。對(duì)于某些特殊終端，例如打印機(jī)等，無法使用和安裝802.1x終端軟件，可以通過基于MAC的旁路認(rèn)證方式進(jìn)行認(rèn)證。執(zhí)行命令system-view，進(jìn)入系統(tǒng)視圖。執(zhí)行命令interfaceinterface-typeinterface-number，進(jìn)入接口視圖。執(zhí)行命令dot1xmac-bypass，在接口下使能MAC旁路認(rèn)證功能。結(jié)束配置TSM服務(wù)器在本節(jié)中，重點(diǎn)描述TSM的接入認(rèn)證和權(quán)限控制功能的配置，其余功能（例如終端管理、攻擊防御、資產(chǎn)管理等）的配置請(qǐng)參考TSM產(chǎn)品的相關(guān)文檔。TSM在接入認(rèn)證和權(quán)限控制方面，主要發(fā)揮如下作用：對(duì)本地用戶進(jìn)行管理，增加、刪除、修改用戶權(quán)限及用戶部門配置，以及安全策略的定制和管理等?；蛘邔?duì)外部認(rèn)證源服務(wù)器的用戶賬號(hào)進(jìn)行同步。與網(wǎng)絡(luò)準(zhǔn)入設(shè)備聯(lián)動(dòng)，基于用戶賬號(hào)（本地賬號(hào)或者同步的外部賬號(hào)）完成用戶認(rèn)證和安全審核，實(shí)施安全策略，下發(fā)用戶權(quán)限。下面的TSM服務(wù)器部署也主要圍繞著兩大方面來進(jìn)行介紹。包括如下內(nèi)容：配置普通賬號(hào)同步AD域賬號(hào)配置Portal認(rèn)證控制配置802.1x認(rèn)證控制TSM不支持同時(shí)啟用802.1x交換機(jī)接入控制方式和Portal網(wǎng)關(guān)接入控制方式。配置普通賬號(hào)在TSM中，用戶管理涉及三個(gè)依次隸屬的概念：部門、終端用戶、賬號(hào)。一個(gè)部門可以包含多個(gè)終端用戶，一個(gè)終端用戶可包含多個(gè)賬號(hào)。賬號(hào)可以分為本地賬號(hào)和外部認(rèn)證源賬號(hào)（例如AD域賬號(hào)）兩種。本地賬號(hào)是指用戶名和密碼等信息都配置在TSM服務(wù)器上的普通賬號(hào)。外部認(rèn)證源賬號(hào)是指企業(yè)中另外部署了其他認(rèn)證服務(wù)器，為了確保終端用戶使用現(xiàn)有的賬號(hào)而不是新建賬號(hào)進(jìn)行認(rèn)證，TSM服務(wù)器上只同步外部認(rèn)證源賬號(hào)信息（不包括密碼），用戶直接使用外部認(rèn)證源賬號(hào)進(jìn)行網(wǎng)絡(luò)登錄。配置部門信息在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“部門用戶>部門用戶管理”，進(jìn)入“部門用戶管理”頁(yè)面。在右側(cè)操作區(qū)域選擇“部門”頁(yè)簽。在部門導(dǎo)航樹選擇待創(chuàng)建部門的上級(jí)部門。在“部門”頁(yè)簽下方單擊“增加”，出現(xiàn)“增加部門”對(duì)話框。輸入部門的參數(shù)后，單擊“確定”，出現(xiàn)“增加成功”的對(duì)話框。單擊“確定”，完成部門信息的創(chuàng)建。結(jié)束配置終端用戶信息在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“部門用戶>部門用戶管理”，進(jìn)入“部門用戶管理”頁(yè)面。在右側(cè)操作區(qū)域選擇“用戶”頁(yè)簽。在部門導(dǎo)航樹選擇需要?jiǎng)?chuàng)建終端用戶的目標(biāo)部門。在“用戶”頁(yè)簽下方單擊“增加”，出現(xiàn)“增加用戶”對(duì)話框。輸入終端用戶的參數(shù)后，單擊“確定”，出現(xiàn)“增加成功”的對(duì)話框。單擊“確定”，完成終端用戶信息的創(chuàng)建。結(jié)束配置本地賬號(hào)信息在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“部門用戶>部門用戶管理”，進(jìn)入“部門用戶管理”頁(yè)面。在右側(cè)操作區(qū)域選擇“用戶”頁(yè)簽。在“部門用戶管理”界面左側(cè)的部門導(dǎo)航樹選擇需要?jiǎng)?chuàng)建普通賬號(hào)的目標(biāo)部門?！安块T用戶管理”界面右側(cè)顯示該部門下的所有終端用戶。在需要?jiǎng)?chuàng)建普通賬號(hào)的終端用戶右側(cè)單擊。顯示終端用戶的賬戶列表。單擊“增加”，出現(xiàn)“增加賬號(hào)”對(duì)話框。輸入普通賬號(hào)的參數(shù)后，單擊“確定”，出現(xiàn)“增加成功”的對(duì)話框。普通賬號(hào)的登錄類型有Web、Agent、ActiveX三種，其含義如下：Web：表示允許終端用戶使用該賬號(hào)通過Web瀏覽器進(jìn)行身份認(rèn)證。Agent：表示允許終端用戶使用該賬號(hào)通過TSMAgent軟件進(jìn)行身份認(rèn)證。ActiveX：表示允許終端用戶使用該賬號(hào)通過Web瀏覽器的Agent插件進(jìn)行身份認(rèn)證。單擊“確定”，完成普通賬號(hào)信息的創(chuàng)建。結(jié)束配置按OU方式同步AD域賬號(hào)信息關(guān)于AD域控制服務(wù)器的設(shè)置，以及用戶賬號(hào)信息的創(chuàng)建的步驟，請(qǐng)參考相關(guān)產(chǎn)品的幫助或文檔，或者參考TSMServer軟件的聯(lián)機(jī)幫助文檔。本節(jié)只描述如何將AD域服務(wù)器上的AD賬號(hào)信息同步到TSM服務(wù)器的過程和步驟。啟用MicrosoftAD域認(rèn)證方式在TSM管理器的導(dǎo)航欄單擊“系統(tǒng)配置”。在左側(cè)菜單欄選擇“終端配置>全局參數(shù)”。出現(xiàn)“配置代理終端認(rèn)證類型”對(duì)話框。選中“允許AD域賬號(hào)認(rèn)證”。單擊“確定”，出現(xiàn)“修改成功”的對(duì)話框。單擊“確定”，完成配置。結(jié)束（可選）配置非MicrosoftAD域用戶啟用域賬號(hào)登錄在TSM管理器的導(dǎo)航欄單擊“系統(tǒng)配置”。在左側(cè)菜單欄選擇“終端配置>全局參數(shù)”。出現(xiàn)“終端代理自啟動(dòng)和非AD域用戶登錄”對(duì)話框。根據(jù)實(shí)際情況選擇是否允許未使用MicrosoftAD域賬號(hào)登錄的終端用戶通過MicrosoftAD域賬號(hào)進(jìn)行認(rèn)證。要允許未使用MicrosoftAD域賬號(hào)登錄的終端用戶通過MicrosoftAD域賬號(hào)進(jìn)行認(rèn)證，選中“配置非AD域用戶啟用域賬號(hào)登錄”右側(cè)的“啟用”。要禁止未使用MicrosoftAD域賬號(hào)登錄的終端用戶通過MicrosoftAD域賬號(hào)進(jìn)行認(rèn)證，選中“配置非AD域用戶啟用域賬號(hào)登錄”右側(cè)的“禁用”。單擊“確定”，出現(xiàn)“修改成功”的對(duì)話框。單擊“確定”，完成配置。結(jié)束配置MicrosoftAD域控制器的連接參數(shù)在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“外部數(shù)據(jù)源>AD服務(wù)器”。單擊“增加”，出現(xiàn)“增加AD”對(duì)話框。詳細(xì)參數(shù)解釋如REF_Ref299610550\r\h表6-3所示。參數(shù)類型說明同步類型必填項(xiàng)設(shè)置是否從MicrosoftAD域控制器同步節(jié)點(diǎn)與賬號(hào)。按OU同步MicrosoftAD域賬號(hào)時(shí)，選擇“按OU同步”。認(rèn)證源必填項(xiàng)設(shè)置MicrosoftAD域控制器的名稱，方便管理員區(qū)分TSM與哪一臺(tái)MicrosoftAD域控制器聯(lián)動(dòng)。該名稱不能與已配置的認(rèn)證源名稱重復(fù)，最大長(zhǎng)度為100byte。類型無顯示外部認(rèn)證源的類型。主服務(wù)器地址必填項(xiàng)輸入MicrosoftAD域控制器的IP地址。備用服務(wù)器地址選填項(xiàng)如果MicrosoftAD域控制器采用主備方式部署，請(qǐng)輸入MicrosoftAD備份域控制器的IP地址。端口必填項(xiàng)輸入MicrosoftAD域控制器提供目錄服務(wù)的端口號(hào)。在安裝MicrosoftAD域控制器時(shí)，如果不配置SSL，MicrosoftAD域控制器默認(rèn)使用389作為服務(wù)端口。如果配置了SSL，MicrosoftAD域控制器默認(rèn)使用636作為服務(wù)端口。除非在安裝規(guī)劃時(shí)改變了服務(wù)端口，否則請(qǐng)保持默認(rèn)值。服務(wù)器域名必填項(xiàng)輸入MicrosoftAD域控制器的域名?；鶞?zhǔn)DN必填項(xiàng)輸入根節(jié)點(diǎn)的DN。同步賬號(hào)必填項(xiàng)輸入在MicrosoftAD域控制器中創(chuàng)建的同步賬號(hào)。同步密碼必填項(xiàng)輸入“同步賬號(hào)”對(duì)應(yīng)的密碼。認(rèn)證賬號(hào)選填項(xiàng)輸入在MicrosoftAD域控制器中創(chuàng)建的認(rèn)證賬號(hào)。認(rèn)證密碼選填項(xiàng)輸入“認(rèn)證賬號(hào)”對(duì)應(yīng)的密碼。AD故障時(shí)，允許AD認(rèn)證直接通過(Kerberos除外)選填項(xiàng)設(shè)置當(dāng)MicrosoftAD域控制器出現(xiàn)故障時(shí)，是否取消向MicrosoftAD域控制器驗(yàn)證終端用戶身份的過程。該參數(shù)僅適用于非Kerberos認(rèn)證流程。選中該項(xiàng)，當(dāng)MicrosoftAD域賬號(hào)認(rèn)證不采用Kerberos認(rèn)證流程時(shí)，只要終端用戶使用的MicrosoftAD域賬號(hào)已經(jīng)同步到TSM管理器，則終端用戶能夠認(rèn)證通過。啟用SSL選填項(xiàng)設(shè)置是否啟用SSL。啟用SSL后，TSM與MicrosoftAD域控制器聯(lián)動(dòng)時(shí)，將采用SSL協(xié)議加密，能夠提高聯(lián)動(dòng)過程的安全性。在TSM配置啟用SSL的前提條件是：已經(jīng)在MicrosoftAD域控制器完成了SSL的相關(guān)配置。有關(guān)在MicrosoftAD域控制器配置SSL的操作請(qǐng)參見MicrosoftAD域控制器的相關(guān)文檔。輸入MicrosoftAD域控制器的連接參數(shù)后，單擊“確定”，出現(xiàn)“增加成功”的對(duì)話框。單擊“確定”，完成MicrosoftAD域控制器的連接參數(shù)的配置。結(jié)束配置部門信息請(qǐng)參見“REF_Ref300732186\r\h6.3.1REF_Ref300732188\h配置普通賬號(hào)”中的“REF_Ref299610763\h配置部門信息”。設(shè)置MicrosoftAD域賬號(hào)支持的接入方式在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“外部數(shù)據(jù)源>AD服務(wù)器”，出現(xiàn)外部認(rèn)證源列表。單擊認(rèn)證源右側(cè)的。出現(xiàn)“外部認(rèn)證源配置”對(duì)話框。在“登錄類型”中選中需要支持的接入受控網(wǎng)絡(luò)的方式。單擊“確定”，出現(xiàn)“設(shè)置成功”的對(duì)話框。單擊“確定”，完成配置。結(jié)束（可選）自定義TSM管理器與MicrosoftAD域控制器字段的關(guān)聯(lián)關(guān)系在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“外部數(shù)據(jù)源>AD服務(wù)器”，出現(xiàn)外部認(rèn)證源列表。單擊認(rèn)證源右側(cè)的。出現(xiàn)“外部認(rèn)證源配置”對(duì)話框。選擇“部門”頁(yè)簽。輸入部門參數(shù)。選擇“用戶”頁(yè)簽。輸入終端用戶參數(shù)。選擇“其它”頁(yè)簽。輸入其它參數(shù)。單擊“確定”，出現(xiàn)“設(shè)置成功”的對(duì)話框。單擊“確定”，完成配置。結(jié)束關(guān)聯(lián)源DN與目標(biāo)部門指定源節(jié)點(diǎn)與目標(biāo)部門的關(guān)聯(lián)關(guān)系，以便源節(jié)點(diǎn)的子節(jié)點(diǎn)及其賬號(hào)能夠同步復(fù)制到TSM管理器的目標(biāo)部門。在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“外部數(shù)據(jù)源>同步范圍”。單擊“增加OU同步”。出現(xiàn)設(shè)置源DN和目標(biāo)部門的關(guān)聯(lián)對(duì)話框。設(shè)置源DN與目標(biāo)部門的關(guān)聯(lián)參數(shù)，單擊“確定”，出現(xiàn)“增加成功”對(duì)話框。單擊“確定”，完成源DN和目標(biāo)部門的關(guān)聯(lián)。結(jié)束配置同步任務(wù)的執(zhí)行周期在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“外部數(shù)據(jù)源>AD服務(wù)器”，出現(xiàn)外部認(rèn)證源列表。單擊認(rèn)證源右側(cè)的。出現(xiàn)“自動(dòng)同步設(shè)置”對(duì)話框。設(shè)置自動(dòng)同步參數(shù)，單擊“確定”，出現(xiàn)“設(shè)置成功”的對(duì)話框。單擊“確定”，完成配置。結(jié)束立即同步子節(jié)點(diǎn)和賬號(hào)在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“外部數(shù)據(jù)源>AD服務(wù)器”，出現(xiàn)外部認(rèn)證源列表。單擊認(rèn)證源右側(cè)的。出現(xiàn)“同步任務(wù)開始執(zhí)行”對(duì)話框。單擊“確定”，等待同步任務(wù)完成。結(jié)束配置Portal認(rèn)證控制配置Portal網(wǎng)關(guān)在TSM管理器頂部單擊“接入控制”。在左側(cè)的菜單欄中選擇“接入控制配置>PORTAL網(wǎng)關(guān)”。選擇“PORTAL網(wǎng)關(guān)”頁(yè)簽。單擊“增加”。出現(xiàn)Portal網(wǎng)關(guān)配置對(duì)話框。輸入Portal網(wǎng)關(guān)的連接參數(shù)。單擊“增加”，出現(xiàn)“增加IP地址段”對(duì)話框。輸入起始IP地址和結(jié)束IP地址。單擊“確定”，關(guān)閉“增加IP地址段”對(duì)話框。完成IP地址段的配置，將終端主機(jī)所在網(wǎng)段加入IP地址列表，表示對(duì)這些IP地址段啟用Portal認(rèn)證網(wǎng)關(guān)。單擊“確定”，出現(xiàn)“增加成功”對(duì)話框。單擊“確定”，完成配置。結(jié)束配置隔離域在TSM管理器頂部單擊“接入控制”。在左側(cè)的菜單欄中選擇“接入控制配置>PORTAL網(wǎng)關(guān)”。選擇“隔離域”頁(yè)簽。單擊“增加”，出現(xiàn)隔離域配置對(duì)話框。輸入隔離域的相關(guān)參數(shù)。單擊“增加”。出現(xiàn)“增加規(guī)則”對(duì)話框。輸入規(guī)則的相關(guān)參數(shù)。單擊“確定”，完成規(guī)則的配置并返回隔離域配置對(duì)話框。單擊“確定”，出現(xiàn)“增加成功”對(duì)話框。單擊“確定”，完成隔離域的配置。結(jié)束配置認(rèn)證后域在TSM管理器頂部單擊“接入控制”。在左側(cè)的菜單欄中選擇“接入控制配置>PORTAL網(wǎng)關(guān)”。選擇“后域”頁(yè)簽。單擊“增加”，出現(xiàn)認(rèn)證后域配置對(duì)話框。輸入認(rèn)證后域的相關(guān)參數(shù)。單擊“增加”。出現(xiàn)“增加規(guī)則”對(duì)話框。輸入規(guī)則的相關(guān)參數(shù)。單擊“確定”，完成規(guī)則的配置并返回認(rèn)證后域配置對(duì)話框。單擊“確定”，出現(xiàn)“增加成功”對(duì)話框。單擊“確定”，完成認(rèn)證后域的配置。結(jié)束將隔離域和認(rèn)證后域應(yīng)用到部門在TSM管理器的導(dǎo)航欄單擊“部門管理”。在左側(cè)菜單欄選擇“部門用戶>部門用戶管理”。選擇“部門”頁(yè)簽。在部門導(dǎo)航樹中選中待應(yīng)用隔離域和認(rèn)證后域的部門，然后在工具欄單擊“部門接入控制管理”。選擇“自定義設(shè)置”。選擇“PORTAL網(wǎng)關(guān)”頁(yè)簽。設(shè)置開發(fā)部的隔離域和認(rèn)證后域。單擊“確定”，出現(xiàn)“設(shè)置成功”對(duì)話框。單擊“確定”，完成隔離域和認(rèn)證后域到部門的應(yīng)用。結(jié)束配置802.1x認(rèn)證控制本節(jié)所描述的配置步驟和過程是基于802.1x標(biāo)準(zhǔn)協(xié)議（交換機(jī)組中的交換機(jī)類型選擇除“華為NAC系列”之外的類型），該種方式下無法基于部門和角色對(duì)用戶權(quán)限進(jìn)行控制。如果選擇的是華為NAC系列，則還可以配置隔離域、認(rèn)證后域，并應(yīng)用到部門或者具體賬號(hào)。主要注意的是，802.1x認(rèn)證中的隔離域和認(rèn)證后域的配置方式與Portal認(rèn)證的配置方式有所不同，相關(guān)詳細(xì)配置請(qǐng)參考TSMServer的幫助文檔。配置交換機(jī)組在TSM管理器的導(dǎo)航欄單擊“接入控制”。在左側(cè)菜單欄選擇“接入控制配置>802.1x交換機(jī)”。選擇“交換機(jī)組”頁(yè)簽。單擊“增加”，輸入交換機(jī)組的相關(guān)參數(shù)。參數(shù)說明組名稱輸入交換機(jī)組的唯一名稱。交換機(jī)類型選擇該交換機(jī)組中交換機(jī)的廠家類型，未在下拉列表中單獨(dú)列出的交換機(jī)類型，請(qǐng)選擇其他類型。認(rèn)證密鑰交換機(jī)上配置的與TSM控制器通信的認(rèn)證加密密鑰。啟用計(jì)費(fèi)功能少數(shù)交換機(jī)需要啟用計(jì)費(fèi)功能，才能使認(rèn)證通過的終端主機(jī)長(zhǎng)時(shí)間保持端口開放，服務(wù)器上配置啟用該功能用于配合交換機(jī)完成計(jì)費(fèi)。計(jì)費(fèi)密鑰如果配置啟用計(jì)費(fèi)功能，此處填寫交換機(jī)上配置的計(jì)費(fèi)加密密鑰。接入控制方式當(dāng)“交換機(jī)類型”設(shè)置為“華為NAC系列”時(shí)，設(shè)置是通過“動(dòng)態(tài)VLAN”還是“動(dòng)態(tài)ACL”來實(shí)現(xiàn)接入控制。在使用標(biāo)準(zhǔn)802.1x協(xié)議的交換機(jī)實(shí)施接入控制時(shí)不能選擇接入控制方式。單擊“確定”，出現(xiàn)“保存配置信息成功”對(duì)話框。單擊“確定”，完成交換機(jī)組的配置。結(jié)束配置交換機(jī)列表配置交換機(jī)組成功后，會(huì)自動(dòng)跳轉(zhuǎn)到交換機(jī)列表界面。單擊“增加”，出現(xiàn)“增加交換機(jī)”對(duì)話框。輸入交換機(jī)的參數(shù)。參數(shù)說明地址類型IP地址：通過增加IP地址增加一臺(tái)交換機(jī)。IP段：指定一個(gè)地址段，該IP地址段中的所有地址均是交換機(jī)的IP地址。子網(wǎng)：通過地址+掩碼的方式指定一個(gè)子網(wǎng)，該子網(wǎng)中所有的IP地址均為交換機(jī)的IP地址。交換機(jī)可能配置了多個(gè)IP地址，NAS-IP是交換機(jī)專門供RADIUS通信用的地址，添加的交換機(jī)IP地址必須是交換機(jī)的NAS-IP，否則會(huì)產(chǎn)生“radiusnoresponse”錯(cuò)誤。如果交換機(jī)沒有提供配置NAS-IP的命令，則應(yīng)在交換機(jī)路由表中查找到達(dá)TSM控制器的出接口，出接口對(duì)應(yīng)的IP地址作為添加交換機(jī)時(shí)輸入的IP地址。描述輸入交換機(jī)的描述信息，方便管理員維護(hù)該交換機(jī)列表。單擊“確定”，出現(xiàn)“增加交換機(jī)成功”對(duì)話框。單擊“確定”，完成交換機(jī)的配置。結(jié)束配置TSMAgent很多情況下，TSMAgent的安裝程序已經(jīng)根據(jù)企業(yè)的部署需求，由網(wǎng)絡(luò)管理員或華為技術(shù)支持工程師完成定制，此時(shí)終端用戶只需要完成軟件的安裝后，即可進(jìn)行認(rèn)證并接入網(wǎng)絡(luò)，無需進(jìn)行額外的配置。在終端上安裝TSMAgent軟件，具體過程略。安裝完成后，Windows桌面的系統(tǒng)托盤中會(huì)出現(xiàn)TSMAgent的圖標(biāo)。表示終端用戶未進(jìn)行認(rèn)證。雙擊圖標(biāo)，打開TSMAgent認(rèn)證界面。在賬號(hào)和密碼框中分別輸入用戶名和密碼。然后根據(jù)需要選擇是否“保存密碼”和“自動(dòng)認(rèn)證”。用戶名和密碼必須已在TSM服務(wù)器上注冊(cè)，詳細(xì)過程請(qǐng)參見“REF_Ref300732506\r\h6.3.1REF_Ref300732510\h配置普通賬號(hào)”或者“REF_Ref300732519\r\h6.3.2REF_Ref300732521\h配置按OU方式同步AD域賬號(hào)信息”。如果是首次使用TSMAgent，則單擊“高級(jí)設(shè)置”按鈕，展開高級(jí)設(shè)置選項(xiàng)。在“服務(wù)器”中輸入TSM認(rèn)證服務(wù)器的IP地址。如果要使用802.1x認(rèn)證，則選中“啟用802.1x協(xié)議”復(fù)選框，并且根據(jù)需要選擇是否啟用安全認(rèn)證（推薦啟用）以及802.1x的接入?yún)f(xié)議（推薦使用標(biāo)準(zhǔn)協(xié)議即可）。如果使用Portal認(rèn)證，則不選中“啟用802.1x協(xié)議”復(fù)選框。單擊“保存”按鈕，保存所有的高級(jí)設(shè)置。單擊“認(rèn)證”按鈕，客戶端發(fā)起認(rèn)證。如果認(rèn)證通過，則系統(tǒng)托盤中的圖標(biāo)變成，表示終端用戶成功通過身份認(rèn)證和安全認(rèn)證。用戶可以正常訪問網(wǎng)絡(luò)。如果系統(tǒng)托盤中的圖標(biāo)為，表示終端用戶已經(jīng)通過安全認(rèn)證，但是終端主機(jī)存在違規(guī)信息。如果系統(tǒng)托盤中的圖標(biāo)為，表示終端用戶未通過安全認(rèn)證，終端主機(jī)的網(wǎng)絡(luò)訪問受限。結(jié)束上述配置過程是以普通賬號(hào)來進(jìn)行舉例的。在企業(yè)網(wǎng)絡(luò)中，用戶也可以通過AD域賬號(hào)進(jìn)行認(rèn)證。如REF_Ref299546048\r\h圖6-33所示。如果用戶使用AD域賬號(hào)登錄，則需要注意以下幾點(diǎn)：需要另外部署域控制服務(wù)器，在域服務(wù)器上配置用戶名和密碼。有關(guān)于控制服務(wù)器的配置請(qǐng)按照相關(guān)產(chǎn)品的文檔指導(dǎo)進(jìn)行。TSM服務(wù)器上只需要同步配置AD域用戶賬號(hào)。請(qǐng)參考“REF_Ref300732519\r\h6.3.2REF_Ref300732521\h配置按OU方式同步AD域賬號(hào)信息”。用戶終端需要加入域，詳細(xì)配置請(qǐng)參考終端操作系統(tǒng)（例如Windows）的幫助文檔。配置舉例部署基于802.1x認(rèn)證的NAC系統(tǒng)組網(wǎng)需求企業(yè)的園區(qū)網(wǎng)中，將網(wǎng)絡(luò)分為接入、匯聚和核心三層。在接入層交換機(jī)上，使用802.1x認(rèn)證對(duì)部門A和部門B的接入用戶進(jìn)行認(rèn)證，認(rèn)證服務(wù)器使用TSMServer。如REF_Ref302137739\r\h圖6-34所示。園區(qū)中的數(shù)據(jù)中心分為認(rèn)證前域（包括DHCP服務(wù)器、DNS服務(wù)器和TSM服務(wù)器）、隔離域（包括補(bǔ)丁服務(wù)器和病毒庫(kù)服務(wù)器）和認(rèn)證后域（企業(yè)的業(yè)務(wù)服務(wù)器）。用戶未認(rèn)證前只能訪問認(rèn)證前域。用戶通過認(rèn)證后，如果終端不安全，則只能訪問隔離域中的服務(wù)器進(jìn)行補(bǔ)丁修復(fù)和病毒庫(kù)升級(jí)。當(dāng)用戶通過認(rèn)證并且終端安全時(shí)，可正常訪問業(yè)務(wù)服務(wù)器。數(shù)據(jù)準(zhǔn)備配置項(xiàng)配置子項(xiàng)數(shù)據(jù)接口和VLANACC1~ACC2用戶認(rèn)證前VLAN：11用戶隔離VLAN：12用戶認(rèn)證后VLAN：13交換機(jī)上行VLAN：14AGG3~ACC4用戶認(rèn)證前VLAN：21用戶隔離VLAN：22用戶認(rèn)證后VLAN：23交換機(jī)上行VLAN：24AGG1上行VLAN：101AGG2上行VLAN：102CORE認(rèn)證前域VLAN：201隔離域VLAN：202認(rèn)證后域VLAN：203設(shè)備IP地址ACC1VLANIF14：/24ACC2VLANIF14：/24ACC3VLANIF24：/24ACC4VLANIF24：/24AGG1VLANIF11：/24VLANIF12：/24VLANIF13：/24VLANIF14：/24VLANIF101：/24Loopback0：/32AGG2VLANIF21：/24VLANIF22：/24VLANIF23：/24VLANIF24：/24VLANIF102：/24Loopback0：/32COREVLANIF101：/24VLANIF102：/24VLANIF201：/24VLANIF202：/24VLANIF203：/24Loopback0：/32服務(wù)器IP地址TSM服務(wù)器DHCP服務(wù)器DNS服務(wù)器補(bǔ)丁服務(wù)器病毒庫(kù)服務(wù)器業(yè)務(wù)服務(wù)器操作步驟配置接口和VLAN。#配置接入交換機(jī)ACC1的接口和VLAN。當(dāng)需要把用戶側(cè)接口配置為802.1x認(rèn)證時(shí)，不要配置接口類型，使用默認(rèn)的Hybrid類型即可。也不要配置默認(rèn)VLAN。ACC2的配置與ACC1相似，但VLANIF14的IP地址為。#配置接入交換機(jī)ACC3的接口和VLAN。ACC4的配置與ACC3相似，但是VLANIF14的IP地址為。#配置匯聚交換機(jī)AGG1的接口和VLAN。#配置匯聚交換機(jī)AGG2的接口和VLAN。#配置核心交換機(jī)CORE的接口和VLAN。配置路由協(xié)議。#配置AGG1上的路由協(xié)議。#配置AGG2上的路由協(xié)議。#配置CORE1上的路由協(xié)議。配置DHCP。#在DHCP服務(wù)器上分別配置如下6個(gè)地址池：地址池1：/24，網(wǎng)關(guān)地址：，DNS地址：地址池2：/24，網(wǎng)關(guān)地址：，DNS地址：地址池3：/24，網(wǎng)關(guān)地址：，DNS地址：地址池4：/24，網(wǎng)關(guān)地址：，DNS地址：地址池5：/24，網(wǎng)關(guān)地址：，DNS地址：地址池6：/24，網(wǎng)關(guān)地址：，DNS地址：具體配置過程略。#配置ACC1上的DHCPSnooping功能。ACC2、ACC3、ACC4的配置與ACC1相同。#配置AGG1上的DHCPRelay功能。#配置AGG2上的DHCPRelay功能。配置AAA功能。#配置ACC1上的AAA功能。ACC2~ACC4上的配置與ACC1相同。配置802.1x認(rèn)證。#在ACC1上配置802.1x認(rèn)證。ACC2的配置與ACC1相同。#在ACC3上配置802.1x認(rèn)證。ACC4的配置與ACC3相同。配置TSM服務(wù)器。TSM服務(wù)器上的配置請(qǐng)參考“REF_Ref302134291\r\h6.3REF_Ref302134293\h配置TSM服務(wù)器”。在TSM服務(wù)器上需要配置隔離域和認(rèn)證后域，并且為每個(gè)交換機(jī)指定隔離域和認(rèn)證后域的動(dòng)態(tài)VLAN。ACC1和ACC2的隔離域動(dòng)態(tài)VLAN為12，認(rèn)證后域的動(dòng)態(tài)VLAN為13。ACC3和ACC4的隔離域動(dòng)態(tài)VLAN為22，認(rèn)證后域的動(dòng)態(tài)VLAN為23。結(jié)束配置文件ACC1配置文件ACC2配置與ACC1相似，唯一不同的是VLANIF14的IP地址為。ACC3配置文件ACC4配置與ACC3相似，唯一不同的是VLANIF24的IP地址為。AGG1配置文件AGG2配置文件CORE的配置文件部署基于Portal認(rèn)證的NAC系統(tǒng)組網(wǎng)需求企業(yè)的園區(qū)網(wǎng)中，將網(wǎng)絡(luò)分為接入、匯聚和核心三層。在匯聚層交換機(jī)上，使用Portal認(rèn)證對(duì)部門A和部門B的接入用戶進(jìn)行認(rèn)證，認(rèn)證服務(wù)器使用TSMServer。如REF_Ref302137567\r\h圖6-35所示。園區(qū)中的數(shù)據(jù)中心分為認(rèn)證前域（包括DHCP服務(wù)器、DNS服務(wù)器和TSM服務(wù)器）、隔離域（包括補(bǔ)丁服務(wù)器和病毒庫(kù)服務(wù)器）和認(rèn)證后域（企業(yè)的業(yè)務(wù)服務(wù)器）。用戶未認(rèn)證前只能訪問認(rèn)證前域。用戶通過認(rèn)證后，如果終端不安全，則只能訪問隔離域中的服務(wù)器進(jìn)行補(bǔ)丁修復(fù)和病毒庫(kù)升級(jí)。當(dāng)用戶通過認(rèn)證并且終端安全時(shí)，可正常訪問業(yè)務(wù)服務(wù)器。數(shù)據(jù)準(zhǔn)備配置項(xiàng)配置子項(xiàng)數(shù)據(jù)接口和VLANACC1~ACC2部門A用戶接入VLAN：11AGG3~ACC4部門B用戶接入VLAN：12AGG1上行VLAN：101AGG2上行VLAN：102CORE認(rèn)證前域VLAN：201隔離域VLAN：202認(rèn)證后域VLAN：203設(shè)備IP地址AGG1VLANIF1：/24VLANIF101：/24Loopback0：/32AGG2VLANIF2：/24VLANIF102：/24Loopback0：/32COREVLANIF101：/24VLANIF102：/24VLANIF201：/24VLANIF202：/24VLANIF203：/24Loopback0：/32服務(wù)器IP地址TSM服務(wù)器DHCP服務(wù)器DNS服務(wù)器補(bǔ)丁服務(wù)器病毒庫(kù)服務(wù)器業(yè)務(wù)服務(wù)器操作步驟配置接口和VLAN。#配置接入交換機(jī)ACC1的接口和VLAN。ACC2的配置與ACC1相同。#配置接入交換機(jī)ACC3的接口和VLAN。ACC4的配置與ACC3相同。#配置匯聚交換機(jī)AGG1的接口和VLAN。#配置匯聚交換機(jī)AGG2的接口和VLAN。#配置核心交換機(jī)CORE的接口和VLAN。配置路由協(xié)議。#配置AGG1上的路由協(xié)議。#配置AGG2上的路由協(xié)議。#配置CORE1上的路由協(xié)議。配置DHCP。#在DHCP服務(wù)器上分別配置如下兩個(gè)地址池：地址池1：/24，網(wǎng)關(guān)地址：，DNS地址：地址池2：/24，網(wǎng)關(guān)地址：，DNS地址：具體配置過程略。#配置ACC1上的DHCPSnooping功能。ACC2、ACC3、ACC4的配置與ACC1相同。#配置AGG1上的DHCPRelay功能。#配置AGG2上的DHCPRelay功能。配置AAA功能。#配置AGG1上的AAA功能。AGG2上的配置與AGG1相同。配置Portal認(rèn)證。#在AGG1上配置Portal認(rèn)證。#在AGG2上配置Portal認(rèn)證。配置TSM服務(wù)器。TSM服務(wù)器上的配置請(qǐng)參考“REF_Ref302134291\r\h6.3REF_Ref302134293\h配置TSM服務(wù)器”。結(jié)束配置文件ACC1配置文件ACC2~ACC4配置類似。ACC2配置VLAN是11，ACC3~ACC4配置VLAN是12。AGG1配置文件AGG2配置文件CORE的配置文件VoIP語音部署概述企業(yè)語音業(yè)務(wù)簡(jiǎn)介在大型企業(yè)中，可以基于IP網(wǎng)絡(luò)自建語音通信系統(tǒng)，可以使企業(yè)內(nèi)部的語音通信不再需要通信費(fèi)用，從而節(jié)省了企業(yè)的運(yùn)營(yíng)成本。建設(shè)IP語音通信系統(tǒng)面臨的挑戰(zhàn)是如何在IP網(wǎng)絡(luò)基礎(chǔ)上，既可以保護(hù)原有投資和用戶使用習(xí)慣，又可以讓企業(yè)的語音業(yè)務(wù)和數(shù)據(jù)業(yè)務(wù)在同一張IP網(wǎng)絡(luò)上協(xié)調(diào)運(yùn)作，同時(shí)可以滿足IP語音通信后續(xù)的發(fā)展及用戶數(shù)量的擴(kuò)容需求。在企業(yè)中部署IP語音業(yè)務(wù)，需要重點(diǎn)考慮如下內(nèi)容。呼叫控制方案呼叫控制方案分為集中式、分布式和混合型三種。集中式呼叫控制企業(yè)總部集中部署IPPBX（AR/SoftCo），分支機(jī)構(gòu)的語音網(wǎng)關(guān)（VG）部署為AG形態(tài)，分支與企業(yè)總部之間通過WAN/MAN連接?？偛颗c分支的語音用戶全部注冊(cè)到企業(yè)總部的IPPBX?？偛縄PPBX為企業(yè)內(nèi)所有用戶提供呼叫控制服務(wù)，并且提供與本地運(yùn)營(yíng)商互通。集中式呼叫控制比較適合企業(yè)在同一個(gè)區(qū)域的情況。分布式呼叫控制企業(yè)總部和各分支機(jī)構(gòu)分別部署IPPBX，分支與總部之間通過企業(yè)IP專網(wǎng)連接?？偛颗c分支的IPPBX分別完成本地用戶的注冊(cè)和呼叫控制，總部IPPBX為各個(gè)分支互通提供呼叫路由，形成總部為一級(jí)呼叫路由，分支為二級(jí)呼叫路由的結(jié)構(gòu)?？偛亢头种У腎PPBX分別完成與當(dāng)?shù)剡\(yùn)營(yíng)商的PTSN網(wǎng)絡(luò)的互通。分布式呼叫控制比較適合企業(yè)在不同區(qū)域的情況?；旌闲秃艚锌刂苹旌闲秃艚锌刂剖巧鲜鰞煞N方式的結(jié)合，該方案針對(duì)企業(yè)分布復(fù)雜，既有同區(qū)域分支，也有不同區(qū)域的分支的情況，分別采用不同的呼叫控制方式。如果某個(gè)區(qū)域有多個(gè)分支，則可以選擇其中較大的一個(gè)分支部署IPPBX，而其余分支部署AG，由大分支的IPPBX完成該區(qū)域所有分支的呼叫控制。終端接入方式在企業(yè)的IP語音通信系統(tǒng)中，主要的終端類型有模擬電話（POTS話機(jī)）、IP電話（SIP話機(jī)）、PC軟終端和傳真機(jī)等。POTS話機(jī)接入POTS話機(jī)的接入方式主要有如下幾種：POTS話機(jī)通過FXS線路接到AG，再接到IPPBX。POTS話機(jī)通過FXS線路接到IAD設(shè)備，IAD設(shè)備通過以太網(wǎng)接到IPPBX。POTS話機(jī)通過FXS線路接到TDMPBX設(shè)備，TDMPBX設(shè)備通過E1線路接到IPPBX。SIP話機(jī)接入SIP話機(jī)通過LAN網(wǎng)絡(luò)接入并注冊(cè)到IPPBX設(shè)備。PC軟終端PC軟終端通過LAN網(wǎng)絡(luò)接入并注冊(cè)到IPPBX設(shè)備。傳真機(jī)接入傳真機(jī)的接入方式與POTS話機(jī)接入方式相同。原有電話系統(tǒng)接入原有語音通信系統(tǒng)中有大量已有的投資，如TDMPBX、POTS話機(jī)，新建IP語音通信系統(tǒng)應(yīng)充分考慮對(duì)原有投資的利用。對(duì)于企業(yè)語音通信系統(tǒng)的更新，原有設(shè)備的處理方案有二種方案：原有連接PSTN網(wǎng)絡(luò)的TDMPBX設(shè)備，將原來連接PSTN網(wǎng)絡(luò)的E1/FXO接口切換接入到企業(yè)出口多業(yè)務(wù)路由器AR設(shè)備上，從而保證原有設(shè)備的充分利用。對(duì)于TDMPBX設(shè)備下的語音用戶比較多，同時(shí)還有一定擴(kuò)容能力的TDMPBX設(shè)備，可以通過E1接口將AR的語音用戶轉(zhuǎn)到TDMPBX設(shè)備，再通過TDMPBX設(shè)備連接到PSTN網(wǎng)絡(luò)。號(hào)碼規(guī)劃企業(yè)的號(hào)碼規(guī)劃一般有DDI方式和非DDI兩種方式。規(guī)劃方式說明DDI方式企業(yè)內(nèi)部的每部電話都有一個(gè)長(zhǎng)號(hào)，同時(shí)企業(yè)內(nèi)部將長(zhǎng)號(hào)的后四位或后五位作為每部電話的短號(hào)，企業(yè)內(nèi)部的拔號(hào)直接通過短號(hào)互拔。企業(yè)拔打公網(wǎng)語音用戶，則通過拔打出局字冠+被叫號(hào)碼進(jìn)行出局形成出局呼叫。公網(wǎng)語音用戶拔打企業(yè)語音用戶時(shí)，可以直接使用企業(yè)語音用戶的長(zhǎng)號(hào)進(jìn)行拔號(hào)通信。非DDI方式非DDI方式下的企業(yè)號(hào)碼規(guī)劃，企業(yè)內(nèi)部的每部電話分配一個(gè)短號(hào)，企業(yè)內(nèi)部的拔號(hào)直接通過短號(hào)互拔。企業(yè)內(nèi)部語音用戶拔打公網(wǎng)語音用戶時(shí)，通過IPPBX智能選擇一個(gè)空閑出局號(hào)碼，形成出局呼叫。公網(wǎng)語音用戶拔打企業(yè)語音用戶時(shí)，外線先拔總機(jī)號(hào)碼，再按照語音提示轉(zhuǎn)發(fā)分機(jī)號(hào)碼進(jìn)行拔號(hào)通信。對(duì)于不同類型的企業(yè)進(jìn)行號(hào)碼規(guī)劃方式的選擇建議如下：外貿(mào)型企業(yè)，企業(yè)的語音通信主要是對(duì)外，建議采用DDI的方式進(jìn)行企業(yè)語音用戶的號(hào)碼規(guī)劃。生產(chǎn)型企業(yè)，企業(yè)的語音通信主要是內(nèi)部通信，建議采用非DDI方式進(jìn)行企業(yè)語音用戶的號(hào)碼規(guī)劃，同時(shí)根據(jù)對(duì)外的業(yè)務(wù)分析來確定企業(yè)內(nèi)部語音用戶拔打外線的收斂比例。PSTN/PLMN出局PSTN/PLMN出局主要有三個(gè)作用：提供企業(yè)內(nèi)部語音用戶與PSTN/PLMN公網(wǎng)語音用戶進(jìn)行語音互通。提供語音用戶拔打有企業(yè)分支的地區(qū)時(shí)，通過企業(yè)IP網(wǎng)絡(luò)出局到被叫語音用戶所在地，再通過企業(yè)分支出局到PSTN/PLMN網(wǎng)絡(luò)，從而使企業(yè)的長(zhǎng)途通話，只花費(fèi)被叫用戶的本地市話費(fèi)。提供企業(yè)語音用戶的故障保護(hù)，在總部與分支之間的IP網(wǎng)絡(luò)出現(xiàn)問題后，企業(yè)的語音用戶可以通過PSTN/PLMN網(wǎng)絡(luò)進(jìn)行語音用戶保護(hù)。對(duì)于集中式呼叫控制的企業(yè)，由企業(yè)總部的IPPBX統(tǒng)一出局，與