360NAC快速安装手册18.docx
- 文档编号:30727286
- 上传时间:2023-08-19
- 格式:DOCX
- 页数:27
- 大小:1.21MB
360NAC快速安装手册18.docx
《360NAC快速安装手册18.docx》由会员分享,可在线阅读,更多相关《360NAC快速安装手册18.docx(27页珍藏版)》请在冰豆网上搜索。
360NAC快速安装手册18
360NAC快速安装手册
作者刘光辉赵娜日期2014-12-30
修订保密级别:
低
目录
1.360NAC解决方案3
1.1部署拓扑3
2.基本原理4
2.1360NAC工作流程图4
2.2360NAC工作流程图详述4
3.360NAC部署配置5
3.1NAC默认设置5
3.2天擎服务器配置6
3.3交换机配置6
3.4NAC服务器配置7
4.360NAC流程选择9
4.1360NAC流程一部署9
4.2360NAC流程二部署10
4.3360NAC流程三部署12
修订记录
日期
版本
作者
评审
备注
2014-6-4
1.1
刘光辉
赵娜
2014-6-4
1.2
刘光辉
赵娜
2014-6-4
1.3
刘光辉
赵娜
2014-6-4
1.4
赵娜
赵娜
2014-7-9
1.5
刘光辉
赵娜
2014-11-11
1.6
刘光辉
2014-11-17
1.7
刘光辉
2014-12-30
1.8
刘光辉
增加各种类型交换机1X配置与对应360nac配置。
1.360NAC解决方案
1.1部署拓扑
当前解决方案是着眼于国税项目,使用阻断方式来干扰终端正常网络访问,来达到准入功能。
其网络部署及数据流如下图:
图1.1
2.基本原理
2.1360NAC工作流程图
2.2360NAC工作流程图详述
其中NAC中导入交换机中的镜像流量,NAC上配置受保护服务器区域和可信终端,选择NAC服务器处理流程。
NAC服务器流程一,终端准入流程如下:
(1)终端访问正常网络,NAC服务器监听到该行为,判断目标地址是否为受保护的区域:
如果不是,跳到(6);如果是,跳到
(2)。
(2)判断终端是否是可信终端:
如果是,跳到(6),如果不是跳到(3)。
(3)查询是否有该终端的心跳信息:
如果有,跳到(6),如果没有,跳到(4)。
(4)判断终端连接是类型,如果不是TCP,跳到(6),如果是TCP,跳到(5)。
(5)根据端口判断终端连接是否为HTTP:
如果是,伪造http302重定向包,重定向到终端安装地址,如果不是,伪造TCPreset包。
(6)放行不做任何处理。
注:
NAC服务器流程一,安装天擎-入网
NAC服务器流程二,终端准入流程如下:
(1)终端访问正常网络,NAC服务器监听到该行为,判断目标地址是否为受保护的区域:
如果不是,跳到(8);如果是,跳到
(2)。
(2)判断终端是否是可信终端:
如果是,跳到(8),如果不是可信用户跳到(3)。
(3)判断用户是否已注册:
如果是,跳到流程(4),如果不是则丢弃终端心跳并跳到(6)。
(4)提示用户安装天擎客户端:
如果以安装跳到(5)。
(5)查询是否有该终端的心跳信息:
如果有,跳到(8),如果没有,跳到(6)。
(6)判断终端连接类型,如果不是TCP,跳到(8),如果是TCP,跳到(7)。
(7)根据端口判断终端连接是否为HTTP:
如果是,伪造http302重定向包,重定向到终端安装地址,如果不是,伪造TCPreset包。
(8)放行不做任何处理。
注:
NAC服务器流程二,注册–确认–安装天擎客户端–入网
NAC服务器流程三,终端准入流程如下:
(1)终端访问正常网络,NAC服务器监听到该行为,判断目标地址是否为受保护的区域:
如果不是,跳到(6);如果是,跳到
(2)。
(2)判断终端是否是可信终端:
如果是,跳到(6),如果不是可信用户跳到(3)。
(3)判断用户是否已注册:
如果是,跳到流程(6),如果不是跳到(4)。
(4)判断终端连接类型,如果不是TCP,跳到(6),如果是TCP,跳到(5)。
(5)根据端口判断终端连接是否为HTTP:
如果是,伪造http302重定向包,重定向到终端安装地址,如果不是,伪造TCPreset包。
(6)放行不做任何处理。
注:
NAC服务器流程三,注册–确认–入网
3.360NAC部署配置
3.1NAC默认设置
1.设置PC网卡IP:
192.168.76.15,直连NAC的Eth0(默认通信口),打开IE访问NAC:
http:
//192.168.76.2默认用户名admin默认密码admin
2.NAC服务器默认处理流程为流程一。
3.2天擎服务器配置
1.建立文件:
360\360entas\data\push\NACConf.dat
2.编辑文件内容为:
[entconfig]
NACSrv=xxx.xxx.xxx.xxx(填写NAC服务器管理地址)
NACPort=80
3.3交换机配置
以H3C交换机配置为例:
1.配置镜像源端口,可以配置多个接口
2.配置镜像端口
3.4NAC服务器配置
1.修改管理员密码
2.默认通讯口为eth0,如果需要更换通信口,在如下页面进行配置。
3.配置eth0端口IP地址
4.默认监听接口为eth1,如需修改,在如下页面进行配置
5.配置网关
6.配置受保护服务器地址。
注:
保护服务器地址尽可能范围准确。
7.配置终端分发地址为天擎服务器地址,配置服务器管理地址为NAC服务器通信端口地址。
8.点击页面右上角配置保存。
4.360NAC流程选择
4.1360NAC流程一部署
只有安装天擎客户端的PC才有权限访问受保护服务器。
1.用户访问受保护服务器打开如下页面:
2.点击链接,下载并安装天擎客户端,之后用户PC可正常访问受保护服务器。
4.2360NAC流程二部署
用户经过注册、管理员确认、下载并安装天擎客户端后才能访问受保护服务器。
1.客户PC访问受保护服务器,打开注册页面,填写用户真实信息并提交。
2.管理员确认用户注册。
注:
可以点击
与
进行确认方式的切换。
3.经管理员确认后,用户再次访问受保护服务器,打开下载天擎客户端页面,下载并安装,之后用户可正常访问受保护服务器。
4.3360NAC流程三部署
用注册并经管理员确认后,可直接访问受保护服务器。
1.客户PC访问受保护服务器,打开注册页面,填写用户真实信息并提交。
2.管理员确认用户组注册,之后用户可正常访问受保护服务器。
注:
可以点击
与
进行确认方式的切换。
5.802.1x交换机配置
5.1思科交换机1x配置
5.1.1版本描述
Switch#showversion
CiscoIOSSoftware,C2960SSoftware(C2960S-UNIVERSALK9-M),Version12.2(55)SE2,RELEASESOFTWARE(fc1)
TechnicalSupport:
Copyright(c)1986-2011byCiscoSystems,Inc.
CompiledTue11-Jan-1102:
23byprod_rel_team
Imagetext-base:
0x00003000,data-base:
0x01B00000
ROM:
BootstrapprogramisAlphaboardbootloader
BOOTLDR:
C2960SBootLoader(C2960S-HBOOT-M)Version12.2(53r)SE,RELEASESOFTWARE(fc3)
Switchuptimeis3weeks,2hours,9minutes
SystemreturnedtoROMbypower-on
Systemimagefileis"flash:
/c2960s-universalk9-mz.122-55.SE2/c2960s-universalk9-mz.122-55.SE2.bin"
ThisproductcontainscryptographicfeaturesandissubjecttoUnited
Statesandlocalcountrylawsgoverningimport,export,transferand
use.DeliveryofCiscocryptographicproductsdoesnotimply
third-partyauthoritytoimport,export,distributeoruseencryption.
Importers,exporters,distributorsandusersareresponsiblefor
compliancewithU.S.andlocalcountrylaws.Byusingthisproductyou
agreetocomplywithapplicablelawsandregulations.Ifyouareunable
tocomplywithU.S.andlocallaws,returnthisproductimmediately.
AsummaryofU.S.lawsgoverningCiscocryptographicproductsmaybefoundat:
Ifyourequirefurtherassistancepleasecontactusbysendingemailto
export@.
ciscoWS-C2960S-48TS-L(PowerPC)processor(revisionD0)with131072Kbytesofmemory.
ProcessorboardIDFOC1519X0M3
Lastresetfrompower-on
4VirtualEthernetinterfaces
1FastEthernetinterface
52GigabitEthernetinterfaces
Thepassword-recoverymechanismisenabled.
512Kbytesofflash-simulatednon-volatileconfigurationmemory.
BaseethernetMACAddress:
E8:
BA:
70:
FF:
69:
00
Motherboardassemblynumber:
73-11909-06
Powersupplypartnumber:
341-0327-03
Motherboardserialnumber:
FOC151804Y6
Powersupplyserialnumber:
LIT14520QQ4
Modelrevisionnumber:
D0
Motherboardrevisionnumber:
A0
Modelnumber:
WS-C2960S-48TS-L
Daughterboardassemblynumber:
73-11933-04
Daughterboardserialnumber:
FOC15181FMA
Systemserialnumber:
FOC1519X0M3
TopAssemblyPartNumber:
800-30950-03
TopAssemblyRevisionNumber:
A0
VersionID:
V03
CLEICodeNumber:
COMGF00ARC
Daughterboardrevisionnumber:
A0
HardwareBoardRevisionNumber:
0x01
SwitchPortsModelSWVersionSWImage
------------------------------------
*152WS-C2960S-48TS-L12.2(55)SE2C2960S-UNIVERSALK9-M
Configurationregisteris0xF
5.1.2配置信息
switch#conft
switch(config)#aaanew-model
switch(config)#radius-serverhost192.168.76.2auth-port1812acct-port1646
switch(config)#radius-serverkeypower
switch(config)#aaaauthenticationdot1xdefaultgroupradius
switch(config)#dot1xsystem-auth-control
switch(config)#interfaceVlan1
switch(config-if)#ipaddress192.168.76.100255.255.255.0
switch(config-if)#interfacefa0/20
switch(config-if)#switchportmodeaccess
switch(config-if)#switchportaccessvlan1
switch(config-if)#dot1xport-controlauto
switch(config-if)#dot1xpaeauthenticator
5.2H3C交换机配置
5.2.1版本描述
[H3C]disver
H3CComwarePlatformSoftware
ComwareSoftware,Version5.20,Release2215
Copyright(c)2004-2012HangzhouH3CTech.Co.,Ltd.Allrightsreserved.
H3CS5120-48P-EIuptimeis4weeks,1day,1hour,26minutes
H3CS5120-48P-EIwith1Processor
128MbytesSDRAM
16384KbytesFlashMemory
HardwareVersionisREV.B
CPLDVersionis007
BootromVersionis610
[SubSlot0]48GE+4SFPHardwareVersionisREV.B
5.2.2配置信息
[H3C]dot1x
[H3C]dot1xauthentication-methodeap
[H3C]radiusschemenac_test
[H3C-radius-nac_test]]primaryauthentication192.168.76.2
[H3C-radius-nac_test]]keyauthenticationcipherpower
[H3C-radius-nac_test]]timerrealtime-accounting3
[H3C-radius-nac_test]]user-name-formatwithout-domain
[H3C]domainnac_
[H3C-isp-nac_]authenticationdefaultradius-schemenac_testlocal
[H3C-isp-nac_]authorizationdefaultradius-schemenac_testlocal
[H3C-isp-nac_]accountingdefaultradius-schemenac_testlocal
[H3C-isp-nac_]access-limitdisable
[H3C-isp-nac_]stateactive
[H3C-isp-nac_]idle-cutdisable
[H3C-isp-nac_]self-service-urldisable
[H3C]domaindefaultenablenac_
[H3C]interfacevlan1
[H3C-Vlan-interface1]ipaddress192.168.76.100255.255.255.0
[H3C]interfaceGigabitEthernet1/0/52
[H3C-GigabitEthernet1/0/52]dot1xport-methodportbased
[H3C-GigabitEthernet1/0/52]dot1x
5.2.3版本描述
[H3C]disversion
H3CComwarePlatformSoftware
ComwareSoftware,Version3.10,Release1702P03
Copyright(c)2004-2010HangzhouH3CTechnologiesCo.,Ltd.Allrightsreserved.
H3CS3600-28P-EIuptimeis0week,0day,6hours,25minutes
H3CS3600-28P-EIwith1Processor
64MbytesDRAM
16384KbytesFlashMemory
ConfigRegisterpointstoFLASH
SoftwareEncryptionModeis3DES
HardwareVersionisREV.C
CPLDVersionisCPLD001
BootromVersionis605
[Subslot0]24FEHardwareVersionisREV.C
[Subslot1]4GEHardwareVersionisREV.C
5.2.4配置信息
[H3C]domaindefaultenable
[H3C]dot1x
dot1xauthentication-methodeap
[H3C]radiusschemelan
server-typeextended
primaryauthentication192.168.76.2
accountingoptional
keyauthenticationpower
user-name-formatwithout-domain
[H3C]domain
schemeradius-schemelanlocal
vlan-assignment-modestring
[H3C]interfaceVlan-interface1
ipaddress192.168.76.100255.255.248.0
[H3C]interfaceEthernet1/0/14
dot1xport-methodportbased
dot1x
5.2.5交换机密码清空
1.用翻转线接到console口上
2.保持终端连接交换机,然后重新启动该设备,在启动阶段看到显示“pressctrl-btoenterbootmenu”界面时按Ctrl和B键。
这样将进入启动菜单,一般这个密码是不会被设置的,默认是空口令,直接回车即可。
如果这个密码也被设置那么我们就只有将设备返厂维修了。
3.当交换机显示出bootmenu界面时,我们会看到有9个选项,依次为downloadapplicationfiletoflash(下载配置文件到flash中),selectapplicationfiletoboot(选择要启动的配置文件),displayallfilesinflash(显示flash中保存的所有配置文件信息),deletefilefromflash(删除flash中的配置文件),modifybootrompassword(修改bootmenu的密码),enterbootromupgrademenu(进入bootrom升级菜单),skipcurrentconfigurationfile(启动加载时跳过当前配置文件),setbootrompasswordrecovery(设置bootrom恢复密码),setswitchstartupmode(设置交换机启动模式)以及最后的reboot(重新启动交换机),我们要恢复密码的话就选择skipcurrentconfigurationfile(启动加载时跳过当前配置文件)即可。
4.:
选择skipcurrentconfigurationfile(启动加载时跳过当前配置文件)后我们继续选择reboot来重新启动交换机,不过这次启动和以往不同的是将不加载当前的configurationfile配置文件,也就是说里面设置的密码验证都将暂时无效。
5.再次启动交换机自检完毕后就会显示startupconfigurationisskipped,userinterfaceaux0isavailable的信息,这表明当前的配置文件没有加载,用户顺利进入aux0即console控制台管理界面,我们不用输入任何密码就可以近来了。
6.接下来我们就可以“为所欲为”了,通过user-interfaceaux0进入console设置模式,然后通过authentication-modenone将控制台验证密码取消。
最后千万不要忘记使用save将修改保存,否则重新启动后又将回到之前的配置文件,同样需要密码验证了。
5.3华为交换机1x配置
5.3.1版本描述
[ZLK-HLZX]disversion
HuaweiVersatileRoutingPlatformSoftware
VRP(R)software,Version5.70(S2300V100R006C03)
Copyright(C)2003-2011HUAWEITECHCO.,LTD
QuidwayS2326TP-EIRoutingSwitchuptimeis0week,0day,1
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 360 NAC 快速 安装 手册 18
![提示](https://static.bdocx.com/images/bang_tan.gif)