无线非经

客户，参考如下配置指导：

http://www.h3c.com/cn/d_202104/1406610_30005_0.htm#_Toc70540127

3.3  组网需求3：旁路模式组网-任子行平台对接

3.3.1  组网需求

如图34所示，某公司内网无线办公网段IP地址10.0.163.0/24，其中网关为10.0.163.1。内网用户访问外网开启AAA认证功能，并将认证及上网流量通过旁路镜像方式镜像至设备上，设备上开启审计和无线非经功能。具体应用需求如下：

·     AAA认证交互报文镜像至设备，设备可以监听到用户认证上下线信息。

·     内网用户访问外网的流量镜像至设备，设备处理完数据上报至任子行平台。

图34 旁路模式组网图

3.3.2  配置思路

·     网络基础配置，配置旁路接口、路由、DNS等信息。

·     升级特征库。

·     配置审计策略。

·     配置无线非经功能，添加厂商、场所、AP和上报周期等信息。

3.3.3  使用版本

本举例是在R6612版本上进行配置和验证的。

3.3.4  配置步骤

1. 网络基础配置

(1)     配置旁路接口

如图35所示，进入“网络配置>基础网络>部署方式>旁路部署”页面，启用对应的物理接口为旁路口。

图35 添加旁路接口

(2)     添加静态路由

如图36所示，进入“网络配置>路由管理>静态路由”页面，点击<新建>添加一条缺省路由。

图36 添加静态路由

(3)     配置DNS服务器

如图37所示，进入“网络配置>基础网络>DNS服务>DNS服务器”页面，勾选“启用DNS全局代理”，并配置DNS服务器地址，使其设备能够进行域名解析。

图37 配置DNS服务器

2. 升级特征库

(1)     升级license

如图38所示，进入“系统管理>系统维护>授权管理”页面，点击<导入许可证>，将license文件信息复制到license栏点并击提交。

图38 导入许可证

(2)     升级特征库

如图39所示，进入“系统管理>系统维护>系统升级”页面，升级应用控制特征库，如果网络较好，可以直接联网点击立即升级，如果网络状况较差，可以将特征库文件下载到本地，进行本地导入升级。

图39 升级特征库

3. 配置审计策略

(1)     添加审计策略

如图40所示，进入“策略配置>审计策略”页面，点击<新建>审计策略，审计对象全选，点击提交。

图40 配置审计策略

4. 配置无线非经

(1)     添加厂商配置

如图41所示，进入“系统管理>系统设定>无线非经>厂商配置”页面，对接厂商选择<任子行>，其它信息根据要求进行配置，提交配置。

图41 添加厂商配置

(2)     添加场所配置

如图42所示，进入“系统管理>系统设定>无线非经>厂商配置>场所配置”页面，点击<添加场所>，将场所信息根据要求进行配置，提交配置。

图42 添加场所配置

(3)     添加AP配置

如图43所示，进入“系统管理>系统设定>无线非经>场所配置”页面，勾选对应场所，并点击<添加AP>，将AP信息根据要求进行配置，提交配置。

图43 添加AP配置

(4)     添加上报周期

如图44所示，进入“系统管理>系统设定>无线非经>厂商配置>上报周期设置”页面，点击<新建>，根据上报平台的要求配置上报周期，提交配置。

图44 添加上报周期

(5)     添加应用关系对照表

如图45所示，进入“系统管理>系统设定>无线非经>应用关系对照表”页面，点击<新建>，选择对应厂商及应用名称，并填上对照关系ID，提交配置。

图45 添加应用关系对照表

3.3.5  配置注意事项

·     用户认证上下线信息报文必须镜像到设备上。

·     设备必须配置DNS和路由，特征库才能在线升级。

·     上网流量必须双向镜像至设备上，镜像一个方向的流量至设备，可能会导致部分应用识别不完全，无法审计到需要的信息。

·     对应厂商的应用关系对照表需要进行配置，如果没有，则对应的应用产生的审计数据不进行入库处理。

3.3.6  验证配置

1. 在线用户

如图46所示，通过将Radius报文镜像至设备上，设备可以获取到认证用户的上下线信息。

图46 在线用户

2. 审计日志

如图47所示，认证用户访问外网的流量能够被识别并审计。

图47 审计日志

3. 日志上报

如图48所示，在设备串口上可以通过命令display wireless-count查看上报统计计数，FTP服务器上可以查看到非经日志上报正常。

图48 日志上报