实验手册-hc agile controller上机指导书工程师培训

TOC\o"1-2"\h\z\uAgileController实验环境搭 AgileController安 802.1X认 Portal认 AgileController实验环境搭实验环境组网说实验目AgileController组网设USG一台，交换机两台，PC机一台，服务器三台实验拓扑认证前172.16.2.1/24172.16.2.1/24GE0/0/4交换 交换

172.16

后文件服务终（拓扑图操作系统和数据库安实验步Step 安 WindowsServer略Step 安 WindowsServer2008SP1补使用“administrator”账号登录WindowsServer2008在“Windows版本”下方查看操作系统的版本，如果未显示“ServicePack1”，则表明需要安装WindowsServer2008操作系统的SP1补丁。 WindowsServer2008的安装光盘获取 WindowsServer2008操作系统的SP1补丁，或从微软的WindowsServer2008操作系统的SP1补丁。 WindowsServer2008标准简体中文版或英文版的补 选中“我接受条款”，单击“下一步”“Windows版本”下方显示“ WindowsServer2008R2Standard”和“ServicePack1”，则表明安装 WindowsServer2008操作系统的SP1补丁成功。如果安装SP1补丁失败，请尝试重新安装该补丁。Step 安 SQLServer2008R2数据将SQLServer2008R2的安装光盘光驱运行光盘 在弹出的“程序兼容性助手”框单击“运行程序”品密钥印在SQLServer2008R2安装光盘的封套上。阅读条款，确认同意条款后，选中“我接受条款”，界面显示“安装程序支持文件”框，单击“安装”选择“SQLServer 单击“下一步”。选中“默认实例”，“实例ID”保持默认值，修改“实例 ”与13享功能 界面显示“服务器配置”框，单击“服务帐户”页签，为SQLServer服SQLServer界面显示“对所有SQLServer2008R2服务使用相同帐户”框，在“帐户名”下拉列表框中选择“NTAUTHORITY\SYSTEM”。写导致业务管理器的报表无法正常显示。在“数据库引擎配置”框配置数据库引擎在“帐户设置”页签，选中“混合模式(SQLServer验证和设置“sa”账号的，为了增加强度，建议包含英文大写字母、小写字母及数字8，Server“数 “错误报告”框中的参数保持默认值，单击“下一步”在“安装规则”框中单击“显示详细信息” Step 安 SQLServer2008R2的SP2补使用administrator账号登录安装SQLServer2008R2的WindowsServer2008R2选择“开始>程序>SQLServer2008R2>SQLServerManagement输入SQLServer2008R2的连接参数登录SQLServer2008R2的参数说明单击“查看连接属性”。显示的版本信息表明系统管理员尚未安装SQLServer2008R2SP2从微软 SQLServer2008R2的SP2补丁 SQLServer2008R2StandardEditionR2简体中文版，请“SQLServer2008R2SP2-KB2630458-x64-CHS.exe”。 SQLServer2008R2StandardEditionR2英文版，请下面以安装SQLServer2008R2StandardEditionR2简体中文版的 ：：选中“我接受条款”，单击“下一步” SQLServer2008R2SP2补丁，界面显示如图安装完成后界面显示AgileController安实验步Step 将AgileController的安装光盘CD-ROM驱动器打开资源管理器，进入“Drive:\AgileController\Setup” 。其中“Drive:”为运行“AgileController.exe”单击“下一步”，选务管理器”和“业务控制器”IPIP单击“下一步”，配置数据库的连接参数。输入sa，单击“测试连接”，连接成功后，设置数据库管理员，单击“初始化数据库”。打开FileZilla，设置FileZillaServer服务器地址为本地IP地址，设置 其他设备基础配AgileController系统初始化配置步Step 在发货附件中找到License。License以纸面件或从License获取LACStep 将安装光盘CD-ROM驱动器””Step LicenseLicense文件发送到您的邮箱。Step Agile录输入账号：Admin：Changeme123，单击“GO”。Step 单击“上传License”选择License文 ，单击“确定Step License准入功能特性配SACG接入认硬件SACG接入控制配置步Step 增加配置路径：策略>接入控制>SACG配置>硬件SACG，在出现的右侧界面中“硬件SACG”Step 配置路径：策略>接入控>SACG配置>SACG单击“增加”输入管理器/IPStep 配置路径：策略>接入控>SACG配置>SACG，在出现的右侧界面中的单击“受控域”Step 配置配置路径：策略>接入控>SACG配置>硬件SACG，在出现的右侧界面中的单击“域”其他，完成配置后如下图所示，单击“确定”Step 配置路径：策略>接入控>SACG配置>SACG，在出现的右侧界面中的点击“后域”单域资源，其他，完成配置后如下图所示，单击“确定”。Step Step 配置路径：资源>用户>用户管理，在右侧界面点击“用户”，选择“信息管ID等，单击“确定”。Step 配置路径：资源>用户>用户管理，在右侧界面点击“用户”，选择“信息理部”出现的用户信息，在操作标识栏单击 出现如下框，单击“增加”，配置账号信息，完成后单击“确定”单击“增加”输入账号，Step SACG配置路径：策略>接入控>SACG配置>SACG策略组，在右侧界面点击“增加”，Step SACGStep VLANVLAN，并配置接口的IP（VLAN）<Quidway><Quidway>system-[Quidway]vlanbatch1020304050[Quidway]vlan[Quidway-vlan10]portGigabitEthernet0/0/6[Quidway-vlan10]quit[Quidway]interfacevlanif[Quidway-Vlan-interface10]ipaddress172.16.3.1255.255.255.0[Quidway-Vlan-interface10]quit[Quidway]vlan[Quidway-vlan20]portGigabitEthernet0/0/1[Quidway-vlan20]quit[Quidway]interfacevlanif[Quidway-Vlan-interface20]ipaddress10.1.2.2255.255.255.0[Quidway-Vlan-interface20]quit[Quidway]vlan[Quidway-vlan30]portGigabitEthernet0/0/3[Quidway-vlan30]quit[Quidway]interfacevlanif[Quidway-Vlan-interface30]ipaddress192.168.2.1255.255.255.0[Quidway-Vlan-interface30]quit[Quidway]vlan[Quidway-vlan40]portGigabitEthernet0/0/2[Quidway-vlan40]quit[Quidway]interfacevlanif[Quidway-Vlan-interface40]ipaddress192.168.1.1[Quidway-Vlan-interface40][Quidway]vlan[Quidway-vlan50]portGigabitEthernet0/0/4[Quidway-vlan50]quit[Quidway]interfacevlanif[Quidway-Vlan-interface40]ipaddress[Quidway-Vlan-interface40][Quidway]vlan[Quidway-vlan60]portGigabitEthernet0/0/5[Quidway-vlan60]quit[Quidway]interfacevlanif[Quidway-Vlan-interface60]ipaddress[Quidway-Vlan-interface60][Quidway]interfaceGigabitEthernet[Quidway-GigabitEthernet0/0/6]portlink-typeaccess[Quidway]interfaceGigabitEthernet[Quidway-GigabitEthernet0/0/1]portlink-typeaccess[Quidway]interfaceGigabitEthernet[Quidway-GigabitEthernet0/0/4]portlink-typeaccess[Quidway]vlan[Quidway-vlan100][Quidway-vlan100]portGigabitEthernet0/0/6[Quidway-vlan100]quit[Quidway]vlan[Quidway-vlan100]portGigabitEthernet0/0/1[Quidway-vlan100]quit[Quidway]vlan[Quidway-vlan100]portGigabitEthernet0/0/4[Quidway-vlan100]quitACLNumber3000ACL[Quidway][Quidway]aclnumber[Quidway-acl-adv-3000]rule0permitipsource10.1.1.00.0.0.255destinationany[Quidway-acl-adv-3000]quit10.1.1.0/24[Quidway][Quidway]interfaceGigabitEthernet[Quidway-GigabitEthernet0/0/1]traffic-redirectinboundip-group3000next-hop[Quidway-GigabitEthernet0/0/1][Quidway][Quidway]S3528S3528<Quidway><Quidway><Quidway>NN，并配置接口的P地址，与汇聚交换相连的AN号设为一样的：N0，相连接的端Giabitthert0/0/2。<Quidway><Quidway>system-[Quidway]interfaceGigabitEthernet[Quidway-GigabitEthernet0/0/2][Quidway-GigabitEthernet0/0/2]portlink-typeaccess[Quidway]interfaceGigabitEthernet[Quidway-GigabitEthernet0/0/1]portlink-typeaccess[Quidway]vlan[Quidway-vlan20]portGigabitEthernet0/0/2[Quidway-vlan20]quit[Quidway]interfaceVlan-interface[Quidway-Vlan-interface20]ipaddress10.1.2.1255.255.255.0[Quidway-Vlan-interface20]quit[Quidway]vlan[Quidway-vlan10]portGigabitEthernet0/0/1[Quidway-vlan10]quit[Quidway]interfaceVlan-interface[Quidway-Vlan-interface10]ipaddress10.1.1.1RADIUS服务器模板。（RADIUS服务器模板相同RADIUSpolicy<Quidway>system-[Quidway]radius-servertemplateRADIUSIP1812[Quidway-radius-policy]radius-serverauthentication172.16.3.21812IP1813。[Quidway-radius-policy]radius-serveraccounting172.16.3.2RADIUSIP1812[Quidway-radius-policy]radius-servershared-key[Quidway-radius-policy][Quidway-radius-policy]配置RADIUS服务器。（注：基础配置，后面的RADIUS服务器相同[Quidway]radius-serverauthorization172.16.3.2shared-key（注：基础配置，后面的认证和计费方案相同auth，radius。[Quidway]aaa[Quidway-aaa]authentication-scheme[Quidway-aaa-authen-auth]authentication-moderadius[Quidway-aaa-authen-auth]quitacco，radius，1min。[Quidway-aaa]accounting-schemeacco[Quidway-aaa-accounting-acco]accounting-moderadius[Quidway-aaa-accounting-acco]accountingrealtime1[Quidway-aaa-accounting-acco]（注：基础配置，后面的配置域相同default defaultRADIUS-default]radius-server-default]authentication-scheme-default]accounting-scheme-default][Quidway-aaa]Step SACG关键配置（USG5000示例USG5000<USG5000><USG5000>displayfirewallUSG5000。<USG5000>system-[USG5000][USG5000]firewallmoderoute[USG5000]quit<USG5000><USG5000>USG5000<USG5000><USG5000>system-[USG5000]undofirewallsessionlink-state数据流不经过USG5000，故需要关闭USG5000的会话状态检测功能，确保USG5000不会因为认证前后来回的数据流路径不一致导致终端用户无法网络。[USG5000][USG5000]interfaceGigabitEthernet[USG5000-GigabitEthernet0/0/2]ipaddress192.168.2.2255.255.255.0[USG5000-GigabitEthernet0/0/2]quit[USG5000][USG5000]interfaceGigabitEthernet[USG5000-GigabitEthernet0/0/1]ipaddress192.168.1.2255.255.255.0[USG5000-GigabitEthernet0/0/1]quittrustGigabitEthernet0/0/2trust[USG5000][USG5000]firewallzone[USG5000-zone-trust]addinterfaceGigabitEthernet0/0/2[USG5000-zone-trust]quituntrustGigabitEthernet0/0/1untrust[USG5000][USG5000]firewallzone[USG5000-zone-untrust]addinterfaceGigabitEthernet0/0/1[USG5000-zone-untrust]quit将local区域与untrust区域之间的滤规则设为允许通过，使业务控制器能够USG5000[USG5000][USG5000]firewallpacket-filterdefaultpermitinterzonelocal将local区域与trust区域之间的滤规则设为允许通过，使终端用户能够通USG5000认证前域[USG5000][USG5000]firewallpacket-filterdefaultpermitinterzonelocalACLNumber3099ACL3099～3999ACL3099～3999USG5000USG5000与业务控制器联动的缺省ACLNumber3099。[USG5000][USG5000]right-managerserver-group[USG5000-rightm]defaultacl3099[USG5000-rightm]localipUSG5000USG5000能够连接业务控制器实施联动。端口[USG5000-rightm][USG5000-rightm]serverip172.16.3.2port3288shared-keysecospace[USG5000-rightm]quit配置从USG5000S3528[USG5000][USG5000]iproute-static0.0.0.00.0.0.0当终端用户在未通过认证的情况下通过IE浏览器尝试认证后域中的Web服务器时，配置USG5000以便实现USG5000自动在终端主机推送Web认证页面的功能，方便终端用户通过Web页面进行认证。[USG5000]right-managerserver-[USG5000]right-managerserver-[USG5000-rightm]right-managerauthenticationURLAgileControllerWeb页面，使用命令“right-managerauthenticationWeb“right-managerauthentication 页面，使用命令“right-managerauthenticationUSG5000[USG5000-rightm][USG5000-rightm]right-managerserver-group生通道。如果存活的业务控制器数量低于阈值，USG5000[USG5000-rightm][USG5000-rightm]right-managerserver-groupactive-minimun2[USG5000-rightm]right-managerstatus-detectenable[USG5000-rightm]active-minimun2数量减一（4active-minimun3）。USG50001USG5000道此时可能会出现终端用户无法网络的情况但能确保过认证的终端用户法接入受控域。只有所有的业务控制器同时出现故障，USG5000进入trust和untrust域间视图，在出方向ACLNumber为3099的ACL[USG5000][USG5000]firewallinterzonetrust[USG5000-interzone-trust-untrust]packet-filter3099outbound[USG5000-interzone-trust-untrust]quit“packet-filter3099outbound”命令“3099”后应该使用“outbound”还是“inbound”trustuntrusttrust（高安全级别）untrust（低安全[USG5000][USG5000]<USG5000><USG5000>system-[USG5000]right-managerserver-[USG5000-rightm]displayright-managerserver-Server-state:Server-number [USG5000-rightm][USG5000]displayright-managerrole-AllRoleRole Role [USG5000]displayaclAdvancedACL3099,3rules,notbindingwith-Acl'sstepisrule1001permitipdestination172.16.3.2rule1003deny802.1X认有线环境中的802.1X认证接Step ：配置路径：选择“资源>设备>设备管理”。在单击左侧的“所有设备”后，单击右边“增加输入相关参数选“启用RADIUS”，默认RADIUS认证密钥 ：Step 配置路径：选择“策略>准入控制>认证>认证规则”。单击右侧的“增加”，输入相关参数，将“请选择允许使用的认证协议”选择为“EAP-PEAP-MSCHAPv2协议”和“EAP-PEAP-GTC协议”，在“认证条件”中将“部门”选择为研发部，配置完成如Step 增加结果配置路径：选择“策略>准入控制>认证>结果”。单击右侧“增加”，输Step 增加规则配置路径：选择“策略>准入控制>认证>规则”。单击右侧“增加”，输Step IP地址，同基础配置。RADIUS配置RADIUS服务器，同基础配置802.1X802.1X[Quidway]dot1xenable#配置认证方法。[Quidway]dot1Xauthentication-method[Quidway]interfaceGigabitEthernet0/0/1[Quidway-GigabitEthernet0/0/1dot1xenable#配置接口的接入方式为基于MAC方式。[Quidway-GigabitEthernet0/0/1dot1xport-methodMAC#配置GE0/0/2GuestVlanVLAN10[Quidway]dot1xguest-vlan10interfaceGigabitEthernetACL3002ACL3002ACL[Quidway]acl[Quidway-acl-adv-3002]description<Quidway>101020[Quidway]联动结果验WindowsXP右键单击“WiredAutoConfig在“验证”页签选中“启用IEEE802.1X验证”，在“选择 验证方法”区域框选择“受保护的EAP(PEAP)”，并单击“设置”。取消选中“验证服务器”，在“选择验证方法”区域框选择“安全(EAP-MSCHAPv2)”，并在右侧单击“配置”取消选中“自动使用Windows登录名和”Windows7的配选择“>控制面板”右键单击“WiredAutoConfig”服务，选择“启动”在“验证”页签选中“启用IEEE802.1X验证”，在“选择网络验证方法”区域框选择“受保护的EAP(PEAP)”，并单击“设置”。取消选中“验证服务器”，在“选择验证方法”区域框选择“安全(EAP-MSCHAPv2)”，并在右侧单击“配置”取消选中“自动使用Windows登录名和”AnyOffice，认证前，只能AgileController和DNS服务器认证通过后，研发部员工能够AgileController、DNS服务器和业务系统，市场部员工不能业务系统，只能AgileControllerDNSMAC认Step 配置路径：选择“>>设备管理”。在单击左侧的“所有设备”后，证密钥：123，RADIUS计费密钥：123，如下图所示，单Step 配置路径：选择“策略>准入控制>认证>认证规则”。单击右侧的“增加”，输入相关参数，将“业务类型”选为“MAC旁路认证业务”。配置完成如下图所示，Step MAC配置路径：选择“资源>终端>终端列表”。在“设备组”列表中选中首节点，在右侧单击“增加”MAC认证的设备组。例如，设备组“MAC”。在“设备组”列表中选中“MAC”，在右侧的“设备列表”页签单击“增加”MAC认证的设备。Step 增加规配置路径：选择“策略>准入控制>认证>规则”。单击右侧“增加”，输入相关参数，“业务类型”为“MAC旁路认证业务”，“接入设备组”为“准入控制重复以上操作，创建规则，如果接入的设备不是MAC认证的设备，则不允许该设备Step RADIUS服务器模板、AAA认证方案以及认证域。（基础配置，同前面配#配置全局默认域为“#配置全局默认域为“ MACMAC[Quidway][Quidway]mac-[Quidway]interfaceGigabitethernet0/0/1[QuidwayGigabitEthernet0/0/1mac-authen#配置用户所使用的认证域为default。[Quidway-GigabitEthernet0/0/1]mac-[Quidway-GigabitEthernet0/0/1]mac-authenmax-user100[Quidway-GigabitEthernet0/0/1]quit验证结接Internet。PortalStep 配置路径：选择“资源>设备>设备管理”。在单击左侧的“所有设备”后，单击右边RADIUS”，Portal”,填写相应的密Step 配置路径：选择“策略>准入控制>认证>认证规则”。单击“增加”，设置认证规则的参数，业务类型：接入业务，部门：研发部，认证Step 增加结配置路径：选择“策略>准入控制>认证>结果”。单击“增加”，设置结果的参数，业务类型：接入业务，ACL号/用户组：3002，Step 增加规配置路径：选择“策略>准入控制>认证>规则”。单击“增加”，设置规则的参数。业务类型：接入业务，部门：研发部，接入设备组：默认，结果：Portal，配置完成如下图所示，单击“确定”Step VLAN1VLAN1GigabitEthernet0/0/1VLAN20，VLAN20IPRADIUS服务器模板。（基础配置，同前面配置，无需配置配置RADIUS服务器。（基础配置，同前面配置，无需配置配置认证方案和计费方案。（基础配置，同前面配置，无需配置6）Portal认证服务器。PortalPortalIP[Quidway]web-auth-server[Quidway-web-auth-server-policy]server-ipPortal。[Quidway-web-auth-server-policy]portPortal[Quidway-web-auth-serverpolicy]shared-keysimplePortalURL。[Quidway-web-auth-server-policy]url[Quidway-web-auth-serverpolicy]quitPortal[Quidway]interfacevlanif20[Quidway-Vlanif1]web-auth-serverpolicy[Quidway-Vlanif1]7）ACL [Quidway]portalfree-rule0destinationip172.16.3.3mask8）ACL规则(802.1X环境)[Quidway][Quidway]<Quidway>验证结AnyOffice，认证前，只能AgileController和DNS服务器。员工