一、配置ASME监控的地址范围

【功能说明】:监控地址范围管理,部署接入共享管理功能时,将需要监控的用户所在的IP网段加入监控范围即可。

【方法说明】:在WEB页面或者CLI下进行配置。(二者选一)

【配置命令】:

ASME#configure

ASME(config)#access-share-monitor

ASME(config-access-share)#monitor net 172.18.115.0 mask 255.255.255.0   //*监控的学生网段为172.18.115.0/24*//

Add ipset succeed.

 

注:配置删除监控网段,需要重启设备才能生效。

 

二、配置ASME允许拖带移动终端数量

【功能说明】:设置允许拖带移动终端数量。拖带允许范围内的数量,不会被处理;超出允许范围,被处理。

【方法说明】:在WEB页面或者CLI下进行配置。(二者选一)

【配置命令】:

ASME(config)#access-share-monitor

ASME(config-access-share)#access-share-allowed mobile 1

 

注:

         1、sam上如果支持设置防代理模板,sam上设置的策略生效(策略配置见2.3.2.2)

         2、sam上如果不支持设置防代理模板或者支持但是没有设置防代理模板,盒子上设置的策略生效。

         3、ASME默认允许拖带的移动终端数量是0

 

三、配置ASME主用终端类型限制

【功能说明】:设置主用终端类型,默认不限制主用终端类型。

【方法说明】:在WEB页面或者CLI下进行配置。(二者选一)

【配置命令】:

ASME#configure

Enter configuration commands, one per line.  End with CNTL/Z.

ASME(config)#access-share-monitor

ASME(config-access-share)#master-terminal unlimit

 

注:1、主用终端与认证终端有关,如主用终端PC,那么只允许PC做认证上网,主用终端不限制,表示可以使用PC或者手机认证。

       2、ASME默认的主用终端类型是不限制

 

四、配置ASME对代理用户的告警方式

【功能说明】:向违例用户推送HTTP告警页面的功能,主要是在无认证客户端的场景,例如web认证和PPPOE认证,告知违例用户其接入受到控制的原因。开启HTTP告警功能后,ASME在检出违例用户后,如果收到用户的HTTP会话,会利用HTTP协议,向用户推送告警页面。即违例用户打开web网页时,就会收到ASME推送的告警信息。HTTP告警时间与通告延时(notify delay)有关,详细见备注所述。

【方法说明】:在WEB页面或者CLI下进行配置。(二者选一)

【配置命令】:

ASME#configure

ASME(config)#access-share-monitor

ASME(config-access-share)#http-warning enable

如果交换机不支持http告警的话,也可通过ASME的管理口实现http告警的功能,具体配置如下

 ASME#configure

ASME(config)#access-share-monitor

ASME(config-access-share)#http-warning enable

ASME(config-access-share)#http-warning interface mgmt

 

注:

1、如果要是启用http告警功能,建议使用ASME的管理口来推送告警页面

2、如果无法使用ASME的管理口来推送告警页面,则可以使用镜像口来推送告警页面,但是需要判断交换机是否支持http告警,具体参见下一节场景限制说明

3、由于一般情况下学校会在SAM上设置对违例用户进行强制下线的策略,而用户又只有在打开网页时才能收到ASME的告警页面。为了增加用户收到告警页面的可能,ASME检出违例用户后,需要推迟通告SAM,可以设置为5~10分钟(缺省为30秒)。违例用户在这段时间内打开web网页,就能收到告警页面;延迟到期后,ASME将违例用户通告给SAM,SAM就会将用户强制下线。整个过程的效果类似SU推送告警信息。在802.1x场景中如果用户安装了锐捷SU认证客户端,SAM可以通过SU认证客户端,向用户推送共享违例的告警信息。所以http告警功能通常在web认证的场景下推荐开启。

 

五、配置http告警标题和告警内容

【功能说明】:设置http告警标题和告警内容

【方法说明】:由于CLI对中文支持不好,因此,建议在WEB界面进行配置

 

六、配置http告警持续时间

【功能说明】:设置http告警持续时间

【方法说明】:在WEB页面或者CLI下进行配置。(二者选一)

【配置命令】:

ASME#configure

Enter configuration commands, one per line.  End with CNTL/Z.

ASME(config)#access-share-monitor

ASME(config-access-share)#http-warning expires 120

ASME(config-access-share)#notify-delay 3600

 

注:部分客户认为原先的告警方式,用户(学生)只要打开浏览器,就会弹出告警,导致用户上网体验变差。因此,根据客户需求,对告警方式进行了改进,新增了告警持续时间,在告警持续时间内,才会弹出http告警,告警时间过后,用户可以正常访问浏览器。

1、当前配置所能实现的效果是:用户出现违例3600s后,ASME通告SAM对违例用户进行处罚。在这3600s内,违例用户打开浏览器,即弹出http告警,每次告警120s,告警持续时间(即所配置的120s)结束后,违例用户可以正常地访问浏览器。每隔10分钟弹出一次告警,告警时间持续120s,最多告警5次。

2、如果客户不需要使用该功能,只需配置ASME(config-access-share)#no http-warning expires,即可实现原先的违例用户每次打开浏览器都弹出http告警的效果

3、测试时,建议配置一条隐藏命令ASME(config-access-share)#check-delay 30,否则,ASME默认的check-delay时间是15分钟,即ASME检测到用户违例后,需要15分钟才会弹出http告警。

4、notify-delay 默认值是30秒

 

、配置ASME限制SOHO路由器(家用小路由器)接入

【功能说明】:设置是否允许使用路由器,默认不开启。

【方法说明】:在WEB页面或者CLI下进行配置。(二者选一)

【配置命令】:

ASME#configure

Enter configuration commands, one per line.  End with CNTL/Z.

ASME(config)#access-share-monitor

ASME(config-access-share)# router-allowed

 

注:允许架设路由器可能会导致PC误判,一般不建议开启。

 

八、配置ASME检测灵敏度

【功能说明】:设置ASME检测灵敏度,默认检测灵敏度为normal。

【方法说明】:在WEB页面或者CLI下进行配置。(二者选一)

【配置命令】:

ASME#configure

Enter configuration commands, one per line.  End with CNTL/Z.

ASME(config)#access-share-monitor

ASME(config-access-share)#sensitivity-level normal

 

九、配置ASME忽略网段(例外网段)

【功能说明】:设置不进行防代理监视的网段。

【建议部署场景】:

1、对于用户使用多网卡上网或VPN上网时,会出现误判。一般用户正常上网时,出现多网卡的情况,通常是PC的有线接入学校的校园网,而无线接入运营商的3G/4G网络。此外用户使用VPN时,也会生成一张虚拟网卡。对于多网卡或VPN上网情况下,会误判为接入共享,需要将运营商的3G/4G网络的IP网段,以及VPN分配的IP网段,加入例外网段。

2、对于明确一些用户网段可以默认允许代理的,可以将其IP网段加入例外网段。

3、对于拨号上网的用户,如果在拨号之前,网卡上已经有IP地址了,则需要将拨号前网卡IP所在网段加入例外网段,否则可能造成PC数量误判。

【方法说明】:在WEB页面或者CLI下进行配置。(二者选一)

【配置命令】:

ASME#configure

Enter configuration commands, one per line.  End with CNTL/Z.

ASME(config)#access-share-monitor

ASME(config-access-share)#ignore net 1.1.1.0 mask 255.255.255.0

 

十、配置可疑度阀值

【功能说明】:配置可疑度阀值,默认的可疑度阀值是40。

【方法说明】:在WEB页面或者CLI下进行配置。(二者选一)

【配置命令】:

ASME#configure

Enter configuration commands, one per line.  End with CNTL/Z.

ASME(config)#access-share-monitor

Ruijie(config-access-share)#weight threshold 40

 

十一、关于check-delay 和 notify-delay 的说明

1、check-delay

【功能说明】: 检测延时,用于设置ASME检出违例后,延迟多长时间(单位:秒)开始推送HTTP告警页面。

【配置说明】:

ASME#configure

Enter configuration commands, one per line.  End with CNTL/Z.

ASME(config)#access-share-monitor

ASME(config-access-share)#check-delay 30

上述配置是将check-delay配置为30秒,表示当ASME检出违例情况后,会延迟30秒再推送HTTP告警页面。ASME默认的check-delay时间是15分钟,即ASME检测到用户违例后,延迟15分钟才开始推送HTTP告警。

售前测试的时候,建议配置ASME(config-access-share)#check-delay 30,这样就能够快速的看到检测效果。待售前测试结束后,再恢复为默认值。ASME(config-access-share)#no check-delay可以将check-delay恢复为默认值。

 

2、notify-delay

【功能说明】: 通告延时,用于设置ASME推送HTTP告警页面后,延迟多长时间(单位:秒)再通告SAM。

【配置说明】:

ASME#configure

Enter configuration commands, one per line.  End with CNTL/Z.

ASME(config)#access-share-monitor

ASME(config-access-share)#notify-delay 120

上述配置是将notify-delay配置为120秒,表示当ASME开始推送HTTP告警后,会延迟120秒再通告SAM。ASME默认的notify-delay时间是30秒,即ASME开始推送HTTP告警后,会延迟30秒再通告SAM

售前测试的时候,建议配置ASME(config-access-share)#notify-delay 120,这样在检出违例后,有足够的时间打开浏览器,看到HTTP告警页面。

 

综上所述,当某个用户认证上线后,从被ASME检出违例那一时刻开始计算,一共需要等待check-delay + notify-delay,才会被SAM踢线。

 

This document generated by Mybase + Nyf2CHM.
To remove this tag, please register.