一、组网需求

 客户需要将网内的终端上网行为信息发送给网监系统，在此场景下开启网关设备的网监模块功能。

注：该场景下，AC作为NAS，NBR-E不开启认证，仅开启MCP联动配置能同步认证日志信息。

请关注第六点描述的限制场景。

二、组网拓扑

 

  

 

三、配置要点

1、【高级】-【网监配置】-【网监服务器配置（MACC/ELOG）】页面下开启网监功能，配置网监服务器信息；开启MCP联动，配置MCP服务器

2、【高级】-【网监配置】-【网监日志配置】页面开启需要上传的审计内容

3、【流控】-【行为策略】-【建议配置】页面开启需要支持的审计内容

 

四、配置步骤

1、开启网监功能，配置网监服务器

     1.1 服务器地址格式

     1）elog： http://10.7.0.2:8080/elog/

     2）macc：http://10.7.0.2/specification/，且支持https方式

     1.2 源IP：通过vpn拨号场景下需要填写

     1.3 认证帐号类型：目前mcp认证系统不支持认证类型传递，需要网关设备手动指定；当前实现中，由elog实现判断认证账号所属类型

     认证类型是由公安部标准中指定的，实际使用中并没有那么多，请按照实际使用场景选择

     1）手机号：认证系统使用手机号，短信认证方式，一般选择这种认证方式

     2）身份证、ADSL宽带账号、MAC、IMSI、网吧上网卡、portal认证，这些根据实际认证类型进行选择相应类型，一般用的比较少

     3）其他：未在以上类型中，客户又要求区分时，可以选择其他

     4）手动输入认证类型代码：如下表中明确的以1021xxx格式的代码输入

     各种类型对应的编号如下            ：

代码	代码类型
1020001	adsl宽带账号
1020002	MAC
1020003	IMSI（国际移动用户识别码（International Mobile Subscriber Identification Number）是区别移动用户的标志，储存在SIM卡中，可用于区别移动用户的有效信息）
1020004	手机号
1020005	网吧上网卡
1020006	portal认证
1021000	身份证件
1021XXX	XXX代表证件类型，采用GA/T 517－2004《常用证件代码》，如：111代表身份证
1029999	其他

 

     1.4 开启日志压缩功能：当前elog不支持网监日志压缩，macc支持

 

     1.5 MCP联动配置：仅在NBR-E不做NAS，MCP作为认证服务器使用

            1）开启MCP认证对接功能

            2）配置MCP认证服务器的IP地址

            3）在通过vpn隧道访问MCP服务器的场景下，需要指定访问源IP

            4）配置MCP服务器管理员的登录用户名，仅该管理员名下管理的认证用户会同步给网关设备

            5）保存配置，查看连接状态

 

2、开启发送网监日志

3、开启行为审计功能

要网关设备支持审计日志的发送，需要开启相应的行为审计功能，如下图所示。

 

五、配置验证

1、网监连接ELOG/MACC服务器配置和连接状态查看

     1.1 查看配置信息

     1.2 查看连接状态

     可查看连接elog/macc的连接状态以及各种日志发送状态

2、查看link-as连接状态

     2.1 查看连接状态和发送实名认证情况

    

六、注意问题(可选)---如常见的容易配错的点，一些限制，一些容易产品的问题等；

（1）网监连接不上elog/macc，注意查看服务器地址配置是否规范，以及查看elog/macc添加网关设备使用的MAC和序列号等信息是否准确

（2）网监模块查看不到产生任何日志信息，注意查看对应的行为审计是否开启，以及发送网监的开关是否开启

（3）MCP联动配置仅支持NBR-E于MCP认证服务器一对一的场景

（4）MCP联动配置场景下，NBR-E仅支持认证日志带有实名信息发送给ELOG/MACC，其他日志都不支持带实名信息