应用场景及功能原理

一、应用场景

 

针对市场上有些客户不想额外配置ELOG服务器,但是又需要网监功能的场景。需要实现一个EG设备能够直接对接公安网监系统的功能。由于第三方网监系统较多,当前仅支持对接任子行网监系统,其他系统暂不考虑。

 

二、功能原理


image.png

网关直接对接任子行整体方案

2、无线终端日志

无线终端信息日志的收集主要包括STA上下线信息、AP MAC、STA IP等信息。通过SNMP trap方式,AC上配置为SNMP trap客户端,EG上配置为SNMP trap服务端,AC通过SNMP trap主动将消息通告给EG。

当AC为集成AC的时候SNMP TRAP通告的目的IP配置为设备自身IP即可。

当通告的目的IP为设备IP时,如果有大量的通告信息,会被设备的防攻击误认为是攻击报文,超过限速,会把报文丢弃,因此需要把相关的IP设置为白名单,这样就不会限速。

 

?  SNMP TRAP报文格式

image.png

image.png

Mib节点意义:

image.png

?  扩展考虑

当前仅支持我司的AC产品,暂不支持其他友商AC。

 

3、场所和设备日志

EG设备直接对接任子行中间没有ELOG服务器,因此需要由EG设备来维护场所和设备信息。目前场所信息配置支持100个,设备信息配置根据设备型号不同不一样。

场所和设备日志按任子行规范要求每5分钟发送一次,只有在场所或设备信息配置发送变化时才重新发送相关日志。

 

4、认证上下线日志

认证上线或下线时,认证模块会发送认证上线或下线消息,网监模块收到认证消息后,查找对应的终端信息,组装后发给任子行平台。

 

5、NAT流日志

NAT流日志由NAT模块提供,网监模块收到NAT流日志后,查找对应的终端信息,组装后发给任子行平台。

 

6、行为审计日志

包括:http审计日志、搜索关键字审计日志、虚拟身份上下线日志;由内容审计模块提供,网监模块收到内容审计日志后,查找对应的终端信息,组装后发给任子行平台。

 

功能配置

一、组网需求

使用EG网关作为出口,认证部署在EG设备上,AC为独立的硬件设备或者集成在EG设备上,不依赖ELOG服务器,仅依靠EG设备发送日志到任子行平台。

二、组网拓扑

拓扑1:独立AC场景

image.png

拓扑2:集成AC场景

image.png

三、配置要点

1、开启第三方日志功能

2、选择第三方日志对接平台

3、配置SNMP TRAP

4、配置场所信息,设备信息,FTP信息,采集信息等。

 

四、配置步骤

1、登录“高级-第三方日志”页面,开启 “第三方服务器”功能,并选择第三方服务器为任子行,

image.png

点保存后,页面会自动加载对接任子行配置页面,

image.png

       2、SNMP TRAP配置

?  如果是独立AC

需要在AC上进行如下配置:

config模式下

    snmp-server host [ip] informs version 2c [public]   //ip替换为snmp server的ip地址,public替换为TRAP口令

    snmp-server enable traps

    snmp-server community [public] rw  //public替换为TRAP口令

    ip dhcp snooping

ac-controller模式下

    acctrl-trap acsta-oper-ctrl           //开启STA动作trap

?  如果是集成AC

进入“高级->第三方日志->第三方服务器配置”页面,点击SNMP配置,进行相关配置,

image.png

3、场所信息配置

进入“高级->第三方日志->场所基本信息”页面,进行相关配置

image.png

image.png

image.png

       *代表必填项

?  上网服务场所编码

场所编码由14位阿拉伯数字组成。代码从左至右的含义是:

a)    第1至第6位表示上网营业场所所在省(自治区、直辖市)、市(地区、盟)、区(县、旗),按GB/T 2260规定的行政区划代码生成,作为标识代码使用,该标识代码生成后不随当地行政区划代码变更而改变;

b)    非经营性上网服务场所,第7固定为2,表示属于互联网公共上网服务场所;WIFI无线采集前端,第7固定为3,表示属于WIFI无线采集前端。

第8位表示上网服务场所类型,代码见下表;

代码

说明

备注

0

网吧


1

旅店宾馆类(住宿服务场所)


2

图书馆阅览室


3

电脑培训中心类

各类培训机构

4

娱乐场所类

KTV、酒吧、咖啡厅、棋牌室、游戏厅等

5

交通枢纽

飞机场、火车站、轮船码头、公交枢纽站等

6

公共交通工具

地铁、公交车、出租营运车辆等

7

餐饮服务场所


8

金融服务场所

银行、证券公司、保险公司等

A

购物场所

大型商场、普通商店、超市、汽车销售场所等

B

公共服务场所

政府机构办事大厅、医院、邮局、社区服务中心等

C

文化服务场所

电影院、音乐厅、剧场等

D

公共休闲场所

广场、公园、街道、小区休闲广场、浴室等

9

其他


c)    最后6位用阿拉伯数字表示序列号,该序列号由场所管辖地公安机关网安部门定义,如网安无定义,便可由一线人员自行定义。

?  场所名称

按网安要求进行命名,如无要求,可由一线人员自行定义。

?  采集类型

根据下拉框内容自己选择。

?  场所服务类型

根据下拉框内容自己选择。

?  场所经营性质

根据下拉框内容自己选择。

?  场所经度/纬度

       打开“百度地图”,点击页面最底下“地图开放平台”,在新开的页面找到“工具支持”-》“坐标拾取器”,搜索相应的地址就会显示对应的经纬度。

如下图所示,经度为119.243963,纬度为26.058545。

image.png

 

4、设备信息配置

进入“高级->第三方日志->设备基本信息”页面,进行相关配置

image.png

image.png

?  上网服务场所编码

从场所信息配置中选择对应的场所编码填入即可,表明这个AP设备属于这个场所。

?  MAC地址

telnet 到AP设备上,执行命令: show ap-config summary 查看 AP 的 MAC 地址。

?  AP名称

由一线人员自行定义。

?  AP类型

根据下拉框内容自己选择。

?  AP楼层

由一线人员自行定义。

5、FTP信息配置

进入“高级->第三方日志->FTP信息”页面,进行相关配置,

image.png

6、数据采集信息配置

进入“高级->第三方日志->数据采集信息”页面,进行相关配置,

image.png

 

7、日志收集类型配置

进入“高级->第三方日志->第三方日志配置”页面,进行相关配置,

image.png

五、问题诊断

1、任子行平台未收到日志

l  检查FTP服务器配置,用户名密码配置是否正确,到FTP服务器网络是否可以通。

l  检查硬AC或者集成AC的snmptrap配置,目的ip,TRAP口令配置是否正确。

l  run-system-shell进入shell,执行“ls /tmp/log/surfilter”看是否有日志生成。

l  Debug police-log auth收集debug信息。

 

六、注意问题

1、不支持有线用户日志

2、不支持日志压缩

3、当网关直接对接任子行网监服务器的时候,不支持一台网关设备吐给多台网监服务器