imc智能管理中心操作手册v1(编辑修改稿)

imc智能管理中心操作手册v1(编辑修改稿)内容摘要：

也不能禁用自身的 IP 地址  不能禁用从服务器登录的 admin 操作员（登录地址是 ） 3 IMC 资源配置 IMC 资源指的是所有的网络设备，包括路由器、交换机、无线网络设备等，在新增 IMC 资源后， IMC会自动归类为交换机、路由器或无线网络设备等。 深圳市南方 华迪计算机有限公司 深圳少 年 儿 童 图书馆 IMC 智能管理中心操作手册 16 新增设备配置 管理员在手工增加设备后，就将设备纳入系统的管理，此后用户可以对该设备进行监控及各种操作。 Open 资源  资源管理，如 图 311： 图 311 在图 311 中点击“增加设备”按钮，将出现 如 图 312 配置界面 图 312 在图 312 中输入“设备基本信息”参数，如果需要配置“ SNMP 参数”，则进行下一步。 否 则直接点击“确定按钮”即可。 深圳市南方 华迪计算机有限公司 深圳少 年 儿 童 图书馆 IMC 智能管理中心操作手册 17 在图 312 中点击“配置 SNMP 参数”选项中的“设置”按钮，将出现如图 313 的 配置 界 面。 图 313 SNMP 参数设置有 2种方式：手工和从模板中选取。 如果采用的手工模式，则直接输入相关参数即可。 如果采用的是“从已有的 SNMP 参数模板中选取”。 在图 313 中点击“从已有的 SNMP 参数模板中选取”，将出现如图 314 的配置界面： 图 314 在图 314 中选择相应的模板，点击“确定”按钮即可。 如图 315： 深圳市南方 华迪计算机有限公司 深圳少 年 儿 童 图书馆 IMC 智能管理中心操作手册 18 图 315 在图 315 中点击确定按钮即可。 完成 SNMP 配置以后，将返回到图 312 界面。 然后点击“确定”按钮即可。 如果需要增加 Tel 配置，可以参考 SNMP 的配置。 IMC性能配置及监控 Open 系统管理  系统配置，如 图 321： 图 321 在图 321 中点击“缺省监视指标”，将出现如 图 322 深圳市南方 华迪计算机有限公司 深圳少 年 儿 童 图书馆 IMC 智能管理中心操作手册 19 图 322 在图 322 中选择需要监视的指标即可完成性能监视指标的配置。 设备导入导出配置 系统提供设备的导入导出功能，导出功能用于将 IP 视图中的所有设备信息导出到本机文件中保存，需要 时可以通过导入功能再将其导入到系统中。 通过导入导出功能，能够实现网络设备信息数据的备份，并实现网络中设备信息的重用，从而方便管理员的日常管理。 Open 资源  资源管理 ，如图 331 图 331 在图 331 中点击“设备导入导出”，将出现 如 图 332 的界面 深圳市南方 华迪计算机有限公司 深圳少 年 儿 童 图书馆 IMC 智能管理中心操作手册 20 图 332 在图 332 中选择“导出设备”或“导入设备”，在此介绍“导出设备”，在图中选择“导出设备”，将出现图 333 配置界面 图 333 在图 333 中选择“设备导出结果”，将出现如图 334 配 置界面 图 334 在图 334 中 选择“保存”按钮，将出现如 图 335 配置界面 深圳市南方 华迪计算机有限公司 深圳少 年 儿 童 图书馆 IMC 智能管理中心操作手册 21 图 335 在图 335 中输入保存的文件名，点击“保存”按钮即可。 注意事项 ：  导入的设备文件只能是系统导出的文件  导出的设备文件仅保存在客户端  为了保持设备信息的准确性，导出的设备文件不建议管理员进行修改 拓扑导入导出配置 系统提供网络拓扑的导入导出功能，拓扑导出功能用于将网络拓扑视图中的所有设备信息导出到本机文件中保存，需要恢复时可以通过拓扑导入功能再将其导入到系统中。 操作员通过拓扑导入导 出功能，能够实现对网络拓扑信息和设备信息的备份，重用网络拓扑布局，从而方便管理员的日常管理。 拓扑导入导出配置与设备导入导出配置一样，在此不作介绍。 需要注意以下事项 深圳市南方 华迪计算机有限公司 深圳少 年 儿 童 图书馆 IMC 智能管理中心操作手册 22  导出的拓扑文件仅保存在客户端  为了保持设备信息的准确性，导出的拓扑文件不建议管理员进行修改  导入的拓扑文件只能是系统导出的文件  在执行拓扑导入前，需删除系统中已经存在的设备，否则将无法执行拓扑导入动作  在执行拓扑导入时，需保证没有其他用户执行拓扑及设备的更新操作，否则将无法正常执行拓扑导入动作  拓扑导入成功后，需手动重新启动系统使新导入的 设备及其配置生效，否则系统将会运行异常 4 IMC 业务配置 IMC 业务配置主要是针对于 IMC 平台上的各应用组件的配置操作。 接入设备配置 接入设备是指那些与系统配合进行认证的交换机、接入服务器等设备，只有在此处配置的接入设备才能与系统进行正常的报文交互，才能完成最终用户的认证流程。 Open 业务  接入业务 ，如图 411 图 411 在图 411 中点击“接入设备配置”，将出现如 图 412 配置界面 深圳市南方 华迪计算机有限公司 深圳少 年 儿 童 图书馆 IMC 智能管理中心操作手册 23 图 412 在图 412 中点击“增加”按钮，将出现如 图 413 配置界面 图 413 在图 413 中“接入配置”选项中输入相关参数。 在“设备列表”选项中点 击“选择”按钮，将出现 如图 414 配置界面 深圳市南方 华迪计算机有限公司 深圳少 年 儿 童 图书馆 IMC 智能管理中心操作手册 24 图 414 在图 414 中输入设备的 IP 或标签，点击“查询按钮”，然后点击“确定”。 将出现如图 415 配置界面，本例 以 IP： 为例。 图 415 在图 415 中选择“完成”按钮 即可完成接入设备配置。 备注： 深圳市南方 华迪计算机有限公司 深圳少 年 儿 童 图书馆 IMC 智能管理中心操作手册 25 共享密码必须与接入设备配置一致。 服务配置管理配置 服务是最终用户使用网络的一个途径，它由预先定义的一组网络使用特性组成 ，其中具体包括基本信息、授权信息、认证绑定信息、用户客户端配置和授权用户分组等。 服务为用户提供了完善的接入策略，用户申请了特定的服务后，即可按照服务设定的属性访问网络。 H3C 智能管理中心对用户上网的接入控制以及软件提供的业务控制功能，都体现在服务配置中。 H3C交换机提供了丰富的上网接入控制功能，如上下行速率控制、 VLAN 隔离、访问权限控制等等。 利用接入业务，可方便的实现这些特性的管理，根据不同的用户需求，分别为用户设定上下行速率控制、访问权限控制等特性。 同时，接入业务也提供只有软件才能提供的业务控制功能， 如接入时段的控制、不绑定接入区域的控制、授权用户分组控制等等。 Open 业务  接入业务，如图 421 图 421 在图 421 中点击“服务配置管理”，将出现如 图 422： 图 422 深圳市南方 华迪计算机有限公司 深圳少 年 儿 童 图书馆 IMC 智能管理中心操作手册 26 在图 422 中点击“增加”按钮，将出现如 图 423： 图 423 在图 423 中输入相关参数，点击 “确定”按钮 即可。 参数说明 ： 基本信息  服务名：特定服务在接入业务中的唯一标识  服务后缀：用于在用户认证时标识用户申请的不同服务。 如果用户申请的服务中设置了服务后缀，则 用户上网时必须以 “用户名 @服务后缀 ”作为登录名进行认证。 服务后缀必须与接入设备中的域名一致，且接入设备必须上传域名，才能使用户正常认证。  服务描述：针对该服务的简单描述，以方便操作员的日常维护。 深圳市南方 华迪计算机有限公司 深圳少 年 儿 童 图书馆 IMC 智能管理中心操作手册 27  安全策略：当申请了该服务的用户上网时，便会根据该安全策略指定的安全方案对用户的上网的计算机进行安全检查和监控，从而实现网络的自动防御。 该选项只有安装了 EAD 安全策略组件后才会出现。  可申请：只有选中此项，用户在开户或修改帐户信息时才可以申请该服务。  LDAP 优先级： LDAP 优先级是用来确定 LDAP 用户申请服务的时候，该服务的优先级。 在 LDAP活动目录组同步的时候，用户可能同时属于几个组，每一个组都配置了服务，这时根据 LDAP 优先级来决定用户使用那个服务。 数字越大优先级越高。  业务分组：用于配置该服务所属的业务分组。 管理员 /维护员可以将服务加入自身关联的业务分组。  授权信息  接入时段：选择了某一接入时段策略后，选择此服务的用户只能在接入时段策略中定制的时间段内允许接入。 缺省情况下不对此项进行限制。  不绑定接入区域：选择了某一个接入区域策略后，用户在 此区域认证上网时将忽略所有的绑定信息。 缺省情况下不对此项进行限制，即根据用户服务设置的属性来决定认证时检查的绑定项。  上行、下行速率：根据设定的上下行速率来限制用户使用该服务上网时的上传、下载速率。  优先级：它的高低确定了在网络拥塞时转发报文的优先顺序，此参数应从设备支持的优先级中选取，数值越小优先级越高。 配置错误可能导致用户无法上线。  启用证书认证：目前支持 EAPTLS 认证类型和 EAPPEAP 认证类型。  EAPTLS 认证：是一种基于证书的身份认证，它需要 PKI的部署来管理证书。 它推荐进行服务 器和客户端之间双向认证，认证双方是用证书来标识自己的身份。 在认证通过之后， TLS 的认证双方会协商出一个共享密钥、 SessionId 以及整套的加密套件（加密，压缩和数据完整性校验），这样认证双方就建立了一个安全可靠的数据传输通道。 EAPTLS是客户端和 AAA 服务器借助接入设备的透传，通过 TLS 协议进行的身份认证。 EAPTLS 可以利用 SessionId 进行快速重认证，简化认证流程，加快认证速度，还对较大的 TLS 报文进行了分片处理。  EAPPEAP 认证：是利用 TLS认证在客户端和 AAA 服务器之间建立起一个安 全通道，在安全通道上再发起 EAP 认证。 它具有保护用户标识，保护 EAP 认证的协商过程的作用。 MSCHAPV2 是由微软倡导的，提供双向质询的用户名 +密码的认证方式。 目前 H3C 智能管理中心只提供PEAPMSCHAPV2 认证，它是当前最流行的 PEAP 认证方式，暂时不支持例如 PEAPMDPEAPOTP 等认证方式。  分配 IP 地址：是否下发用户 IP 地址。 深圳市南方 华迪计算机有限公司 深圳少 年 儿 童 图书馆 IMC 智能管理中心操作手册 28  下发 VLAN：设置向用户下发的 VLAN，对于配置的 VLAN 为 1～ 4094 时，接入业务以整型的 VLAN ID 下发给设备，设备上的 VLAN 分配模式应为整型；所 有其他值都以字符型 VLAN NAME 下发给设备，设备上 VLAN 分配模式应为字符型，用户认证通过后将只能访问该 VLAN 的内部资源。  下发用户组：用户认证通过后向设备下发该用户所属的用户组，可以输入多个组，每个组以分号分隔。 只与 SSL VPN 设备配合时，该属性才有效。  下发 ACL：设置向用户下发的访问控制列表。 认证绑定信息  绑定信息：目前用户接入管理与设备配合可对接入设备 IP 地址、端口、 VLAN、 QinQ 双 VLAN、用户 IP 地址、 MAC 地址、无线用户 SSID 和计算机名称进行绑定。 当帐号用户申请具有绑定策略的服务时，可以设置相关的绑定信息，如果不设置，绑定时将采用自学习策略。 所谓自学习就是绑定用户首次上。