集成AC对接网监典型配置案例

1 适用的产品和版本

表1 适用的产品和版本

设备类型	设备名称	版本
网关	RG-NBR-N7000系列网关	适用于NBR_NTOS1.0R12及更高版本

2 业务需求

网监对接（也叫第三方日志对接）是指通过在网络中部署日志审计平台与当地有关部门监管平台对接，将审计日志发送到相应的网络监管平台，从而满足有关部门对于公共互联网Wi-Fi的实名审计需求。

网关设备支持收集通过本设备认证的无线终端的基本信息、认证上下线信息、上网行为日志、虚拟身份上网日志等信息，通过对接第三方日志服务器，将这些信息上报给网监平台。

如图所示，网关设备连接内部网络和Internet，作为DHCP Server为内网设备和终端分配IP地址，同时作为集成AC统一纳管无线AP及终端，并对无线终端进行上网认证、URL审计等。现要求设备将终端上下线、上网行为审计等信息上报给第三方监管平台（任子行云平台），以满足公共无线上网场所合规要求。

图1 集成AC对接网监组网图

3 配置限制与说明

在配置联动第三方日志（网监对接）功能前，请确认：

网关已激活第三方日志对接服务授权。
网关的“联动第三方日志特征库”已更新到最新版本。

当前仅支持对接“任子行云平台(新)”服务器类型。
网关设备和AC设备可以被多个场所共享，配置时只需绑定其中一个场所即可。AP不允许多个场所共享，每个AP只能绑定一个场所，即每个场所下至少部署一台AP，且该AP的MAC地址不能和其他场所下的AP的MAC地址重复。
上网认证方式支持本地Portal认证、外部Portal认证、Wi-FiDog认证，可根据实际需求进行配置；本例中以设备本地Portal认证（账号密码方式）为示例。更多上网认证配置案例请参见《产品一本通》的【常用功能 > 用户认证 > 典型配置案例】章节。
本例中网关连接二层非网管PoE交换机，作为DHCP服务器为AP及无线终端分配IP地址，AP及无线终端用户均使用192.168.2.0/24网段的IP地址。实际配置时请根据实际网络规划进行调整，更多无线管理（集成AC）组网配置案例请参见《产品一本通》的【常用功能 > 无线管理(集成AC) > 典型配置案例】章节。

4 配置思路

l 配置网络

○ 配置网关的接口IP、路由等，使设备能够正常连通网络

○ 配置网关开启DHCP服务，为AP和用户终端分配IP地址

l 配置AP上线

○ 在网关上创建无线接入信号和AP组，并将无线信号关联到创建的AP组中

○ 在网关上将离线AP加入到创建的AP组中

l 网关开启Portal认证

○ 添加认证用户

○ 添加认证域管理选项

○ 配置认证模板

○ 配置认证策略

○ 配置认证白名单

l 网关开启行为审计

○ 配置审计模板

○ 配置审计策略

l 配置联动第三方日志服务器

○ 设备导入第三方日志对接服务授权

○ 升级联动第三方日志特征库

○ 收集场所信息

○ 配置第三方日志服务器信息

○ 配置场所基本信息

○ 配置设备基本信息

5 配置步骤

5.1 配置接口和DHCP地址池

（1）登录网关的Web页面，点击[网络]>>[接口]>>[物理接口]，点击Ge0/1接口的“编辑”，配置接口IP并开启DHCP服务，为AP设备和内网终端分配IP。

接口：Ge0/1
模式：路由模式
接口类型：LAN口
连接类型：静态地址
IP/网络掩码：192.168.2.254/24
DHCP服务：开启，IP分配范围为192.168.2.1~192.168.2.254，DNS为114.114.114.114。

（2）配置Ge0/4接口。

接口：Ge0/4
模式：路由模式
接口类型：WAN口
连接类型：DHCP

接口配置如下：

$\\192.168.158.175\资料部公共空间\20-作者交稿\杨丽雯\安全\案例集\R12\联动第三方日志(网监对接)-刘浩林志彬\接口配置.png$

（3）完成接口配置后，点击[网络]>>[DHCP]>>[DHCP服务器]，可以看到名称为“192.168.2.0/24”，接口为Ge0/1的DHCP服务器，点击<编辑>，配置DHCP服务器参数。

接口：Ge0/1
子网：192.168.2.0/24
IP分配范围：192.168.2.1-192.168.2.254
默认网关：192.168.2.254
DNS：114.114.114.114（根据实际情况配置）
展开高级配置，配置“Option 138”为AP与设备的默认互联隧道IP地址3.3.3.3（需要与首次添加无线网络时，填写的AP与设备互联隧道IP地址保持一致，详见步骤?1.6.2 2. (2)）。

5.2 配置AP上线

5.2.1 配置集成AC

（1）点击[网络]>>[无线]菜单项，开启无线开关。

（2）点击进入[网络]>>[无线]>>[添加无线网络]页面，点击<添加Wi-Fi>。

当前网络拓扑：本例选择“AP和用户地址池在当前设备上”。
AP与设备互联隧道IP：本例保持默认3.3.3.3。网关或三层交换机配置DHCP Server（AP地址池）时，需要指定Option 138选项为该地址。

配置完成后，点击<下一步>。

（3）根据实际需求设置Wi-Fi名称及密码。配置完成后，点击<下一步>。

（4）设置无线用户的上网配置。本例设置关联AP组为default组，即default组下的所有AP都将发射Wi-Fi信号。在本案例场景下，不可网管交换机无VLAN ID，配置无线用户VLAN ID为1即可。

（5）配置完成后，点击<确认>保存配置。

5.2.2 配置AP

（1）将需要管理的AP切换成瘦AP模式即可，其他配置均由AC下发。

（2）将AP接入网络，在网关设备的[网络]>>[无线]>>[AP管理]页面可以看到AP上线。

$\\192.168.158.175\资料部公共空间\20-作者交稿\杨丽雯\安全\案例集\R12\联动第三方日志(网监对接)-刘浩林志彬\APshangxian.png$

5.3 配置用户认证

说明

认证方式可根据实际需求进行配置，此处以本地Portal认证（账号密码方式）为例。

（1）添加认证用户。

a. 进入[策略]>>[用户认证]>>[用户管理]页面，点击<新增>按钮，选择“用户”。

b. 配置上网用户信息。

登录名：test
所属分组：/default，本案例新增用户所属分组选择默认default分组，实际组网中可以根据需要选择自定义用户分组。
密码：test@123

c. 点击<保存>。

（2）配置认证域。

a. 点击[策略]>>[用户认证]>>[认证域管理]，进入认证域管理页面。

b. 本案例直接编辑default认证域，实际组网中可以根据需要自定义。

启用“WEBAUTH”。
用户所在位置选择“仅使用本地用户信息”。

c. 点击<保存>。

（3）配置本地Portal。

a. 点击[策略]>>[用户认证] >>[认证模板]>>[本地Portal]，进入本地Portal配置页面。

b. 配置本地Portal参数。

（4）配置本地Portal模板。

点击[策略]>>[用户认证] >>[认证模板]>>[本地Portal]>>[本地Portal模板]，进入本地Portal模板配置页面。

本例中，上网用户通过账号密码认证接入网络，使用默认的本地Portal模板即可满足需求。实际场景中可以根据需求自定义本地Portal模板。

（5）配置认证策略。

a. 点击[策略]>>[用户认证]>>[认证策略]，进入认证策略列表页面。

b. 配置认证策略。

策略名称：可任意填写
源接口/区域：需要包含连接AP的设备接口
源地址：选择终端的IP网段或any
动作：认证
认证模板名称：使用系统内置模板时选择“本地Portal”，使用其他本地Portal模板时选择对应的模板名称。

（6）配置将AP的IP地址加入认证白名单。

a. 点击[策略]>>[用户认证]>>[认证选项]>>[白名单]菜单项。

b. 点击<新增>，将AP的IP地址添加到白名单中，确保终端连上AP后能够正常跳转认证页面。

注意

只要放通所有连接在网络上的AP设备的IP地址即可，不要配置放通一整个网段。

$\\192.168.158.175\资料部公共空间\20-作者交稿\杨丽雯\安全\案例集\R12\联动第三方日志(网监对接)-刘浩林志彬\白名单.png$

5.4 配置行为审计

（1）配置审计模板。

a. 点击[策略]>>[行为审计]>>[审计模板]菜单项。

b. 点击<新增>，配置审计模板。

说明

可自定义模板，或者选择系统自带的预定义模板。

c. 模板名称可任意配置，根据实际场景需求选择要审计的日志类型，最后点击<保存>。

（2）配置审计策略。

a. 点击[策略]>>[行为审计]>>[审计策略]菜单项。

b. 点击<新增>，配置审计策略。

名称：可任意填写
源地址：any
动作：按模板审计
审计模板：点击”请选择模板”，选择上一步骤配置的审计模板

c. 保存配置。

5.5 配置对接网监平台

5.5.1 导入授权

设备对接第三方日志服务器（网监平台）需要获取并激活相关服务授权。授权激活步骤如下：

（1）登录安全云管理平台（https://secloud1.ruijie.com.cn），访问[授权管理]>>[授权激活]页面，输入授权码和设备SN，获取授权文件。

$\\192.168.158.175\资料部公共空间\20-作者交稿\杨丽雯\安全\案例集\R12\联动第三方日志(网监对接)-刘浩林志彬\下载授权文件.png$

（2）点击[系统]>>[系统配置]>>[授权管理]，选择“在线激活”或“手动激活”。

（3）以手动激活为例，点击<手动激活>，上传授权文件，点击<激活>。

（4）授权激活成功后，可以看到相关License信息。

$\\192.168.158.175\资料部公共空间\20-作者交稿\杨丽雯\安全\案例集\R12\联动第三方日志(网监对接)-刘浩林志彬\授权激活成功.png$

（5）查看“第三方日志对接服务”授权状态，显示为已授权。

$\\192.168.158.175\资料部公共空间\20-作者交稿\杨丽雯\安全\案例集\R12\联动第三方日志(网监对接)-刘浩林志彬\授权状态.png$

5.5.2 升级特征库

授权激活成功后，需要在[系统]>>[特征库升级]页面，将“联动第三方日志特征库”更新到最新版本。

在线升级：在设备能够正常连通安全云平台https://secloud1.ruijie.com.cn（设备联网且已配置DNS）的情况下，点击<在线升级>。
手动升级：访问安全云平台https://secloud1.ruijie.com.cn，选择[版本管理]>>[特征库版本]，获取最新特征库文件，然后访问设备的[特征库升级]页面，点击<手动升级>，上传特征库文件进行升级。

5.5.3 收集场所信息

网监对接需要提前收集场所信息：

（1）收集场所基本信息：收集上网服务场所编码、场所名称、地址、物理位置经纬度等，详见5.5.4 (2)章节需求。

（2）收集AP设备的MAC地址：需要将场所下的AP的MAC地址与场所绑定。

AP的MAC地址获取方式有：

查看设备面板粘贴的设备信息贴纸。
在设备的[网络]>>[无线]>>[AP管理]页面查看。

5.5.4 联动第三方日志服务器配置

（1）配置服务器信息。

a. 点击[系统]>>[联动配置]>>[联动第三方日志]，开启功能开关。

b. 设备作为集成AC对接网监时，无线终端信息收集方式可任选其一。

说明

● 对于独立AC环境（由AC纳管AP，AP为瘦AP），请选择“通过SNMP收集信息”方式。同时需要在AC上配置SNMP Trap功能，并配置SNMP目的主机为锐捷网关设备的IP。

● 对于没有独立AC设备的环境，AP以胖终端模式接入网关，请选择“通过SYSLOG收集信息”方式。同时需要在AP上配置SYSLOG功能。

c. 点击<保存>。

d. 点击<新增>，配置第三方日志服务器。

服务器类型：选择任子行云平台(新)。
服务器名称：可自定义。
服务器参数（IP地址，FTP端口，FTP用户名，FTP密码）由服务器端接口人提供。
厂商名称：安全厂商名称，按实际情况填写。
厂商组织机构代码：九位数字，可网上查询，如锐捷厂商组织机构代码为754961764。
厂商地址：厂商地址。按实际情况填写。
数据产生源标识：上网服务场所编码前六位数字，传输此文件的系统所属机构的标识（如某省厅，某地市等），每个节点标识由公安机关机构（GA/T 380-2011）代码前六位统一确定。例如：320000表示江苏省厅；320100表示南京市局。
数据传输目的标识：六位数字，跟源标识可一致。

e. 点击<确认>，保存配置。

（2）配置场所基本信息。

添加单个场所

a. 点击[系统]>>[联动配置]>>[联动第三方日志]>>[场所基本信息]，点击<新增场所>。

b. 服务器名称选择上一步骤中配置的服务器名称，并配置场所信息。

说明

● 每个场所只能关联一台日志服务器，且一台日志服务器只能被一个场所关联。

● 场所信息应尽可能填写全面。

场所信息字段说明如下：

○ 上网服务场所编号：

场所编号由14位数字组成，代码从左至右的含义是：

a) 第1至第6位表示上网营业场所所在省（自治区、直辖市）、市（地区、盟）、区（县、旗），按GB/T 2260规定的行政区划代码生成，作为标识代码使用，该标识代码生成后不随当地行政区划代码变更而改变。

b) 经营性上网服务场所，第7、8、9位固定取值为“100”；非经营性上网服务场所，第7位固定为2，表示属于互联网公共上网服务场所，Wi-Fi无线采集前端的第7位固定为3。

c) 第8位表示上网服务场所类型，代码见?表2。

说明

不同厂商服务器对应的场所类型编码可能不同，具体参考厂商标准。

d) 第9至第14位用6位数字表示序列号，该序列号由该单位或场所管辖地公安机关网安部门定义。

表2 上网服务场所编号第8位取值说明

代码	说明	备注
1	旅店宾馆类（住宿服务场所）
2	图书馆阅览室
3	电脑培训中心类	各类培训机构
4	娱乐场所类	KTV、酒吧、咖啡厅、棋牌室、游戏厅等
5	交通枢纽	飞机场、火车站、轮船码头、公交枢纽站等
6	公共交通工具	地铁、公交车、出租营运车辆等
7	餐饮服务场所
8	金融服务场所	银行、证券公司、保险公司等
9	其他

○ 上网服务场所名称：按网安部门要求进行命名，如无要求，可自定义。

○ 经营法人：根据要求填写场所负责人。

○ 经营法人有效证件号码：选择证件类型后，填写场所负责人有效证件号码。

○ 场所服务类型：在下拉框中根据实际情况选择。

○ 场所经营性质：在下拉框中根据实际情况选择。

○ 营业状态：在下拉框中根据实际情况选择。

○ 场所详细地址：填写场所详细地址（省市区等）。

○ 所属省/市/区编码：按实际所在地填写。

○ 场所经纬度：填写场所所在地的经纬度。经度的取值范围为-180~180（东经为正），纬度的取值范围为-90~90（北纬为正）。例如经度119.243963，纬度26.058545

○ 营业开始时间：根据实际情况选择。

○ 营业结束时间：根据实际情况选择。

○ 接入服务商：提供网络服务的运营商，根据实际情况选择。

○ 接入方式：接入网络的方式，根据实际情况选择。

c. 点击<确认>，保存配置。若添加成功，页面将给出添加成功提示，并自动刷新场所列表页面。

批量导入场所基本信息

a. 在[场所基本信息]页面，点击“下载CSV模板”，下载导入模板，并按照模板格式填写所有场所信息。

保存时，需要将所有字段都改成文本格式。

b.选择需要导入场所信息的服务器，然后选择本地CSV文件，点击<导入>。

$\\192.168.158.175\资料部公共空间\20-作者交稿\杨丽雯\安全\案例集\R12\联动第三方日志(网监对接)-刘浩林志彬\批量导入场所信息.png$

（3）配置设备基本信息。

添加单个AP

a. 点击[系统]>>[联动配置]>>[联动第三方日志]>>[设备基本信息]，点击<新增AP>。

b. 设置AP信息。

上网服务场所编号：AP所属的场所。
MAC地址：填写AP设备的MAC地址。示例：网络环境中接入了一台MAC地址为10:82:3D:B9:3E:60的AP设备，终端连接该AP设备发出的Wi-Fi进行上网。如需将终端日志信息上报第三方文件平台，则需要在[联动第三方日志]>>[设备基本信息]中，添加该AP的MAC信息。
AP名称：自定义。

c. 填写完成后，点击确认。

批量导入AP信息

a. 在[设备基本信息]页面，点击“下载CSV模板”，下载导入模板，并按照模板格式填写所有AP设备信息。

b. 选择需要导入AP设备信息的第三方日志服务器名称，然后选择AP信息文件，点击<导入>。

$\\192.168.158.175\资料部公共空间\20-作者交稿\杨丽雯\安全\案例集\R12\联动第三方日志(网监对接)-刘浩林志彬\AP导入.png$

6 验证配置结果

6.1 终端认证上网

（1）终端连接AP配置的Wi-Fi。

（2）输入Wi-Fi密码。

（3）若密码正确，则会弹出下图所示的Web认证页面。

（4）输入正确的用户名和密码后，即可通过认证。

6.2 验证日志是否上报网监平台

如果第三方日志服务器配置均正确，那么等待一段时间后，可在[系统]>>[联动配置]>>[联动第三方日志]>>[状态信息]页面，选择对应的第三方日志服务器名称，查看日志统计、最近成功发送记录和最近失败发送记录。

主要验证：上网行为日志以及终端上下线是否有计数。虚拟身份上网日志需要终端上下线QQ/微信才可触发。

$\\192.168.158.175\资料部公共空间\20-作者交稿\杨丽雯\安全\案例集\R12\联动第三方日志(网监对接)-刘浩林志彬\配置验证.png$

“日志统计”状态栏会显示已发送的日志的个数，并在下方显示最近成功发送记录。若日志统计中各类日志的数量有增加，则表示日志成功发送。

其中，“虚拟身份上网日志”对应QQ和微信应用的上下线记录，“上网行为日志”对应终端访问网页、视频等行为的记录，“终端上下线”对应终端接入Wi-F、断开Wi-Fi的行为记录，“基础信息”对应当前日志服务器下的AP设备的信息记录。