iBrain Logger网络日志中心(以下简称ILG)是终端用户上网行为日志的存储中心,可以灵活的部署于私有云或公有云平台,ILG能和vNMC一样部署在Vmware虚拟化系统平台。ILG作为日志存储中心可以存储终端的上网行为日志,包括用户上网行为日志,终端上下线日志、终端特征信息日志、无线热点信息日志。同时可以满足不同网监厂商、平台审计对接的需要,可被iBrain NMC统一运维管理,满足本地、非本地网监对接部署方案。
NMC 3.13.0
SFG3.0.8R1
简述配置此功能的几大步骤。
1、部署ILG
2、ILG激活上线
3、SFG激活上线
4、配置SFG有线认证
5、配置SFG审计策略
1、若SFG下的无线终端已经做了认证,那SFG有线认证策略需要将无线终端的网段加入到放通IP地址里。
1、SFG网关的版本需大于SFG3.0.8R1版本,才可引流到ILG。
2、ILG必须搭配SFG使用,因为是SFG将审计的信息上传给ILG,如果分支只有AP没有SFG,那ILG就无法审计到日志。
3、ILG和SFG处于局域网的场景时:ILG不能接在SFG的LAN口下,需要和SFG的WAN口接在同一个二层交换机。
4、ILG和SFG处于跨公网的场景时:SFG要能正常访问ILG的TCP 4530(数据隧道端口),UDP 4565, 4566, 4567(引流隧道端口),才能正常审计日志。
5、ILG如果通过私网IP加入到NMC管理,那SFG就不能跨公网激活到NMC。因为NMC会下发ILG的私网IP给到分支SFG,分支SFG通过私网地址无法访问到ILG。类似网点AP跨公网激活到分支NAC,但是分支NAC又通过私网地址加入NMC管理,当分支NAC故障后,网点AP访问不了NMC的私网地址一样。
6、ILG 的定位是多区域网监对接审计,解决多分支场景下,不同区域要对接不同网监的需求。不是控制器日志中心的平替,相比于日志中心,页面能看到的内容更少。如只有行为日志(只有记录没有拒绝),不会显示流量和时间审计数据,也没有下列红框内的日志:
7、ILG如部署在内网,能和NMC通信,就不需要做端口映射,是ILG主动连接NMC的;ILG如果部署在公网,NMC又部署在内网,就需要在NMC出口侧映射以下端口:
8、NMC平台除了开通“授权网络日志中心数量”的序列号,还要开通“云安全访问服务接入分支数量"的序列号,大于等于SFG分支数量。
拓扑说明:ILG部署在公网,控制器NMC旁挂总部的核心交换机,每个分支使用一台SFG网关做出口。总部出口防火墙映射相关端口,分支SFG与ILG跨公网激活到总部NMC上。
参考《软控安装指导手册》,ILG镜像包可联系400 878 3389 获取。
1、NMC添加网络日志中心
2、ILG加入中心端NMC
1、参考《SFG加入NMC配置指导手册》。
1、参考《网关有线认证配置指导手册》。
1、在NMC的web界面【安全配置-网络日志中心管理-审计策略】里,新增SFG审计策略,并选择对应的SFG网关及出口线路。
1、在NMC的web界面【状态概览-设备-网络日志中心】里,可以看到ILG正常在线,点开具体的ILG,关联网关里可以看到前面配置审计策略的SFG网关。
2、打开ILG的日志中心,可以看到已经审计到SFG下有线侧的上网日志。
问题根因:除了开通“授权网络日志中心数量”的序列号,还要开通“云安全访问服务接入分支数量”的序列号。
解决办法:开通“云安全访问服务接入分支数量”序列号,数量不少于分支SFG网关数。
问题根因:由于ILG和NMC是同二层,添加ILG时使用的是内网地址,导致NMC将ILG的内网地址下发给分支SFG,分支SFG又是跨公网激活到NMC上的,所以无法通过内网地址访问ILG。
解决办法:推荐ILG部署在公网,和SFG网关一起跨公网激活到总部NMC上;也可在总部出口设备上做双向地址映射,即使ILG与NMC处于同二层,也跨公网激活到总部NMC上。
问题根因:ILG接在总部SFG的LAN口下,当前代码逻辑设定SFG审计只支持WAN侧,不支持LAN侧。SFG的LAN口流量无法镜像至ILG,无法建立到ILG的引流隧道。
解决办法:调整拓扑,将SFG和ILG接在同一个二层交换机。
问题根因:SFG有线认证匹配的角色仅在客户端生效,NMC的Web认证策略匹配的角色无实际意义,终端角色以SFG在线用户状态为准即可。
解决办法:正常现象,参考portal对接的角色分配规则。