下载文档原格式
深信服上网行为管理部署方式及功能实现配置说明(标化院)设备出厂的默认IP见下表:AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。
如果初始登录从LAN口登录,那么登录的URL为:https://10.251.251.251,默认情况下的用户名和密码均为admin。
设备正常工作时POWER灯常亮,W AN口和LAN口LINK灯长亮,ACT灯在有数据流量时会不停闪烁。
ALARM红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。
如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。
『部署模式』用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。
选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。
路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能;网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能;旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。
选择【导航菜单】中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,会出现『路由模式』、『网桥模式』、『旁路模式』的选项,选择想要配置的网关模式。
路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。
配置方法:第一步:先配置设备,通过默认IP登录设备,比如通过LAN口登录设备,LAN口的默认IP是10.251.251.251/24,在电脑上配置一个此网段的IP地址,通过https://10.251.251.251登录设备,默认登录用户名/密码是:admin/admin。
一、AC\SG部署模式:1.1部署模式拓扑图:1.1.1路由部署1.1.2网桥部署:1.1.3旁路部署:1.2部署指导1.2.1 路由模式_部署指导首选需要了解用户的实际需求,以下几种情况必须使用路由模式部署:1、用户必须要用到AC的VPN、NAT(代理上网和端口映射)、DHCP这几个功能。
2、用户在新规划建设的网络中来部署AC,想把AC当作一台网关设备部署在网络出口处。
3、用户网络中已有防火墙或者路由器了,但出于某方面的原因想用AC替换掉原有的防火墙或者路由器并代理内网用户上网。
1.2.2 网桥模式_部署指导1、网桥模式部署相比路由模式对客户的网络影响较小,当客户确定不需要使用AC的VPN、NAT、DHCP功能,且内网已有相应的网关设备时,建议使用网桥模式部署。
2、根据客户的网络结构决定AC采用多网桥或网桥多网口的方式。
网桥多网口常见应用场景:a.两条线路分别接FW1和FW2,内网接交换机,设备在交换机和防火墙之间,网桥模式部署,单进双出做网桥多网口。
b.内网核心交换机和路由器都做双机,加入两台设备,双进单出做网桥多网口。
多网桥常见应用场景:a.设备一进一出做单网桥b.客户内网有VRRP或HSRP环境1.2.3 旁路模式_部署指导1、旁路模式是所有部署模式中最简单的一种,但也是功能实现较弱的一种部署方式。
当客户的需求只是上网审计和基于TCP的应用过滤时,可以考虑此种部署方式,常见于高校、大型国有企业专门用于AC作审计;2、旁路部署时一般设备是接在核心交换机上,核心交换机通过将镜像功能将需要审计的流量镜像过来;3、旁路模式部署时采用管理口(DMZ)配置的IP地址进行管理,其它所有接口均可作为监听口,可使用一个口或者是多个口同时作为监听口,监听口无需任何配置。
二、AF部署模式:2.1 部署模式拓扑图:2.1.1 路由模式:2.1.2 透明模式2.1.3 虚拟网线2.1.4旁路模式:2.1.5混合模式三、SSL VPN部署模式:3.1 部署模式拓扑图3.1.1 网关部署:3.1.2 单臂部署:3.2部署指导3.2.1 网关单线路配置思路1、网关模式配置:确定设备外网口(WAN1口)是固定IP或者是ADSL拨号方式,取得相应运营商给的IP地址信息或者是拨号的帐号密码;确定内网口(LAN口)的IP地址信息;2、上网配置:代理上网(NAT),确定内网是否多网段网络环境,如果是的话需要添加相应的回包路由回指给设备下接的核心交换机。
