1、管理员手册深信服科技股份修订历史编号修订内容简述修订日期修订前版本号修订后版本号修订人1完成管理员手册编写10081.01.0lxf2优化08181.01.1marui 版权申明本文中出现任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有尤其注明,版权均属深信服科技股份全部,受到相关产权及版权法保护。任何个人、机构未经深信服科技股份书面授权许可,不得以任何方法复制或引用本文任何片断。目录目录3第1章 序言5第2章 系统管理52.1 设备登录52.2 管理员配置72.2.1 修改管理员密码72.2.2 创建二级管理员72.3 系统基础信息配置92.3.1 序列号92.3.2 系统时间1
2、02.3.3 规则库升级102.3.4 全局排除地址112.3.5 设备配置备份和恢复112.3.6 WEBUI选项122.3.7 远程维护12第3章 网络配置133.1 布署模式133.2 静态路由17第4章 策略管理184.1 用户认证和管理184.1.1 用户组管理184.1.2 认证策略194.1.3 不需要认证204.1.4 IP/MAC绑定224.1.5 不许可认证274.2 策略管理284.2.1 购物娱乐类网站284.2.2 P2P及P2P流媒体封堵324.2.3 外发文件封堵354.2.4 上网审计384.3 流量管理404.3.1 线路带宽配置404.3.2 确保通道414
3、.3.3 限制通道454.4 终端接入管理504.4.1 共享接入管理50第5章 日志中心管理525.1 设备系统日志525.2 日志中心配置535.2.1 准备工作545.2.2 外置日志中心安装过程555.2.3 日志中心登录605.2.4 同时策略设置605.2.5 AC同时配置625.3 日志中心登录625.3.1 内置日志中心登录625.3.2 外置日志中心登录635.4 日志查询645.4.1 全部行为日志645.4.2 网站访问日志675.4.3 邮件收发日志695.4.4 发帖/发微博日志705.4.5 其它日志735.4.6 日志导出735.5 流量时长分析745.6 报表中
4、心755.7 系统管理76第6章 VPN配置776.1 Sangfor VPN配置776.2IPsec VPN配置82第7章 技术支持88第1章 序言本手册用于讲解AC常见功效操作方法,为管理员提供日常策略维护指导。第2章 系统管理2.1 设备登录首先确保本机从网络能够访问到设备管理IP地址,然后在浏览器中输入网关IP及端口。出现一个以下图安全提醒:点击后出现以下登录界面:在登陆框输入【用户名】和【密码】,点击按钮即可登录AC设备进行配置,默认情况下用户名和密码均为admin。假如用户密码过于简单,则会被检测为弱密码,在控制台处理为:登录后检测为弱密码则提醒修改密码,则会弹出以下提醒:假如提醒
5、超出15天全部没有修改则强制修改密码.则会弹出以下提醒: 弱密码修改:2.2 管理员配置在【系统管理】-【系统配置】-【管理员账户】页面,可修改admin管理员密码、删除管理员账号和创建二级管理员。2.2.1 修改管理员密码管理员账户页面找到admin管理员,直接点击,输入旧密码,并设置新密码即可修改admin账号密码信息。注:admin账号只可修改密码,不可删除。2.2.2 创建二级管理员在管理员账户页面,点击能够创建二级管理员。设备确实管理员角色有两种:administrator:内置角色,该角色管理员自动拥有管理整个组织结构管辖范围,而且还能够添加删除管理员帐户。common:系统缺省创
6、建角色,可经过角色管理添加或删除角色,该角色可设置管理员能够管理组织结构范围。假如选择管理员角色为common,在处,能够设置该管理员能够管理组织结构范围。在处,可设置该管理员能够查看或编辑控制台页面。2.3 系统基础信息配置2.3.1 序列号在【系统管理】-【系统配置】-【序列号】页面,能够查看设备目前授权信息。序列号通常在出厂时已设置好,正常使用过程中无需修改,只有当设备相关服务到期时,才需要修改相关序列号。2.3.2 系统时间【系统管理】-【系统配置】-【系统时间】用于设定SANGFOR 设备系统时间。能够直接在界面上修改时间,也能够选择和时间服务器进行时间同时。注:设备日志统计时间和系
7、统时间相关,请注意确保设备系统时间正确性,手动获取当地时间和系统时间会重启设备,请勿工作时间操作。2.3.3 规则库升级【系统管理】-【系统配置】-【系统更新】-【规则库升级】能够查看目前设备规则库最新状态,请确保设备管理IP能够访问互联网,方便设备自动更新规则库。2.3.4 全局排除地址【系统管理】-【系统配置】-【全局排除地址】可设置指定用户IP或访问目标服务器IP不受任何监控和控制,直接放行。排除地址支持填写IPV4地址、IPV6地址、域名。点击页面,在文本框内输入需要排除IP或域名即可。2.3.5 设备配置备份和恢复【配置备份和恢复】用于将设备已经有配置下载保留,或是将已备份配置文件恢
8、复到设备中。2.3.6 WEBUI选项【系统管理】-【系统配置】-【高级配置】-【WEBUI选项】页面能够设置目前页面参数,如默认编码、控制登录端口、超时时间等。2.3.7 远程维护【系统管理】-【系统配置】-【高级配置】-【远程维护】页面用于设置是否许可从外网口远程登录设备,和自动上报未识别URL、系统错误、未知应用信息和技术支持帮助。用于设置是否许可从外网口远程登录设备,勾选此项同时,设备WAN口自动开启许可ping,平时通常提议关闭该选项。第3章 网络配置3.1 布署模式AC设备支持路由模式、网桥模式、旁路模式和认证模式四种布署模式。路由模式:通常见于没有防火墙中小用户。设备做为一个路由
9、设备使用,对网络改动最大,但能够实现设备全部功效;网桥模式:能够把设备视为一条带过滤功效网线使用,可不更改原有网络拓扑结构情况下平滑架到网络中。现在在用户中使用最多布署模式;旁路模式:仅做旁路审计,需要交换机做镜像至AC。认证模式:用户统一认证上网,认证中心只支持单臂模式布署在网络中,每分支布署一台AC用于上网管理,认证中心在总部,各分支AC和总部认证中心对接,实现统一认证;另一场景通常有第三方无线控制器,认证中心和无线控制器对接,实现统一认证,出口布署AC实现上网管控。(认证中心不能单独布署,需要结合AC或第三方无线控制器)本例以网桥模式布署为案例,配置需求及步骤以下:需求:现在网络已布署防
10、火墙设备IP地址为192.168.1.1/24,内网三层环境,关键交换机地址192.168.1.2/24,AC网桥布署在防火墙和关键交换机之间,分配给AC设备地址为192.168.1.3,配置步骤以下:1.经过【系统管理】-【网络配置】-【布署模式】进入配置界面,点击,选择。2. 点击,选择网桥网口。 本案例采取ETH0和ETH2作为一对网桥口,ETH0作为LAN区网口,ETH2作为WAN区网口。 3.点击,设置AC设备网桥IP: 4.点击,设置DMZ管理口IP地址,可保持默认配置:5.点击,设置设备上网网关和DNS:6.点击,确定和提交配置:注:点击后,设备会自动重启,重启时间通常为1-5分
11、钟,请勿在工作时间修改设备布署模式配置。3.2 静态路由如上需求,因为内网三层环境,需要增加内网网段回包路由指向关键交换机,如内网有192.168.10.0/24、192.168.20.0/24等。1.经过【系统管理】-【网络配置】-【静态路由】进入配置界面。2.点击,设置需要添加路由目标地址、子网掩码,下一跳指向关键交换机。3.点击完成配置,假如有多个网段,可添加多条路由。第4章 策略管理4.1 用户认证和管理4.1.1 用户组管理为了便于区分职员角色进行策略管理,我们能够将上网用户进行分组管理,【用户认证和管理】-【用户管理】-【组/用户】页面是AC用户组织结构管理地方。在该页面下选择指定
12、组,可在该组下创建用户和用户组,在右边点击,选择新增类型定义组名,如“市场部”,点击提交即可,该组适用上网策略,可在后面策略管理时指定。4.1.2 认证策略【认证策略】决定了某个IP/网段/MAC地址上计算机认证方法。经过【认证策略】设置内网用户认证方法,和新用户添加策略。认证策略是从上往下逐条匹配,能够经过页面上移动按钮来调整认证策略优先级。经过认证策略能够为不一样网段配置不一样认证方法。认证策略能够指定认证方法有不需要认证、密码认证、单点登录、不许可认证4种,依据不一样认证策略可实现不一样用户认证需求。4.1.3 不需要认证在认证策略页面点击设置该策略适用范围后点击,适用范围能够是IP、M
13、AC、IP段和子网。选择认证方法为,继续点击选择用户以组织结构中那个组身份上线后点击即可。4.1.4 IP/MAC绑定二层环境1和不需要认证用户设置方法相同,但方法需勾选-选项2用户上网后,在【用户认证和管理】-【用户管理】-【IP/MAC绑定】页面能够看到系统自动绑定了终端第一次上网IP和MAC信息,在该页面可对相关信息进行添加、删除和修改操作。三层环境三层环境下,因为内网用户经过三层交换机后,MAC地址会被三层交换机替换掉,所以还需要在关键交换机上开启SNMP服务,以支持AC跨三层环境下IP/MAC绑定。1.在关键交换机上开启SNMP服务。华为交换机配置命令:system_viewsnmp
14、-agent community read public; 其中public为三层交换机Communitysnmp-agent sys-info version all; 其中all表示全部版本思科交换机配置命令:config terminal 进入全局配置状态Cdp run 启用CDPsnmp-server community public ro 其中public为三层交换机Communitysnmp-server enable traps 许可设备将全部类型SNMP Trap发送出去注:三层交换机需启用SNMP协议,AC作为SNMP用户端经过SNMP读取交换机,只支持SNMPv1,v2,v
15、2c,不支持v3。2.在【用户认证和管理】-【认证高级选项】-【跨三层取MAC】页面,开启跨三层MAC识别功效。能够新增多个SNMP服务器,假如内网存在多个三层交换机,则每个三层交换机SNMP选项均需要开启,以下图点击上图“查看服务器信息”测试能否从交换机获取PCIP和MAC,有返回结果则能正常获取,以下图完成新增SNMP服务器后,能够查看配置全部交换机目前snmp获取结果,以下图接下来,需要配置排除关键交换机MAC地址,以下图。实际使用时,可开启设备自动识别三层交换机MAC,并自动添加到MAC地址排除列表,以下图启用“自动添加排除”,定义10分钟内同一个IP对应MAC地址统计数,推荐配置5。
16、当同一个MAC达成设置条件时,AC认为是三层交换机MAC地址,自动将其排除。3.和二次环境一样,设置认证策略,选择自动录入IP和MAC绑定关系。4.1.5 不许可认证认证方法设置为网段,将无法经过设备访问任何网络。在认证策略页面点击设置该策略适用范围后点击直接点击即可。4.2 策略管理【策略管理】模块设置策略关键包含封堵、审计等策略,以下分别以案例形式介绍部分常见策略设置方法。4.2.1 购物娱乐类网站需求:严禁全企业上班时间访问购物、娱乐类网站。1.【策略管理】-【上网策略】,右边进入【上网策略】编辑页面。然后点击新增按钮,选择上网权限策略,进入编辑界面。填写策略名称,描述信息。2.勾选-,
17、右边进入窗口。点击添加按钮。3.点击应用下方,进入【选择应用】窗口。4.展开应用“访问网站”,选择 “网上购物”和“娱乐”5.点击确定按钮。回到应用控制页面。生效时间选择上班时间,动作选择为拒绝。点击确定按钮,完成网上购物和娱乐类网站拒绝设置。6.选择选项,进行策略和用户/组关联,勾选“全部用户”,即可关联全网用户。7.点击提交按钮,完成整个策略设置。4.2.2 P2P及P2P流媒体封堵需求:严禁市场部门用户及其全部子组在上班时间使用P2P和P2P流媒体。1.【策略管理】-【上网策略】,右边进入【上网策略】编辑页面。然后点击新增按钮,选择上网权限策略,进入编辑界面。填写策略名称,描述信息。2.
18、勾选-,右边进入窗口。点击添加按钮。3.点击应用下方,进入【选择应用】窗口。4.选择应用“P2P”和“P2P流媒体”5.点击确定按钮。回到应用控制页面。生效时间选择上班时间,动作选择为拒绝。点击确定按钮,完成P2P和P2P流媒体应用拒绝设置。6.选择选项,进行策略和用户/组关联。7.点击提交按钮,完成整个策略设置。4.2.3 外发文件封堵需求:为了避免企业关键资料经过网络外泄,严禁研发和财务部门一切外发行为。1.【策略管理】-【上网策略】,右边进入【上网策略】编辑页面。然后点击新增按钮,选择上网权限策略,进入编辑界面。填写策略名称,描述信息。2.勾选-,右边进入窗口。点击添加按钮。3.点击应用
19、下方,进入【选择应用】窗口。4.选择左侧应用标签“外发文件泄密风险”。 5.点击确定按钮。回到应用控制页面。生效时间选择全天,动作选择为拒绝。点击确定按钮,完成外发文件封堵设置。6.选择选项,选择“研发部”和“财务部”。7.点击提交按钮,完成整个策略设置。4.2.4 上网审计需求:对内网全部用户开启审计,审计全部网络行为。1.【策略管理】-【上网策略】,右边进入【上网策略】编辑页面。然后点击按钮,选择上网审计策略,进入【上网审计策略】界面。填写策略名称,描述信息。2.勾选-,右边进入编辑窗口。点击,进入添加审计对象页面。3.点击审计对象下方按钮,进入编辑窗口。选择需要开启审计统计,设置审计访问
20、网站URL。选择为上班时间。注:不提议开启未识别网络应用日志,该日志类似防火墙日志,对上网行为管理审计来说意义不大。4.选择适用对象,这个需求选择即可:5.点击按钮,完成整个策略。4.3 流量管理【流量管理】支持确保和限制通道两种形式,分别用于针对关键应用流量保障和大流量应用带宽限制, 4.3.1 线路带宽配置设置流量管理配置前,需要先依据出口互联网带宽设置带宽参数。点击对应线路名称即可编辑带宽参数,以下图设置线路1上行4Mbps,下行100Mbps4.3.2 确保通道需求:针对HTTP访问网站、DNS、视频会议确保上行2Mbps,下行20Mbps,以确保网络繁忙时这些应用能优先处理。1. 【
21、流量管理】-【通道配置】,右边进入【通道配置】编辑页面。然后点击按钮,选择一级通道,进入【新增一级通道】界面。填写策略名称。2.选则,设置上行带宽确保2Mbps,下行带宽确保20Mbps,优先级高。3.点击。适用应用选择,点击进入按钮,进入编辑窗口。4.选择应用访问网站、DNS、网络会议,点击。5.点击按钮,完成整个策略。4.3.3 限制通道需求:针对一般职员,限制整个组P2P和P2P流媒体上行不超出1Mbps,下行不超出10Mbps,单用户最大上行500Kbps,下行1Mbps,以避免一般职员P2P下载占满带宽,应用其它正常办公业务。1. 【流量管理】-【通道配置】,右边进入【通道配置】编辑
22、页面。然后点击按钮,选择一级通道,进入【新增一级通道】界面。填写策略名称。2.选择,设置上行带宽最大1Mbps,下行带宽最大10Mbps。3.勾选,设置上行500kbps,下行1Mbps。4.点击。5.适用应用选择,点击进入按钮,进入编辑窗口。6.选择应用P2P、P2P流媒体,点击。7.适用对象选择,点击进入按钮,进入编辑窗口。8.选择-组,点击。9.点击按钮,完成整个策略。4.4 终端接入管理4.4.1 共享接入管理需求:用户内网存在大量电脑,移动终端共享热点,需要封堵电脑和移动用户经过代理方法上网行为。配置步骤以下:1.【终端接入管理】-【共享接入管理】,右边进入【共享接入管理】配置页面。
23、勾选启用共享接入检测,以下图所表示:2.在【共享接入管理】页面,点击,以下图所表示:选择“统计全部终端”,可识别PC和PC、PC和移动终端,移动终端和移动终端之间共享。选择,一个IP地址只许可一个用户上线。3.【终端接入管理】-【共享接入管理】,右边进入【信任列表】配置页面,对不需要开启代理检测用户、用户组或IP地址,添加到信任列表。以下图所表示:注:共享终端管理存在一定误判几率,提议可先开启检测不冻结运行一段时间后,确定误判率比较低后,再开启冻结。第5章 日志中心管理企业对上网日志审计需求关键是因为政府监管部门明文要求及出现事故后能够事后追踪,中国网络安全法为保障网络安全,维护网络空间主权和
24、国家安全、社会公共利益,保护公民、法人和其它组织正当权益,促进经济社会信息化健康发展制订。由全国人民代表大会常务委员会于11月7日公布,自6月1日起施行。中国网络安全法要求:第三章网络运行安全 第一节 通常要求第二十一条 国家实施网络安全等级保护制度。网络运行者应该根据网络安全等级保护制度要求,推行下列安全保护义务,保障网络免受干扰、破坏或未经授权访问,预防网络数据泄露或被窃取、篡改:(三) 采取监测、统计网络运行状态、网络安全事件技术方法,并根据要求留存相关网络日志不少于六个月;5.1 设备系统日志设备本身统计30天系统日志,为了满足网络安全法六个月以上日志保留要求,提议配置AC设备【系统管
25、理】【高级配置】【外部syslog设置】功效,将系统日志保留到外部syslog日志服务器上。5.2 日志中心配置AC设备出厂时通常自带了500G硬盘,可直接使用内置日志中心。假如您需要保留日志时间较长,因为设备内置存放硬盘容量有限,而且设备日志查询和报表统计会消耗一定设备性能,提议安装外置日志中心,设备会将相关日志同时到外置数据中心。计算公式:1.上网审计根据推荐开启功效:2. 根据步骤一配置后,理论评定一个用户一天产生日志2M*日均累计用户数*180(天)=大致6个月日志量,从而进行估算磁盘空间是否充足l 假如不是确定是否为500G硬盘,请联络深信服科技确定磁盘大小l 假如计算日志量超出50
26、0G,请一定要选择外置数据中心5.2.1 准备工作1、及以后服务器操作系统,而且系统要求是64位操作系统。(请依据内置日志中心天天日志量合理评定服务器存放空间,NTFS格式)注:天天日志量超出20G,服务器配置选型请咨询深信服技术支持工程师。2、数据中心安装包,请登录深信服官网下载对应数据中心版本::download&action=view&fid=587#/875/all注:汉字安装包支持在简体汉字和繁体汉字操作系统上运行,英文安装包仅支持在英文操作系统上运行。3、日志中心服务器和AC之间需开放 TCP 810,以供数据同时。4、日志中心服务器需开放443端口(可修改),以供外置日志中心登录
27、。5.2.2 外置日志中心安装过程从深信服网站上下载DataCenterSetup_11.0.exe安装程序,双击DataCenterSetup_11.0.exe程序,即出现程序安装向导,界面以下图所表示:点击,选择是否同意许可协议,勾选,即可点击,继续安装,界面以下图所表示:点击,弹出以下界面:这一步用于设置程序安装目录、日志存放目录和附件存放目录:点击,弹出以下界面:这一步用于设置Web服务监听端口,推荐使用默认443端口(登陆方法:https:/ip),假如443端口已被其它程序占用,则能够修改成服务器上其它空闲端口,界面以下图所表示:设置好Web服务端口,点击,弹出以下界面:设置磁盘预
28、警。请提供足够磁盘空间用于存放期望日志量(依据网络安全法要求,推荐配置180天以上)。点击:设置是否开启磁盘异常告警和数据中心异常告警点击,设置预警邮件发送和接收邮件地址:点击,安装程序会弹出具体配置信息,界面以下图所表示:假如确定这些信息无误,则点击安装,此时程序将自动安装,整个安装过程可能会占用您2-3分钟,请耐心等候。安装完成后,会出现以下界面:点击完成,即完成了数据中心整个安装过程。5.2.3 日志中心登录日志中心安装过程中假如采取默认端口443,则日志中心访问地址访问地址是:https:/服务器IP地址,假如服务器IP为192.168.1.240,则访问地址为登陆界面以下:在登录框中
29、输入和,点击登录按钮即可登录数据中心查询页面,默认情况下用户名和密码均为admin。5.2.4 同时策略设置在日志中心【系统管理】-【系统配置】-【同时策略】创建同时策略,用于设置数据中心和网关同时日志策略。以下图所表示:点击,新建同时策略:同时策略名能够自定义设置,不过需和AC网关数据中心同时配置同时账号一致。:接入密钥也需和AC网关数据中心同时配置同时密钥保持一致。: 设置同时策略描述信息。: 设置从哪天日志开始同时。:勾选需要同时到外置数据中心日志类型。点击提交,生效和保留配置。5.2.5 AC同时配置在AC管理界面【系统管理】-【系统配置】-【日志中心配置】新增同时配置,依据外置日志中
30、心设置IP地址、同时策略名和密钥设置同时。写入外置日志中心IP地址后,设备会自动发觉日志中心创建同时策略,选择之前定义同时策略即可。5.3 日志中心登录5.3.1 内置日志中心登录内置日志中心登录接口在设备控制台页面右上角,点击即可进入内置日志中心。5.3.2 外置日志中心登录日志中心安装过程中假如采取SSL加密方法登录,默认端口443,日志中心访问地址为:https:/服务器IP地址,假如服务器IP为10.10.10.11,则访问地址为在登录框中输入用户名和密码,点击登录按钮即可登录数据中心查询页面,默认情况下用户名和密码均为admin。内置日志中心和外置日志中心登录后界面基础相同。5.4
31、日志查询5.4.1 全部行为日志用于查询用户或用户组全部行为日志,步骤以下:1.设置查询条件2.选择需要查询日期范围,需要查询用户/组、应用,假如需要针对IP地址查询,可点击3.在源IP地址处,输入需要查询IP地址,点击,即可查询出这个IP地址全部上网日志。4.点击每条统计最终面,可查看这条日志具体信息。5.4.2 网站访问日志用于查询用户或用户组网站访问日志,步骤以下:1.设置查询条件2.选择需要查询日期范围,需要查询用户/组、网站分类,假如需要针对IP地址查询,可点击3.在源IP地址处,输入需要查询IP地址,点击,即可查询出这个IP地址全部网站访问日志。访问网站日志能够依据URL中关键字进
32、行搜索。5.4.3 邮件收发日志用于查询用户或用户组邮件日志,步骤以下:1.设置查询条件2.选择需要查询日期范围,需要查询用户/组、邮件类别,假如需要针对IP地址查询,可点击3.在源IP地址处,输入需要查询IP地址,点击,即可查询出这个IP地址全部邮件收发日志。5.4.4 发帖/发微博日志用于查询用户或用户组发帖和发微博日志,步骤以下:1.设置查询条件2.选择需要查询日期范围,需要查询用户/组,外发方法是发帖还是发微博,假如需要针对IP地址查询,可点击3.在源IP地址处,输入需要查询IP地址,点击,即可查询出这个IP地址全部发帖和发微博日志。假如期望依据发帖内容反查用户,可使用关键字搜索发帖纪
33、录。在发帖或微博内容选择一段做为关键字查询条件,点击即可。5.4.5 其它日志AC设备还提供了外发文件、即时通讯、搜索关键字、终端接入日志、安全日志等日志可查询,查询方法基础类似不再赘述。5.4.6 日志导出AC设备全部查询日志全部能够导出为excel格式表格以供二次分析,导出接口在界面右上角按钮。点击后,点击下载即可。5.5 流量时长分析流量时长分析用于流量分析和时长分析,流量分析可统计应用流量排行、网站分类流量排行、域名流量排行、应用流速趋势、流控通道趋势、网站分类流速趋势;时长分析可统计应用时长排行、网站分类时长排行和域名时长排行,全部统计出来信息均能够pdf格式导出,以供汇报使用。如应
34、用流量排行,可依据用户、用户组、终端类型、位置、应用进行流量统计。在右边统计选项设置需要统计TOPN和统计依据和时间范围,即可生成相关统计报表。5.6 报表中心报表中心包含【报表收藏】和【报表订阅】两部分。分别用于管理和个性化定义报表寄报表内容。报表收藏用于管理经过流量时长分析(流量分析、时长分析)、用户行为分析(用户行为分析、网站分类分析、单用户分析)、终端接入分析(终端接入分析、终端接入安全)三个模块收藏报表。Webui:报表中心 收藏 报表收藏报表收藏分为名称、页面、编辑、删除四列,界面以下:报表订阅用于管理内置分析报表和自定义报表模板,设置此报表生成后自动发送邮箱地址,帮助管理员管理报
35、表。5.7 系统管理【系统管理】用于查看数据中心系统状态、管理同时账号、登录数据中心用户、系统参数设置、导入导出日志等。可经过【磁盘空间】查看目前日志中心磁盘剩下空间和已存放日志量。第6章 VPN配置6.1 Sangfor VPN配置需求:总部和分支分别一台AC做出口,路由布署,需要实现vpn互联,分支能够正常访问总部业务。配置步骤以下:第一步:开通授权第二步:总部配置 1) 先查看网络配置在【系统管理】-【网络配置】-【网口配置】,确定wan口地址。2) 总部配置基础设置。在【vpn配置】-【基础设置】,填写出口webagent地址。3) 配置用户管理。在【vpn配置】-【用户管理】-【新增
36、用户】给分支新建帐号和密码,类型选择【分支】。点击“确定”,分支用户添加成功。4) 配置vpn内网接口,公布lan口网段在【vpn配置】-【高级设置】-【vpn接口设置】,将lan1口默认4个0掩码改成和lan口真实掩码一致。第三步:分支配置 1 )配置连接管理在导航菜单【vpn配置】-【连接管理】,添加总部给账号密码。点击“完成”,会提醒重启vpn服务,再查看dlan运行状态连接数即可。2) 配置vpn内网接口公布lan口路由。在【vpn配置】-【高级设置】-【vpn接口设置】,将lan1口默认4个0掩码改成和lan口真实掩码一致。测试效果: Vpn建立连接成功,两端内网pc能够正常互访。注
37、意事项:1、第一次打开【用户管理】模块时候浏览器会提醒会需要安装插件,安装好插件才会有【新增用户】选项。 2、假如事两台硬件设备做对接,新增用户时候【类型】选择【分支】,假如是移动用户,则选择【移动】。 3、假如内网有不一样于设备lan口网段需要经过vpn访问,则还需要配置当地子网掩码,路径在【vpn配置】-【当地子网掩码】以公布vpn路由。 4、当总部wan口有多个公网地址时候,webagent填写格式是:IP1#IP2:4009;假如wan口是拨号,则能够联络400申请webagent.6.2IPsec VPN配置需求:总部或分支有一台AC设备,分支/总部有其它厂商vpn设备,想经过ips
38、ecvpn建立连接实现资源共享,配置步骤以下:拓扑:AC设备路由布署在出口经过公网能正常和思科设备连接前提:开通授权第一步:AC 设备【第三方对接】第一阶段配置【说明】:该案例中两边全部是固定公网IP,即选择主模式连接;任何一端是拨号或动态域名,用野蛮模式;任何一端设备不是直连公网,是被出口设备nat出去,采取野蛮模式两边vpn连接模式必需相同第二步:第二阶段入站策略配置第三步:第二阶段出站策略配置至此AC设备配置已完成,剩下就是对端厂商配置,各个厂商配置略有不一样,对端配置根据她们厂商要求配置即可Cisco案例配置以下:conf t /进入特权模式配置crypto isakmp policy
39、 100 /创建isakmp策略(第一阶段) hash md5 /hash算法encry 3des /加密算法group 2 /DH群auth pre-share /身份认证方法exit /退出isakmp策略配置crypto isakmp peer address 201.1.1.2 /创建isakmp对端地址set main-mode password sangfor /创建预共享密钥exit /退出crypto ipsec transform-set sangfor esp-3des esp-md5-hmac /创建变换集及策略mode tunnel /配置成隧道模式exit /退出ac
40、cess-list 100 permit ip 192.168.30.0 0.0.0.255 192.168.10.0 0.0.0.255access-list 100 permit ip 192.168.30.0 0.0.0.255 192.168.20.0 0.0.0.255/创建ACL,类似我们出入站策略,许可本端网段访问对端网段crypto map sangfor 100 ipsec-isakmp /创建映射图set peer 220.10.10.10 /配置对端地址set pfs group2 /配置完美密钥向前保护(跟第一阶段一致) set transform-set sangfo
41、r /绑定变换集到映射图set security-association lifetime seconds 28800 /设置第二阶段SA时间match address 100 /匹配ACL exit /退出int e0/0 /进入接口crypto map sangfor /将映射图绑定到接口exit /退出第四步:野蛮模式配置说明 测试效果:注意事项:1.只支持ike v1版本,不支持ike v2,只支持隧道tunnel模式,不支持传输transform模式2.第二阶段里面这个PFS也是有group选项,只不过我们PFS group选择默认跟第一阶段group选项保持一致,有厂商是能够自由配置,假如有配置时候 需要保持跟我们一致3.任何一端是拨号或动态域名,用野蛮模式;任何一端设备不是直连公网,是被出口设备nat出去,采取野蛮模式4.AC vpn支持标准ipsec协议对接,不分对方是什么厂商5.第三方最关键就是保持连接参数一致第7章 技术支持用户支持邮箱:技术支持热线电话:400-630-6430(手机、固话均可拨打)技术支持论坛: 企业网址:
浙ICP备2021020529号-1 | 浙B2-20240490 
