深信服M-5100-AC管理手册.docx

1、目录系统配置2网关运行模式配置2内网接口配置12外网接口配置15网关运行状态17限制IP登录18路由设置18系统路由设置19策略路由设置21NAT规则设置23防火墙规则设置27QoS功能设置31访问控制和监控35用户认证方式设置35IP-MAC认证用户设置43WEB认证用户设置45访问控制组48系统配置网关运行模式配置网关运行模式配置用于设定ac 硬件网关的工作模式,可把ac 硬件网关设定为,路由模式，透明模式，网桥模式和旁路模式。设置界面如下： 选择路由模式，透明模式，网桥模式，旁路模式。点击设置生效保存配置,然后ac硬件网关会自动重启，确定。重启后,ac 硬件网关的运行模式即改变生效。 a

2、路由模式 路由模式是把ac 硬件网关作为一个路由设备使用，一般是把ac 硬件设备放在内网网关出口的位置，代理局域网上网；或者把ac 硬件设备放在路由器后面,再代理局域网上网.如下图所示: 1.ac 硬件网关工作在路由模式时,局域网内电脑的网关都是指向ac 硬件网关的lan 口ip 或指向三层交换机,三层交换机的网关再指向ac。上网数据由ac 硬件网关做nat 或路由转发除去。 2wan、lan 应设置不同网段的ip。 3如果wan2 口没有被使用，可以把wan2 自定义成一个lan2 或dmz2. 4lan 口配置802。1qvlan 地址后，lan 口可以接支持vlan 的2 层交换机的tr

3、unk 口，ac 可以在vlan 间转发数据（单臂路由），并可做lan-lan 方向的防火墙规则，即可以控制不同vlanid 之间的访问控制. b透明模式 透明模式是把ac 硬件网关视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用。把ac 硬件网关接在原有网关及内网用户之间，在原网关及内网用户不需做任何配置改变的情况下，对ac 硬件进行一些配置即可使用。对原网关及内网用户而言，亦不知ac 硬件网关的存在，即所谓对原网关及内网用户透明。如下图所示: 1。ac 硬件网关工作在透明模式时，局域网内电脑的网关都不需要改变，保留指向原有网关即可(即指向前置设备的内网接口ip)。

4、 2。ac 硬件网关工作在透明模式时，必须为ac 硬件网关的wan、lan 设置同一网段的ip，ac 硬件设备的网关指向原有网关（即指向前置设备的内网接口ip)。 3.ac 硬件网关工作在透明模式时,必须保证原有网关及内网用户间只有唯一的物理线路连接，且ac 硬件网关正是串接在这条唯一的物理线路连接上。即不能存在内网用户可绕过ac 硬件设备，到达原有网关的物理线路。 4。ac 硬件网关工作在透明模式时，ac 硬件网关的wan2 和dmz 口不起作用,亦不能配置。只有wan1 和lan1 是可用的。且要保证wan1 口接前置的路由设备，lan 口接内网的交换机，不能接反. 5。ac 硬件网关的透

5、明模式是在网络层(osi 第三层）上实现的透明,是通过arp 欺骗技术实现的，可能会影响内网某些基于数据链路层（osi 第二层)或基于mac 地址的应用，请慎重启用ac 硬件网关的透明模式功能.例如原有网关不能启用ip/mac 绑定及dhcp 等需要第二层数据穿透的功能。 6。在透明模式不要启用nat 功能。 7. 在透明模式下ac 本机的ip-mac 绑定和vpn 功能可用. 8。不要把设备的wan1 口和lan 接到同个交换机，这会在内网引起arp 欺骗，导致通讯异常。 9。 有前置设备情况下,启用网关杀毒、邮件过滤等功能,或ac 需要自动升级url 等内置库时，需要正确设置前置设备规则（

6、防火墙、路由等），保证ac 设备可访问外网. 10.一般不建议把设备切换到透明模式，因为透明模式只能穿透网络层的数据，需要穿透数据链路层数据的应用在此模式下没法正常工作。一般只在需要这种网络部署又要用到vpn 功能时才启用透明模式，否者强烈建议使用网桥模式。如需要用vpn 的情况下,建议使用路由模式。 c网桥模式 网桥模式和透明模式类似，是把ac 硬件网关视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用。把ac 硬件网关接在原有网关及内网用户之间,在原网关及内网用户不需做任何配置改变的情况下，对ac 硬件进行一些配置即可使用。对原网关及内网用户而言,亦不知ac 硬件网

7、关的存在，即所谓对原网关及内网用户透明。网桥模式和透明模式的主要区别是，网桥模式是可以穿透数据链路层的数据，对用户做到完全透明.一般在这种网络拓扑下强烈建议用网桥模式。如下图所示： 配置界面如下图所示： 1。ac 硬件网关工作在网桥模式时，局域网内电脑的网关都不需要改变，保留指向原有网关即可（即指向前置设备的内网接口ip）。 2。ac 硬件网关工作在网桥模式时，wan 口和lan 口桥接起来了.wan 和lan 口处于同一个交换域内，相当于交换机的两个接口。wan 口和lan 口的ip 不可配置。网桥模式下内外网接口配置在配置界面上也隐藏起来了。设备可配置一个网桥ip(此为设备的一个虚ip），

8、用于设备本身的上网或把设备的日志同步到数据中心，要保证有路由到达公网或数据中心的电脑. 3.ac 硬件网关工作在网桥模式时，必须保证原有网关及内网用户间只有唯一的物理线路连接，且ac 硬件网关正是串接在这条唯一的物理线路连接上.即不能存在内网用户可绕过ac 硬件设备，到达原有网关的物理线路。 4。ac 硬件网关工作在网桥模式时,ac 硬件网关的wan2 不起作用，亦不能配置，dmz 口可配置一个管理ip。穿透数据时只有wan1 和lan1 是可用的。且要保证wan1 口接前置的路由设备,lan 口接内网的交换机,不能接反。 5.ac 硬件网关的网桥模式是在数据链路层（osi 第二层）上实现的透

9、明，是通过把ac 的wan1 口和lan 口桥接实现的.数据链路层及以上各层的数据均可穿透。原有网关启用ip/mac 绑定及dhcp 等需要第二层数据穿透的功能能正常使用。 6。在网桥模式不要启用nat 功能. 7.在网桥模式下ac 本机的ipmac 绑定和vpn 功能不可用。 8.不要把设备的wan1 口和lan 接到同个交换机，这相当于把一根网线接到交换机的两个口,会引起二层上的环路，导致通讯异常. 9如启用杀毒、邮件过滤等功能或要让设备能够自动升级url库，内容检测，病毒库等,则须配置需设置网桥ip,默认网关和dns，并保证ac本身访问外网(可通过升级控制台工具ping测试）。 10.如

10、启用web认证、准入规则或其他需要重定向到ac网关上的功能，同时内网有多网段时，须添加到内网非直连网段的路由指向内网路由设备。 11.如果二层交换机上的pc 有多个网段（非vlan），网关上也有多个网段的ip.ac 如启用杀毒，邮件过滤，准入规则和web 认证等需要重定向到ac 上的功能时要把这几个网段的ip 也配置到网桥模式多ip 绑定里。否则可不配置. 12。网桥模式时，ac 网桥支持vlan trunk 穿透,网桥的ip 地址支持802。1qvlan 的地址。即ac 网关可以透明接在vlan trunk 的主干道上。点击网关模式设置vlan 设置可以设置网桥模式支持vlan trunk。

11、 弹出如下的vlan 设置对话框： 在这里可以勾选启用vlan,添加vlan id 与ip 地址之间的对应关系。 如启用杀毒，邮件过滤，准入规则和web 认证等需要重定向到ac 上的功能时才需要配置这个ip，否则不配置vlan ip 也可以. d。旁路模式 旁路模式实现监控控制的功能的同时，可以完全不需改变用户的网络环境，并且可以避免ac对用户网络造成中断的风险。用于把ac 接在交换机的镜像口或者接着hub 上,对最整个局域网进行旁路模式的监控与控制.这种模式对用户的网络环境完全没有影响,即使down 机也不会对用户的网络造成中断.网络拓扑如下图所示: 在网关运行模式里面可以把ac设置为旁路模

12、式运行，如下图所示： 左边为管理网口（dmz 口)的ip 地址配置，要使能用控制台或者升级系统连接ac 进行管理，必须正确设置该网口的ip 地址和网关，并且网线要接着dmz 口上. 右边为要监控的网段和排除的网段列表.由于旁路时只需一根网线把ac的lan口或wan1口接在hub或者交换机的镜像口上，ac并不知道哪些属于内网外网的地址,因此在监控网段列表里面出现的地址，ac就认为是内网地址进行记录，不在该列表的地址则不记录。排除地址列表主要是当一个地址本来属于监控网段列表里面的地址，但是又想把该地址不记录，此时就需要该地址输入到排除地址列表里面，即排除地址列表里面的地址不做记录。这里划分内网外网

13、主要是只有数据是内网外网之间的交换数据时，才会进行监控记录,而内网之间的数据交换不会记录。要想记录内网自己交换的数据，必须勾上复选框监控内网自己传输的数据。 1. 用户必须使用hub 或者交换机具有镜像口的情况。如果交换机没有镜像口，可以在交换机前加接hub 实现。 2。旁路模式下，流量显示,会话连接数功能不起作用。 3旁路模式下，ipmac 认证无效。 4旁路模式下，监控内网之间的数据的时，会把一个tcp 连接的数据的回包也记录下来，比如a 访问b 的80 端口，网络监控日志里不光有a 到b 80 端口的数据，也会有b 到a 的一个随机端口的数据. 5旁路模式下，使用代理,要在旁路上绑定和代

14、理网段同一网段的ip 地址（或者有路由能够到达此ip），使其发送的reset 包能都被pc 和代理服务器收到。（发reset 包给代理服务器） 6旁路模式的很多路由模式下的功能没有实现，比如vpn、dhcp 和准入规则等。 7旁路模式主要起监控的作用，限制的功能没有路由模式和网桥模式那么全面。只能对tcp 的连接进行限制，比如url 过滤，关键字过滤，邮件过滤等。对udp 的没法限制，比如p2p 软件，qq 的登录等。内网接口配置内网接口配置用来设定每个内部网络接口网卡的ip 地址，掩码等基本网络属性。分为lan，dmz 两种接口。 lan接口：这是防火墙要保护的区域，包括全部的内部网络设备及

15、用户主机。这个区域是防火墙的可信区域。 dmz（非军事区）接口：它是从企业内部网络中划分的一个小区域，在其中就包括内部网络中用于公众服务的外部服务器,如web服务器、邮件服务器、ftp服务器、外部dns服务器等，它们都是为互联网提供某种信息服务。防火墙将该区域的服务开放给wan的同时还提供对该区域的攻击保护。 设置界面如下图所示： 根据需要,在lan 接口及dmz 接口设置ac 硬件网关lan、dmz 口所需的ip 地址及掩码，再点设置生效保存配置即可。(dmz 口不使用时,则可保留原有配置不动）如有需要，可点击多ip 绑定可为ac 硬件网关的lan 口绑定多个ip，界面如下： 单击增加出现如

16、下界面： 如内网的交换机跟ac 直接相连的接口启用了trunk，则可在lan 配上各个vlan 的ip 还有vlan id。 单击vlan 设置按钮，把各个vlan 的ip 和vlan id 都增加到设备上，界面如下: 单击增加，出现下图： lan 口配置802。1qvlan 地址后,lan 口可以接支持vlan 的2 层交换机的trunk 口，ac 可以在vlan 间转发数据（单臂路由）,并可做lanlan 方向的防火墙规则，即可以制不同vlanid 之间的访问控制。可用于兼容vlan（802.1q）下的网络环境. 内网接口配置中还需要选定vpn 所包含的网络，即哪部分内网需要被vpn 对端

17、用户访问。 如果仅需将lan 区加入到vpn 网络，则将dlan 的内网接口勾选选为lan 接口；如果也需要将dmz 接口加入到vpn 网络,则许再勾选dmz 接口为dlan 的内网接口，并设置相应内网的子网掩码信息. dlan 的子网掩码一般要求和内网子网掩码一致，如果lan 中还有其他vlan 或ddn 网络，而又不方便设置多子网,可以修改dlan 的子网掩码，将这些网络也包进来。 如果重新设定了lan 口或dmz 口，会导致网络中断，设备重启，请重新登录。外网接口配置在外网接口配置中设置外网线路的上网方式，包括wan1 和wan2 接口等。如下图： 先选择线路，然后设定线路类型,包括以太

18、网、拨号(adsl)两种方式。 选择以太网方式,则需设定ip 地址、掩码、网关、dns 等信息，根据实际情况，或isp所提供的ip 地址信息进行设置。 点击多ip 绑定可为ac 硬件网关设备的wan 口绑定多个公网ip,如下图所示： 单击增加出现下图： 如果是adsl 上网,线路类型选拨号，在设置界面填写完用户名和密码信息后,注意勾上自动拨号，配置完毕点确定保存设置，设备会重启，重新登录后点击开始拨号,则以后设备在断线后自动重拨了.如下图： ac 硬件网关设备支持多线路时，则设置完线路1后，选择其它线路继续设置。 点击高级配置按钮可配置拨号属性，建议值入下图： 单击线路属性可设置线路的上下行带

19、宽。入下图所示： 1.线路属性用于qos 判断线路带宽的依据，请按实际情况填写. 2。用户只需填入上下行带宽，其他值请在深信服客服部门指导下修改。 分配策略：适用于多线路版本，可选择带宽在线路上的分配策略。 点击分配策略按钮，出现以下对话框,此处是设定整个设备对外网线路选择的策略，每个选项的详细介绍可以参照对话框上的帮助提示. 网关运行状态 网关运行状态用来查看网关的工作状态。可以查看cpu 的使用率，外网ip 地址,网络流量等，还可以设定是否允许远程维护。如果勾选允许远程维护,那么可以通过internet登录ac 硬件硬件网关进行设置，点设置生效即可。允许网关自动更新用于网关设备的自动更新。

20、 如果外网线路是通过前置设备共享上网的，则允许远程维护后，需要在前置上网设备做控制台管理端口tcp1970 的端口映射及开放防火墙规则。限制IP登录限制ip 登录用于设定能登录ac 硬件网关的内、外网ip，以限制非法用户从不被授权的ip地址来登录ac 硬件网关。设置界面如下所示: 勾选右下角的启用即可激活限制ip 登录功能，点击新建按钮，输入能登录ac 硬件网关的机器ip，确定并设置生效即可。 如果启用限制ip 登录,则在设置能登录网关的机器ip时，必须确保该ip 合法有效，且应该记住这些ip，否则限制ip 登录功能生效后，不在该ip 范围内的ip 都不能登录。路由设置系统路由设置sinfor

21、 ac 硬件网关提供的系统路由设置功能，类似于windows 系统自带的路由功能，具体设置的路由只对ac 硬件网关自身生效。设置界面见下图： 点击新建按钮，出现下图: 系统路由设置主要用于实现两种功能： 1.代理多网段上网时添加回包路由 2。设备单臂工作时添加默认路由 3。对于内部机器上网分流路由和vpn内部进行多子网路由时要在vpn配置/路由设置内添加. a.代理多网段上网时添加回包路由 当企业内网有多个网段，且这些内网网段都想通过sinfor ac 硬件网关共享上网时，需要添加系统路由，以实现把不同网段电脑的数据包，ac 硬件网关都能把数据包回给正确的内网交换路由设备。 举例设置如下：公司

22、内网有两个网段192。168.1.x 和192。168.2.x，两个网段通过三层交换机互连互通，各网段内电脑网关指向三层交换机各自网段的网关192.168.x。254，ac 硬件网关的lan 口ip 为192.168.1.1,放在192.168.1。x 网段,并配置wan 口连接internet。 现192。168.1。x 和192.168。2.x 网段都想通过ac 硬件网关作为公网出口，共享上网。 由于192.168.2。x 网段和ac 硬件网关的lan 口(192。168.1.1)不在同一网段，则ac 硬件网关需要添加 系统路由 , 以把192。168。2。x 的数据包发回给内网三层交换机

23、192。168。1。254 来处理，最终才能回到192.168.2.x 网段的电脑上.配置如下： a、添加多个代理网段：包括192.168.1。0/24 和192。168.2。0/24。(具体设置参照防火墙/nat 规则设置/代理网段配置。） b、添加系统路由:192.168。2.0/24192。168。1。254,配置见下图， b.设备单臂工作时添加默认路由 某些特殊的情况下，需要让设备单臂工作。所谓单臂工作是指设备wan 口不使用，只在lan口接线来工作.此时由于wan 口不工作，wan 口不能配置网关，而lan 口设置也配置不了网关，所以,必须通过系统路由设置来添加一条默认路由。该默认路

24、由为：0。0.0。0/0gateway，配置如下图:策略路由设置sinfor ac 硬件网关提供的策略路由设置功能，主要用于ac 硬件网关具有多条外网线路时，根据源/目的ip、源/目的端口、协议等条件，设定基于某些策略的路由,以确定从哪条外网线路作为外网出口，实现手动选路功能.设置界面见下图： 点击新建按钮，出现策略路由新建/修改对话框如下： 规则名称可随便填写需要的文字. 源ip和目的ip填写策略路由匹配数据包时所需的源ip、目的ip.支持四种方式设定源/目的ip：单个ip、ip 范围、子网、所有。 协议选择数据包的协议,可选择为tcp、udp、icmp 和other。协议选择tcp/udp

25、 时，需要在下面设定源/目标端口；选择other 时,需要设定协议号。 源端口和目标端口填写策略路由匹配数据包时所需的源端口、目的端口。 目标线路选择当匹配上面策略路由条件时，选择哪条线路作为外网出口发送数据包。 例如:ac 硬件网关有两条外网线路，线路1 为电信线路，线路2 为网通线路，想实现上网分流时，可设定类似的策略路由规则，见下图： 这里假设网通的地址段都在221.199.32。0/20，所以设定目标ip为221.199.32。0/20，目标端口为80 时，数据包都走目标线路为线路2 的策略路由。 通过上移和下移按钮可调节路由的匹配顺序，相同条件的路由，在上面的优先匹配. 1。如指定的

26、目标线路不可用，ac 会自动把数据切换到可用线路上。 2如需要网通路由表,可联系深信服科技客服部门。取得路由表后,单击导入,选择二进制文件,单击确定，选择文件导入即可，如下图示：防火墙设置NAT规则设置nat 规则设置包括代理网段设置和端口映射设置两个部分。如下图： a。代理网段设置 代理网段设置是用来设置防火墙代理局域网上网的网段，即：snat（源地址转换）规则。在此我们可以添加需要ac硬件网关代理上网的网段,缺省状态下该设置不包含代理网段信息，要手动添加。代理上网规则，如下图所示： 例如：要建立一条代理局域内所有人上网的规则，假设局域网ip地址为:192。100.100.0 /255。25

27、5。255。0，那么我们步骤如下: 点击新建，出现新建snat 规则对话框，为代理网段取一个名称，可随便填写，只做标识用.选择好网口，即输出网口或直接勾选应用于所有wan 口,即输出到所有可用的外网接口。填写转换条件-源ip 地址，即要代理上网的网段，在这里我们填写192.100.100。0，子网掩码：255。255。255.0。转换条件-目标ip一般留空，代表所有的公网ip,只在要指定到某段目的ip 走某条线路等特殊应用时才填写这项。转换条件-协议一般也留空，代表所有的协议，只在要指定到某些协议走某条线路等特殊应用时才填写这项。转换源ip 地址为一般是勾选使用接口地址即可，如要指定转换为接口

28、的某个ip，可直接填写该ip。最后点击确定，并设置生效即可。 如下图所示： 请开放lanwan 的相关防火墙规则. b.端口映射设置 有时在局域网内有服务器需要向internet 提供服务，那么就需要在网关上做端口映射设置。sinfor ac 硬件网关也提供了这样的功能。设置界面如下： 例如，现在内网有一台ip 为192。100。100。61 的电脑要对外网提供web 服务,所使用的端口为80，那么我们的步骤为： 1:在端口映射设置中新建一条映射规则.名称可随便填写，便于标识为原则.网络接口指输入的网口。转换条件-源ip 地址一般留空，指来自公网的所有ip。转换条件目标ip 地址为要映射的公网

29、ip,如果外网接口的ip 是动态（adsl）的或想使用wan1 口的ip，可直接勾选使用接口地址。转换条件-协议，协议：tcp,源端口:所有，目标端口:80 到80。转换目标ip 为:192。100。100。61,转换目标端口为:80 到80。最后确定并设置生效就行了。见下图： 1.如果不勾选转换条件-协议即对该ip 进行全部映射,全部映射是在wan 口绑定有多个ip 时才能使用，一般情况下不能启用。 2.在防火墙规则设置/wan=lan中新增一条允许从任意外网ip 访问本地ip 192.100。100.61 的80 端口的放行规则。见下图： 防火墙规则设置防火墙规则设置是防火墙中对数据包访问

30、进行具体设置的地方，ac 硬件网关提供lan=dmz、dmz=wan、lan=wan，lan=lan，dmz=dmz 之间总共10 个方向的互访过滤规则设置。 a。lan=dmz 此界面用于设置lan 口与dmz 口之间互访的规则，可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务. 例如我们想要使lan 与dmz 口之间完全互通并且能够使用ping 命令进行测试，那么我们就要在两个方向上开放所有的tcp udp 以及icmp 访问规则。出厂时缺省内置了lan=dmz方向上放行所有的tcp，udp，icmp,但是规则是没有启用的,规则前面的红圈标志为红色，如要启用,请双击规则,并勾

31、选启用即可。见下图： 1。规则前面的圆圈标识规则是否启用，如启用状态圆圈为绿色,未启用为红色。有些规则如果暂时不想启用，可把启用规则前的勾去掉。 2.防火墙遵循从上向下匹配的原则,如果一个规则匹配了，就不会再向下匹配了，所以请注意规则的先后顺序。可通过上移和下移来调节规则的先后顺序。另外，防火墙规则最后隐含一条拒绝所有.如果加入的规则都不匹配，数据包最后会被丢弃. b。dmz=wan 此界面用于设置wan 口与dmz 口之间互访的规则，可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务.配置方法请参照lan=dmz 设置。缺省界面如下： c。wan=lan 此界面用于设置lan 口

32、对外网访问时的规则，也用于设置内网对外网提供访问的规则。在缺省状态下,lan 口对外网的访问不受任何限制,而从wan 口访问内网是不允许的，如果要让外网的ip 访问局域网内的某个ip 则要开通相应的的过滤规则。 如下图所示为放行从外网访问内网80 端口的例子，相当于开放wanlan 方向的80 端口。 上面的服务、源ip 组、目的ip 组和时间都可以在前面的对象定义中定义好，点击旁边的新建按钮，亦可建立相应对象定义，详细设置参见前面章节. 由于最常用的时wan=lan 方向的设置，ac 硬件网关默认内置了常用的规则，下图显示的就是防火墙wan=lan 的缺省规则设置，包括lanwan 方向的三

33、条放行规则。 d。lan=lan 此界面用于设置lan1 口（原来的lan 口）与lan2 口(由闲置的wan2 切换成的)之间互访的规则或lan 口上绑定的几个不同网段的ip 间的互访规则,可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务。配置方法请参照lan=dmz 设置。缺省界面如下： e。dmz=dmz 此界面用于设置dmz1 口(原来的dmz 口）与dmz2 口(由闲置的wan2 切换成的)之间互访的规则或dmz 口上绑定的几个不同网段的ip 间的互访规则，可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务.配置方法请参照lan=dmz 设置。缺省界面如下：

34、 设置好了规则之后，我们可以点规则测试按钮来测试过滤规则设置的正确与否。 如下图，我们可以虚拟一个数据包，指定数据包的源ip 和目的ip，设定数据包的方向，从哪个接口到哪个接口，协议和目标端口是哪个，点测试之后，虚拟放出的数据包会在规则列表中逐条匹配各条规则，以验证每条规则设置的正确性。QoS功能设置qos 即：quality of service，服务品质保证。在网络带宽不足的情况下，通过qos 设定来保证一些重要的服务能获得充足的网络带宽.可以设定各优先级能够得到的带宽比例，在网络繁忙时将按照设定的比例来分配网络带宽，保证整个出口线路上,通过防火墙的重要服务能够顺畅进行。 qos 功能设置

35、包括qos 级别设置、qos 上传规则设置和qos 下载规则设置三个部分.如下图： a.qos 级别设置 启用qos 功能是防火墙qos 功能的开关，勾选即可激活qos 功能。 通过滑杆调节可以定义不同优先级别对应的网络带宽比例. 1.qos 规则对于带宽的处理，并不是静态地保留,而是动态的分配。即较高优先级别的qos 服务并没使用时，低级别的qos 服务一样可以占用比自己所属级别多的带宽，以充分利用多余的带宽。只有在两种不同级别的qos 服务同时需要占用带宽发生矛盾时，高优先级别的qos服务数据包就会比低优先级别的数据包优先发送。 2.qos 一般对tcp 协议传输服务的效果比较明显，常用的

36、应用系统大多数为tcp 协议。 b.qos 上传规则设置 qos 上传规则设置是用来把数据业务进行分类，根据qos 规则设置所选定的数据投递优先级进行投递，以保证重要数据的及时传输。设置界面如下: 点击新建会弹出新建qos 规则向导,根据向导依次填入名称、描述、源ip、目的ip、协议、源端口、目标端口、优先级别等信息(各项设置的意义见下面说明），最后点完成即可. 设定好一条qos 规则之后,选中该规则,点修改，可查看和修改前面定义qos 规则时所填写的各项设置，出现如下对话框： 服务名称和服务描述可随意填写说明文字，只做标识。 ip 地址填写该qos 规则匹配数据包时用到的源ip和目的ip,可

37、定义为所有ip或指定ip 范围。 协议填写该qos 规则定义的服务所使用的协议，可选为tcp、udp 或icmp。 源端口和目标端口填写该qos 规则定义的服务所使用的端口，可选为所有端口或指定端口。 1。由于是定义qos 上传规则，规则是用来匹配wan 口往外发送的数据包，所以一般是定义源端口来区别不同的服务。 例如：定义一条规则来保证内网对外网提供web 服务的优先级时,则对于上传规则而言，应该定义规则的源端口为80；而目标端口一般为客户端随机选择的，所以目标端口应定义为所有端口，设置如上图说示。 2。服务优先级选择需要的优先级即可。这里除了前面定义的四个优先级别外，还有一个特权级,代表能

38、占用100的带宽。 c。qos 下载规则设置 qos 下载规则设置是用来把数据业务进行分类,根据qos 规则设置所设定的不同服务优先级进行投递,以保证重要数据的及时。设置界面如下: 和qos 上传规则相类似,点击新建，并根据向导提示即可完成qos 下载规则设置。 以下仅举一例子说，例如我们想保证访问外网ftp 服务资源时，优先级别较高,则可定义源端口为2021 的qos 下载规则，设置如下图所示： 由于是定义qos 下载规则，规则是用来匹配wan 口从外下载的数据包，所以一般是定义下载方向的源端口来区别不同的服务.如上例定义源端口为20-21 的服务为ftp 服务。访问控制和监控用户认证方式设

39、置用户认证方式设置主要是用于设置ac 硬件网关启用web 认证方式时,所需设置的一些认证配置信息。设置界面如下图所示： aweb认证方式设置 勾选界面底部的启用web 认证选项，即可激活ac 硬件网关的web 认证功能。 在web 认证方式设置后,ac 硬件网关支持四种方式的认证。包括用户名/密码认证、ldap认证、radius 认证和pop3认证. (1)用户名/密码认证 选择用户名/密码认证时，可通过访问控制和监控/web 认证用户设置手动添加用户名、密码。 （2)ldap认证 选择ldap 认证则需点击旁边的按钮设置一下ldap 服务器设置。 ldap 服务器设置界面如下： 单击修改，出

40、现如下界面： 详细参数设置可咨询ldap 服务器系统管理员，一般情况下只需填写服务器ip 地址,认证端口,服务器用户和用户密码,其他参数都保存默认就行。 单点登录 单点登录：当用户机器登陆到域服务器的时候，自动通过web 认证,而不需再次输入用户名密码登录. 只需用户输入一次密码登陆到域即可自动认证通过，减少用户输入密码的次数，降低密码泄露的风险 网络环境： 网络结构如图： 域服务器处于内网,也就是pc1、pc2 未通过认证前可以登录到域服务器，域服务器的ip 地址和ac 的lan 口同一网段，这样登陆信息可以发到ac 的lan 口（wan 口不行）。也就是要求域服务器ip、网关lan 口ip

41、、用户机器ip 至少有一个ip 地址是同一网段，用户机器的第一dns 还应设为域服务器的ip 地址. 操作过程： 启用ldap 认证，勾选单点登陆选项，输入共享密钥： 在域服务器要安装单点登陆组件程序,安装结束时会提示输入ac 的ip 地址、共享密码，确认密码的设置，要和ac 上设置的共享密钥相同，否则不能正常使用单点登陆功能。 要求用户机器第一dns 应该设置为域服务器的ip 地址,否则加入域时可能找不到域服务器。而且第一次登陆成功后，如果后来用户的机器修改了dns 或者ip 地址,此时用正确的密码登陆到域,可以进入windows，但是实际上是没有登陆到域,此时单点登陆无效,用户上网仍输入用

42、户名密码才行。这主要是windows 可以记住上次输入的正确密码，没有登陆到实际的域服务器也可以进入windows. 要求域服务器ip、网关lan 口ip、用户机器能互相访问到。 适用于启用ldap 认证情况下，并且用户的机器在登陆windows 时登陆到域服务器。 （3)radius认证 选择radius 认证则需点击旁边的按钮设置一下radius 服务器设置。界面如下图： 详细参数设置可咨询radius 服务器系统管理员，需填写服务器ip 地址，认证端口,共享密钥,认证超时时间和采用的协议。 (4)pop3 认证 一般适应于用户使用内部邮件系统,并且每个用户均分配了邮件帐号,并且启用邮件过滤。 适应客户使用邮件系统的环境，增加认证方式的多样化，使认证方式更加方便快捷人性化。设置为pop3 认证方式时，用户属于pop