SINFOR_AC_测试实施培训(渠道)

2005、2006、2007中国高科技高成长50强l为保证培训效果，请将手机调为振动或者静音l如无紧急事情，课堂期间不得离开，请将需要处理的事情留在课间休息时间解决提醒2005、2006、2007中国高科技高成长50强深信服科技客服部AC产品培训（渠道）2005、2006、2007中国高科技高成长50强培训目的●一、熟悉AC在各种网关模式下的配置，并在网络环境中成功部署AC。●二、通过在AC上设置访问控制用户和访问控制组的策略，实现内网用户能通过AC上公网。●三、在内网用户通过AC上不了公网的情况下，使用AC策略故障排除。2005、2006、2007中国高科技高成长50强培训内容●AC的部署方式●访问控制用户●访问控制组●策略故障排查2005、2006、2007中国高科技高成长50强培训内容●AC的部署方式●访问控制用户●访问控制组●策略故障排查2005、2006、2007中国高科技高成长50强AC的三种部署方式●一、路由模式●二、网桥模式●三、旁路模式●四、多网段环境下部署举例2005、2006、2007中国高科技高成长50强AC的三种部署方式●一、路由模式●二、网桥模式●三、旁路模式●四、多网段环境下部署举例2005、2006、2007中国高科技高成长50强一、路由模式●AC做路由模式时一般做内网网关使用，代理内网用户上网，可以实现所有的监控和上网行为管理功能，如果要使用VPN功能一定要使用路由模式。●路由模式的部署一般有如下三种情况：●1、AC直接接公网，外网线路为光纤接入；●2、AC直接接公网，外网线路为ADSL拨号；●3、AC接前置路由器的内网口，不直接接公网2005、2006、2007中国高科技高成长50强1、公网接光纤●这种情况下客户的外网线路是光纤线路，公网IP一般是固定不变的。●实施时AC的WAN口（外网口）直接接光纤，LAN口（内网口）接内网交换机，内网的电脑的网关指向AC的LAN口。●接好线后要保证连通性，设备接口的link亮表示连接没有问题，ACK灯闪表示有数据交互。交换机固定IP2005、2006、2007中国高科技高成长50强AC路由模式配置步骤●a、网关模式配置2005、2006、2007中国高科技高成长50强路由模式配置●b、LAN口配置分配内网网段的一个ip给AC，注：不能有IP冲突2005、2006、2007中国高科技高成长50强路由模式配置●c、WAN口配置填写公网信息，按照运营商分配的地址填写即可。2005、2006、2007中国高科技高成长50强路由模式配置●d、代理上网snat设置填入内网网段，代理内网上网2005、2006、2007中国高科技高成长50强路由模式配置●e、完成配置2005、2006、2007中国高科技高成长50强2、公网接拨号线路●这种情况下客户的外网是ADSL拨号线路，公网IP经常改变。●设备的WAN口接MODEM，LAN口接内网交换机，内网网关指向AC的LAN口，●同样要保证设备之间的连通性，另外注意如果拨号拨不上或者不稳定，可能是因为AC和MODEM之间的兼容性有问题，可以尝试在WAN口和MODEM之间接一台交换机。动态拨号MODEM交换机2005、2006、2007中国高科技高成长50强路由模式配置●除WAN口，其他配置同上。填写运营商提供的帐号和密码2005、2006、2007中国高科技高成长50强3、WAN口接前置设备●这种情况下AC没有直接接公网线路，而是接在前置路由设备的内网口上。一般是因为客户要实现AC的VPN功能，又要保留前置防火墙设备，这种情况下需要AC以路由模式部署。那么内网的网段需要做相应的修改，同时在AC和内网路由设备上增加相应的路由才保证网络的连通性。●AC的WAN口接前置设备的内网口，LAN口接内网交换机。交换机前置设备2005、2006、2007中国高科技高成长50强路由模式配置●除WAN口不同，其他配置相同IP和前置设备的内网口同一网段，网关指前置设备，配置正确DNS2005、2006、2007中国高科技高成长50强AC的三种部署方式●一、路由模式●二、网桥模式●三、旁路模式●四、多网段环境下部署举例2005、2006、2007中国高科技高成长50强二、网桥模式●AC做网桥模式时，相当于一根网线，接在前置设备和内网交换机之间，不用改变网络结构，设备对内网用户来说是透明的。能实现监控和上网行为控制的全部功能，但在此模式下DHCP功能和VPN功能是无法使用的。2005、2006、2007中国高科技高成长50强网桥模式配置●AC做网桥模式接在前置路由器和内网交换机之间。●AC的WAN接前置路由器的内网口，LAN口接内网交换机，内网电脑的网关指向前置路由器的内网口，AC对用户透明。●注意此时AC的WAN口和LAN口不能接反，否则上网行为管理会失效。交换机路由器（FW）AC前置设备2005、2006、2007中国高科技高成长50强网桥模式配置●a、选择模式2005、2006、2007中国高科技高成长50强网桥模式配置●b、配置网桥IP分配内网网段的一个ip给AC，网关指向前置路由器，保证AC可以上网。2005、2006、2007中国高科技高成长50强网桥模式配置●c、VLAN配置内网划分vlan，并且AC穿透vlantrunk的情况下，在此输入内网的vlan信息。2005、2006、2007中国高科技高成长50强网桥模式配置●d、管理网口配置网桥模式下DMZ口仅用于管理。如果要从DMZ口登录设备，请设置DMZ口的ip地址。2005、2006、2007中国高科技高成长50强网桥模式配置●e、配置完成2005、2006、2007中国高科技高成长50强AC的三种部署方式●一、路由模式●二、网桥模式●三、旁路模式●四、多网段环境下部署举例2005、2006、2007中国高科技高成长50强三、旁路模式●AC做旁路模式时，AC的LAN口或WAN口连接在内网交换机的镜像口或HUB上，不改动现有网络，即使设备宕机也不会对用户的网络造成影响。这种模式下AC主要是做上网行为监控，控制只对基于TCP协议的数据有效。2005、2006、2007中国高科技高成长50强二/三层交换机路由器（FW）旁路模式配置●AC的LAN口和WAN1口是默认的镜像口，选择其中一个接交换机的镜像口，如果交换机没有镜像口，可以在交换机前加接HUB，AC连接到HUB上实现旁路。二/三层交换机路由器（FW）镜像口HUB2005、2006、2007中国高科技高成长50强旁路模式配置●a、模式配置2005、2006、2007中国高科技高成长50强旁路模式配置●b、管理网口配置管理网口是DMZ口，用于管理设备或者和数据中心同步。可以单机接DMZ登录设备，也可以接内网交换机，配置内网ip，从内网电脑直接登录。2005、2006、2007中国高科技高成长50强旁路模式配置●c、监控网段配置把需要监控内网网段填入监控网段列表，缺省不记录内网之间的访问数据。2005、2006、2007中国高科技高成长50强旁路模式配置●d、排除IP配置当一个IP属于[监控网段列表],但是不需要记录这个IP的上网记录，或者需要记录内网网段访问此IP的记录，此时就需要把该地址填入到[排除地址列表]里面2005、2006、2007中国高科技高成长50强旁路模式配置●e、完成配置2005、2006、2007中国高科技高成长50强AC的三种部署方式●一、路由模式●二、网桥模式●三、旁路模式●四、多网段环境下部署举例2005、2006、2007中国高科技高成长50强多网段环境下部署举例●在常用网络环境中，有前置防火墙或者路由器接公网线路，内网有三层交换机划分多个网段。我们例举在这样的网络环境中AC路由和网桥模式部署。2005、2006、2007中国高科技高成长50强多网段环境AC部署（以路由模式为例）●内网有三层交换机，多个网段，LAN口配置IP192.168.1.1，AC做网关代理内网所有网段上网，需要在NAT设置里添加多个内网网段，并且添加系统路由，告知AC访问到内网其他网段，下一跳应指向三层交换机。LANIP：192.168.1.1ip:192.168.3.2/24gw:192.168.3.254ip:192.168.2.2/24gw:192.168.2.254ip:192.168.1.2/24gwGW:192.168.1.254三层交换机Ip1:192.168.1.254Ip2:192.168.2.254Ip3:192.168.3.254Ip4:192.168.4.2542005、2006、2007中国高科技高成长50强多网段环境AC部署（以网桥模式为例）●在此环境中，原来网络环境中已经部署好出口网关和三层交换机，加入AC做网桥模式，对内网用户上网不影响，但是如果启用AC上的WEB认证，准入等功能时，需要电脑访问AC本身，所以要在AC的系统路由设置里添加到内网网段的路由。路由器（FW）LANIP：192.168.4.1AC网桥IP：192.168.4.2ip:192.168.3.2/24gw:192.168.3.254ip:192.168.2.2/24gw:192.168.2.254ip:192.168.1.2/24gwGW:192.168.1.254三层交换机Ip1:192.168.1.254Ip2:192.168.2.254Ip3:192.168.3.254Ip4:192.168.4.2542005、2006、2007中国高科技高成长50强培训内容●AC的部署方式●访问控制用户●访问控制组●策略故障排查2005、2006、2007中国高科技高成长50强用户，用户组，用户组权限设置●用户，用户组，用户组权限设置的先后顺序（以下两种方案均可）：●1、首先新建访问控制组，权限设置是针对访问控制组的，所以第二步可以编辑访问控制组增加上网策略，最后再新增用户，把用户加到访问控制组。●2、首先新建访问控制组，再新建访问控制用户，把用户加到访问控制组，最后再编辑访问控制组的上网策略。2005、2006、2007中国高科技高成长50强培训内容●AC的部署方式●访问控制用户●访问控制组●策略故障排查2005、2006、2007中国高科技高成长50强新建访问控制用户●AC网关提供多样化的用户认证方式，包括IP/MAC认证、用户名密码认证（包括自设用户名密码和与LDAP、Radius、POP3服务器结合的方式）、DKEY认证。●AC还提供网关自动添加新用户，当用户第一次通过AC上网时，自动认证并添加新用户到访问控制用户列表。2005、2006、2007中国高科技高成长50强AC自设密码认证使用外部认证时选择针对用户绑定IP和MAC非必需，根据客户需求进行绑定。用户所属访问控制组2005、2006、2007中国高科技高成长50强认证服务器设置●SinforAC认证系统能与客户原有的LDAP、RADIUS、POP3服务器结合。利用服务器原有的帐号和密码，来实现使用同一套用户名密码通过AC上的认证。2005、2006、2007中国高科技高成长50强认证服务器设置（LDAP）●认证服务器设置：●在使用外部认证时，除上述用户设置外，还需要添加外部认证服务器的相关信息。LDAP服务器的IP和端口，认证端口默认是TCP389LDAP管理员的用户名和密码，要有读权限AC支持的LDAP类型包括MSLDAP、openLDAP、SUNLDAP2005、2006、2007中国高科技高成长50强认证服务器设置（RADIUS）●Radius服务器设置：设置Radius服务器的IP认证端口默认是UDP1812共享密钥和RADIUS服务器保证一致。加密协议和RADIUS服务器设置保持一致。2005、2006、2007中国高科技高成长50强认证服务器设置（POP3）●POP3服务器设置：POP3服务器的IP和认证端口，默认是TCP1102005、2006、2007中国高科技高成长50强新用户认证●新用户认证应用场景：●1、用户第一次通过AC上网自动通过网关的