深信服AC入门必学

SANGFORBM新产品培训培训内容培训目标BM设备的部署模式介绍1.了解BM设备的应用场景2.掌握BM设备支持的部署模式BM设备的基本功能介绍1.了解BM设备支持的功能2.掌握虚拟线路的应用场景和配置方法综合配置实例1.掌握根据客户的需求进行需求分析并部署和配置实现BM基本功能介绍BM设备部署模式实际应用配置实例目录什么是BM？1、客户需要专业且高性能的流控设备。2、客户反感上网行为审计功能，尤其是政府类的客户，比如说政府信息中心，领导最担心的就是自己的上网行为被审计，所以需要不带审计功能的流控设备（流量审计除外）。BM（BandwidthManagement）是专业的流量管理设备。为什么需要BM设备呢？BM部署模式介绍只有网桥模式，支持多网桥部署。BM部署模式介绍BM部署模式介绍BM基本功能介绍网页过滤流量统计与上网计时（流量配额）内置数据中心只审计上网流量流量管理功能虚拟线路上网控制功能内置数据中心用户认证功能上网应用控制BMBM基本功能介绍用户认证功能：BM的用户认证功能不支持DKEY认证，其他认证功能与AC一致。BM基本功能介绍上网控制功能：BM设备增加流量配额功能，即控制单个用户每天/每月的上网总流量，超过此设置值，用户则无法上网。上网应用控制，网页过滤，流量统计与上网计时其他功能页面与AC一致。BM基本功能介绍内置数据中心：BM设备只支持内置数据中心，只能查询被拒绝的上网行为日志，保留流量查询和流量统计的功能。流量统计用于查询被拒绝的上网行为流量查询BM基本功能介绍流量管理功能：BM流量管理功能，支持虚拟线路。虚拟线路应用场景电信网通应用场景：设备单网桥部署，公网电信、网通两条100M线路，对于内网P2P数据限制为总带宽的50%。可能出现的问题：所有的数据都跑到一条线路上，导致一条线路带宽占用很满，一条线路空闲。解决方案：1.将一条网桥线路虚拟划分成多条线路。2.然后根据IP和端口指定数据由哪条虚拟线路出去。虚拟线路注意：虚拟线路之间带宽不能借用，虚拟线路的带宽之和不能超过实际线路的总带宽。实际应用配置实例客户需求1.部署BM设备于防火墙与核心交换机之间；设备配置10.10.10.248/24的地址，防火墙的地址是10.10.10.254，核心交换机与防火墙互联的地址为10.10.10.1；内网全部启用以IP方式认证，全部放入默认组，内网网段为：10.0.0.0/24；2.公网电信、网通两条100M线路，分别限制两条线路的P2P、迅雷下载等应用带宽不超过线路带宽的50%。3.禁止对论坛发贴，禁止上WEB邮件网站发送webmail邮件。4.针对内网每个用户限制一天之内流量最多不允许超过3G。5.每天针对针对流量出一个使用情况汇总报表，并且需要保存3个月左右流量日志；配置思路分析：1.设备单网桥模式配置，部署在防火墙与核心交换机之间，并且有空闲的链路IP提供给我们配置网桥IP；按照正常模式配置设备部署模式以及网桥IP、网关IP以及DNS即可；2.客户需求全网启用IP方式认证，新建一个默认组，然后启用新用户认证，以IP为新用户名，绑定IP，自动添加到默认组里面；3.客户要求电信网通两条线路的P2P、迅雷下载等应用不超过线路带宽的50%；启用虚拟通道技术，新建立两条虚拟通道，命名为电信、网通，并且带宽设备与外网线路一致；并且设置和前置防火墙相同的线路选路转发规则，针对某些IP或者端口来进行转发，然后两条虚拟线路分别做P2P、迅雷下载等应用的带宽限制策略；配置思路分析：4.自定一个URL组，URL为，对这个URL组和内置库WEBMAIL设置仅允许登录HTTPPOST。另外设置单用户每天的流量配额为3G。5.每天的流量汇总报表可以直接在内置数据中心的报表里面自动生成即可，因为流量日志的使用空间不大，可以直接由设备保存即可，设备的磁盘空间是远远足够的；1.BM设备部署配置1.BM设备部署配置如果设置多网桥，需要把另外一对桥接口添加到左边的网桥列表填写网桥IP地址填写网桥IP的网关地址点击“完成”后，设备将重启，重启完成后，请用设置的网桥IP登录BM的控制台进行后面的配置。1.1路由设置为保证BM设备能够与内网通信，则需要加到内网网段的回包路由交给核心交换机2.认证方式配置电信网通设置步骤：1、建立两条虚拟线路，带宽设置分别对应电信和网通两条线路的带宽100M。2、设置和前置防火墙相同的线路选路转发规则，针对某些IP或者端口来进行转发，3.针对两条虚拟线路分别做P2P、迅雷下载等应用的总带宽不超过外网带宽的50%；指定虚拟线路做为P2P带宽策略的“生效线路”3.流量控制4.上网策略4.1网页过滤设置4.上网策略4.2流量配额设置动动手1.部署BM设备于防火墙与核心交换机之间；当时之间的链路网路是一段30位掩码的地址；设备在网络模式配置的时候如何配置？2.公网电信、网通两条20M线路，分别保证两条线路的HTTP、邮件等应用带宽最少带宽可占线路带宽的50%。3.如果设备需要支持一进两出的网络部署方式，请问BM应该如何部署？4.禁止访问加密网站