深信服行为管理操作文档-11.0-最新版本
深信服上网行为管理-单点登录指南
培训内容
单点登录介绍
单点登录实现方式
单点登录配置举例
培训目标
1. 了解单点登录功能的应用场景和概念 2. 掌握AC/SG设备支持的单点登录方式 1. 了解单点登录功能的几种实现方式
1. 掌握常见网络环境中web单点登录方式的部署和 配置
2. 掌握常见网络环境中数据库单点登录的部署和 配置
数据库单点登录配置举例--同步组织结构
如要同步组织结构,则在“用户自动同步”---新增一个“数据库同步”,填写可 以获取用户的sql语句和组路径分隔符,组路径分隔符是指客户的数据表中如果有 多个组,是以什么符号来分隔组和子组,如上述示例是以短横线分隔的:
点同击步"过测来试之有后效,性看"到,的可组以织列结出构可信以息获如取下的:信息:
的流量是PPPOE封堵,需要开启协议剥离才能识别 3、配置PPPOE单点登录
PPPOE单点登录配置示例
第一步:新建认证策略,认证方式为“不需要认证/单点登录”
PPPOE单点登录配置示例
2. 开启PPPOE协议剥离。
如果网络环境中由其 他协议的数据包封装 PPPOE的数据,则也 要开启其他协议的协 议剥离,如pppoe外层 再由vlan封装,则需
WEB单点登录: 适用场景:适用于内网有一套WEB认证系 统(如办公OA),PC上网前会先通过内网 WEB认证系统认证,客户希望部署AC后, 用户上网通过现有的web系统认证后自动通 过AC认证。
PC
OA
①
实现过程:AC监听PC和WEB认证系统之间 的认证交互过程 ,当PC通过WEB认证系统 认证时,自动通过AC认证上线
PPPOE单点登录配置示例
PPPOE单点登录多用于高校场景, 高校学生上网,多数采用拨号上 网,客户希望学生PPPOE拨号成 功后,即能自动通过AC认证可以 直接上网。需要注意,拨号服务 器需要部署在设备wan口方向, 如图
深信服上网行为管理-基本功能介绍
管理SSL 2
加密邮件
• 过滤/审计Foxmail等外发的加密邮件(使用SSL加密邮箱) • 过滤/审计SSL加密Webmail邮箱外发的邮件
避免垃圾 3 邮件风险
• 过滤垃圾邮件,避免病毒、木马、钓鱼等威胁 • 拦截外发垃圾邮件,避免被运营商追查和邮件骚扰
行为管理:应用授权—邮件收发
行为管理:应用授权—文件传输
发现终端
信任合法终端接入
冻结非法终端接入
行为管理:共享上网管理
识别共享上网, 防范未经允许的终端通过随身wifi(如360wifi)共享 上网,绕过管控
识别共享上网
信任合法共享上网
冻结非法共享上网
行为管理:安全防护
识别异常流量,阻断网络攻击,病毒或异常外发行为 防DOS攻击,网关杀毒,防arp欺骗,过滤恶意脚本与危险插件、避 免无安全防护的终端感染病毒、被劫持,提升内网安全
收邮件不准 发邮件
行为管理:应用授权--WEB应用
行为管理:应用授权--WEB应用
行为管理:应用授权—邮件收发
过滤、拦截可疑邮件,防止机密文件通发地址、附件类型/个数/大小过滤外发邮件
• 基于关键字、收件地址、附件个数/大小、抄送人等拦截外发 邮件,提交人工审核
发表、传播恶意言论 访问反动、邪教网站 下载传播非法文件 外发Email、Webmail泄密 文件外发泄密 IM聊天泄密
工作效率下降
组织开通宽带上网,领导却发现员工上班长时间浏览新闻网站、论坛灌水、 QQ、MSN聊天、网络炒股、网络游戏等与工作无关的网络行为。 以前通过考勤考核员工迟到早退,现在人虽在办公室却不在工作,严重影 响工作效率。
数据分析:可视化网络管理
透视网络应用现状,实时验证管理效果
深信服上网行为管理管理员手册v
深信服上网行为管理-管理员手册深信服电子科技有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。
任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录第2章系统管理............................................................2.1设备登录...........................................................2.2管理员配置.........................................................2.2.1修改管理员密码...............................................2.2.2创建二级管理员...............................................2.3系统基本信息配置...................................................2.3.1序列号.......................................................2.3.2系统时间.....................................................2.3.3规则库升级...................................................2.3.4全局排除地址.................................................2.3.5设备配置备份与恢复...........................................2.3.6WEBUI选项....................................................2.3.7远程维护.....................................................第3章网络配置............................................................3.1部署模式...........................................................3.2静态路由...........................................................第4章策略管理............................................................4.1用户认证与管理.....................................................4.1.1用户组管理...................................................4.1.2认证策略.....................................................4.1.3不需要认证...................................................4.1.4IP/MAC绑定...................................................4.1.5不允许认证...................................................4.2策略管理...........................................................4.2.1购物娱乐类网站...............................................4.2.2P2P及P2P流媒体封堵..........................................4.2.3外发文件封堵.................................................4.2.4上网审计.....................................................4.3流量管理...........................................................4.3.1线路带宽配置.................................................4.3.2保证通道.....................................................4.3.3限制通道.....................................................4.4终端接入管理.......................................................4.4.1共享接入管理................................................. 第5章日志中心管理........................................................5.1日志中心配置.......................................................5.1.1准备工作.....................................................5.1.2外置日志中心安装过程.........................................5.1.3日志中心登录.................................................5.1.4同步策略设置.................................................5.1.5AC同步配置...................................................5.2日志中心登录.......................................................5.2.1内置日志中心登录.............................................5.2.2外置日志中心登录.............................................5.3日志查询...........................................................5.3.1所有行为日志.................................................5.3.2网站访问日志.................................................5.3.3邮件收发日志.................................................5.3.4发帖/发微博日志..............................................5.3.5其他日志.....................................................5.3.6日志导出.....................................................5.3流量时长分析.......................................................5.4报表中心...........................................................5.5系统管理........................................................... 第1章前言本手册用于讲解AC常见功能操作方法,为管理员提供日常策略维护指导。
深信服行为管理操作文档-11.0-最新版本
培训内容 数据中心介绍 外置数据中心安装 外置数据中心使用
培训目标 了解数据中心作用及外置数据中心适用场景 1.掌握外置数据中心安装的环境需求 2.掌握外置数据中心的安装方法 1.掌握外置数据中心同步配置 2.掌握数据中心日志查询、自定义报表及日 志删除方法
数据中心介绍
SANGFOR AC&SG
外置数据中心使用
报表中心 客户可订阅指定的报表内容,将订阅的内容上报到指定的邮箱 进行审阅;满足客户流量时长分析、用户行为分析、合规性分 析等需求。
外置数据中心使用
报表收藏
为了方便收藏各个页面的常用统计条件,在统计页面提供一个 收藏功能,对统计过滤条件进行收藏,方便客户第二次操作时 不需要再重新选择过滤条件即可统计,同时收藏的报表也可被 自定义报表的模版引用,达到方便快速重用一些常用的过滤条 件。
日志归类,简洁清晰
外置数据中心使用 日志查询
日志查询
DC11.0优化了日志查询条件,查询速度以及显示页面,以下面 网站访问日志查询为例:
详细查询条件中,增 新版本AC增加 查询时间选择页面更加 加对源区域的“终端 了记录源MAC 友好 类型”,“位置”进 和记录 行检索 新增搜索关 VLANID的选 键字,提供 支持自定义时间对象 项,用户勾选 新增“倒序”,“正 URL(含域 此处可以根据需求来设定生效日期或 后,可以在日 序”的日志页面排序 详细信息中会显示出源 MAC 信息,如果有 可以手动在此处调节时间,也可以 名)、网页 日志详细信息会在下方完整呈现 排除日期 志中心的日志 回到日志查询页面,此处即可调 选择 相应的VLANID, 也会在下方显示出来 在“系统设置” -“自定义时间对象” 标题方式检 详细中看到 用配置好的自定义时间对象 中设置好后,在此处下拉菜单调用 索 MAC以及
深信服上网行为管理部署方式及功能实现配置说明
深信服上网行为管理部署方式及功能实现配置说明(标化院)设备出厂的默认IP见下表:接口IP地址ETH0(LAN)10.251.251.251/24ETH1(DMZ)10.252.252.252/24ETH2(W AN1)200.200.20.61/24AC支持安全的HTTPS登录,使用的是HTTPS协议的标准端口登录。
如果初始登录从LAN口登录,那么登录的URL为:https://10.251.251.251,默认情况下的用户名和密码均为admin。
设备正常工作时POWER灯常亮,W AN口和LAN口LINK灯长亮,ACT灯在有数据流量时会不停闪烁。
ALARM红色指示灯只在设备启动时因系统加载会长亮(约一分钟),正常工作时熄灭。
如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭,请与我们联系。
『部署模式』用于设置设备的工作模式,可设定为路由模式、网桥模式或旁路模式。
选择一个合适的部署模式,是顺利将设备架到网络中并且使其能正常使用的基础。
路由模式:设备做为一个路由设备使用,对网络改动最大,但可以实现设备的所有的功能;网桥模式:可以把设备视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用,平滑架到网络中,可以实现设备的大部分功能;旁路模式:设备连接在内网交换机的镜像口或HUB上,镜像内网用户的上网数据,通过镜像的数据实现对内网上网数据的监控和控制,可以完全不需改变用户的网络环境,并且可以避免设备对用户网络造成中断的风险,但这种模式下设备的控制能力较差,部分功能实现不了。
选择【导航菜单】中的『网络配置』→『部署模式』,右边进入【部署模式】编辑页面,点击开始配置,会出现『路由模式』、『网桥模式』、『旁路模式』的选项,选择想要配置的网关模式。
路由模式:是把设备作为一个路由设备使用,一般是把设备放在内网网关出口的位置,代理局域网上网;或者把设备放在路由器后面,再代理局域网上网。
深信服上网行为管理配置详解
第五步:添加该用户的上网策略,点击进入【策略列表】页面,点击【添加策略】,在 弹出的【添加策略】页面选择需要关联的策略。
第六步:完成用户属性与策略的编辑后,点击提交,完成用户的添加。 第七步:通过设备上网时,验证IP和MAC是否正确,如果正确则认证通过,客户端不会弹 出认证页面。如果IP/MAC地址和绑定的IP/MAC不符,则认证不通过,此时没有提示页面 ,但客户端的现象是上不了网。
控制台功能说明
2.4.2.1.2设置用户组的上网策略
第一步:在【组织结构】中选择需要添加上网策略的用户组,右边进入管理页面,在【 策略列表】窗口中,点击添加策略按钮,然后弹出的【添加策略】页面,选择策略。 第二步:点击添加策略,在【添加策略】 中选择需要关联的上网策略工程师上网策 略,勾选[递归应用于子组]表示添加的策 略同时也会关联给子组,不勾选则表示子 组不会添加该策略。设置完成后点击确定。 第三步:返回【策略列表】页面,查看用 户组关联的。
代表网口状态是已连接状态, 击 可以设置自动刷新的时间。
代表网口状态是未连接状态,点
控制台功能说明
2.2.1运行状态
【接口吞吐率折线图】通过折线图的形式来动态显示外网接口实时发送 和接收数据的情况。
点击 可以设置[选择时间段]来显示相应时间段接口转发数据的情况 ,在[选择流量单位
控制台功能说明
2.2.1运行状态
控制台功能说明
2.1WebUI 配置界面
登录界面如下图所示:
控制台功能说明
2.1WebUI 配置界面
如何消除登录控制台的证书告警框?
首先,登录控制台,进入『系统配置』→『高级配置』→『WebUI选项 』页面,点击下载证书,将证书下载到本地安装。
深信服WIFI系统上网行为管理解决方案
谢谢
深圳市南山区麒麟路1号 科技创业中心4楼
Add: 4th Floor, Incubation Center, No.1 Qilin Road, Nanshan District, Shenzhen P.C.:518052 Tel:+86-755-2658 1949 Fax:+86-755-2658 1959 Email:master@
深信服WIFI系统上网行为管理解决方案
应用背景
随着智能手机、pad智能终端的普及,我们已经习惯了随时随地的连
接网络,使用网络。各大型商场,酒店大厅,银行营业厅已经部署了无
线网络。
需求分析
• 上网用户身份确定
• 发ห้องสมุดไป่ตู้免责声明,推送广告页面 • 统计客户信息,挖掘潜在商机 • 保障上网体验 • 提供健康上网环境
典型案例
安徽合肥万达商场
a. 采用短信认证,认证后跳转到公司页面,在认 证页面推送广告; b. 针对用户做流控,限制不当网络行为,特别是 下载,保障访问速度; c. 搜集手机号作为目标客户数据来源,定期发送 手机广告,从而IT给业务带来增值 。
山西大酒店
采用AC无线网络管理和业务增值方案: a. 采用短信认证,认证后跳转到酒店的广告页面; b. 做无线网络的行为管控; c. 实名认证+审计,满足公安部的审查需求。
保障上网体验
上网流量控制: 建议可限制下载类的大流量
应用,限制单用户使用网络的流量,保障用户的 上网体验。
提供健康上网环境
行为管理:
利用上网行为管理设备过滤不良网页和应用,提供 健康绿色的上网环境。对部分敏感信息进行记录,满足 公安部82号令的要求。
AC-SC集中管理
深信服上网行为管理管理员手册v
■版权声明深信服上网行为管理-管理员手册本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。
任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录第2章系统管理..........................................................................................................................2.1设备登录...............................................................................................................................2.2管理员配置........................................................................................................................... ....................................................................................................................................... ............... ....................................................................................................................................... . (7)2.3系统基本信息配置............................................................................................................... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ......................................................................................................................................................第3章网络配置..........................................................................................................................3.1部署模式...............................................................................................................................3.2静态路由............................................................................................................................... 第4章策略管理..........................................................................................................................4.1用户认证与管理................................................................................................................... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... .............. . ....................................................................................................................................... ............... ....................................................................................................................................... ...............4.2策略管理...............................................................................................................................4.2.1购物娱乐类网站............................................................................................................... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ...............4.3流量管理............................................................................................................................... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ...............4.4终端接入管理....................................................................................................................... ....................................................................................................................................... ...............第5章日志中心管理..................................................................................................................5.1日志中心配置....................................................................................................................... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ...............5.2日志中心登录....................................................................................................................... ....................................................................................................................................... ............... ....................................................................................................................................... ...............5.3日志查询............................................................................................................................... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... ............... ....................................................................................................................................... .. (65)....................................................................................................................................... ...............5.3流量时长分析.......................................................................................................................5.4报表中心...............................................................................................................................5.5系统管理............................................................................................................................... 第1章前言本手册用于讲解AC常见功能操作方法,为管理员提供日常策略维护指导。
深信服上网行为管理-流量管理指南
虚拟线路典型应用案例及配置
3. 基于不同的外网线路设置细化的带宽管理策略 4. 启用流量管理系统
流量子通道
流量子通道功能介绍
流量子通道: 将流量管理通道分级,使流量控制更加细化, 一级通道
流量管理 策略
流量子通道应用于对流量管 理有细化需求的场景。比如 一个公司有多个部门,给每 个部门分配固定的带宽,然 后在这个带宽范围内设置不 同的流量管理策略。
会匹配默认通道。
流量通道匹配原则
单用户上限说明: 父通道和子通道的单用户上限可以分别 设置,如果匹配的条件一致,则取两者 之间的最小值。
举例: 1. 一级通道:针对所有应用,单个用户上限30KB/s
子通道:针对P2P应用,单个用户上限40KB/s 匹配结果:用户的P2P应用带宽上限为30KB/s;所
3. 添加细化的流量管理策略 流量管理策略的配置在后面的“流量子通道”章节再详细介绍。
虚拟线路典型应用案例及配置
1. 定义虚拟线路
网20网网桥M桥带b2通p宽1s通过为过网10电通0信M线b线路p路s上上网网,,设设置置网电通信线线路路的的带外宽
虚拟线路典型应用案例及配置
2. 定义虚拟线路规则
虚拟线路典型应用案例及配置
3. 新增子通道,设定技术部门P2P和P2P流媒体应用单用户上下行限制100Kbps
流量通道匹配原则
流量通道匹配原则
数据匹配顺序: 1. 平级通道,根据流量策略的排列顺序由上往下匹配 2. 数据匹配到某个一级通道后,如果一级通道下还有子通道,那么会继
续往下匹配,直到匹配到最后一级符合条件的子通道。 3. 每一级通道都会对应一个默认通道,所有未匹配到其他通道的数据都
客户网络出口有两条外网线路, 100M电信和20M网通,AC双网桥 模式部署。
深信服上网行为管理-管理员手册
深信服上网行为管理-管理员手册深信服电子科技有限公司■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。
任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录第1章前言.......................................................... 错误!未定义书签。
第2章系统管理...................................................... 错误!未定义书签。
设备登录....................................................... 错误!未定义书签。
修改管理员密码............................................. 错误!未定义书签。
创建二级管理员............................................. 错误!未定义书签。
系统基本信息配置............................................... 错误!未定义书签。
序列号..................................................... 错误!未定义书签。
系统时间................................................... 错误!未定义书签。
规则库升级................................................. 错误!未定义书签。
全局排除地址............................................... 错误!未定义书签。
设备配置备份与恢复......................................... 错误!未定义书签。
深信服上网行为管理-基本操作介绍
•如何登录设备控制台
如果设备接口地址被修改,在不知道更改后接口地址的情况下,提 供以下2种方法登录设备
1、SANGFOR AC/SG设备的eth0口有保留IP地址为 128.127.125.252/29, 请配置电脑IP地址为128.127.125.253/29, 用 交叉线连接电脑和设备eth0口,通过https://128.127.125.252登录 设备网关控制台。
SANGFOR AC&SG
初识设备 如何登录设备 如何恢复出厂配置 如何恢复控制台admin帐号和密码 SANGFOR设备升级系统使用介绍
初识设备:设备外观介绍 前面板 后面板
初识设备:设备外观介绍
注意:设备加电开机时,alarm灯常亮,设备启动完毕,alarm灯熄灭, 所以可以通过alarm灯状态观察设备启动状态。
SG: 2.0,2.0Rx,2.1,3.0,3.3,3.3Rx,3.4,3.5,4.0,4.2,4.3,4.4,4.5,4.5Rx, 4.6,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,6.0...............
10G:3.3hp,10G,10.1,10.2
•如何登录设备控制台
2、准备交叉线短接设备任意两个电口。
3、手动重启设备,重启过程中,注意观察交叉线短接的两个电口ACT灯状 态,两个电口ACT灯同时闪烁10次后,说明密码恢复完成,此时可以拨掉 短接的交叉线,通过默认的控制台帐号密码admin/admin登录设备即可。 设备重启到密码恢复成功大约3到5分钟左右。
4、如果第3步无法根据网口灯状态判断密码恢复是否成功,你可以一直等 待,等待5到10分钟左右,尝试通过默认帐号admin/admin帐号登录设备
首次拿到AC/SG设备时,可以通过以下方法登录设备控制台
深信服上网行为管理管理员手册v
■版权声明深信服上网行为管理-管理员手册深信服电子科技有限公司明,版权均属深信服所有,受到有关产权及版权法保护。
任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录第2章系统管理..........................................................................................................................2.1设备登录...............................................................................................................................2.2管理员配置........................................................................................................................... ...................................................................................................................................................... . (7)2.3系统基本信息配置............................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... ......................................................................................................................................................第3章网络配置..........................................................................................................................3.1部署模式...............................................................................................................................3.2静态路由...............................................................................................................................第4章策略管理..........................................................................................................................4.1用户认证与管理................................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... ............................................................................................................................................................................................................................................................................................................ ......................................................................................................................................................4.2策略管理...............................................................................................................................4.2.1购物娱乐类网站............................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... ......................................................................................................................................................4.3流量管理............................................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... ......................................................................................................................................................4.4终端接入管理....................................................................................................................... ...................................................................................................................................................... 第5章日志中心管理..................................................................................................................5.1日志中心配置....................................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... ......................................................................................................................................................5.2日志中心登录....................................................................................................................... ...................................................................................................................................................... ......................................................................................................................................................5.3日志查询............................................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... ...................................................................................................................................................... .. (65)......................................................................................................................................................5.3流量时长分析.......................................................................................................................5.4报表中心...............................................................................................................................5.5系统管理............................................................................................................................... 第1章前言本手册用于讲解AC常见功能操作方法,为管理员提供日常策略维护指导。
深信服上网行为管理操作步骤(傻瓜版)
一.建立应用黑名单库
1.点击“对象定义”---“自定义应用”(图1)
(图1)
2.点击“新增”,新增相应的应用内容,添加后点击“提交”(图2)(图3)
(图2)
(图3)
3.添加完成后可以看到在“自定义应用”表中多了一个“禁止网上交易”的类型,(图4),请注意:必须勾选“用户自定义规则优先”
(图4)
二.制定应用过滤策略并指派给用户或组
1.点击“用户与策略管理”----“新增”---“上网权限策略”(图5)
(图5)
2.勾选“应用控制”(图6)
(图6)
3.点击应用分类的添加键“”添加应用“禁止广发WEB交易”分类(图7)
(图7)
4.填入相应的策略名称,动作选择“拒绝”,生效时间选择“全天”(图8)
(图8)
5.点击“适合的组和用户”,将策略指派给某个用户或组(图8)
(图8)
6.完成以上所有操作,即可以在“上网策略“中看到刚刚所做的策略(图9)
(图9)。
深信服上网行为管理-系统管理配置指南
培训内容 策略路由和多线路 选路 事件告警功能
SNMP
培训目标
掌握策略路由适用场景,能够根据实际场景正确配置 策略路由并达到效果
掌握事件告警功能种类,能够根据实际场景配置事件 告警功能并达到效果
掌握设备支持SNMP版本,并且能够正确配置SNMP 网管软件管理设备
7、通过邮件客户端发送一封带病毒的原始邮件
8、设备检测到病毒效果
首页,运行状态页面,右下角小喇叭提示发现病毒。如下图
管理员告警邮箱志,如下图
SNMP
SNMP介绍
客户机房有很多不同厂商的网络设备,不便于管理,希望通过网管软件对 所有网络设备进行监控和管理。AC&SG默认支持snmp协议(支持snmp v1 v2 v3),并提供mib库,通过网管软件导入mib库,从而实现对设备状 态监控和管理。
SANGFOR AC&SG
策略路由和多线路选路 事件告警功能 SNM深P 信服公司简介
策略路由和多线路选路
策略路由和多线路选路介绍
应用背景:随着企业的不断壮大和发展,一个企业所拥有的互联网线路往往不止一 条,而每条线路的带宽又是非常有限的。如何设置才能够更合理的利用线路带宽, 提高访问公网的速度呢?
经过设备的数据流会先按策略路由选路,如果没有配置策略路由规则或按策 略路由没有查到对应的选路规则,则会进行多线路选路。多线路选路是由程 序自动选路,无须配置策略路由规则,共有四种多线路选路策略。
注意
1. 多线路选路和策略路由功能只在路由模式下有效。 2. 需要使用外网多线路,在序列号中至少开启2条外网线路的授权。 3. 外网每条线路配置的DNS地址必须可以解析域名,策略路由程序会根据线路的DNS是否 可以解析域名线路是否故障,DNS无法解析域名,则策略路由程序会检测此线路故障。 4.静态路由,策略路由和多线路选路的优先级关系。静态路由优先策略路由,策略路由优 先多线路选路。 5.设备有多线路时,如果一条线路出现故障,则流程会切换到其它线路,直到故障线路恢 复,从而实现线路智能切换。现场测试线路切换时,建议使用拨线路,浏览器打开网页的 方式测试。
深信服上网行为管理-管理员手册
深信服上网行为管理-管理员手册深信服电子科技有限公司■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。
任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录第1章前言.......................................................... 错误!未定义书签。
第2章系统管理...................................................... 错误!未定义书签。
设备登录....................................................... 错误!未定义书签。
修改管理员密码............................................. 错误!未定义书签。
创建二级管理员............................................. 错误!未定义书签。
系统基本信息配置............................................... 错误!未定义书签。
序列号..................................................... 错误!未定义书签。
系统时间................................................... 错误!未定义书签。
规则库升级................................................. 错误!未定义书签。
全局排除地址............................................... 错误!未定义书签。
设备配置备份与恢复......................................... 错误!未定义书签。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
网卡的工作模式full 全双工,100Mb
网口收到的错误的 包和错误的帧数
查看网口ip
抓包工具的使用
(TCPDUMP)抓包的使用
将抓到的数据包下载到PC 机本地,用Sniffer或Ethereal, Wireshark等抓包软件打开 通过抓取的数据包,分析数据的通信是否正 常(是否有双向通信的数据,源和目标IP是 否正确等)
ቤተ መጻሕፍቲ ባይዱ
抓包工具的使用
注意事项:
1. 高级(TCPDUMP)抓包的过滤表达式使用的是Linux下的标准TCPDUMP
上网故障排除功能使用案例
1. 设置开启条件,开启实时拦截日志并直通。
为便于定位问题, 在内网找一台电 脑测试
同时开启数据直通
上网故障排除功能使用案例
2. 开启拦截日志并直通后,测试电脑打开网页操作,发现可以打开网页, 再到上网故障排除中刷新实时拦截日志,如下图:
通过这些日志,可发现浏览网站的请求被URL过滤 丢包了,需要检查上网权限策略中应用控制中的访 问网站的相关网站类型的配置。
上网故障排除功能介绍 命令控制台的使用 抓包工具的使用 其他排错工具的使用 深信服公司简介
SANGFOR AC
上网故障排除功能介绍
上网故障排除功能介绍
上网故障排除功能用于查询一个数据包在通过AC&SG设备时是被哪个 模块拒绝,是什么原因被拒绝。当用户上网出现故障时,便于快速定位 故障原因,也可用来测试一些规则是否生效 。 设置拦截日志过滤条件: 设置需要针对哪些IP地址,协议和端口开启拦截日志。默认开启所有 的拦截日志。 开启数据直通: 开启后,AC&SG上设置的上网策略将不生效,符合策略设置应该被 拒绝的数据包会被设备放行,同时会将符合策略设置应该被拒绝数据 包的情况以日志的方式显示出来
其他排错工具——系统日志
系统日志实时记录着设备所有程序的运行情况,当程序有异常时对应模 块会在系统日志打出告警或者错误日志。如果感觉设备有任何异常,可
以先查看系统日志进行确认!
筛选日 志类型 筛选要显 示的日志
可将系统日志截图给 400协助处理
其他排错工具——控制台操作日志
通过在数据中心查看控制台操作日志,可以很清晰的看出哪一个账号在什么时 间段修改/增加/删除了哪一个模块,是查看是否有人为更改配置的依据。
命令控制台的使用场景及操作
排查方法:
e) 检查设备的路由,跟踪设备上外网的路径,测试设备去外网的端口连通性。
抓包工具的使用
抓包工具的使用
高级抓包是用TCPDUMP的方式抓包,将抓取的数据包保存在设备的 控制台界面,需要在电脑上安装Sniffer或Ethereal等抓包软件,才能 打开此数据包进行分析。高级抓包能抓取所有通过设备网卡的数据, 故在排查问题的过程中使用比较广泛。
上网故障排除功能介绍
开启实时拦截日志: 将打开拒绝列表,此时设备所有的策略依然生效。符合策略设置应该拒绝的 数据包会被设备拒绝掉,同时会将符合策略设置应该被拒绝数据包的情况显 示出来
设置开启拦截日志的协议和端口
上网故障排除功能介绍
开启实时拦截日志与数据直通:
开启实时拦截日志同时开启数据直通,此时设备设置的上网策略将不生效。 符合策略设置应该被拒绝的数据包会被设备放行,同时会将符合策略设置应 该被拒绝的数据包拦截情况显示出来 。
格式 。 2. 如果对Linux命令不熟悉的话,可以参照示例中的格式“host
200.200.20.1 and port 53” , 即抓取所有源IP和目标IP为200.200.20.1,
源端口和目标端口为53的数据包。常用命令举例: 抓取192.168.1.1的ping包: host 192.168.1.1 and icmp
抓取192.168.1.1的UDP 1773的包: host 192.168.1.1 and udp port 1773
抓取192.168.1.1和192.168.1.2之间TCP 80的交互包: host 192.168.1.1 and host 192.168.1.2 and tcp port 80
上网故障排除功能使用步骤和思路:
1. 设置拦截日志开启条件。
如果选择内网某一台电脑做测试,可以只指定这一台电脑的IP地址。 2. 开启实时拦截日志和数据直通。 3. 在测试电脑上访问之前通信有故障的应用,看故障是否恢复,如果恢复, 说明是AC设备上的策略拦截了数据包。 4. 再查看实时拦截日志(一般可通过查看第一个包的日志,第一个包的拦 截日志详细说明了是AC上哪条上网策略或哪个模块丢弃了数据包)。 5. 根据拦截日志的提示修改策略,再关闭直通功能,测试故障是否恢复。
上网故障排除功能使用案例
3. 拦截日志提示被URL过滤规则丢弃,检查用户使用的上网策略规则。
检查出在上网权限策略中, 所测试的电脑使用 确实设置了全天拒绝访问 的上网权限策略 网站
上网故障排除功能使用案例
4. 删除错误的规则,并关闭数据直通,内网电脑打开网页看问题是否修复。
丢包源及丢包动作(即丢包原因)从设备上不一定能看明白,文档 “SANGFOR_AC&SG_v11.0_2016年度渠道初级认证培训13_系统诊断工具_上网故障 排除丢包模块及丢包原因说明.xls"有详细中文说明,更多丢包原因说明可以参考此文档
上网故障排除功能使用案例
客户环境: 客户内网部署了AC设备后,所有 用户部分网页打不开,管理员想定 位是AC上的策略设置问题还是公 网运营商出现了故障。
IP: 192.168.2.3 MASK:255.255.255.0
IP : 192.168.5.3 MASK:255.255.255.0
上网故障排除功能使用案例
Tel:400-630-6430 Email:support@
系统诊断工具
培训内容
上网故障排除功能介绍
培训目标
1.了解上网故障排除功能的作用 2.掌握开启数据直通的方法 3. 掌握分析拒绝日志的方法 1.掌握AC命令控制台支持的命令和操作方法
命令控制台
抓包工具的使用
1.掌握简易抓包和高级抓包的方法
其他排错工具
1.掌握全局排除地址、系统日志、控制台操作日志 的用法
排查方法:
a) 电脑单机接SG设备的dmz口,用DMZ 口地址登陆设备 b) 查看设备网口接线状况 c) 接线状态 状态正常,检查设备的arp表, 是否可以获取到上连FW和下连3SW的接口 的mac。
配置 DMZ口网段地 址 10.252.252.x/24
DMZ
命令控制台的使用场景及操作
排查方法:
注意
开直通后,仍然生效的模块有nat,邮件过滤,网关杀毒(smtp和pop3杀
毒),ssl内容识别,代理+cache,arp欺骗防护 ,系统路由和链路负载
命令控制台的使用
命令控制台
SANGFOR AC&SG命令控制台提供一个简单的控制台命令行界面,
可用于对设备的一些简单信息进行查看,支持的命令包括: arp(查看设备的arp表)
场景一: 部署:设备单网桥部署eth0-eth2组成一组桥
FW-SG-3SW-PC
问题:内网用户通过SG上不了网,内网PCping
网桥ip地址192.200.200.49不通,ping防火墙 内网口地址192.200.200.199也不通。
如何排查?
命令控制台的使用场景及操作
eth0、eth2网口如有 no link,检查网口接 线情况
mii-tool(查看设备网口的连接情况)
ifconfig(查看设备网口信息) ping(测试主机地址的连通性) telnet(测试端口连通性) ethtool(查看设备网卡信息)
route(显示设备的路由表)
traceroute(跟踪数据包转发路径) 在命令行页面直接输入命令回车即可
命令控制台的使用场景及操作
其他排错工具
其他排错工具——全局排除地址
启用全局排除地址,针对排除的地址,设备设置的上网策略将不生效, 也不进行审计。
说明:
1.排除地址可以是内网ip,或者外网IP。只要源IP或者 目的IP在排除地址列表,就不做控制和审计。
2.排除地址对防火墙规则和准入监控IM聊天无效。 3.排除地址支持填写域名。