AC部署的三种模式
特殊网络环境部署-深信服上网行为管理AC
多机同步配置
2. 在另外一台设备上开启多机功能并进行相关的配置
3.配置完成后,点击向其它设备同步配置,此时设备会发送同步信号,进行设备 的配置同步和信息同步。点击“查看同步报告”可查看同步信息。
多机同步配置注意事项
(1)当多机环境中某台设备的配置改变时,设备中会有提示,点击“向其它 设备同步配置”则立即向另外一台设备发同步命令进行配置同步。 (2)在线用户状态是实时同步的,也就是一旦有新的用户通过认证,那么多机会 立即同步,注意不需要认证的用户(只绑定IP/MAC的用户)的在线状态是不会同 步的。 (3)做多机同步的几台设备网口IP地址是需要设置不一样的,网口IP地址这些 配置也不会进行同步。
双机维护环境部署
多机同步环境部署
SANGFOR AC&SG
内网代理环境部署 TRUNK环境部署
双机维护环境部署
双机维护环境部署
双机维护是指两台设备通过双机心跳线 连接,实现互为备份。正常情况下,只 有主设备工作,如果网络失去与主设备 的通信,则自动切换到备设备,保证客 户的业务不受影响,网络不中断。
(1)必须保证客户端发到代理服务器的数据先经过AC/SG设备,也就是代理服 务器应该部署在AC/SG设备的WAN口方向。 (2)设备默认情况下会对所有的代理数据进行检测,也就是说如果“代理服务 器设置”列表为空,则对发往任何地址的数据都会进行代理数据的识别,这 样会影响设备处理效率。 建议在地址列表中填入代理服务器的IP地址,这样的话只有发往此列表地址 的数据才会被检测是否为代理数据,并对其进行上网权限控制。
填入代理服务器的IP。
内网代理环境部署配置
1. 将设备采用以上各拓扑中的部署方式进行配置,然后接入到网络中。关于网关 模式配置在初级培训中均已涉及,此处不再赘述。 2. 在设备“代理服务器设置”选项中填入代理服务器的IP。
SANGFORAC多机部署技术专题文档
SANGFORAC多机部署技术专题文档AC/SG多机部署技术专题文档1.1多机部署环境描述AC/SG多机功能主要是用于支持客户VRRP环境的,既可以起到设备冗余又可以起到负载均衡的作用。
在这种VRRP部署环境中,AC/SG架在中间是透明的,主要是口模式和多网桥模式,路由模式基本不会用到。
以下是客户那边主要部署的网络拓扑之一:AC/SG启用多网桥架在客户路由器前面,客户那边的前端路由器启用VRRP,数据流可以直走其中一个路由器起热备冗余作用,也可以2台路由器根据虚拟多个VLAN互为主备,起到负载均衡的作用。
1.2多机在AC/SG控制台的配置配置说明:1.多机同步的和功能,禁用状态设备不会向同一组播域内其他设备发心跳包。
2.【通信网口】功能,区分路由模式和网桥模式。
路由模式下只要选择通信网口,不IP地址,就引用路由模式下本身的网口配置IP地址;网桥模式下因为只有桥IP,而单独网卡上并没有配置IP,所以需要配置一个单独的IP进行发送组播心跳和同步文件。
(注意的就是这个IP 不要和局域网内的IP冲突)3.【通信IP地址】,该功能只有在网桥模式下才有,仅作为向其他设备同步数据的一个源IP。
4.【组播IP地址】,只要是224.X.X.X之后的IP均可以。
不同的设备需要能互相同步配置的话,需要设置为同一个组播IP地址。
5.【在线列表】,只要不同设备配置上相同的组播IP地址,并且每台设备上指定的通信网口在同一个局域网内,设备的心跳包可以互相到达对方,则2台设备的在线列表均可以看到对方,即可以进行多机同步了。
1.3同步消息处理流程当多机同步触发之后,分为3种方式:用户认证数据同步,手动同步、库文件同步。
用户认证同步的数据因为是直接从认证驱动中抓包,所以没有了对比MD5值的流程,直接封装然后加入到发送数据的队列中;手动配置和库同步的配置,都需要先对比MD5值然后再进行封装,加入到发送队列中。
1.4几种同步方式实现原理1.4.1手动同步配置手动同步配置主要是同步设备控制台的一些配置,保持多机切换后部署在VRRP环境下的AC/SG设备配置一致,从而不影响到客户那边的上网业务。
AC组网
方式一: 方式一: 场点型
AC位于汇聚交换机下的场点型部署方案 位于汇聚交换机下的场点型部署方案
AC部署在接入交换机与汇聚交换 AC部署在接入交换机与汇聚交换 机之间,AC位于大型场点 如高校) 位于大型场点( 机之间,AC位于大型场点(如高校), 或位于电信机房, 或位于电信机房,管理下联各场点的 AP。 AP。
AP通过DHCP服务器获得管理地址和AC的 AP通过DHCP服务器获得管理地址和AC的 通过DHCP服务器获得管理地址和AC 地址,AP通过DHCP服务器获得IP地址( 地址,AP通过DHCP服务器获得IP地址( ,AP通过DHCP服务器获得IP地址 也可以通过静态配置IP地址) IP地址 也可以通过静态配置IP地址) AP与AC建立加密的隧道传送业务数据和 AP与AC建立加密的隧道传送业务数据和 管理控制数据。 管理控制数据。根据用户无线报文的 BSSID字段和瘦AP的位置 字段和瘦AP的位置, BSSID字段和瘦AP的位置,映射为相应 的业务VLAN,不同场点可映射为不同 的业务VLAN, VLAN VLAN。 VLAN。 BRAS(宽带接入服务器)终结用户VLAN VLAN, BRAS(宽带接入服务器)终结用户VLAN, 并对用户进行地址分配、认证和计费。 并对用户进行地址分配、认证和计费。 这里AP使用的是私有IP地址。 AP使用的是私有IP地址 这里AP使用的是私有IP地址。 对现网无需改动 改动, 可以管理同一 对现网无需改动,AC可以管理同一 BRAS下的同产家 下的同产家AP 下的同产家
集中式 AC位于城域网 位于城域网
1.要求AC非常强的接入能力 1.一台AC可管理不同BRAS 2.用户流量二次穿越城域网 下同一厂家的瘦AP,部署 3.对AC就近接入的BRAS会产 灵活 生很大的压力 2.不需要部署很多的AC设备 4.挑战现网的网络层次结构
集客网关 AC V3 配置手册说明书
配置手册集客网关AC V3文档版本:V1.0版权声明copyright©2018集客科技保留对本文档及本声明的一切权利。
未得到集客科技的书面许可,任何单位和个人不得以任何方式或形式对本文档的部分内容或全部进行复制、摘录、备份、修改、传播、翻译成其他语言、将其全部或部分用于商业用途。
GECOOS为集客科技的商标。
本文档提及的其他所有商标或注册商标,由各自的所有人拥有。
免责声明您所购买的产品、服务或特性等应受商业合同和条款的约束,本文档中描述的全部或部分产品、服务或特性可能不在您的购买或使用范围之内。
除非合同另有约定,集客科技对本文档内容不做任何明示或默示的声明或保证。
由于产品版本升级或其他原因,本文档内容会不定期进行更新。
集客科技保留在没有任何通知或者提示的情况下对文档内容进行修改的权利。
本手册仅作为使用指导。
集客科技在编写本手册时已尽力保证其内容准确可靠,但并不确保手册内容完全没有错误或遗漏,本手册中的所有信息也不构成任何明示或暗示的担保。
感谢您选择我们的产品!阅读此说明书有益于配置、管理和维护本产品,祝您使用愉快!读者对象本书适合下列人员阅读●网络工程师●技术推广人员●网络管理员技术支持●集客科技官方网站:●●QQ交流群:53177852●集客科技技术支持与反馈信箱:*****************本书约定●本手册部分举例的显示信息中可能含有其它产品系列的内容(如产品型号、描述等),具体显示信息请以实际使用的设备信息为准。
●本手册所说的网关是指“集客网关AC”。
1默认参数 (8)2网关设置 (8)2.1网关登录 (8)2.1.1控制台登录管理 (8)2.1.2WEB登录管理 (9)2.1.3网口绑定 (9)2.1.4DNS参数 (10)2.1.5内网设置 (11)2.1.6VLAN管理 (12)2.1.7PPTP客户端 (12)2.1.8网口状态 (13)2.2AC控制器 (13)2.2.1基本设置 (14)2.2.2模板列表 (14)2.2.3无线AP列表 (15)2.2.4接入点列表 (16)2.2.5用户列表 (17)2.2.6黑白名单 (17)2.2.7状态统计 (18)2.3热点运营 (18)2.3.1基础设置 (18)2.3.3黑名单MAC (19)2.3.4认证列表 (20)2.3.5认证日志 (20)2.4路由管理 (21)2.4.1静态路由 (21)2.4.2多线路由 (21)2.4.3默认路由 (22)2.5应用服务 (23)2.5.1DHCP服务 (23)2.5.2DNS代理 (24)2.5.3动态DNS (25)2.6访问控制 (25)2.6.1IPMAC绑定 (25)2.6.2端口映射 (26)2.6.3NET转换 (26)2.6.4单机限速 (27)2.7系统管理 (27)2.7.1系统管理 (27)2.7.2备份修复 (28)2.7.3升级管理 (28)2.7.4重启关机 (29)2.8系统工具 (30)2.8.1PING测试 (30)2.8.2子网计算 (30)2.8.3网络抓包 (31)2.8.4日志分析 (31)2.8.5系统注册 (32)2.9状态监控 (32)2.9.1主机监控 (32)概述集客网关AC:集路由、AP管理、营销认证、流量控制等功能为一体智能网关。
深信服-AC-部署模式
Page7
1.2 网桥模式(续)
功能特点:
(1)AC做网桥部署,相当于网线,平滑架到网络中,不改变客户网络 结构。 (2)单网桥模式下,只有lan口和wan1口可用,dmz口为管理口;多网 桥部署时,设备所有接口均可做网桥接口。 (3)需设置网桥IP,如启用杀毒、邮件过滤等功能,则须配置默认网关 和DNS,并保证 AC本身访问外网(可通过升级控制台工具“ping”测 试 )。 (4)如 启用WEB认证 、准入规则 、URL过滤 ,同时 内网有多网段时, 须添加 到内网非直连网段的路由指向内网路由设备。 (5)网桥模式下不能实现NAT(代理上网和端口映射),vpn、dhcp功 能不可用,不能自定义网口。 (6)设备做多网桥时部署在网关设备与交换机之间,不改动内网环境, 相当于多网口二层交换机。可以实现对内网VRRP环境和双机热备环境的 支持 。 (7)支持802.1Q vlan协议。
Page4
1.1 路由模式(续)
功能特点:
(1)可以实现AC所有功能,对客户网络结构改变较大。 (2)内外网口不能在同一网段,可以自定义网口。 (3)有前置设备情况下,启用网关杀毒、邮件过滤等 功能,或AC需要自动升级URL等内置库时,需要正确设 置前置设备规则(防火墙、路由等),保证AC设备可访 问外网 (所有部署模式下均需注意) (4)客户需要使用nat、vpn和dhcp功能时使用路由模 式。 (5)支持802.1Q vlan协议。
Page23
3.2、内网多网段(极特殊)
路由器(FW) LAN IP: 192.168.1.254 192.168.2.254 192.168.3.254
二层交换机
IP:192.168.1.2/24 GW:192.168.1.254
AC组网运用简介
AC组网运用简介组网应用产品应用场景AC有直连式组网和旁挂式组网两种方式。
AC承载管理流和数据业务流,管理流必须封装在CAPWAP (Control And Provisioning of Wireless Access Points)隧道传输,数据流可以根据实际情况选择是否封装在CAPWAP隧道中传输。
CAPWAP定义了无线接入点(AP)与无线控制器(AC)之间的通信规则,为实现AP和AC之间的互通性提供通用封装和传输机制。
CAPWAP数据隧道封装AP发往AC的802.3协议的数据包。
CAPWAP管理隧道实现远程AP配置和WLAN管理。
根据数据流(也称业务流)是否封装在CAPWAP隧道中转发,可以分为两种转发模式:直接转发:也称本地转发或分布转发。
隧道转发:也称集中转发,通常用于集中控制无线用户流量的场景。
无论直连式组网还是旁挂式组网,都可以根据需要自行选择,AC 支持两种模式混合,即根据需要部分AP配置为直接转发模式,部分AP配置为隧道转发模式。
由于隧道转发模式下,所有无线用户流量都将汇聚到AC上处理,存在交换瓶颈的风险,在企业网中不常采用。
直连式组网直连式组网是指AC下直接接入AP或接入交换机,同时扮演AC 和汇聚交换机功能,AP的数据业务和管理业务都由AC集中转发和处理。
直连式组网方式中,AP和AC之间建立CAPWAP管理隧道,AC 通过该CAPWAP管理隧道实现对AP的集中配置和管理。
无线用户的业务数据可以通过CAPWAP数据隧道在AP与AC之间转发(隧道转发模式),也可以由AP 直接转发(直接转发模式)。
由于直连式组网中,AC自然串接在线路中,故多采用直接转发模式,用户业务数据在AP上实现转发。
AC启动DHCP Server功能,给AP分配IP地址,AP 通过DHCP Option43、DHCP Option15或DNS的方式或二层发现协议发现AC,建立数据业务通道。
直接转发模式下AP的管理流封装在CAPWAP协议的隧道中,而AP的数据业务流不加CAPWAP封装,直接由AP发送到AC,再由AC透传至上层设备中。
06 AC与AP配置介绍
智慧无线
AC集中管理平台案例分析 用户环境及需求: 用户原有网络已部署完成,现需要为无线用户提供智慧无线认证,同 时又不希望对原有网络有所变动,并且用户无线用户比较多,AP部署量比 较多,均由AC控制平台统一配置。用户内网网段为192.168.18.0/24,智慧 网关局域网地址为192.168.18.205/24。 1、所有的AP均提供两个SSID,一个用于内部人员接入,一个用于非内部 人员使用。并且内部员工接入SSID无需广播,内部员工与非内部人员之间 不能互访。 2、所有AP设备每隔一周需重启一次,重启时间在晚上12点。
无线安全
用于设置无线的各种加密模式,以及对 MAC 地址的过滤。
无线安全
选择网络名称(SSID):选择您要设置SSID,首先选择一个需要设置的
SSID名称(如果有多个SSID的话)。 安全设置 : 分为开放式、共享式、 WEPAUTO 、 WPA 企业、 WPA 个人、
WPA2 企 业 、 WPA2 个 人 、 WPAP/WPA2 个 人 、 WPA1/WPA2 企 业
AP配置—胖AP为例
基本配置—系统维护
系统维护主要用户维护设备:固件升级、数据备份与恢复以及时间设置。
无线路由器功能配置 AP 配置功能介绍 AC(瘦AP)功能配置
智慧无线
AC平台服务端
进入AC平台服务端页面,开启AC平台服务端,点击服务器地址,进入AC集中 管理平台界面。
状态:启用了之后才可以点击服务器地址进入AC集中管理平台。 旁路模式:启用旁路模式之后此路由器就只作旁挂作用,需要关闭DHCP 服务器和广域网口。 服务器地址:进入集中管理平台的地址。
过滤方式:包括。关闭、允许如下客户端和阻止如下客户端三种方式。 MAC地址:添加需要阻止或者允许的用户的MAC地址。
ac ap方案
AC AP方案概述在计算机网络中,AC(Access Controller)和AP(Access Point)是构建无线局域网(WLAN)的重要组件。
AC负责集中管理和控制一组AP,并提供对WLAN 用户的认证、授权和流量控制等功能。
AP则负责无线信号的发射和接收,将有线网络转换为无线信号,并提供无线网络的接入服务。
本文档将介绍AC AP方案,包括其工作原理、部署方式和优势等内容。
工作原理AC AP方案的工作原理如下:1.组网:多个AP连接到一个AC上,形成一个统一的无线局域网。
AP可以通过有线或无线方式与AC连接。
2.认证与授权:WLAN用户首次接入网络时,需要进行认证和授权。
用户可以使用用户名、密码等方式进行认证,AC会对用户进行身份验证,并根据策略进行授权。
3.流量控制:AC能够对WLAN用户的流量进行控制和管理。
AC可以根据用户需求和网络状况,对不同用户的流量进行限速、优先级设置等操作,以实现带宽管理和流量调度。
4.网络安全:AC AP方案提供了一系列的安全功能,包括加密传输、防火墙设置、入侵检测等。
AC可以对无线网络进行安全策略的配置,并监控网络中的安全事件。
5.管理与监控:AC提供了集中管理和监控AP的功能。
管理员可以通过AC对AP进行配置、升级、故障排除等操作。
AC还能够收集AP和用户的统计信息,并提供可视化的监控界面。
部署方式AC AP方案可以根据网络规模和需求的不同,选择不同的部署方式。
1.集中式部署:适用于中小型网络环境。
在集中式部署中,多个AP连接到一个AC上,AC负责统一管理和控制所有AP。
这种部署方式对网络设备的要求较高,但能够提供更好的管理和控制能力。
2.分布式部署:适用于大型网络环境。
在分布式部署中,多个AC连接到一个集中管理服务器上,每个AC负责管理一部分AP。
这样可以减轻单个AC的负载,提高系统的可扩展性和性能。
3.混合部署:适用于复杂网络环境。
在混合部署中,可以将集中式部署和分布式部署结合使用。
深信服-AC-部署模式ppt课件
ip:192.168.1.2/24 gw:192.168.1.254
注意事项: 1、如不需要启用 网关杀毒、准入规 则等功能,网桥IP 可设置与内网不同 网段; 2、启用杀毒等功 能则网桥IP必须配 置为同网段,网关、 DNS配置正确,前 置设备须放行AC上 网数据(保证AC本 身可以访问外网)
2、AC三种模式设置
2.1 路由模式设置
至网此,关A当C已前配所成在运 路19行由2.1模模6式8式.1,2配5并.0代置/2理4信息
网段上网。最后还 需要放通防火墙 lan->wan规则, 默认是放通的。
2.2 网桥模式设置 (1)网桥多网口配置---单网桥配置
前置设备
路由器(FW)
AC
交换机
新、网关杀毒可用), 并在添加回包路由。
3、前置设备上的 DHCP、IP/MAC绑 定不可用
保留原网关,网桥模式部署
AC 二层交换机 路由器(FW) 网桥IP: LAN IP: 192.168.1.253 192.168.1.254 GW:192.168.1.254
部署方法: 1、将网关运行模式切换为“网桥 模式”; 2、配置网桥IP ,网关指向前置 设备; 3、WAN1口连接路由器,
1.2 网桥模式(AC相当于交换机,平滑部署到客户网络)
应用环境:AC网桥模式分为网桥多网口和多网桥, 一般适用于客户已经有FW或路由器代理上网,需 要用到AC做访问控制和监控,无需用到vpn,nat, dhcp等功能,并且希望不改变客户网络原有结构, AC可以平滑部署到网络中,即使设备宕机,对客 户网络影响不大。或客户内网原有VRRP或HSRP 环境,架上AC做多网桥实现基本审计控制功能的 同时,不影响客户原有主备的切换。建议用网桥模 式部署。
AC 网桥模式部署配置
多网桥模式部署
多网桥:是指一台设备可以做多个网桥,相当于多个交换机,和网桥多网口的区别是:设备的ARP表维持多份;内外网口是一一对应的;网口属于同一个网桥才能进行数据转发,不同网桥接口之间的数据不能转发。
多网桥应用场景:
a.设备一进一出做单网桥
b.客户内网有VRRP或HSRP环境
1.选项双网桥模式部署设备
2.从lan和wan区域选择接口,配置成一对桥的接口
3.给不同的网桥配置ip地址(这样就可以保证我们设备是可以上网的,如果其中一条线断了,但是还可以通过另外一个网桥上网)
4.给设备配置一个管理地址
5.静态路由
去往内网的网段192.168.1.0,下一跳交给网关地址192.168.1.254(一台交换机的上链接口地址)
当我们设备网桥模式部署的时候,设备上面的路由是不会影响到内网的用户选路的,但是会影响到从ac发包的数据,因为我们在这种环境下面,只可以写一条静态路由,去往内网的
网段,这样如果交换机切换了,那么会影响到准入规则,web认证功能。
AP与AC知识介绍
AP与AC知识介绍AP (Access Point)和AC (Access Controller) 是无线网络中两个重要的组件。
AP 是无线网络的接入点,负责实现终端设备与无线网络之间的连接。
AC 是无线网络的控制器,负责对AP进行统一管理和控制,提供更好的网络性能和安全保障。
下面将详细介绍AP和AC的知识。
一、AP(Access Point)1.AP的定义AP是Access Point的缩写,即接入点。
它是无线局域网中的一个关键设备,用于提供无线网络的覆盖与连接。
AP主要功能包括接收来自终端设备的数据,与有线网络连接,以及将数据转发给相应的接收端。
2.AP的工作原理AP通过无线电波与终端设备进行无线通信。
它接收终端设备发送的数据,并将数据按照网络规则进行处理和转发。
AP还可以与有线网络连接,将无线数据转换成有线数据,并通过有线网络传输到其他设备。
3.AP的分类根据工作频率,AP可以分为2.4GHz和5GHz两种。
2.4GHz频段的AP 信号传输距离较远,穿墙能力较强,但信号受到其他设备干扰较多;5GHz 频段的AP信号穿墙能力相对较差,但信号稳定性较强。
根据传输速率,AP可以分为802.11b/g/n/ac等不同标准。
4.AP的配置和管理AP的配置和管理包括设置无线网络的名称(SSID)、频率、加密方式等参数。
一般情况下,用户可以通过Web界面或特定的管理软件进行AP的配置和管理。
配置好的AP可以自动选择信道、监测网络状况、进行维护和故障排除等工作。
二、AC(Access Controller)1.AC的定义AC是Access Controller的缩写,即接入控制器。
AC是无线局域网中的一个关键设备,主要负责对AP进行集中管理和控制。
AC通过与AP 建立连接,并下发相应的配置和策略,对AP进行统一管理和控制。
2.AC的功能2.1.非常多的AP可以通过AC进行集中管理,包括统一配置、升级、监控等。
深圳市网域 NETSYS AC 产品说明书
NETSYS AC 产品使用手册深圳市网域科技有限公司二零零九年五月目录第一章简介 (5)1.1NETSYS AC解决方案 (6)1.2产品功能 (6)1.3多功能和高性能的结合 (7)第二章网络部署架构 (7)2.1NETSYS AC部署模式 (7)2.2网络结构典型实例 (11)第三章设备安装 (13)3.1检查连通情况 (14)3.2初始登陆账号 (15)3.3系统登录界面 (15)3.4系统界面说明 (16)3.5故障恢复 (17)第四章设备管理 (18)4.1设备状态 (18)4.2设备控制 (19)4.3网络配置 (20)4.4双线路说明 (23)第五章防火墙 (24)5.1安全策略 (24)5.2对象配置 (29)5.3防火墙日志 (32)5.4快速配置 (33)第六章VPN (33)6.1功能配置说明 (34)6.2隧道监视 (35)6.3设备认证 (36)6.4智能模式 (36)6.6隧道配置 (37)6.7日志管理 (38)6.8移动客户端 (38)6.9VPN配置实例 (39)第七章用户管理 (41)7.1用户类型 (41)7.2修改企业信息 (43)7.3添加企业部门 (43)7.4手工添加员工 (44)7.5修改用户姓名 (47)7.6新认证用户 (47)7.7免监控IP (47)7.8认证定制 (48)第八章上网行为管理 (48)8.1文件过滤 (49)8.2网页过滤 (50)8.3应用层过滤 (50)8.4审计策略模版和配置 (51)8.5带宽控制 (53)8.6流量监视 (56)8.7配置实例 (58)第九章桌面行为管理 (62)9.1桌面行为 (63)9.2资源审计 (66)9.3模块审计 (67)9.4日志审计 (68)9.5进程审计 (72)9.6单机维护 (73)9.7拓扑编辑 (75)第十章数据管理 (80)10.1界面说明 (80)10.2功能说明 (81)10.3报表中心 (82)第十一章文档安全 (83)11.1基本原理 (84)11.2基本部署步骤 (85)11.3文档管理 (91)11.4文档加密常见问题 (95)第十二章网络磁盘 (96)12.1工作模式 (96)12.2基本功能 (96)12.3基本配置 (97)第一章简介现代企业越来越离不开电脑和网络,但是电脑和网络的管理成为一大问题,员工经常用电脑来聊天,做私事、打游戏、下载、访问网站,这样不仅影响工作,而且对公司文化建设产生不好的影响。
深信服_AC_部署模式
Page12
2.2 网桥模式设置 (1)网桥多网口配置---单网桥配置
前置设备
路由器(FW)
AC
交换机
SINFOR TECHNOLOGIES CO.,LTD.
Page13
(1)网桥多网口配置(续)---单网桥配置
如果交换机和前置单设备网走桥非模式下配 trunk协议,此处禁置用管即理可口IP地址
SINFOR TECHNOLOGIES CO.,LTD.
Page18
3.1、简单网络
路由器(FW) 二层交换机 LAN IP: 192.168.1.254
ip:192.168.1.2/24 gw:192.168.1.254
客户环境: 路由器(FW)NAT代理 上网,单一网络,无多 网段
客户需求: 1、URL过滤、IM监控、 上网行为记录…
新、网关杀毒可用), 并在添加回包路由。
3、前置设备上的 DHCP、IP/MAC绑 定不可用
SINFOR TECHNOLOGIES CO.,LTD.
Page21
保留原网关,网桥模式部署
AC 二层交换机 路由器(FW) 网桥IP: LAN IP: 192.168.1.253 192.168.1.254 GW:192.168.1.254
Page23
3.2、内网多网段(极特殊)
路由器(FW) LAN IP: 192.168.1.254 192.168.2.254 192.168.3.254
二层交换机
IP:192.168.1.2/24 GW:192.168.1.254
IP:192.168.2.2/24 GW:192.168.2.254
启用这类功能时实 际是AC代理访问。
SINFOR TECHNOLOGIES CO.,LTD.
第二部分、AC典型环境下的部署
深信服科技 版权所有
AC的部署方式及主要特点 的部署方式及主要特点
1、路由模式 、
AC作为网关设备,启用NAT 或路由功能(内外网不可在 同一网段),可自定义接口 注意事项 1、有前置设备情况下,启用 网关杀毒、邮件过滤等功能, 或AC需要自动升级URL等内 置库时,需要正确设置前置 设备规则(防火墙、路由 等),保证AC设备可访问外 网 所有部署模式下均需注 意 2、需使用VPN功能时推荐使 用路由模式部署
可选部署方式:路由、透明、网桥、 可选部署方式:路由、透明、网桥、旁路
替换原网关, 替换原网关,路由模式部署
部署方法 1、将网关运行模式切 换为“路由模式”; 2、配置内、外网接口, 在LAN接口设置中配置 多IP绑定
注意事项: 1、多网段之间需要 互访,需设置AC防 火墙LAN<->LAN 规则,放行相应数据 (也可通过LAN<>LAN 规则实现多网 段之间的访问控制) 2、要代理多网段上 网,需在NAT设置中 添加相应代理信息。
保留原网关, 保留原网关,网桥模式部署
注意事项: 1、如启用网关杀毒、 邮件过滤等功能需 将网关指向前置设 备、配置正确的 DNS,并保证AC本 身能够上网(前置 设备上需放行AC数 据); 2、如启用URL、准 入规则,需设置多 IP绑定。 3、网桥模式下DMZ 不可用(只能作为 管理接口) 4、VPN功能不可用
保留原网关, 保留原网关,路由模式部署
注意事项: 1、需要改变原网络 环境; 2、AC可启用NAT代 理。如AC不启用 NAT代理,则路由器 上需保留路由器原 NAT规则,同时添加 对192.168.2.x网段 的NAT规则、防火墙 过滤规则(保证AC 可以连接外网进行更 新、网关杀毒可用), 并在添加回包路由。 3、前置设备上的 DHCP、IP/MAC绑 定不可用
深信服上网行为管理-管理员手册
深信服上网行为管理-管理员手册深信服电子科技有限公司■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。
任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录第1章前言.......................................................... 错误!未定义书签。
第2章系统管理...................................................... 错误!未定义书签。
设备登录....................................................... 错误!未定义书签。
修改管理员密码............................................. 错误!未定义书签。
创建二级管理员............................................. 错误!未定义书签。
系统基本信息配置............................................... 错误!未定义书签。
序列号..................................................... 错误!未定义书签。
系统时间................................................... 错误!未定义书签。
规则库升级................................................. 错误!未定义书签。
全局排除地址............................................... 错误!未定义书签。
设备配置备份与恢复......................................... 错误!未定义书签。
无线wifi上网行为管理方案-final-1.9
银行Wifi上网行为审计方案一、无线wifi的安全审计功能人员通过银行wifi访问互联网信息,如果向互联网发布一些过激言论、反动信息等,不仅会对银行形象产生负面影响,甚至如果触犯了国家的法律招致有关部门的调查,还会牵连面临法律风险,因此,必须对用户的上网行为进行管理并审计风险行为,以便有据可查。
上网行为管理产品,能为用户提供专业的用户管理、应用控制、网站过滤、内容审计、流量管理和行为分析等功能。
可以帮助客户达成上网行为可视、减少安全风险,减少信息泄密、遵从法律法规、提升工作效率、优化带宽资源等等实用功能。
通过选用通过公安部安全审计入围设备,结合中国电信综合信息服务提供商在网络接入与安全的专业技术优势,提供安全接入综合解决方案,合理配置安全策略,提供可视化管理工具,用户行为分析等应用功能,为银行提供用户wifi 接入安全审计,满足互联网上网规范,同时可以满足银行业务的营销分析需求。
上网行为管理设备功能列表如下:二、上网行为管理部署可选方案AC工作模式有两种:一种是集中管理,集中转发。
即所有AP的管理数据流和终端的业务数据流都需要由AC来转发;另外一种是集中管理,分布转发。
即所有AP的管理数据流由AC转发,而业务数据流则在部署在本地的三层设备转发。
方案一:AC的工作模式设置为集中管理,集中转发。
上网行为管理设备可部署在2个位置,汇聚出口或者AC与核心交换机之间。
可根据设备的多少选择部署上网行为设备管理平台和专用的上网行为管理日志服务器,以便于管理。
图示如下:1、选择上网行为管理设备部署在AC与核心交换机之间,那么可根据用户数量的增长,相应的扩容行为管理设备,不会造成投资浪费,同时安全性相对较高。
2、选择上网行为管理设备部署在上网出口,那么需评估总体用户数量,设备性能需能够支撑未来的用户增长。
方案优点:网络结构简单,上网行为管理设备部署集中,管理维护方便。
缺点:出口汇聚流量过于集中,出口带宽成本高,地市分行无直接管理权限。
深信服上网行为管理-管理员手册v1.0
深信服上网行为管理-管理员手册深信服电子科技有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。
任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录第1 章前言 (5)第2 章系统管理 (5)2.1 设备登录 (5)2.2 管理员配置 (7)2.2.1 修改管理员密码 (7)2.2.2 创建二级管理员 (7)2.3 系统基本信息配置 (9)2.3.1 序列号 (9)2.3.2 系统时间 (10)2.3.3 规则库升级 (10)2.3.4 全局排除地址 (11)2.3.5 设备配置备份与恢复 (11)2.3.6WEBUI 选项 (12)2.3.7 远程维护 (12)第3 章网络配置 (13)3.1 部署模式 (13)3.2 静态路由 (17)第4 章策略管理 (18)4.1 用户认证与管理 (18)4.1.1 用户组管理 (18)4.1.2 认证策略 (19)4.1.3 不需要认证 (19)4.1.4IP/MAC 绑定 ....................................4.1.5 不允许认证 (26)4.2 策略管理 (27)4.2.1 购物娱乐类网站 (27)4.2.2P2P 及P2P 流媒体封堵 (30)4.2.3 外发文件封堵 (33)4.2.4 上网审计 (36)4.3 流量管理 (38)4.3.1 线路带宽配置 (38)4.3.2 保证通道 (39)4.3.3 限制通道 (42)4.4 终端接入管理 (45)4.4.1 共享接入管理 (45)第5 章日志中心管理 (47)5.1 日志中心配置 (47)5.1.1 准备工作 (47)5.1.2 外置日志中心安装过程 (48)5.1.3 日志中心登录 ..................................5.1.4 同步策略设置 (53)5.1.5AC 同步配置 (54)5.2 日志中心登录 (55)5.2.1 内置日志中心登录 (55)5.2.2 外置日志中心登录 (55)5.3 日志查询 (56)5.3.1 所有行为日志 (56)5.3.2 网站访问日志 (59)5.3.3 邮件收发日志 (61)5.3.4 发帖/发微博日志 (62)5.3.5 其他日志 (65)5.3.6 日志导出 (65)5.3 流量时长分析 (66)5.4 报表中心 (67)5.5 系统管理 (68)第1 章前言本手册用于讲解 AC 常见功能操作方法,为管理员提供日常策略维护指导。
AC集中管理平台--使用说明书2
一、系统信息
AP设备
AP设备中,显示所有识别到的瘦AP设备信息。便于管理员查看当前所有在线AP的详细情况,根据设备名称或者IP地址来确认AP信息。
参数列表中包括设备名称,SSID名称,网络模式,BSSID,AP隔离,IP地址,子网掩码,用户信息,扫描附近AP。如图:
SSID:查看设备的SSID名称及加密类型,密码等信息。如图:
维盟AC集中管理平台使用说明书
AC:Wireless Access Point Controller,无线控制器。AC集中管理是AC+AP的覆盖的管理平台。无线网络中一个AC(无线控制器),多个瘦AP(收发信号),此模式适用大中型企业、酒店、小区等,有利于无线网络的集中管理,多个无线发射器能统一发射一个信号(SSID)、下发配置、修改相关配置参数、射频智能管理等。
端口:访问AC集中管理平台的端口号。
管理员和密码:即登陆AC集中管理平台的账号和密码。
此软件安装完成之后,在地址栏中输入http://192.168.1.100:800,便可访问AC集中管理平台。
AC集中管理硬件版
登陆进路由器http://192.168.1.1,点击‘高级管理’—‘AP集中管理平台’。
注:1、同一个AP设备,不能做多个中继或桥接规则。如果规则相冲突的话,AP设备的参数只会同步最后的一个规则信息。
2、连接中继配置需要相同的SSID及加密方式、频道。
MAC地址过滤
通过过滤MAC地址来阻止或允许AP设备中的终端用户上网。过滤的方式为:允许如下客户端、阻止如下客户端。如图:
过滤方式默认是关闭的,如果需要使用就需选择一种过滤方式。
其他设置
对AC集中管理平台的访问界面的端口,账号及密码的设置。AC集中管理平台的账号分超级管理员和客户账号。默认超级管理员的账号和密码都为admin,客户账号默认账号和密码为guest。客户账号默认为关闭的。如图:
ac ap组网方案
AC AP组网方案1. 概述本文档旨在介绍AC (Access Controller) AP (Access Point)组网方案。
AC AP组网方案是一种无线局域网(WLAN)架构,其中AC作为中央管理节点,负责管理多个AP设备的接入和配置。
本文将介绍AC AP组网的基本原理、架构和部署步骤。
2. 基本原理AC AP组网方案的基本原理是将无线接入点AP与AC连接,并通过AC对AP进行统一配置和管理。
AP负责提供无线网络信号,而AC负责控制和管理AP。
用户通过AP连接到AC,并通过AC实现接入控制、认证和流量管理等功能。
3. 架构AC AP组网方案的架构主要包括以下几个组件:•AC(Access Controller): AC是组网的中央管理节点,负责管理AP 设备,实现对AP的配置、控制和管理。
AC可以是物理设备或虚拟设备。
•AP(Access Point): AP作为接入节点,负责提供无线信号和接受用户连接请求。
AP会将用户请求发送给AC进行处理。
•用户设备:包括各种无线终端设备,如手机、平板电脑等。
用户设备通过AP连接到WLAN并获取网络服务。
AC和AP的连接可以通过有线或无线方式完成。
一般情况下,AC和AP之间会通过有线网络连接,以保证更高的稳定性和传输速度。
4. 部署步骤以下是AC AP组网方案的部署步骤:步骤一:选择AC和AP设备根据实际需求选择合适的AC和AP设备。
AC设备应具备足够的处理能力和稳定性,以满足大量AP的管理需求。
AP设备应具备良好的接入能力和信号覆盖范围。
步骤二:规划网络拓扑根据网络需求和实际场景,规划网络拓扑结构。
确定AC和AP的位置和数量,并规划用户设备的接入范围和覆盖区域。
步骤三:连接AC和AP将AC和AP设备通过有线或无线方式连接起来。
如果使用有线连接,需要将AC和AP连接到同一个局域网中的交换机上。
如果使用无线连接,需要配置无线设备之间的连接参数。
步骤四:配置AC通过AC的管理界面或命令行界面进行AC的基本配置。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
路由模式_简介
设备以路由模式部署时,AC的工作方式与路由器相当,具备基本的路由转发及NAT功能。
一般在客户还没有相应的网关设备,需要将AC做网关使用时,建议以路由模式部署。
路由模式下支持AC所有的功能。
如果需要使用NAT、VPN、DHCP等功能时,AC必须以路由模式部署,其它工作模式不支持实现这些功能。
路由模式_部署指导
首选需要了解用户的实际需求,以下几种情况必须使用路由模式部署:
1、用户必须要用到AC的VPN、NAT(代理上网和端口映射)、DHCP这几个功能。
2、用户在新规划建设的网络中来部署AC,想把AC当作一台网关设备部署在网络出口处。
3、用户网络中已有防火墙或者路由器了,但出于某方面的原因想用AC替换掉原有的防火墙或者路由器并代理内网用户上网。
路由模式_基本配置思路
1、网口配置:确定设备外网口及地址信息,如果是固定IP,则填写运营商给的IP地址及网关;如果是ADSL
拔号上网,则填写运营商给的拔号账号和密码;确定内网口的IP地址信息;
2、确定内网是否为多网段网络环境,如果是的话需要添加相应的回包路由,将到内网各网段的数据回指给设备下接的三层设备。
3、用户是否需要通过AC设备上网,如果是的话,需要设置代理上网规则,填写需要代理上网的内网网段。
网桥模式_简介
设备以网桥模式部署时对客户原有的网络基本没有改动。
网桥模式部署AC时,对客户来说AC就是个透明的设备,如果因为AC自身的原因而导致网络中断时可以开启硬件bypass功能,即可恢复网络通信。
网桥模式部署时AC不支持NAT(代理上网和端口映射)、VPN、DHCP功能,除此之外AC的其它功能如URL 过滤、流控等均可实现。
网桥模式部署时AC支持硬件bypass功能(其它模式部署均没有硬件bypass)。
网桥模式_2种类型
1、网桥多网口:网桥多网口是指设备只做一个网桥,
但内外网口不是一一对应的,可能内网口需要接多个网口,也可能外网口需要接多个网口,各个网口之间的数据都可以设置转发,设备的ARP表只维持一份。
2、多网桥:多网桥是指一台设备可以做多个网桥,相当于多个交换机,和网桥多网口的区别是:内外网口是一一对应的;网口属于同一个网桥才能进行数据转发,不同网桥接口之间的数据不能转发。
网桥模式_部署指导
1、网桥模式部署相比路由模式对客户的网络影响较小,当客户确定不需要使用AC的VPN、NAT、DHCP功能,且内网已有相应的网关设备时,建议使用网桥模式部署。
2、根据客户的网络结构决定AC采用多网桥或网桥多网口的方式。
网桥多网口常见应用场景:
a.两条线路分别接FW1和FW2,内网接交换机,设备在交换机和防火墙之间,网桥模式部署,单进双出做网桥多网口。
b.内网核心交换机和路由器都做双机,加入两台设备,双进单出做网桥多网口。
多网桥常见应用场景:
a.设备一进一出做单网桥
b.客户内网有VRRP或HSRP环境
注意事项:
网桥模式部署时,需要考虑AC所串接的防火墙和交换机之间的网段是否存在空闲的主机IP地址,如果有则分配一个该网段的IP地址给AC作为网桥的IP地址,如果没有,则使用管理口管理设备:
1、AC的网桥IP可配置一个不属于内网任意网段的IP 地址,默认网关设置成255.255.255.255;
2、同时将管理口(DMZ口)接到交换机上并配置管理口地址;
3、最后设置缺省路由,下一跳指向交换机的接口地址。
配置完毕后,设备上网或者管理员管理设备均通过管理口实现。
旁路模式_简介
旁路模式主要用于实现监控功能,完全不需要改变用户的网络环境,通过把设备的监听口接在交换机的镜像口或者接在HUB上,实现对上网数据的监控。
这种模式对用户的网络环境完全没有影响,即使宕机也不会对用户的网络造成中断。
旁路模式是AC三种工作模式中最简单但也是功能最弱的一种部署方式,该模式下AC只用于上网行为的审计和基于TCP应用的控制,对基于UDP协议的应用无法控制。
不支持流量管理、准入系统、NAT、 VPN、 DHCP 等功能。
(AC4.0版本开始旁路模式下支持准入,需要将内网到1.2.3.4的流量镜像给设备)
旁路模式_部署指导
1、旁路模式是所有部署模式中最简单的一种,但也是功能实现较弱的一种部署方式。
当客户的需求只是上网审计和基于TCP的应用过滤时,可以考虑此种部署方式,常见于高校、大型国有企业专门用于AC作审计;
2、旁路部署时一般设备是接在核心交换机上,核心交换机通过将镜像功能将需要审计的流量镜像过来;
3、旁路模式部署时采用管理口(DMZ)配置的IP地址进行管理,其它所有接口均可作为监听口,可使用一个口或者是多个口同时作为监听口,监听口无需任何配置。
旁路模式部署配置思路
1、旁路模式部署时将AC的监听口接在交换机的镜像
口上,交换机需要将上下行流量镜像到AC。
2、旁路模式部署时必须配置管理口IP地址进行管理,监听口可以接除管理口外的任意网口,可以同时接多个监听口。
3、需要确认所有要进行审计的内网网段(即监控网段);需要确认内网是否有服务器提供访问时也要进行记录。
4、管理口不仅用于管理,还可用于与外置数据中心同步、作TCP控制时发reset包使用,所以管理口的地址最好不要随意配置。