(完整版)上网行为管理AC-1200实际配置管理手册

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

附件五上网行为管理AC-1200配置管理文档

1. 设备名称

本系统上网行为管理设备采用深信服公司生产的AC-1200。

2.设备功能

根据用户提出的应用需求,AC-1200在本系统中的设计功能是对网络资源进行合理的分配,并对内部工作人员的上网行为进行规范,以及对防火墙的功能进行必要的补充。

3.设备硬件信息

3.1 AC-1200产品外形

AC-1200产品外形和接口信息如图1所示。

图1 AC-1200产品外形和接口信息

网络连接与管理方式

AC-1200的ETH0(LAN)口通过透明网桥的方式与核心交换机CISCO4506的GE3/1连接,加入本地局域网络。ETH2(WAN1)口与路由器CISCO2821,与Internet连接。ETH1(DMZ)端口作为WEB管理端口连接到核心交换机的G3/30。

设备端口IP地址分配见表1。

本设备只提供WEB管理方式。通过网络连接到WEB管理端口,打开浏览器,在地址栏输入https://192.168.5.41 ,进入管理页面输入用户名和密码,单击“登录”,即可进入管理界面,如图2所示。

表1设备端口IP地址分配表

接口IP地址描述

ETH0 (LAN) 透明模式与核心交换G3/1连接

ETH1 (DMZ) 192.168.5.41 与VLAN5某端口连接(WEB管理)ETH2 (WAN1) 192.168.1.6 与路由器G0/0/0连接

图2WEB登录页面

4. 配置管理

4.1 WEBUI界面

登录后看到的是WEB管理的首页,包含左侧的功能菜单栏和右侧的状态信息显示。如图3所示。

图3 WEB用户管理界面

4.2 系统配置

系统配置部分包含系统信息、管理员帐户、系统时钟等信息。

4.2.1 系统信息

系统信息包含系统内的序列号和license信息,如图4所示。

图4系统信息

4.2.2 管理员帐户

本系统内除admin帐户外,另创建了一个gtyl管理员帐户,其权限与admin相同。图5所示为管理员帐户列表。

图5管理员帐户列表

如需对管理员帐户进行配置,直接单击蓝色用户名,如需创建新管理员,单击左上角“新增”图标,即可进入创建页面。

4.2.3 系统时间

系统时间设置界面如图6所示。

图6系统时间设置页面

4.2.4 系统升级

如图7列表中所显示的,除病毒库未购买升级服务,网关补丁不需购买服务外,其他服务都在2012年4月7日到期,到时可根据实际情况决定是否购买。在服务期内的项目已全部设置自动升级。

图7 系统升级

4.2.5 全局排除地址

全局排除地址列表中的服务器网址不受监控和限制,如图8所示。本次设置未启动该项目,今后可根据实际应用自行设置。

图8全局排除地址

4.3 网络配置

本系统网络配置为透明方式,ETH0(LAN)和ETH2(WAN1)之间配置网桥,Internet 线路从路由器连接到WAN1口,LAN端口连接到核心交换机的VLAN 1端口,配置DMZ 为管理端口,加入VLAN 5,IP地址为192.168.5.41。如图9列表所示。

图9网络配置

4.4 防火墙

防火墙功能使用USG2220实现,此处不做配置。

4.5 安全防护

本设备的安全防护功能是对USG2220的部分补充。

4.5.1 防DOS攻击

DOS攻击(拒绝服务攻击)是通过发送大量请求,耗尽服务器资源,使得合法请求得不到响应。本设备防DOS攻击设置如图10所示。

图10防DOS攻击设置

4.5.2 防ARP欺骗

ARP欺骗是一种常见的内网病毒,中毒的客户端不断向内网发广播包,严重影响局域网的通讯,甚至断网。本设备防ARP欺骗设置如图11所示。

图11防ARP欺骗

4.5.3 网关杀毒

本设备的杀毒网关未购买病毒库升级服务,病毒库为2011-03-31之前,已设置全部杀毒功能。如图12所示。

图12 网关杀毒配置

4.6 流量管理

4.6.1 虚拟线路配置

这里的虚拟线路配置实际就是Internet的接入线路配置。我们配置上、下行线路带宽均为10240Kbps(10Mbps)。如图13所示。

图13虚拟线路配置

4.6.2 通道配置

通道配置是本设备进行网络流量管理的核心内容。通过添加不同的通道,并对他们进行网络带宽的分配,可以使符合该通道策略的应用得到带宽的保证或限制。

通道配置如图14所示。

图14通道配置

配置列表中的项目,除上班时间流量管理是我们这次添加的项目,其余均为系统根据实际情况已制定的通道。此次配置将全部应用启动。

下面已低延时保障为例,说明配置参数。如图15和图16所示。

图15低延时保障通道配置

图16 低延时通道应用范围

从图16可以看出,本设置适用于实时性较高的应用,如网游、股票行情和交易等。从图15可以看到,系统预留20%的带宽保证这类应用的流量需求。

实际操作中,我们添加了一个命名为上班时间流量限制的通道,以此为例,讲解添加配置步骤。

首先,单击图14左上角的加号“添加通道”。如图17所示,我们设置通道为限制通道,最大上、下行带宽为50%,优先级为低,并且设置单IP资源不超过50Kbps。

在通道适用范围中,我们设置为适用于所有应用,适用对象为临时人员(自动获取IP地址的人员),生效时间为工作时间,目标IP组为自动获取。如图18所示。

其中用户组“临时人员”、生效时间“工作时间”(周一到周日,9:00-19:00)、目标IP组“自动获取”都是已经在对象定义和用户管理中定义好。

当带宽资源已经满负荷时,系统将保证优先级高的通道的带宽。

相关文档
最新文档