深信服上网行为管理基础操作培训
合集下载
深信服上网行为管理-无线管理指南
式无线网络及个人无线网络并达到效果
上网策略与流控策略关联SSID 1、掌握上网策略和流控策略对无线网络的生效
方式
PART 1
无线需求
3
1、无线需求
无线是现在IT建设的热点,为了方便员工办公及客户上网,越来越多的企 业、商户开始部署无线。
顾客
无线接入,上网数据分析 建设良好的沟通桥梁
商户
便捷、快速地畅游体验
路由
网桥
Lan
Lan
Lan
Lan
AP AP
AP接入网络当中,AP是否需要做配置?有无WEB登录界面?
AP无需配置
①
AP发现AC
Lan AP
Lan AP
②
AC下发配置给
AP
Lan AP
Lan AP
PART 3 AP发现与激活
14
部署完AC和AP后,紧接的过程是AP发现与激活。AP发现与激活,对用户 是完全透明的,程序自动完成。无需手动激活。
证,但终端用户上网会受AC认证策略的影响。
客户需求无线结合微信认证可以使用此种认证方案!AC认证策略配 置为微信认证。
配置步骤
1.【无线配置】—新建开放式无线网络,认证方式选择无需认证 2.【用户与策略管理】—【认证策略】—新建认证策略,认证方式选择微信认证 3.【用户与策略管理】—【认证选项】—选择微信认证的认证方案,配置相应的 信息
PART 2
授权与部署
7
1.授权
6.0版本开始,有无线功能,通过序列号授权激活
AP外观
AP后面板
后视图
从左到右依次说明: 电源口:48V DC的直流电源,配备电源适配器,接入110~230V电压范围, Console:控制口,用于工程师和测试工程师调试用 LAN:出厂默认dhcp获取地址,支持PoE(Power over Ethernet)供电 Reset:重置按钮,长按RESET按钮5-15秒,除了power灯以外,所有灯都会 灭一段时间,然后AP会重启,并恢复默认出厂配置
深信服AC行为管理初级认证培训11_上网代理
1 2 3 4 5 6 7 8 9
显式代理 icap服务器 HTTP显式代理+icap使用 二级代理 PAC脚本 host功能 显式代理下支持的用户认证 路由模式显式代理多线路选路策略 forward功能
PAC脚本
需求:内网访问内网服务器不走代理,内网通过代理服务器上外网
Contents
1 2 3 4 5 6 7 8 9
(4)根据客户需求设置认证策略,此处使用设备默认认证策略。
(5)客户DLP服务器上实现做好过滤策略,此处以关键字过滤测试
1.2 效果
(1)PC打开网页搜索关键字symantec_dlp_refuse_test会弹出拒绝页面。
2、ssl代理
ssl代理:SG透传https 的流量给icap服务器处 理
SG解密https数据后传给icap服务器
4、注意事项 (1)一个ICAP服务器中,可以新增多台服务器,一般客户环境中多台服务器属于 同一类型时这样使用,比如客户有多台DLP服务器用来做负载使用。此时SG会 采用轮询机制来调度到不同的服务器。 (2)一个代理服务器可以同时选择多个ICAP服务器组,一般客户环境中有多台不 同类型的ICAP服务器这样使用,比如客户有DLP、Websence,SG在转发数据 的时候,每个请求只能匹配一个ICAP组,不同的请求可以匹配不同的ICAP组。 根据代理策略规则按照从上到下的顺序选择第一个满足条件的ICAP服务器组进 行数据转发,如Get请求会匹配第一个支持Get的ICAP服务器组。
ICAP协议
ICAP是一种应用层协议,ICAP客户端传送请求数据到ICAP服务器做校验,常 用于金融客户,常见的ICAP服务器有Macfee(杀毒),赛门铁克, websense(url过滤)。
深信服上网行为管理-上网加速与代理介绍
3、视频加速功能,所有视频第一次要完整播放完才会缓存,如果视频中 途拖动了进度条或者网络卡导致连接断开时都不会把缓存。所以实际 测试时,第一次需要完整播放视频。仅下列网站支持视频加速。
视频网站 优酷
是否支持加速 支持
土豆 腾讯视频
ห้องสมุดไป่ตู้
支持 支持
网易视频 搜狐视频&播客
支持 支持
酷六
支持
56网 激动网 第一视频 爱奇艺(新增)
4. SG网桥模式部署,上网加速支持地址还原功能,通过上网加速处理后, 源地址还原为电脑真实IP地址,主要解决SG前置设备有连接数限制情况。 如下图所示:
启用地址还原后,要 确保SG本身和前置设 备可以正常通信。
代理介绍
代理介绍
➢ SG以硬件形式实现代理功能,它能取代ISA、Squid、 BlueCoat等代理服务器,与客户内网环境进行无缝交接。 SG路由,网桥及单臂部署时均支持代理功能。
开启上网加速,配置HTTP代理,以端口使用3128和8080为例。
这里如果不选,即 只代理,不加速
客户端HTTP代理配置
SOCK5代理配置
配置SOCK5代理,代理端口使用1080和8080为例。
注意:使用SOCK5代理方式上网,是不能被加速的。
最多支持填写5个 代理端口,端口之 间用逗号隔开
客户端SOCK5代理配置
3、重复步骤2,再下载一次,记录用时T2
4、对比T2和T1,T2应该小很多,说明有加速效果。
注意
1. SG设备必须要能够正常上网,如果 SG设备本身无法上网,则启用上网 加速后,内网电脑无法打开网页。
2.SG启用上网加速后,PC上网源地址默认全部转换成SG设备的地址上网, 所以SG前方的设备不能做连接数控制或会话数限制
视频网站 优酷
是否支持加速 支持
土豆 腾讯视频
ห้องสมุดไป่ตู้
支持 支持
网易视频 搜狐视频&播客
支持 支持
酷六
支持
56网 激动网 第一视频 爱奇艺(新增)
4. SG网桥模式部署,上网加速支持地址还原功能,通过上网加速处理后, 源地址还原为电脑真实IP地址,主要解决SG前置设备有连接数限制情况。 如下图所示:
启用地址还原后,要 确保SG本身和前置设 备可以正常通信。
代理介绍
代理介绍
➢ SG以硬件形式实现代理功能,它能取代ISA、Squid、 BlueCoat等代理服务器,与客户内网环境进行无缝交接。 SG路由,网桥及单臂部署时均支持代理功能。
开启上网加速,配置HTTP代理,以端口使用3128和8080为例。
这里如果不选,即 只代理,不加速
客户端HTTP代理配置
SOCK5代理配置
配置SOCK5代理,代理端口使用1080和8080为例。
注意:使用SOCK5代理方式上网,是不能被加速的。
最多支持填写5个 代理端口,端口之 间用逗号隔开
客户端SOCK5代理配置
3、重复步骤2,再下载一次,记录用时T2
4、对比T2和T1,T2应该小很多,说明有加速效果。
注意
1. SG设备必须要能够正常上网,如果 SG设备本身无法上网,则启用上网 加速后,内网电脑无法打开网页。
2.SG启用上网加速后,PC上网源地址默认全部转换成SG设备的地址上网, 所以SG前方的设备不能做连接数控制或会话数限制
组织结构与上网策略管理-深信服上网行为管理AC课件
上网策略典型应用场景及配置
我们先来分析下客户的需求: • 技术支持和销售部门上班时间不允许使用P2P和迅雷等多线程下载
工具,玩游戏和炒股,所有上网行为需要被审计,包括QQ和MSN 的聊天内容。
1. 其他公司人员上班时间不允许使用P2P和迅雷等多线程下载工具, 玩游戏、炒股及QQ/MSN聊天,所有上网行为需要被审计
并发连接数控制。
➢ 准入策略: 设置终端用户需满足特定的条件时,才准许使用网络资源;审计加密的IM软
件的聊天内容;组织外线路检测;应用程序时长统计。
组织结构与上网策略的关联
策略与用户/组的关联的方法:
方法一、在策略中勾选用户/组。当一条策略需要关联给多个用户/组的时 候,可在此设置。
组织结构与上网策略的关联
上网策略分类
AC将上网策略分为六大类,分别如下: ➢ 上网权限策略:
主要控制用户能够使用网络资源的权限(能做什么),包括应 用控制、WEB 过滤、SSL管理和邮件过滤。
➢ 上网审计策略: 审计用户上网行为(做了什么),包括应用审计、外发文件告警、流量与上
网时长审计和网页内容审计。(注:是否开启行为和内容审计可通过序列号控制)
配置完成, 点击提交
准入策略设置
3、新建一条准入策略,开启IM监控,关联技术支持和销售部门组。
配置完成, 点击提交
上网策略典型应用场景及配置
配置完成后,在策略列表中将显示上面配置 的三条上网策略及关联 的用户/组等信息,如下图:
动动脑
如果用户/组关联了多条上 网策略,这些策略之间是 怎么工作的呢?
上网策略典型应用场景及配置
配置思路: • 在AC的用户组织结构中建立两个用户组:技术支持和销售部门组,默认组。
深信服上网行为管理-系统管理配置指南
策略路由配置
3、导入各运营商的策略路由表 新发货的设备一般策略路由表都是空的,怎样导入初始策略路由表?
解决方案:下载导入/read.php?tid-2499.html
策略路由配置
4、我们提供了各大运营商的策略路由,导入后,内网PC经设备上网的 数据流,即可实现根据目标地址选路走同一个运营商的线路出去,如访 问电信的网站走电信线路,从而解决了跨运营商之间访问速度慢的问题。 同时也能实现当其中一条 线路故障,流量自动切换到其它线路,直到故 障线路恢复,从而实现了智能选路。
深信服上网行为管理系统管理配置指南培训内容培训目标策略路由和多线路掌握策略路由适用场景能够根据实际场景正确配置策略路由幵达到效果事件告警功能掌握事件告警功能种类能够根据实际场景配置事件告警功能幵达到效果snmp掌握设备支持snmp版本幵且能够正确配置snmp网管软件管理设备策略路由和多线路选路深信服公司简介snmpsangforacsg事件告警功能策略路由和多线路选路策略路由和多线路选路介绍应用背景
SNMP配置
SNMP配置
网管软件中输入设备ip,oid(1.3.6.1),community,这样可以读取所有信 息,如下图:
这种方法读出所有信息,并不知道每个值具体意义,因oid不具体,很难找 到我们需要的信息。
SNMP配置
下载mib库,导入网管软件, 方便管理查看设备信息 设备可供SNNP查询的信息及常用OID请参考文档 “SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训11_系统管理_可供SNMP 查询的设备信息表.xls”
事件告警功能
事件告警介绍
设备多个模块具有事件告警功能,当触发告警条件时,设备就会通过邮件 告警及登录控制台界面右下角小喇叭告警,以便能及时通知到管理员。设 备支持的告警事件类型如下。
深信服行为管理操作文档-11.0-最新版本
d) 查看网口是否有错误的包或者帧,如果网口有收到错误的包或者帧,检查网线 是否网线传输有问题或者两个网口之间的协商模式有问题检查网口的工作状态, 100M全双工的or1000M全双工的。设备与设备之间串接二层交换机测试。
网卡的工作模式full 全双工,100Mb
网口收到的错误的 包和错误的帧数
查看网口ip
抓包工具的使用
(TCPDUMP)抓包的使用
将抓到的数据包下载到PC 机本地,用Sniffer或Ethereal, Wireshark等抓包软件打开 通过抓取的数据包,分析数据的通信是否正 常(是否有双向通信的数据,源和目标IP是 否正确等)
ቤተ መጻሕፍቲ ባይዱ
抓包工具的使用
注意事项:
1. 高级(TCPDUMP)抓包的过滤表达式使用的是Linux下的标准TCPDUMP
上网故障排除功能使用案例
1. 设置开启条件,开启实时拦截日志并直通。
为便于定位问题, 在内网找一台电 脑测试
同时开启数据直通
上网故障排除功能使用案例
2. 开启拦截日志并直通后,测试电脑打开网页操作,发现可以打开网页, 再到上网故障排除中刷新实时拦截日志,如下图:
通过这些日志,可发现浏览网站的请求被URL过滤 丢包了,需要检查上网权限策略中应用控制中的访 问网站的相关网站类型的配置。
上网故障排除功能介绍 命令控制台的使用 抓包工具的使用 其他排错工具的使用 深信服公司简介
SANGFOR AC
上网故障排除功能介绍
上网故障排除功能介绍
上网故障排除功能用于查询一个数据包在通过AC&SG设备时是被哪个 模块拒绝,是什么原因被拒绝。当用户上网出现故障时,便于快速定位 故障原因,也可用来测试一些规则是否生效 。 设置拦截日志过滤条件: 设置需要针对哪些IP地址,协议和端口开启拦截日志。默认开启所有 的拦截日志。 开启数据直通: 开启后,AC&SG上设置的上网策略将不生效,符合策略设置应该被 拒绝的数据包会被设备放行,同时会将符合策略设置应该被拒绝数据 包的情况以日志的方式显示出来
网卡的工作模式full 全双工,100Mb
网口收到的错误的 包和错误的帧数
查看网口ip
抓包工具的使用
(TCPDUMP)抓包的使用
将抓到的数据包下载到PC 机本地,用Sniffer或Ethereal, Wireshark等抓包软件打开 通过抓取的数据包,分析数据的通信是否正 常(是否有双向通信的数据,源和目标IP是 否正确等)
ቤተ መጻሕፍቲ ባይዱ
抓包工具的使用
注意事项:
1. 高级(TCPDUMP)抓包的过滤表达式使用的是Linux下的标准TCPDUMP
上网故障排除功能使用案例
1. 设置开启条件,开启实时拦截日志并直通。
为便于定位问题, 在内网找一台电 脑测试
同时开启数据直通
上网故障排除功能使用案例
2. 开启拦截日志并直通后,测试电脑打开网页操作,发现可以打开网页, 再到上网故障排除中刷新实时拦截日志,如下图:
通过这些日志,可发现浏览网站的请求被URL过滤 丢包了,需要检查上网权限策略中应用控制中的访 问网站的相关网站类型的配置。
上网故障排除功能介绍 命令控制台的使用 抓包工具的使用 其他排错工具的使用 深信服公司简介
SANGFOR AC
上网故障排除功能介绍
上网故障排除功能介绍
上网故障排除功能用于查询一个数据包在通过AC&SG设备时是被哪个 模块拒绝,是什么原因被拒绝。当用户上网出现故障时,便于快速定位 故障原因,也可用来测试一些规则是否生效 。 设置拦截日志过滤条件: 设置需要针对哪些IP地址,协议和端口开启拦截日志。默认开启所有 的拦截日志。 开启数据直通: 开启后,AC&SG上设置的上网策略将不生效,符合策略设置应该被 拒绝的数据包会被设备放行,同时会将符合策略设置应该被拒绝数据 包的情况以日志的方式显示出来
深信服上网行为管理-流量管理指南
有应用带宽上限也是30KB/s。
2. 一级通道:针对所有应用,单个用户上限100KB/s 子通道:针对P2P应用,单个用户上限40KB/s 匹配结果:用户的P2P应用带宽上限为40KB/s;其 他所有应用带宽上限是100KB/s。
3. 基于不同的外网线路设置细化的带宽管理策略
虚拟线路典型应用案例及配置
针对每条线路单独配置流控策略比较麻烦,也可以配置好一条线路的流控策 略,然后启用下图的“复制通道到所有线路”即可针对所有线路实现流控。
虚拟线路典型应用案例及配置
4.启用流量管理系统
启用流量管理系统
虚拟线路应用场景
电信
网通
场景二: 设备单网桥部署,公网电信、网通 两条线路,客户需要对通过不同运 营商出口的流量做细化的带宽管理。
客户网络出口有两条外网线路, 100M电信和20M网通,AC双网桥 模式部署。
IP: 192.168.2.3 MASK:255.255.255.0
IP : 192.16配30%的带宽 给技术部门,其中技术部门每个用 户P2P和P2P流媒体应用不超过 100Kbps
3. 添加细化的流量管理策略 流量管理策略的配置在后面的“流量子通道”章节再详细介绍。
虚拟线路典型应用案例及配置
1. 定义虚拟线路
网20网网桥M桥带b2通p宽1s通过为过网10电通0信M线b线路p路s上上网网,,设设置置网电通信线线路路的的带外宽
虚拟线路典型应用案例及配置
2. 定义虚拟线路规则
虚拟线路典型应用案例及配置
流量管理策略分析:
1. 设置虚拟线路和线路带宽,电信线路100M,网通线路20M 2. 新增一级通道,设定技术部门所有应用带宽不超过电信线路的30% 3. 新增子通道,设定技术部门P2P和P2P流媒体应用,单用户上下行限制
2. 一级通道:针对所有应用,单个用户上限100KB/s 子通道:针对P2P应用,单个用户上限40KB/s 匹配结果:用户的P2P应用带宽上限为40KB/s;其 他所有应用带宽上限是100KB/s。
3. 基于不同的外网线路设置细化的带宽管理策略
虚拟线路典型应用案例及配置
针对每条线路单独配置流控策略比较麻烦,也可以配置好一条线路的流控策 略,然后启用下图的“复制通道到所有线路”即可针对所有线路实现流控。
虚拟线路典型应用案例及配置
4.启用流量管理系统
启用流量管理系统
虚拟线路应用场景
电信
网通
场景二: 设备单网桥部署,公网电信、网通 两条线路,客户需要对通过不同运 营商出口的流量做细化的带宽管理。
客户网络出口有两条外网线路, 100M电信和20M网通,AC双网桥 模式部署。
IP: 192.168.2.3 MASK:255.255.255.0
IP : 192.16配30%的带宽 给技术部门,其中技术部门每个用 户P2P和P2P流媒体应用不超过 100Kbps
3. 添加细化的流量管理策略 流量管理策略的配置在后面的“流量子通道”章节再详细介绍。
虚拟线路典型应用案例及配置
1. 定义虚拟线路
网20网网桥M桥带b2通p宽1s通过为过网10电通0信M线b线路p路s上上网网,,设设置置网电通信线线路路的的带外宽
虚拟线路典型应用案例及配置
2. 定义虚拟线路规则
虚拟线路典型应用案例及配置
流量管理策略分析:
1. 设置虚拟线路和线路带宽,电信线路100M,网通线路20M 2. 新增一级通道,设定技术部门所有应用带宽不超过电信线路的30% 3. 新增子通道,设定技术部门P2P和P2P流媒体应用,单用户上下行限制
深信服行为管理操作文档-11.0-最新版本
数据中心
培训内容 数据中心介绍 外置数据中心安装 外置数据中心使用
培训目标 了解数据中心作用及外置数据中心适用场景 1.掌握外置数据中心安装的环境需求 2.掌握外置数据中心的安装方法 1.掌握外置数据中心同步配置 2.掌握数据中心日志查询、自定义报表及日 志删除方法
数据中心介绍
SANGFOR AC&SG
外置数据中心使用
报表中心 客户可订阅指定的报表内容,将订阅的内容上报到指定的邮箱 进行审阅;满足客户流量时长分析、用户行为分析、合规性分 析等需求。
外置数据中心使用
报表收藏
为了方便收藏各个页面的常用统计条件,在统计页面提供一个 收藏功能,对统计过滤条件进行收藏,方便客户第二次操作时 不需要再重新选择过滤条件即可统计,同时收藏的报表也可被 自定义报表的模版引用,达到方便快速重用一些常用的过滤条 件。
日志归类,简洁清晰
外置数据中心使用 日志查询
日志查询
DC11.0优化了日志查询条件,查询速度以及显示页面,以下面 网站访问日志查询为例:
详细查询条件中,增 新版本AC增加 查询时间选择页面更加 加对源区域的“终端 了记录源MAC 友好 类型”,“位置”进 和记录 行检索 新增搜索关 VLANID的选 键字,提供 支持自定义时间对象 项,用户勾选 新增“倒序”,“正 URL(含域 此处可以根据需求来设定生效日期或 后,可以在日 序”的日志页面排序 详细信息中会显示出源 MAC 信息,如果有 可以手动在此处调节时间,也可以 名)、网页 日志详细信息会在下方完整呈现 排除日期 志中心的日志 回到日志查询页面,此处即可调 选择 相应的VLANID, 也会在下方显示出来 在“系统设置” -“自定义时间对象” 标题方式检 详细中看到 用配置好的自定义时间对象 中设置好后,在此处下拉菜单调用 索 MAC以及
培训内容 数据中心介绍 外置数据中心安装 外置数据中心使用
培训目标 了解数据中心作用及外置数据中心适用场景 1.掌握外置数据中心安装的环境需求 2.掌握外置数据中心的安装方法 1.掌握外置数据中心同步配置 2.掌握数据中心日志查询、自定义报表及日 志删除方法
数据中心介绍
SANGFOR AC&SG
外置数据中心使用
报表中心 客户可订阅指定的报表内容,将订阅的内容上报到指定的邮箱 进行审阅;满足客户流量时长分析、用户行为分析、合规性分 析等需求。
外置数据中心使用
报表收藏
为了方便收藏各个页面的常用统计条件,在统计页面提供一个 收藏功能,对统计过滤条件进行收藏,方便客户第二次操作时 不需要再重新选择过滤条件即可统计,同时收藏的报表也可被 自定义报表的模版引用,达到方便快速重用一些常用的过滤条 件。
日志归类,简洁清晰
外置数据中心使用 日志查询
日志查询
DC11.0优化了日志查询条件,查询速度以及显示页面,以下面 网站访问日志查询为例:
详细查询条件中,增 新版本AC增加 查询时间选择页面更加 加对源区域的“终端 了记录源MAC 友好 类型”,“位置”进 和记录 行检索 新增搜索关 VLANID的选 键字,提供 支持自定义时间对象 项,用户勾选 新增“倒序”,“正 URL(含域 此处可以根据需求来设定生效日期或 后,可以在日 序”的日志页面排序 详细信息中会显示出源 MAC 信息,如果有 可以手动在此处调节时间,也可以 名)、网页 日志详细信息会在下方完整呈现 排除日期 志中心的日志 回到日志查询页面,此处即可调 选择 相应的VLANID, 也会在下方显示出来 在“系统设置” -“自定义时间对象” 标题方式检 详细中看到 用配置好的自定义时间对象 中设置好后,在此处下拉菜单调用 索 MAC以及
常用问题排错指导-深信服上网行为管理AC
外置数据中心无法建立索引
5. 索引是每隔半个小时执行一次,在索引的过程中,不能进行搜索,如果执行 搜索了,会导致搜索中断,需要等一个“半个小时”再进行索引。查看日志 http://local host/src/contentlog.php,从打开的页面选择cindexer,从日志中可 以看出在索引过程中是否进行过搜索。
内网收发邮件异常
4. 如果邮件过滤功能本身没有开启,但是客户端通过AC/SG收发邮件异常的话, 还需要检查下是否开启了网关杀毒中的SMTP和POP3杀毒。 5. 如果开启了SMTP和POP3杀毒,则关闭SMTP和POP3杀毒,再检查客户端收发 邮件是否恢复正常。 如果关闭SMTP和POP3杀毒,客户端收发邮件就恢复正常的话,需要检查下 AC/SG设备本身是否可以上外网,AC/SG网桥模式部署,网桥IP必须正确配置能 上外网的IP和网关。 6. 如果AC/SG本身能上外网,只要开启SMTP和POP3杀毒,客户端收发邮件就不 正常,关闭SMTP和POP3杀毒又能恢复,需要检查下AC/SG设备的系统日志,看 是否有网关杀毒模块异常的告警日志。
上网策略导致访问异常
3. 如果开启拦截日志并直通后故障恢复,那么可以定位问题是由于
AC/SG设备的策略引起的,通过查看拦截日志,找到被拒绝数据的模块, 修改策略。 4. 关闭拦截日志和直通,测试应用是否访问正常,如果仍然未恢复,则 重复第2,3步,直到故障修复。
内网收发邮件不正常
内网收发邮件异常
所有用户上网断网
所有用户上网断网
1. 首先从内网PC上ping下网关,测试下PC和网关的网络连通性。 如果从PC上 ping不通网关,则需要先检查下物理链路是否正常,有没有二层的ARP欺骗。 2. 如果PC能ping通网关,且网关是AC/SG设备,则需要检查AC/SG设备上的代 理上网配置或者路由是否正确,LAN-WAN防火墙是否放通。 3. 如果PC与AC/SG设备之间跨三层设备,需要检查AC/SG设备上的防DOS攻击 设置,是否勾选了“内网到本设备间通过一台/多台二层交换机直接相连,没 有跨越任何的三层交换设备”(三层环境下不能勾选),DOS防御的参数是 否设置过低导致的断网。 4. 开启拦截日志并直通,看用户上网是否恢复,如果恢复,则通过查看拦截日 志,找到被拒绝数据的模块,修改策略。关闭拦截日志和直通,测试上网是 否恢复正常,如果仍然未恢复,则再开启拦截日志,跟据拦截日志修改策略, 直到故障修复。
深信服上网行为管理-流量管理指南
深信服上网行为管理 流量管理指南
培训内容 虚拟线路
流量子通道 流量通道匹配原则
培训目标
1. 掌握虚拟线路的使用场景和配置
(1)AC双网桥,外网多线路虚拟线路配置 (2)AC单网桥,外网多线路虚拟线路配置
1.掌握流控子通道的适用场景和配置
1.了解流量通道的匹配原则
虚拟线路
什么是虚拟线路
AC设备在网桥模式下,无论前置设备上是否接了多条线路,或者设备做 多网桥模式接了多个出口,对于设备来讲,经过设备的数据认为是一条 线路的数据,设备的流控默认情况下是针对公网线路总和进行控制的。
虚拟线路是AC设备网桥部署的情况下,可以将通过AC的流量在逻辑上 划分成不同的线路,以实现更加细致化的管理和控制。虚拟线路是在物 理线路的基础上划分出来的逻辑的通道。
虚拟线路应用场景
场景一: 设备多网桥部署,公网多条外 网线路,客户需要对通过不同 网桥的外网线路流量做细化的 带宽管理。
虚拟线路典型应用案例及配置
会匹配默认通道。
流量通道匹配原则
单用户上限说明: 父通道和子通道的单用户上限可以分别 设置,如果匹配的条件一致,则取两者 之间的最小值。
举例: 1. 一级通道:针对所有应用,单个用户上限30KB/s
子通道:针对P2P应用,单个用户上限40KB/s 匹配结果:用户的P2P应用带宽上限为30KB/s;所
3. 添加细化的流量管理策略 流量管理策略的配置在后面的“流量子通道”章节再详细介绍。
虚拟线路典型应用案例及配置
1. 定义虚拟线路
网20网网桥M桥带b2通p宽1s通过为过网10电通0信M线b线路p路s上上网网,,设设置置网电通信线线路路的的带外宽
虚拟线路典型应用案例及配置
2. 定义虚拟线路规则
培训内容 虚拟线路
流量子通道 流量通道匹配原则
培训目标
1. 掌握虚拟线路的使用场景和配置
(1)AC双网桥,外网多线路虚拟线路配置 (2)AC单网桥,外网多线路虚拟线路配置
1.掌握流控子通道的适用场景和配置
1.了解流量通道的匹配原则
虚拟线路
什么是虚拟线路
AC设备在网桥模式下,无论前置设备上是否接了多条线路,或者设备做 多网桥模式接了多个出口,对于设备来讲,经过设备的数据认为是一条 线路的数据,设备的流控默认情况下是针对公网线路总和进行控制的。
虚拟线路是AC设备网桥部署的情况下,可以将通过AC的流量在逻辑上 划分成不同的线路,以实现更加细致化的管理和控制。虚拟线路是在物 理线路的基础上划分出来的逻辑的通道。
虚拟线路应用场景
场景一: 设备多网桥部署,公网多条外 网线路,客户需要对通过不同 网桥的外网线路流量做细化的 带宽管理。
虚拟线路典型应用案例及配置
会匹配默认通道。
流量通道匹配原则
单用户上限说明: 父通道和子通道的单用户上限可以分别 设置,如果匹配的条件一致,则取两者 之间的最小值。
举例: 1. 一级通道:针对所有应用,单个用户上限30KB/s
子通道:针对P2P应用,单个用户上限40KB/s 匹配结果:用户的P2P应用带宽上限为30KB/s;所
3. 添加细化的流量管理策略 流量管理策略的配置在后面的“流量子通道”章节再详细介绍。
虚拟线路典型应用案例及配置
1. 定义虚拟线路
网20网网桥M桥带b2通p宽1s通过为过网10电通0信M线b线路p路s上上网网,,设设置置网电通信线线路路的的带外宽
虚拟线路典型应用案例及配置
2. 定义虚拟线路规则
深信服上网行为管理-AD域单点登录指南
练练手
某公司内网有一台AD域服务器,域名为,IP地址为192.168.1.24。 要求内网域用户成功登录域之后,不需要再通过AC设备的认证。
请试着用LDAP域脚本单点登录和IWA单点登录方式来分别实现客户的 需求!
问题思考
1. 配置域脚本单点登录的时候,如果PC不能与AC通信,是否能单点登录成功? 为什么?
域免插件单点登录配置示例
配置思路: 1. 新增认证策略 2. 新增外部认证服务器,填写AD域服务器信息 3. 启用域单点登录,并设置组件模式单点登录信息 4. 安装和配置免插件单点登录客户端 5. AD域开启EventLog审计
域免插件单点登录配置的第1-3步与域脚本单点登录配置相同,请参考前面章 节,前3步这里不再重复。
实际场景中应该怎样选择单点登录方案
SANGFOR AC/SG
域单点登录认证应用背景 域单点登录认证实现方式 域脚本单点登录认证配置示例 域免插件单点登录认证配置示例 IWA单点登录认证配置示例 监听方式单点登录配置示例 四种单点深登信录服方公式司总简结介
域单点登录应用背景
域单点登录应用背景
域单点登录适用于客户内网已有一台域控制器做管理。部署AC/SG设备 后,希望实现用户电脑开机登录域即自动通过AC/SG认证以域用户身份 直接上网,并希望终端的上网日志可以追踪到具体域用户。
深信服上网行为管理ad域单点登录指南培训内容培训目标域单点登录应用背景了解域单点登录应用背景域单点登录实现方式了解域单点登录的四种实现方式域脚本单点登录配置示例掌握域脚本单点登录配置域免插件单点登录配置示例掌握域免插件单点登录配置iwa单点登录配置示例掌握iwa单点登录配置监听方式单点登录配置示例了解每种单点登录方式的优缺点掌握实际场景中应该怎样选择单点登录方案四种单点登录方式总结域单点登录认证应用背景域单点登录认证实现方式深信服公司简介域免插件单点登录认证配置示例sangforacsgiwa单点登录认证配置示例域脚本单点登录认证配置示例四种单点登录方式总结监听方式单点登录配置示例域单点登录应用背景域单点登录应用背景域单点登录适用于客户内网已有一台域控制器做管理
深信服上网行为管理-基本功能介绍
深信服上网行为管理
基本功能介绍
培训内容 上网行为管理产品应用背景
培训目标
1. 了解上网行为管理产品应用背景 2. 了解上网行为管理产品管理标准
SANGFOR AC 基本功能介绍 1. 了解SANGFOR AC产品的基本功能
SANGFOR SG 基本功能介绍 1.了解上网优化产品的应用背景和基本功能
管理SSL 2
加密邮件
• 过滤/审计Foxmail等外发的加密邮件(使用SSL加密邮箱) • 过滤/审计SSL加密Webmail邮箱外发的邮件
避免垃圾 3 邮件风险
• 过滤垃圾邮件,避免病毒、木马、钓鱼等威胁 • 拦截外发垃圾邮件,避免被运营商追查和邮件骚扰
行为管理:应用授权—邮件收发
行为管理:应用授权—文件传输
上网行为管理标准 OA
审计
用户身份识别
网络应用识别
流控
封堵 行为管控
数据分析
SANGFOR AC基本功能介绍
用户身份识别
有效区分用户,分层次管理的组织架构,是部署差异化管理策略的依据
用户身份识别
未通过认证的用户: 控制上网权限
通过认证的用户: 定向至指定网页
本地认证
IP/MAC认证 自建帐号密码 USB-Key 认证 短信认证
行为管理:应用授权--WEB应用
URL库+ URL智能识别
SSL内容识别
管控代理/翻墙
Web访问管控
千万级 静态URL库
智能识别 管理未知网页
过滤SSL加密网址
基于关键字 过滤网页与搜索
过滤SSL加密外发 (发帖/邮件)
看贴不准发帖
封私装代理 封外网代理 封自由门/无界浏 览器
基于关键 字过滤:
基本功能介绍
培训内容 上网行为管理产品应用背景
培训目标
1. 了解上网行为管理产品应用背景 2. 了解上网行为管理产品管理标准
SANGFOR AC 基本功能介绍 1. 了解SANGFOR AC产品的基本功能
SANGFOR SG 基本功能介绍 1.了解上网优化产品的应用背景和基本功能
管理SSL 2
加密邮件
• 过滤/审计Foxmail等外发的加密邮件(使用SSL加密邮箱) • 过滤/审计SSL加密Webmail邮箱外发的邮件
避免垃圾 3 邮件风险
• 过滤垃圾邮件,避免病毒、木马、钓鱼等威胁 • 拦截外发垃圾邮件,避免被运营商追查和邮件骚扰
行为管理:应用授权—邮件收发
行为管理:应用授权—文件传输
上网行为管理标准 OA
审计
用户身份识别
网络应用识别
流控
封堵 行为管控
数据分析
SANGFOR AC基本功能介绍
用户身份识别
有效区分用户,分层次管理的组织架构,是部署差异化管理策略的依据
用户身份识别
未通过认证的用户: 控制上网权限
通过认证的用户: 定向至指定网页
本地认证
IP/MAC认证 自建帐号密码 USB-Key 认证 短信认证
行为管理:应用授权--WEB应用
URL库+ URL智能识别
SSL内容识别
管控代理/翻墙
Web访问管控
千万级 静态URL库
智能识别 管理未知网页
过滤SSL加密网址
基于关键字 过滤网页与搜索
过滤SSL加密外发 (发帖/邮件)
看贴不准发帖
封私装代理 封外网代理 封自由门/无界浏 览器
基于关键 字过滤:
深信服上网行为管理-管理员手册
深信服上网行为管理-管理员手册深信服电子科技有限公司■版权声明本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属深信服所有,受到有关产权及版权法保护。
任何个人、机构未经深信服的书面授权许可,不得以任何方式复制或引用本文的任何片断。
目录第1章前言.......................................................... 错误!未定义书签。
第2章系统管理...................................................... 错误!未定义书签。
设备登录....................................................... 错误!未定义书签。
修改管理员密码............................................. 错误!未定义书签。
创建二级管理员............................................. 错误!未定义书签。
系统基本信息配置............................................... 错误!未定义书签。
序列号..................................................... 错误!未定义书签。
系统时间................................................... 错误!未定义书签。
规则库升级................................................. 错误!未定义书签。
全局排除地址............................................... 错误!未定义书签。
设备配置备份与恢复......................................... 错误!未定义书签。
基础认证培训深信服上网行为管理ACPPT课件
认证方式介绍
3、单点登录
当客户有自己的第三方认证服务器对内网用户进行认证时,单点登录 可以实现在内网用户通过第三方认证服务器认证时自动通过AC设备的认 证,并且获取到相关的权限上网。
SANGFOR AC支持域单点登录,POP3单点登录,PROXY单点登录, WEB单点登录、PPPOE单点登陆,数据库单点登陆,第三方设备单点登陆 (包括锐捷SAM系统,城市热点,H3C CAMS系统等),《单点登录功能 培训》PPT将详细介绍相关功能和配置,此PPT不再赘述。
SANGFOR AC 基础 认证技术
培训内容 SANGFOR AC 认证 功能介绍
培训目标 1. 掌握AC设备支持的认证方式
SANGFOR AC 认证 功能配置
密码认证加强 用户注销功能介绍
1.掌握AC设备IP/MAC认证(跨三层环境)的配 置步骤 2.掌握AC设备用户名密码认证的配置步骤 3.掌握AC设备DKEY认证的配置步骤
配置步骤二(用户名密码认证)
2、新增用户名密码认证的用户,设置用户名密码
勾选后,该账号可供多 人使用,也可不勾选, 为每个用户单独建立 用 户名和密码
配置步骤二(用户名密码认证)
3、客户端输入用户名密码认证
认证方式介绍
绿色的是认证KEY,紫色 的是免审计KEY,这两种 KEY不能混淆。
AC还有一种咖啡色的KEY, 用于数据中心查询。
认证功能配置
典型应用场景与配置
IP/MAC 认证场景
用户名 密码认 证场景
DKEY 认证场
景
案例背景
总经理
办公区
防火墙 核心交换
公共上网区
某集团公司内部有办公区和公 共上网区, 要求实现办公区 (192.168.1.0/24)用户上网不 能修改IP和MAC地址,公共上 网区(192.168.2.0/24)则需要 输入账号和密码才能上网,确 保网络行为能跟踪到,另外总 经理的上网数据要保证安全, 不能被审计。
数据中心安装及使用培训-深信服上网行为管理AC
外置数据中心的安装及使用
4、外置数据中心的使用
4.4 内容搜索索引的建立
检索:设置搜索页面每页显示条数和排列顺序 状态:查看索引大小,记录条数以及更新时间 恢复默认配置:将系统中的配置恢复初始化 点击【检索】点击【恢复默认配置】 点击【状态】 点击回到主页
手动重新编制 索引,此操作 将会删除所有 根据需求进行配 网关的索引数 置,其中【按相关 据且会耗费较 度排列】指含有 长的时间。
根据需求设置搜索条件 并点击【开始搜索】。
搜索结果显示
输入搜索关键字 点击【开始搜索】
【高级搜索】用 来设置搜索条件, 使用搜索范围更 加精确,点击进 入高级搜索页面
查看日志库和磁盘使用情况
1. 查看日志库
可以查看到数据中心记录了哪些天的日志。同时可以按天选中需要删除的日志库。
查看日志库和磁盘使用情况
点击主题订阅
如测试成功则点击创建主题
进行相应配置, 可点击高级进行 点击测试邮件服务器 详细信息配置 等信息是否填写正确
为外置数据 中心提供邮 件服务器以 发送主题至 阅览者邮箱
外置数据中心的安装及使用
4、外置数据中心的使用
4.4 内容搜索的使用
高级搜索:即多条件搜索,条件包括内容类型、用户名/组和日期
4.4 内容搜索索引的建立
外置数据中心的安装及使用
1、安装环境 (1) 系统条件 建议安装在windows 2000 server、windows 2003 server、windows2008系统上,比较稳 定。支持64位的操作系统。
(2) 硬件条件
a、安装盘需要至少8GB(3.5版本要求至少16GB)的硬盘剩余空间(在本案例中根据用户 的数据量及日志保存量磁盘 空间至少要预留90G)。 b、安装外置数据中心的电脑建议使用双核的CPU,内存2G以上。 c、安装盘磁盘格式必须是NTFS格式。 d、数据中心的mysql不能安装在网络磁盘上,自动备份mysql数据也不支持备份到网络 磁盘上。
深信服上网行为管理基础操作培训
2、准备交叉线短接设备任意两个电口。
3、手动重启设备,重启过程中,注意观察交叉线短接的两个电口ACT灯状 态,两个电口ACT灯同时闪烁10次后,说明密码恢复完成,此时可以拨掉 短接的交叉线,通过默认的控制台帐号密码admin/admin登录设备即可。 设备重启到密码恢复成功大约3到5分钟左右。
4、如果第3步无法根据网口灯状态判断密码恢复是否成功,你可以一直等 待,等待5到10分钟左右,尝试通过默认帐号admin/admin帐号登录设备
SG: 2.0,2.0Rx,2.1,3.0,3.3,3.3Rx,3.4,3.5,4.0,4.2,4.3,4.4,4.5,4.5Rx, 4.6,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,6.0...............
10G:3.3hp,10G,10.1,10.2,10.3.。。。
如何登录设备控制台
如果设备接口地址被修改,在不知道更改后接口地址的情况下,提 供以下2种方法登录设备
1、SANGFOR AC/SG设备的eth0口有保留IP地址为128.127.125.252/29, 请配置电脑IP地址为128.127.125.253/29, 用交叉线连接电脑和设备eth0 口,通过https://128.127.125.252登录设备网关控制台。
同时,AC/SG设备eth1口也有保留IP地址128.128.125.252/29,也可以 能过交叉线电脑接到设备eth1口,且电脑配置IP为128.128.125.253/29, 通过https://128.128.125.252登录设备控制台。
注意:只有路由模式eth0和eth1口才有保留地址,其它模式部署无 法使用此方ቤተ መጻሕፍቲ ባይዱ登录设备
如何登录设备控制台
深信服上网行为管理设备部署培训PPT
SANGFOR AC设备部署
培训内容
培训目标
AC部署模式介绍
1. 掌握AC支持的部署模式 2. 掌握AC各种模式的适用环境和支持的功能。
策略路由和多线路选 1.掌握策略路由和多线路选路的应用场景
路介绍
2.掌握策略路由和多线路选路的实现原理和配置步骤
防DOS攻击功能介绍 1.掌握防DOS攻击的作用及配置 及配置
典型部署模式与配置
➢旁路模式-应用举例
➢需求:用户网络环境如右图, AC以旁路模式部署在三层交换 机上,用来审计200.200.0.0/16 这个网段的用户上网形为。
➢配置思路: ➢1、选择部署模式 ➢2、配置管理口〔DMZ〕地址 ➢3、配置监听网段。
典型部署模式与配置
➢ 旁路模式配置步骤
假设设备需要跟外 网网通关填的讯和写内,D需 网N需要 网S审 段配计置好
典型部署模式与配置
➢路由模式_应用举例
需求:某用户网络环境如右图, 现将AC部署在网络出口,实现 AC代理内网所有用户上网。
配置思路: 1.选择部署模式并配置内/外网口 2.配置代理上网
典型部署模式与配置
➢路由模式配置步骤
填写需要代理上网的网
段。定此义处网配络置接也可口以在
【防火墙】下的【NAT 代理上网】中添加。
练练手
情景1 客户原有网络如右图,在出 口位置部署了一台防火墙, 下接三层交换机,现在购置 了一台AC,客户需要实现流 控、审计、网页过滤等功能, 请问根据这样的需求,在对 原有的环境改动最小的情况 下AC应该如何部署?
练练手
情景2 客户原有网络拓扑如右图所 示,由于某方面的原因,客 户想购置一台AC替换掉原有 防火墙,请根据图示拓扑信 息动手配置一下,完成设备 部署。
培训内容
培训目标
AC部署模式介绍
1. 掌握AC支持的部署模式 2. 掌握AC各种模式的适用环境和支持的功能。
策略路由和多线路选 1.掌握策略路由和多线路选路的应用场景
路介绍
2.掌握策略路由和多线路选路的实现原理和配置步骤
防DOS攻击功能介绍 1.掌握防DOS攻击的作用及配置 及配置
典型部署模式与配置
➢旁路模式-应用举例
➢需求:用户网络环境如右图, AC以旁路模式部署在三层交换 机上,用来审计200.200.0.0/16 这个网段的用户上网形为。
➢配置思路: ➢1、选择部署模式 ➢2、配置管理口〔DMZ〕地址 ➢3、配置监听网段。
典型部署模式与配置
➢ 旁路模式配置步骤
假设设备需要跟外 网网通关填的讯和写内,D需 网N需要 网S审 段配计置好
典型部署模式与配置
➢路由模式_应用举例
需求:某用户网络环境如右图, 现将AC部署在网络出口,实现 AC代理内网所有用户上网。
配置思路: 1.选择部署模式并配置内/外网口 2.配置代理上网
典型部署模式与配置
➢路由模式配置步骤
填写需要代理上网的网
段。定此义处网配络置接也可口以在
【防火墙】下的【NAT 代理上网】中添加。
练练手
情景1 客户原有网络如右图,在出 口位置部署了一台防火墙, 下接三层交换机,现在购置 了一台AC,客户需要实现流 控、审计、网页过滤等功能, 请问根据这样的需求,在对 原有的环境改动最小的情况 下AC应该如何部署?
练练手
情景2 客户原有网络拓扑如右图所 示,由于某方面的原因,客 户想购置一台AC替换掉原有 防火墙,请根据图示拓扑信 息动手配置一下,完成设备 部署。
深信服上网行为管理-安全防护指南
管理员告警邮箱也收到发现病毒的事件告警邮件,如下图 数据中心记录网关杀毒日志,如下图
问题思考
1.网关杀毒可以针对哪些协议杀毒?
2.启用了防DOS攻击,但PC的IP不在防DOS内网网段列表中,请问PC是否可 以访问AC内置数据中心?
注意
开启防dos攻击后,如果本机所在的网段不在防dos内网网段 列表中,则本机到设备443,51111和22345三个端口是默认 放行的,到设备其它端口或经过设备的数据流会全部被拦截。
网关杀毒
网关杀毒介绍
设备本身集成了第三方杀毒引擎,部署在网络前端,对过往的数据流量 进行病毒检测查杀,防止病毒影响内网安全。网关杀毒可以针对http下 载,ftp下载,pop3/imap收邮件及smtp发邮件四种数据流杀毒。
邮件杀毒配置步骤
4、新建上网审计策略,并关联到用户或组,如下图。
邮件杀毒配置步骤
5、启用网关杀毒
邮件杀毒配置步骤
6、配置事件告警。即当检测到病毒时,发送告警邮件到管理员邮箱
邮件杀毒配置步骤
7、通过邮件客户端检测到病毒效果
首页,运行状态页面,右下角小喇叭提示发现病毒。如下图
此选项不建议启用
排除指定的地址不做DOS攻击检测, 一般适用于内网服务器,因为服务器 流量比较大,根据实际情况填写
设置检测攻击条件,及检测到攻击后 的处理,可以设置封锁时间及发送告 警邮件通知管理员。连接数条件推荐 设置1024,攻击包条件推荐5000
防DOS攻击配置
当检测到DOS攻击时,系统日志会打出告警日志,如下图所示
病毒库更新需要授权,授权后,病毒库会每天自动更新
网关杀毒配置
设置网关杀毒类型,一般全选。
排除不需要杀毒的网站,默认 排除了PC常见杀毒软件病毒库 更新地址,以免PC病毒库更新 被判断为病毒导致无法更新。
问题思考
1.网关杀毒可以针对哪些协议杀毒?
2.启用了防DOS攻击,但PC的IP不在防DOS内网网段列表中,请问PC是否可 以访问AC内置数据中心?
注意
开启防dos攻击后,如果本机所在的网段不在防dos内网网段 列表中,则本机到设备443,51111和22345三个端口是默认 放行的,到设备其它端口或经过设备的数据流会全部被拦截。
网关杀毒
网关杀毒介绍
设备本身集成了第三方杀毒引擎,部署在网络前端,对过往的数据流量 进行病毒检测查杀,防止病毒影响内网安全。网关杀毒可以针对http下 载,ftp下载,pop3/imap收邮件及smtp发邮件四种数据流杀毒。
邮件杀毒配置步骤
4、新建上网审计策略,并关联到用户或组,如下图。
邮件杀毒配置步骤
5、启用网关杀毒
邮件杀毒配置步骤
6、配置事件告警。即当检测到病毒时,发送告警邮件到管理员邮箱
邮件杀毒配置步骤
7、通过邮件客户端检测到病毒效果
首页,运行状态页面,右下角小喇叭提示发现病毒。如下图
此选项不建议启用
排除指定的地址不做DOS攻击检测, 一般适用于内网服务器,因为服务器 流量比较大,根据实际情况填写
设置检测攻击条件,及检测到攻击后 的处理,可以设置封锁时间及发送告 警邮件通知管理员。连接数条件推荐 设置1024,攻击包条件推荐5000
防DOS攻击配置
当检测到DOS攻击时,系统日志会打出告警日志,如下图所示
病毒库更新需要授权,授权后,病毒库会每天自动更新
网关杀毒配置
设置网关杀毒类型,一般全选。
排除不需要杀毒的网站,默认 排除了PC常见杀毒软件病毒库 更新地址,以免PC病毒库更新 被判断为病毒导致无法更新。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
深信服上网行为管理 基础操作培训
培训内容 初识设备
如何登录设备
培训目标
了解设备软件版本,硬件型号及设备 面板提示灯含义 掌握设备控制台登录方法
如何恢复出厂配置
掌握设备恢复出厂配置方法
如何恢复控制台admin帐号和密码 掌握恢复控制台admin帐号和密码的 方法
SANGFOR设备升级系统使用介绍 掌握SANGFOR设备升级系统使用方法
同时,AC/SG设备eth1口也有保留IP地址128.128.125.252/29,也可以 能过交叉线电脑接到设备eth1口,且电脑配置IP为128.128.125.253/29, 通过https://128.128.125.252登录设备控制台。
注意:只有路由模式eth0和eth1口才有保留地址,其它模式部署无 法使用此方法登录设备
2、准备交叉线短接设备任意两个电口。
3、手动重启设备,重启过程中,注意观察交叉线短接的两个电口ACT灯状 态,两个电口ACT灯同时闪烁10次后,说明密码恢复完成,此时可以拨掉 短接的交叉线,通过默认的控制台帐号密码admin/admin登录设备即可。 设备重启到密码恢复成功大约3到5分钟左右。
4、如果第3步无法根据网口灯状态判断密码恢复是否成功,你可以一直等 待,等待5到10分钟左右,尝试通过默认帐号admin/admin帐号登录设备
(2) 如果电脑连接的是设备的eth1口,需先在电脑上配置一个 10.252.252.0/24网段的地址(10.252.252.252除外),打开浏览器输入 https://10.252.252.252 登录设备网关控制台。
2、输入控制台admin帐号登录设备。默认的管理员用户名和密 码为admin/admin。
SG: 2.0,2.0Rx,2.1,3.0,3.3,3.3Rx,3.4,3.5,4.0,4.2,4.3,4.4,4.5,4.5Rx, 4.6,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,6.0...............
10G:3.3hp,10G,10.1,10.2,10.3.。。。
如何恢复控制台admin帐号和密 码
如果忘记了admin的密码,导致无法登录设备,又需要保留设备配 置(即不能恢复出厂配置),可以通过下面方法单独恢复admin的 密码。
1、确保电脑和设备可以通信,访问设备地址,https://acip/php/rp.php, 如下图,提示“创建文件成功,请连接交叉线并重启设备”。
如何恢复设备出厂配置
恢复出厂配置会使设备重启。 对于能够正常登录设备的情况,可以通过以下两种方法恢复出厂配置 1、通过控制台界面恢复出厂配置
恢复出厂配置会重启设备,通过此方法恢复出厂配置后,再次登 录控制台,右下角会有“恢复成功”或“恢复失败”的提示,如 下图。
登录设备后,默认 会停在此页,只有 停在此页,右下角 小喇叭才会弹出事 件告警
SANGFOR设备升级系统使用介 绍
SANGFOR设备升级系统是平时经常使用的工具之一,它的主要功能有给 设备升级,恢复设备出厂配置,恢复及备份设备配置以和进设备调试。具 体使用方法请参考文档 SANGFOR_AC&SG_v6.0_2015年度渠道初级认证培训02_基础知识_升级 客户端6.0使用手册.pdf
初识设备:设备型号
数字从低到高,表示设备型号从低端到高端,其中普通AC最高端为AC8000, AC9000和AC10000为10G系列设备。
初识设备:软件版本
AC: .....1.9,1.95,1.96Rx,2.0,2.0Rx,2.1,3.0,3.3,3.3Rx,3.4,3.5,4.0,4.2,4.3,4. 4,4.5,4.5Rx,4.6,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,6.0...............
2、通过SANGFOR 升级系统工具恢复出厂配置
如何恢复设备出厂配置
如果无法登录设备(如无法获得设备接口地址),可以尝试以下方法恢 复出厂配置
1、先将设备关机。 2、准备一根交叉线。 3、使用交叉线连接设备面板上任意两个电口。 4、将设备加电开机。一直等待,直到设备重启(说明设备恢复出厂配置成 功),此时务必拨掉短接电口的交叉线。 5、等设备起来后,即可通过出厂地址,默认控制台帐号和密码登录设备
如何登录设备控制台
首次拿到AC/SG设备时,可以通过以下方法登录设备控制台
SANGFOR AC/SG设备,各网口默认的出厂IP为: eth0 (LAN):10.251.251.251/24 , eth1 (DMZ):10.252.252.252/24 1、使用一根交叉线连接设备和电脑
(1) 如果电脑连接的是设备的eth0口,需先在电脑上配置一个 10.251.251.0/24网段的地址(10.251.251.251除外),打开浏览器输入 https://10.251.251.251 登录设备网关控制台。
2、通过SANGFOR 升级系统工具查找设备地址后,通过查找得到的地 址进设备控制台 (1)安装SANGFOR 升级系统工具的PC和设备使用交叉线直连 (2)关闭PC上安装的防火墙及windows自带防火墙,如下图
(3)通过SANGFOR 升级系统工具查找设备地址,如下图所示 (4)通过SANGFOR 升级系统工具查到的地址登录设备
如何登录设备控制台
如果设备接口地址被修改,在不知道更改后接口地址的情ANGFOR AC/SG设备的eth0口有保留IP地址为128.127.125.252/29, 请配置电脑IP地址为128.127.125.253/29, 用交叉线连接电脑和设备eth0 口,通过https://128.127.125.252登录设备网关控制台。
SANGFOR AC&SG
初识设备 如何登录设备 如何恢复出厂配置 如何恢复控制台admin帐号和密码 SANGFOR设备升级系统使用介绍
初识设备:设备外观介绍 前面板 后面板
初识设备:设备外观介绍
注意:设备加电开机时,alarm灯常亮,设备启动完毕,alarm灯熄灭, 所以可以通过alarm灯状态观察设备启动状态。
培训内容 初识设备
如何登录设备
培训目标
了解设备软件版本,硬件型号及设备 面板提示灯含义 掌握设备控制台登录方法
如何恢复出厂配置
掌握设备恢复出厂配置方法
如何恢复控制台admin帐号和密码 掌握恢复控制台admin帐号和密码的 方法
SANGFOR设备升级系统使用介绍 掌握SANGFOR设备升级系统使用方法
同时,AC/SG设备eth1口也有保留IP地址128.128.125.252/29,也可以 能过交叉线电脑接到设备eth1口,且电脑配置IP为128.128.125.253/29, 通过https://128.128.125.252登录设备控制台。
注意:只有路由模式eth0和eth1口才有保留地址,其它模式部署无 法使用此方法登录设备
2、准备交叉线短接设备任意两个电口。
3、手动重启设备,重启过程中,注意观察交叉线短接的两个电口ACT灯状 态,两个电口ACT灯同时闪烁10次后,说明密码恢复完成,此时可以拨掉 短接的交叉线,通过默认的控制台帐号密码admin/admin登录设备即可。 设备重启到密码恢复成功大约3到5分钟左右。
4、如果第3步无法根据网口灯状态判断密码恢复是否成功,你可以一直等 待,等待5到10分钟左右,尝试通过默认帐号admin/admin帐号登录设备
(2) 如果电脑连接的是设备的eth1口,需先在电脑上配置一个 10.252.252.0/24网段的地址(10.252.252.252除外),打开浏览器输入 https://10.252.252.252 登录设备网关控制台。
2、输入控制台admin帐号登录设备。默认的管理员用户名和密 码为admin/admin。
SG: 2.0,2.0Rx,2.1,3.0,3.3,3.3Rx,3.4,3.5,4.0,4.2,4.3,4.4,4.5,4.5Rx, 4.6,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,6.0...............
10G:3.3hp,10G,10.1,10.2,10.3.。。。
如何恢复控制台admin帐号和密 码
如果忘记了admin的密码,导致无法登录设备,又需要保留设备配 置(即不能恢复出厂配置),可以通过下面方法单独恢复admin的 密码。
1、确保电脑和设备可以通信,访问设备地址,https://acip/php/rp.php, 如下图,提示“创建文件成功,请连接交叉线并重启设备”。
如何恢复设备出厂配置
恢复出厂配置会使设备重启。 对于能够正常登录设备的情况,可以通过以下两种方法恢复出厂配置 1、通过控制台界面恢复出厂配置
恢复出厂配置会重启设备,通过此方法恢复出厂配置后,再次登 录控制台,右下角会有“恢复成功”或“恢复失败”的提示,如 下图。
登录设备后,默认 会停在此页,只有 停在此页,右下角 小喇叭才会弹出事 件告警
SANGFOR设备升级系统使用介 绍
SANGFOR设备升级系统是平时经常使用的工具之一,它的主要功能有给 设备升级,恢复设备出厂配置,恢复及备份设备配置以和进设备调试。具 体使用方法请参考文档 SANGFOR_AC&SG_v6.0_2015年度渠道初级认证培训02_基础知识_升级 客户端6.0使用手册.pdf
初识设备:设备型号
数字从低到高,表示设备型号从低端到高端,其中普通AC最高端为AC8000, AC9000和AC10000为10G系列设备。
初识设备:软件版本
AC: .....1.9,1.95,1.96Rx,2.0,2.0Rx,2.1,3.0,3.3,3.3Rx,3.4,3.5,4.0,4.2,4.3,4. 4,4.5,4.5Rx,4.6,5.0,5.1,5.2,5.3,5.4,5.5,5.6,5.7,6.0...............
2、通过SANGFOR 升级系统工具恢复出厂配置
如何恢复设备出厂配置
如果无法登录设备(如无法获得设备接口地址),可以尝试以下方法恢 复出厂配置
1、先将设备关机。 2、准备一根交叉线。 3、使用交叉线连接设备面板上任意两个电口。 4、将设备加电开机。一直等待,直到设备重启(说明设备恢复出厂配置成 功),此时务必拨掉短接电口的交叉线。 5、等设备起来后,即可通过出厂地址,默认控制台帐号和密码登录设备
如何登录设备控制台
首次拿到AC/SG设备时,可以通过以下方法登录设备控制台
SANGFOR AC/SG设备,各网口默认的出厂IP为: eth0 (LAN):10.251.251.251/24 , eth1 (DMZ):10.252.252.252/24 1、使用一根交叉线连接设备和电脑
(1) 如果电脑连接的是设备的eth0口,需先在电脑上配置一个 10.251.251.0/24网段的地址(10.251.251.251除外),打开浏览器输入 https://10.251.251.251 登录设备网关控制台。
2、通过SANGFOR 升级系统工具查找设备地址后,通过查找得到的地 址进设备控制台 (1)安装SANGFOR 升级系统工具的PC和设备使用交叉线直连 (2)关闭PC上安装的防火墙及windows自带防火墙,如下图
(3)通过SANGFOR 升级系统工具查找设备地址,如下图所示 (4)通过SANGFOR 升级系统工具查到的地址登录设备
如何登录设备控制台
如果设备接口地址被修改,在不知道更改后接口地址的情ANGFOR AC/SG设备的eth0口有保留IP地址为128.127.125.252/29, 请配置电脑IP地址为128.127.125.253/29, 用交叉线连接电脑和设备eth0 口,通过https://128.127.125.252登录设备网关控制台。
SANGFOR AC&SG
初识设备 如何登录设备 如何恢复出厂配置 如何恢复控制台admin帐号和密码 SANGFOR设备升级系统使用介绍
初识设备:设备外观介绍 前面板 后面板
初识设备:设备外观介绍
注意:设备加电开机时,alarm灯常亮,设备启动完毕,alarm灯熄灭, 所以可以通过alarm灯状态观察设备启动状态。