sangfor各设备地址端口

Sangfor AF 路由模式设置1接口/区域设置：
1）设置 WAN口和LAN口属性
WAN口：勾选“WAN口”
静态IP地址：服务器外网地址/24
下一跳网关：服务器网关地址
LAN口：静态IP地址：服务器内网网关地址/24
下一跳IP地址 --空--
2）三层区域
将WAN口和LAN口添加到第三层区域
2添加路由
新增单个静态路由
目的地址：0.0.0.0
网络掩码：0.0.0.0
下一跳IP地址：服务器网关地址
接口:WAN口
度量值：0
3地址转换
1）代理上网：
新增源地址转换
源：区域：三层LAN区
IP组: 全部
目的：区域：三层WAN区
IP组/接口： IP组：全部
--其他默认--
2）开启5566端口映射-----远程控制使用端口新增目的地址转换
源：区域：三层WAN区
IP组：全部
目的：区域：—默认—
IP组：全部
协议：协议类型：TCP
源端口：所有端口
目的端口：5566
目的地址转换：指定IP：服务器内网网关地址
目的端口转换：不转换
3）开启9099端口映射-----健康档案使用端口同上5566
4防火墙
Dos/DDos防护
源区域：WAN/LAN （WAN）
其他全开。

SANGFOR_AC SG_v5.6R1_多机部署测试指导书【说明】：AC/SG的多机同步主要应用于内网设备启用VRRP的环境，既可以起到设备冗余又可以起到负载均衡的作用,一般网桥模式建议部署多机。

多机环境下所有的设备都是同时工作的，同时实现在VRRP环境下某条线路断掉，无缝切换到另一条线路，且策略和用户状态保持一致，用户上网不需要重新认证。

一．准备工作1．以两台软件版本相同为AC5.6R1M5100作为测试设备，网桥模式部署。

软件版本必须相同，硬件型号不作要求。

2．以192.168.1.10用户作为测试用户，需要通过设备认证。

3．准备一根交叉线（一头按T568A线序连接，一头按T568B线序连接）二．测试拓扑实现拓扑如下：客户的网络两台三层交换机和防火墙启用vrrp的冗余协议，两侧防火墙，交换机可以配置热备冗余或负载均衡，互为主备”，鉴于这种环境两台AC单网桥多机部署在防火墙和核心交换机之间，分配给两台设备的地址分别为192.200.200.140/24，192.200.200.233/24由于内网接的是核心交换机，所以用空闲网口dmz口作为两台设备多机的通信网口，用交叉线连接。

三．测试需求及预期结果测试需求：1.一台设备的配置修改可以同步至另一台设备。

2.主链路上的交换机，防火墙和AC设备异常时（网口掉线，设备宕机等），业务流量可以正常切换至备份链路，不会引起断网。

测试结果：1.在主链路AC设备上建用户，组，上网策略等配置，手动点【网络配置】->【高可用性】->【多机同步】中的“向其它设备同步配置”，可以将配置同步至备份链路的AC设备。

2.主链路防火墙下联口或交换机上联口down后，防火墙，交换机及客户业务流量同时切换至备份链路，不会造成断网四．配置步骤1.基本网络配置（1）在线下分别配置两台设备的部署模式，IP，网关，DNS等信息：本案例选择单网桥模式，并开启多网桥链路同步。

（2）分别配置两台设备的回包路由：内网是三层环境时，需要设置到内网网段的回包路由2.多机配置两台设备各选择一个空闲的网口，用交叉线直连。

SANGFOR FGAP v3.0 深信服安全隔离与信息单向导入系统用户手册目录目录 (2)声明 (4)手册内容 (4)本书约定 (5)技术支持 (6)致谢 (6)第1章SANGFOR_FGAP安全隔离与信息单向导入系统硬件设备的安装 (7)1.1. 电源 (7)1.2. 产品接口说明 (7)1.3. 配置与管理 (8)1.3.1. 开始使用 (8)1.3.2. 设备关闭 (9)1.3.3. WEB管理 (9)1.3.4. 登录/注销 (9)1.3.5功能区域介绍 (10)1.4. 设备接线方式 (11)第2章SANGFOR_FGAP安全隔离与信息单向导入系统硬件设备的部署 (13)2.1.网络部署 (13)第3章SANGFOR_FGAP安全隔离与信息单向导入系统硬件设备的配置 (14)3.1.用户管理 (14)3.1.1. 说明 (14)3.1.2. 权限分立 (14)3.1.3. 登录限制 (16)3.1.4. 修改密码 (16)3.2.系统管理 (17)3.2.1. 基本设置 (17)3.2.2. 设备时间 (18)3.2.3. 双机热备 (19)3.2.4. 设备管理 (19)3.2.5. 网络接口 (20)3.2.6. 诊断工具 (22)3.2.7. 备份恢复 (26)3.2.8. 系统升级 (29)3.2.9. 设备状态 (31)3.3. 策略管理 (32)3.3.1. 地址绑定 (34)3.3.2. 存储管理 (35)3.3.3. 内容审查 (36)3.3.4. 关键字过滤 (36)3.3.5. 文件类型过滤 (38)3.3.6防病毒 (39)3.3.7数据传输 (39)3.3.8文件交换 (42)3.3.9邮件转发 (45)3.3.10组播策略 (47)3.3.12数据库同步 (48)3.3.13文件查看 (51)3.3.14校验传输 (51)3.4. 日志审计 (53)3.4.1. 管理日志 (53)3.4.2. 审计员日志 (55)3.4.3. 系统日志 (56)3.4.4. 交换日志 (57)3.4.5. 邮件日志 (57)3.4.6. 连接日志 (58)3.4.7. 内容过滤 (58)3.4.8. 数据库同步日志 (59)第4章SANGFOR_FGAP安全隔离与信息单向导入系统产品部署案例 (60)4.1.FTP自动交换 (60)4.2.数据库同步 (63)4.3.数据传输 (65)声明Copyright © 2019 深圳市深信服科技股份有限公司及其许可者版权所有，保留一切权利。

SANGFOR_AD端口映射配置指导
深信服科技有限公司
2012年07月12日
一、端口映射配置及其检验
设置条件入接口源目的IP及其协议端口。

设定转换地址及端口即可。

验证一条端口映射是否生效可以通过AD webconsole界面检查。

通过输入iptables命令检查iptables规则是否在后台生效。

二、特殊端口映射
Lan-lan映射是比较特殊的端口映射，使用端口映射以到达内网通过访问本地公网地址来访问内网服务器的效果。

案例如下：假定内网网段192.168.1.0/24网段要访问本地公网IP 1.1.1.1来访问到内网服务器地址172.16.1.1/24的TCP 80端口。

配置如下：
这时候数据包已经被设备由源IP是内网网段192.168.1.0/24目的IP 1.1.1.1
转换为源IP是内网网段192.168.1.0/24 目的IP为172.16.1.1的数据包。

这时候必须保证源IP进行转换，否则对于源IP的172.16.1.1的回包，192.168.1.0/24的网段并不会进行处理，因为其原先发起访问的目的IP为1.1.1.1。

Lan-lan配置完成，通过webconsole命令行检验后台配置是否生效。

需要注意的是AD设备中端口映射优先级低于虚拟服务。

如果服务端口同时存在与虚拟服务和端口映射。

以虚拟服务的配置为准。

SANGFOR_AD_6.4_设备管理_序列号_用户配置指导书深信服科技有限公司文档编号AD_CONF_07_01审核huangbing修订记录版本时间修订内容1.02016年7月目录1说明 (1)1.1文档说明 (1)1.2缩写和标志说明 (1)1.3使用反馈 (1)2应用场景 (2)3模块介绍及运用 (2)3.1设备管理 (2)3.1.1管理网口 (2)3.1.2日期/时间 (4)3.1.3配置备份与恢复 (5)3.1.4关机/重启 (7)3.1.5WebConsole (8)4序列号 (12)4.1应用分析授权 (14)4.2安全分析授权 (14)5用户 (16)1说明1.1文档说明本文档深信服公司及其许可者版权所有，并保留一切权利。

未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部，并不得以任何形式出版传播。

由于产品版本升级或其他原因，本手册内容有可能变更。

深信服保留在没有任何通知或者提示的情况下对本手册的内容进行修改的权利。

本手册仅作为使用指导，深信服尽全力在本手册中提供准确的信息，但是并不确保手册内容完全没有错误。

1.2缩写和标志说明本文中AD均指应用交付管理系统。

本文还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义如下：小心、注意：提醒操作中应注意的事项，不当的操作可能会导致设置无法生效、数据丢失或者设备损坏。

说明、提示、窍门：对操作内容的描述进行必要的补充和说明1.3使用反馈如果您在使用过程中发现本资料的任何问题，欢迎及时反馈给我们，可以通过反馈到深信服技术支持论坛：用户支持邮箱：*******************.cn技术支持热线电话：400-630-6430感谢您的支持与反馈，我们将会做的更好！2应用场景方便现场部署和网络维护人员了解如何登陆和管理AD设备；掌握设备配置的备份与恢复；在设备界面简单调试AD。

了解设备开通了哪些授权以及可以使用设备具体功能和对应功能的应用场景。

各产品线命令控制台功能介绍深信服电子科技有限公司2013年7月31日第1章命令控制台简介命令控制台提供一个简单的控制台命令行，可用于对设备的一些简单信息进行查看，支持的命令包括：vlan（查看vlan上的接口）、arp（查看arp表）、mii-tool（列出网口的连接情况）、ifconfig（查看网口信息）、ping（测试主机地址连通）、telnet（测试端口连通性）、ethtool（查看网卡信息）、route（显示路由表）和traceroute（跟踪数据包转发路径），在命令行页面直接输入命令回车即可，如下图：目前深信服AC/SG、WOC、AF产品线都带有命令控制台功能，给问题的排查提供了简单快捷的排错方式，掌握命令控制台的使用方法，可以有效提高问题的处理效率，本文以AC 的命令控制台为例讲解其使用方法，其他产品线使用方法类似。

第2章命令使用介绍vlan用于查看vlan下的接口；例：可以看出eth3属于trunk口，允许通过的vlan为1-1000和1002-1005（vlan1和1002~1005是自动创建，为特殊用途，trunk默认放行。

vlan1用于默认管理，1002~~1005保留给与令牌环和FDDI交换相关的功能使用）。

Eth2为一个acess口，属于vlan4.arp查看设备上指定的接口学习到的arp；例：常见情况：pc访问不到设备，通过dmz口可以，lan口下二层网络，此时通过dmz口登录设备查看arp表项，看设备是否能学习到pc的arp表。

学不到肯定通信不了，查网络原因。

mii-tool看所有网卡当前的工作模式，接线情况；例：Eth0口自动协商100M 全双工接线状态ok查看网络配置，包括接口ip、mac、收发包状态以及错误包等信息；例：ping测试和目的主机之间的网络连通性；例：telnet测试到目的主机端口的连通性；例：ethtool查看网卡工作模式，接线状态等；例：查看设备的路由；例：sangfor vpn对接学习到的对方的路由可以用这个命令查看到注：如果第三方对接用route命令无法查看学习到路由。