深信服上网行为管理部署方式及功能实现配置说明

深信服上网行为管理部署方式及功能实现配置说明（标化院）

设备出厂的默认IP见下表：

接口 ETH0（LAN） ETH1（DMZ） ETH2（WAN1） IP地址 10.251.251.251/24 10.252.252.252/24 200.200.20.61/24 AC支持安全的HTTPS登录，使用的是HTTPS协议的标准端口登录。如果初始登录从LAN口登录，那么登录的URL为：https://10.251.251.251，默认情况下的用户名和密码均为admin。

设备正常工作时POWER灯常亮，WAN口和LAN口LINK灯长亮，ACT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟），正常工作时熄灭。如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系。

『部署模式』用于设置设备的工作模式，可设定为路由模式、网桥模式或旁路模式。选择一个合适的部署模式，是顺利将设备架到网络中并且使其能正常使用的基础。

路由模式：设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功能；

网桥模式：可以把设备视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用，平滑架到网络中，可以实现设备的大部分功能；

旁路模式：设备连接在内网交换机的镜像口或HUB上，镜像内网用户的上网数据，通过镜像的数据实现对内网上网数据的监控和控制，可以完全不需改变用户的网络环境，并且

可以避免设备对用户网络造成中断的风险，但这种模式下设备的控制能力较差，部分功能实现不了。

选择【导航菜单】中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面，点击开始配置，会出现『路由模式』、『网桥模式』、『旁路模式』的选项，选择想要配置的网关模式。

路由模式：是把设备作为一个路由设备使用，一般是把设备放在内网网关出口的位置，代理局域网上网；或者把设备放在路由器后面，再代理局域网上网。

配置方法：

第一步：先配置设备，通过默认IP登录设备，比如通过LAN口登录设备，LAN口的默认IP是10.251.251.251/24，在电脑上配置一个此网段的IP地址，通过https://10.251.251.251登录设备，默认登录用户名/密码是：admin/admin。

第二步：在【导航菜单】页面中的『网络配置』→『部署模式』，右边进入【部署模式】编辑页面，点击开始配置，出现以下页面：配置设备模式为路由模式，点击下一步

第三步：定义LAN区网口和WAN区网口，选择空闲网口，点击增加，将空闲网口移动到对应的网口列表。

设备默认的LAN口区网口是eth0，DMZ口区网口是eth1，WAN口区网口是eth2，这些网口位置建议不要随便修改，和设备面板的图示接口保持一致。

其他空闲接口可以自定义其所属的区域。

第四步：完成网口定义，点击下一步，配置LAN区网口IP地址，此例中LAN口区的网口是eth0，此处配置eth0的地址是：192.168.1.12/255.255.255.0

第五步：配置WAN区网口，此例中WAN口区的网口是eth2。

WAN口支持以太网和ADSL拨号两种类型，此例中公网线路是光纤接入，固定分配公网IP地址的，所以选择[以太网]。

1、如果线路是ADSL拨号，需要将WAN口和modem相连。勾选[自动拨号]作用是在拨号线路异常断开后自动重新拨号，或者是重启设备后自动拨号。分别在[账号]和[密码]中输入拨号的账号和密码。

第六步：配置DMZ区网口，此例中DMZ区的网口是eth1，配置[IP地址]和[子网掩码]。

第七步：NAT配置，用于设置代理上网规则，当设备做网关，直接接公网线路时，需要在设备上做代理上网设置，以代理内网用户正常上网。设置完成后，会在『NAT代理上网』中新增一条代理规则“代理LAN口上网”。

第四步：定义网桥接口，以及允许数据转发的方向。LAN区网口和WAN区网口，选择空闲网口，点击增加，将空闲网口移动到对应的网口列表。

设备默认的LAN口区网口是eth0，WAN口区网口是eth2，这些网口位置建议不要随便修改，和设备面板的图示接口保持一致。

定义[允许数据转发方向]，此处定义eth0<->eth2、eth0<->eth3之间可以转发数据，即内网口和两个外网口之间可以转发数据。

第五步：完成网口定义，点击下一步，配置网桥IP、网桥网关等，此例中配置网桥IP为192.168.1.254，网关指向其中一个FW。注意：这里只能指定一个网关地址。

第六步：[启用VLAN]，如果设备做网桥，有VLAN数据穿过设备，这里需要设置VLAN的相关信息。此例中没有VLAN，所以这里不勾选[启用VLAN]。

第七步：配置DMZ口以及防火墙规则：

[选择管理网口]选择空闲的网口做为管理网口，用户可以通过此网口连接设备，默认情况下设备的管理网口是eth1口。

配置[IP地址]和[子网掩码]，注意：管理网口和网桥IP不能属于同一网段。

勾选[自动放通防火墙规则]：用于放通WAN<->LAN方向所有数据的防火墙规则。

第八步：配置完毕，查看各个配置项是否正确，如果正确，点击提交，

设置完毕需要重启设备才可以生效，在弹出的提示框中点击是。

第九步：此例中由于内网网段跟设备LAN口不在同一网段，需要加上设备到内网的系统路由，在【导航菜单】页面中的『网络配置』→『静态路由』，右边进入【静态路由】编辑页面，点击新增则可以添加路由。当内网有多个网段时需要相应的添加多条系统路由。本例中要添加到192.168.2.0/255.255.255.0、192.168.3.0/255.255.255.0两个网段的路由，路由下一跳指向内网的三层交换机：

第十步：基本配置完毕后，将设备接入网络中，WAN1口、WAN2口接FW，LAN口接内网交换机。

多网桥

多网桥是指一台AC设备可以做多个网桥，相当于多个交换机，和网桥多网口的区别是：设备的ARP表维持多份；内外网口是一一对应的；网口属于同一个网桥才能进行数据转发，不同网桥接口之间的数据不能转发。

多网桥一般适用于以下几种情况：

运行环境一：设备一进一出做单网桥

运行环境二：适用于客户内网有VRRP或HSRP环境，架上设备做多网桥实现基本审计控制功能的同时，不影响客户原有主备的切换。如图所示的两种运行环境：

多网桥部署配置案例

客户环境和需求：客户的两个FW和交换机之间走VRRP协议，FW对应的虚拟IP是

设置完成后，点击确定，完成保证通道的设置。

第四步：点击确定保存后，【带宽分配】中会出现设置的通道。保证通道配置完成。

1、保证带宽通道百分比之和可能会超过100%时，当超过100%时，各保证通道的最小带宽值会按照比例进行缩减。比如，我们设置两条通道，第一条保证带宽设为30%，第二条设为90%，则第一条实际分配到30/（90+30）%，即25%，第一条实际分配到90/（90+30）%，即75%。

2、优先级：当实际带宽有空余，优先级越高则越先占用空闲带宽。

密码安全风险提示

为了防止其他无关人员或恶意攻击者通过默认账号密码登录和更改设备配置，请修改AC设备登录的默认密码。SANGFOR AC设备有三类密码：

1. AC控制台登录密码 2. AC内置数据中心登录密码

3. SANGFOR设备升级系统的登录密码

其中AC内置数据中心的登录密码、SANGFOR设备升级系统的登录密码与控制台的登录密码一致，修改了控制台的登录密码，即同时修改了数据中心和SANGFOR设备升级系统的登录密码。

修改控制台登录密码

通过【系统配置】-【管理员账户】修改控制台登录密码，方法如下：

点击用户名“admin”，出现如下页面：

在[登录安全设置]中，输入旧密码“admin”和新密码，点击提交，保存和生效配置。

1. 如果有多个网络管理员需要登录设备，请给每位管理员设置登录账号，超级管理员admin的密码请勿广泛流传。

2.修改了控制台admin的密码后，SANGFOR设备升级系统的登录密码也会做相应的修改。

本文来源：https://www.bwwdw.com/article/dl1h.html