深信服AC6.0快速配置手册

SANGFOR SG 快速安装手册快速安装手册 1 技术支持说明技术支持说明 为了让您在安装，调试、配置、维护和学习 SANGFOR 设备时，能及时、快速、有效 的获得技术支持服务，我们建议您： 1.参考本快速安装手册图文指导，帮助你快速的完成部署、安装 SANGFOR 设备。如果 快速安装手册不能满足您的需要，您可以到 SANGFOR 技术论坛或官网获得电子版的完整 版用户手册或者其他技术资料，以便你获得更详尽的信息。 2.致电您的产品销售商（合同签约商） ，寻求技术支持。为了更快速的响应您的服务要 求和保证服务质量，您所在地的 SANGFOR 的产品销售商配备有经过厂家认证的技术工程 师，会向您提供快捷的电话咨询、远程调试及必要的上门技术服务。 3.在不紧急的情况下，您可以访问 SANGFOR 的技术论坛，寻求技术问题的解决方案和 办法。 4.致电 SANGFOR 客服中心，确认最适合您的服务方式和服务提供方，客服中心会在您 的技术问题得到解决后， 帮助您获得有效的服务信息和服务途径， 以便您在后续的产品使用 和维护中最有效的享受技术支持服务，及时、有效的解决产品使用中的问题。 SANGFOR 技术论坛： 公司网址： 技术支持服务热线： 400-630-6430（手机、固话均可拨打） 邮箱：support 2 目录目录 技术支持说明.1 目录.2 声明.3 前言.4 第 1 章 SG 系列硬件设备的安装.5 1.1 环境要求.5 1.2 电源.5 1.3 产品接口说明.5 1.4 配置与管理.6 1.5 单设备接线方式.8 1.6 双机备份接线方式.9 第 2 章 SG 系列硬件设备部署.11 2.1 路由模式.12 2.1.1 路由模式部署配置案例.13 2.2 网桥模式.19 2.2.1 网桥多网口.19 2.2.2 多网桥.25 2.2.3 DMZ 口重定向.32 2.3 旁路模式.37 2.3.1 旁路模式部署配置案例.38 2.4 单臂模式.43 2.4.1 单臂模式部署配置案例.43 2.5 高可用性配置案例.46 2.5.1 多机同步.46 2.5.2 双机维护.50 第 3 章 基本功能配置.55 3.1 封堵 P2P 应用配置案例.55 3.2 审计用户上网行为配置案例.59 3.3 限制下载工具的网络流量配置案例. 61 3.4 保证重要应用网络流量配置案例.67 3.5 上网加速配置案例.73 3.6 上网代理配置案例.74 3.7 防共享功能配置案例.75 3.8 无线管理配置案例.78 3.8.1 客户网络环境与需求.78 3.8.2 无线基本配置.79 3.8.3 配置开放式无线网络案例.79 3.8.4 配置企业级认证无线网络案例. 82 第 4 章 密码安全风险提示.86 4.1 修改控制台登录密码.86 3 声明声明 Copyright 2015 深圳市深信服电子科技有限公司及其许可者版权所有， 保留一切权利。 未经本公司书面许可，任何单位和个人不得擅自摘抄、复制本书内容的部分或全部， 并 不得以任何形式传播。 SANGFOR 及图标为深圳市深信服电子科技有限公司的商标。 对于本手册出现的其 他公司的商标、产品标识和商品名称，由各自权利人拥有。 除非另有约定，本手册仅作为使用指导，本手册中的所有陈述、信息和建议不构成任何 明示或暗示的担保。 本手册内容如发生更改，恕不另行通知。 如需要获取最新手册，请联系深信服电子科技有限公司客户服务部。 4 前言前言 本文仅提供 SG 设备安装部署和基本功能的配置指导，如需要更详细配置介绍，请查看 随附光盘里的电子版用户手册或者登录深信服技术支持论坛下载详细电子版用户手册。 深信 服技术支持论坛地址 ，详细电子版用户手册在资料&文档AC 上网行为管理/SG 上网优化/NAC用户手册（AC/SG/NAC）。 本手册以深信服本手册以深信服 SG3600 为例进行配置为例进行配置。 各型号产品硬件规格存在一定差异各型号产品硬件规格存在一定差异， 但但 是设备配置以及基本使用方法一致，本手册适用于所有型号的是设备配置以及基本使用方法一致，本手册适用于所有型号的 SG 设备。设备。 5 第第 1 章章 SG 系列硬件设备的安装系列硬件设备的安装 本部分主要介绍了 SANGFOR SG 系列产品的硬件安装。硬件安装正确之后，您可以进 行配置和调试。 1.1 环境要求环境要求 SG 系列硬件设备可在如下的环境下使用： 输入电压：110V230V 温度：045 湿度：590 为保证系统能长期稳定地运行，应保证电源有良好的接地措施、防尘措施、保持使用环 境的空气通畅和室温稳定。本产品符合关于环境保护方面的设计要求，产品的安放、使用和 报废应遵照国家相关法律、法规要求进行。 1.2 电源电源 SANGFOR SG 系列硬件设备使用交流 110V 到 230V 电源。在您接通电源之前，请保证 您的电源有良好的接地措施。 1.3 产品接口说明产品接口说明 图图 1：SANGFOR SG 设备正面面板（以设备正面面板（以 SG3600 为例）为例） 6 1.CONSILE（控制）口2.ETH0（LAN）3.ETH2（WAN）4.ETH1（DMZ） 5.ETH3（WAN2）6.电源灯7.告警灯 告警灯在设备启动期间是红灯长亮的告警灯在设备启动期间是红灯长亮的。 一般一两分钟后红灯熄灭一般一两分钟后红灯熄灭， 说明正常启动说明正常启动。 如红灯长时间不熄灭，请关闭设备等待如红灯长时间不熄灭，请关闭设备等待 5 分钟后重新开机。如果还是长亮，请联系客服部分钟后重新开机。如果还是长亮，请联系客服部 门确认是否设备损坏。正常启动后，有时红灯会闪烁，这是正常现象，红灯闪烁表示设备门确认是否设备损坏。正常启动后，有时红灯会闪烁，这是正常现象，红灯闪烁表示设备 正在写系统日志。正在写系统日志。 控制口仅供开发和测试调试使用。最终用户需从网口通过控制台接入。控制口仅供开发和测试调试使用。最终用户需从网口通过控制台接入。 1.4 配置与管理配置与管理 设备出厂的默认 IP 见下表： 接口IP 地址 ETH0（LAN）51/24 ETH1（DMZ）52/24 ETH2（WAN1）1/24 SG 支持安全的 HTTPS 登录，使用的是 HTTPS 协议的标准端口登录。如果初始登录从 LAN 口登录，那么登录的 URL 为：51，默认情况下的用户名和密码均为 admin。 HTTPS 登录登录 WEBUI 管理管理 SG 可以防止配置过程在传输过程中被截获而产生的可以防止配置过程在传输过程中被截获而产生的 安全隐患。安全隐患。 如何登录如何登录 SG 设备控制台页面？设备控制台页面？ 按照前面所示方法接好线后，通过 WEB 界面来配置 SANGFOR SG 设备。方法如下： 7 首先为本机器配置一个 10.251.251.X 网段的 IP（如配置 00） ，然后在 IE 浏 览器中输入网关的默认登录 IP 及端口 51。 在出现一个如下图的安全提示： 点击是后出现以下的登录界面： 在登录框输入用户名和密码 ，点击登录按钮即可登录 SG 设备进行配置，默认 情况下的用户名和密码均为 admin。 登录控制台不需要安装任何控件，支持用非 IE 的浏览器登录控制台 8 1.5 单设备接线方式单设备接线方式 在背板上连接电源线，打开电源开关，此时前面板的 Power 灯（绿色，电源指示灯） 和 Alarm 灯（红色，告警灯）会点亮。大约 1-2 分钟后 Alarm 灯熄灭，说明网关正常工作。 请用标准的 RJ-45 以太网线将 ETH0（LAN）口与内部局域网连接，对 SG 设备进行配 置。 请用标准的 RJ-45 以太网线将 ETH2 （WAN1） 口与 Internet 接入设备相连接， 如路由器、 光纤收发器或 ADSL Modem 等。 登录控制台后根据网络拓扑配置部署模式 注意：多线路的注意：多线路的 SG 设备可以支持多条设备可以支持多条 Internet 线路，此时将线路，此时将 WAN2 口与第二口与第二条条 Internet 接入设备相连，接入设备相连，WAN3 口与第三条口与第三条 Internet 线路相连，依此类推。线路相连，依此类推。 使用标准 RJ-45 以太网线将 DMZ 口与 DMZ 区的网络连接，一般而言，DMZ 区放置对 外提供服务的 WEB 服务器、EMAIL 服务器等。SG 设备可以为这些服务器提供安全保护。 设备正常工作时设备正常工作时 POWER 灯常亮灯常亮，WAN 口和口和 LAN 口口 LINK 灯长亮灯长亮，SGT 灯在有数灯在有数 据流量时会不停闪烁据流量时会不停闪烁。 ALARM 红色指示灯只在设备启动时因系统加载会长亮红色指示灯只在设备启动时因系统加载会长亮 （约一分钟约一分钟） ， 正常工作时熄灭。如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长正常工作时熄灭。如果在安装时此红灯长亮，请将设备掉电重启，重启之后若红灯一直长 亮不能熄灭，请与我们联系。亮不能熄灭，请与我们联系。 WAN 口直接连接口直接连接 MODEM 应使用直连线、连接路由器应使用交叉线；应使用直连线、连接路由器应使用交叉线；LAN 口连接口连接 交换机应使用直通线、直接连接电脑网口应使用交叉线。当指示灯显示正常，但不能正常交换机应使用直通线、直接连接电脑网口应使用交叉线。当指示灯显示正常，但不能正常 连接的时候，请检查连接线是否使用错误。直连网线与交叉网线的区别在于网线两端的线连接的时候，请检查连接线是否使用错误。直连网线与交叉网线的区别在于网线两端的线 序不同，如下图：序不同，如下图： 9 图图 1直连线、交叉线直连线、交叉线 线序线序 1.6 双机备份接线方式双机备份接线方式 若采用 SG 双机热备的工作方式，按以下接线图方式进行外网线路和内网线路的接线。 使用标准 RJ-45 以太网线将两台 SG 设备的 ETH2（WAN1）口（若使用多线路技术， 接线方式类似，保证两台设备的外网接口接到同一个外网线路即可）接到同一交换机上， 再 使用标准的 RJ-45 以太网线与 Internet 接入设备相连接，如路由器、光纤收发器或 ADSL Modem 等。 将配件箱中的 Console 线取出，将两台 SG 设备的 Console 口用串口线连接起来。 使用标准 RJ-45 以太网线将两台 SG 设备的 ETH0（LAN）口接到同一交换机上，再使 用标准的 RJ-45 以太网线与局域网交换机相连，连接到内部局域网。 10 接线完毕后，分别打开两台设备的电源，即可进行系统配置。双机系统配置时和单机系 统配置一样，仅对一台主设备进行配置，另外一台从设备将自动进行同步，无需另行配置。 11 第第 2 章章 SG 系列硬件设备部署系列硬件设备部署 部署模式用于设置设备的工作模式，可把设备设定为路由模式、单臂模式、网桥模 式和旁路模式。 选择一个合适的部署模式， 是顺利将设备架到网络中并且使其能正常使用的 基础。 路由模式：设备做为一个路由设备使用，对网络改动最大，但可以实现设备的所有的功 能。 单臂模式： 单臂模式主要为了满足客户使用 SG 设备替代原有网络中的代理服务器的需 求，设备可代理内网上网，同时实现控制和审计通过代理上网的行为。 单臂模式下，部分 功能实现受限。 网桥模式： 可以把设备视为一条带过滤功能的网线使用， 一般在不方便更改原有网络拓 扑结构的情况下启用，平滑架到网络中，可以实现设备的大部分功能，网桥模式下不支持 VPN 和 DHCP 功能。 旁路模式：设备连接在内网交换机的镜像口或 HUB 上，镜像内网用户的上网数据，通 过镜像的数据实现对内网上网数据的监控和控制， 可以完全不需改变用户的网络环境， 并且 可以避免设备对用户网络造成中断的风险， 但这种模式下设备的控制能力较差， 部分功能实 现不了。 选择【导航菜单】中的网络配置部署模式 ，右边进入【部署模式】编辑页面， 点击开始配置，会出现路由模式 、 单臂模式 、 网桥模式 、 旁路模式的选项，选 择想要配置的网关模式。 12 在将设备架到网络中前，建议先将设备的部署模式、接口、路由、用户等信息配置好， 设备出厂的默认 IP 见下表： 接口IP 地址 ETH0（LAN）51/24 ETH1（DMZ）52/24 ETH2（WAN1）1/24 2.1 路由模式路由模式 路由模式：是把设备作为一个路由设备使用，一般是把设备放在内网网关出口的位置， 代理局域网上网；或者把设备放在路由器后面，再代理局域网上网，常见部署如下图所示： 13 2.1.1 路由模式部署配置案例路由模式部署配置案例 客户环境和要求客户环境和要求：用户网络是跨三层的环境，购买设备做为网关使用，代理内网用户上 网，公网线路是光纤接入固定分配 IP 的。 配置方法：配置方法： 14 第一步：先配置设备，通过默认 IP 登录设备，比如通过 LAN 口登录设备，LAN 口的 默认 IP 是 51/24， 在电脑上配置一个此网段的 IP 地址， 通过 51 登录设备，默认登录用户名/密码是：admin/admin。 第二步：在【导航菜单】页面中的网络配置部署模式 ，右边进入【部署模式】 编辑页面，点击开始配置，出现以下页面：配置设备模式为路由模式，点击下一步 第三步：定义 LAN 区网口和 WAN 区网口，选择空闲网口，点击增加，将空闲网口移 动到对应的网口列表。 设备默认的 LAN 口区网口是 eth0，DMZ 口区网口是 eth1，WAN 口区网口是 eth2，这 些网口位置建议不要随便修改，和设备面板的图示接口保持一致。 其他空闲接口可以自定义其所属的区域。 15 第四步：完成网口定义，点击下一步，配置 LAN 区网口 IP 地址，此例中 LAN 口区的 网口是 eth0，此处配置 eth0 的地址是：2/ 第五步：配置 WAN 区网口，此例中 WAN 口区的网口是 eth2。 16 WAN 口支持以太网和 ADSL 拨号两种类型，此例中公网线路是光纤接入，固定分配公 网 IP 地址的，所以选择以太网。 1、如果线路是如果线路是 ADSL 拨号拨号，需要将需要将 WAN 口和口和 modem 相连相连。勾选勾选自动拨号自动拨号作作 用是在拨号线路异常断开后自动重新拨号用是在拨号线路异常断开后自动重新拨号， 或者是重启设备后自动拨号或者是重启设备后自动拨号。 分别在分别在账号账号和和密密 码码中输入拨号的账号和密码。中输入拨号的账号和密码。 第六步： 配置 DMZ 区网口， 此例中 DMZ 区的网口是 eth1， 配置IP 地址和子网掩码。 17 第七步：NAT 配置，用于设置代理上网规则，当设备做网关，直接接公网线路时，需 要在设备上做代理上网设置，以代理内网用户正常上网。设置完成后，会在NAT 代理上 网中新增一条代理规则“代理 LAN 口上网”。 第八步：配置完毕，检查配置无误后，点击提交 18 设置完毕需要重启设备才可以生效，在弹出的提示框中点击是。 第九步：此例中由于内网网段跟设备 LAN 口不在同一网段，需要加上设备到内网的系 统路由，在【导航菜单】页面中的网络配置静态路由 ，右边进入【静态路由】编 辑页面，点击新增则可以添加路由。当内网有多个网段时需要相应的添加多条系统路由。 第十步：配置防火墙过滤规则 ，放通 LANWAN 的数据。 19 第十一步：基本配置完毕后，将设备接入网络中，WAN 口接外网线路，LAN 口接内网 交换机。并且将内网交换机的上网路由指向 SG 设备的 LAN 口。 1设备工作在路由模式时，局域网内电脑的网关都是指向设备的设备工作在路由模式时，局域网内电脑的网关都是指向设备的 LAN 口口 IP 或或 指向三层交换机指向三层交换机， 三层交换机的网关再指向设备三层交换机的网关再指向设备。 上网数据由设备做上网数据由设备做 NAT 或路由转发出去或路由转发出去。 2WAN、LAN、DMZ 网口应设置不同网段的网口应设置不同网段的 IP 地址。地址。 3如果设置路由模式为有前置设备，请在第五步配置如果设置路由模式为有前置设备，请在第五步配置 WAN 口口 IP 为与前置设备为与前置设备 LAN 口同网段口同网段 IP，其他操作一样。，其他操作一样。 2.2 网桥模式网桥模式 网桥模式： 是把设备视为一条带过滤功能的网线使用， 一般在不方便更改原有网络拓扑 结构的情况下启用。 把设备接在原有网关及内网用户之间， 在原网关及内网用户不需做任何 配置改变的情况下，对设备进行一些配置即可使用。对原网关及内网用户而言，亦不知设备 的存在，即所谓对原网关及内网用户透明。网桥模式的主要特点是：网桥模式对用户做到完 全透明。网桥模式分为网桥多网口和多网桥两种模式。 2.2.1 网桥多网口网桥多网口 网桥多网口是指设备只做一个网桥， 但内外网口不是一一对应的， 可能内网口需要接多 个网口， 也可能外网口需要接多个网口， 各个网口之间的数据都可以设置转发， 设备的 ARP 表只维持一份。 网桥多网口一般用于以下环境： 运行环境 1：交换机连接到外网两条线路 FW1、FW2 上，在交换机和防火墙之间接入 设备，设备网桥模式部署，单进双出做网桥多网口模式： 20 运行环境 2：为了加强网络的稳定性，减少单点故障，内网核心交换和路由器都采用双 机方案，这种环境下可以加入两台设备做网桥，双进单出做多网桥模式部署，如下图所示： 网桥多网口部署配置案例网桥多网口部署配置案例 客户环境和要求客户环境和要求：如下是客户需要部署的拓扑，设备做网桥多网口模式，内网接三层交 换机，内网网段有 /、/ 两个网段。公网出 口的两个防火墙分别承担流量用户的上网流量。 21 配置方法配置方法: 第一步：先配置设备，通过默认 IP 登录设备。 第二步：在【导航菜单】页面中的网络配置部署模式 ，右边进入【部署模式】 编辑页面，点击开始配置，出现以下页面：配置设备模式为网桥模式，点击下一步 第三步：选择网桥模式：网桥多网口模式 22 第四步：定义网桥接口，以及允许数据转发的方向。LAN 区网口和 WAN 区网口，选 择空闲网口，点击增加，将空闲网口移动到对应的网口列表。 设备默认的 LAN 口区网口是 eth0， WAN 口区网口是 eth2， 这些网口位置建议不要随便 修改，和设备面板的图示接口保持一致。 定义允许数据转发方向，此处定义 eth0eth2、eth0eth3 之间可以转发数据，即内 网口和两个外网口之间可以转发数据。 23 第五步：完成网口定义，点击下一步，配置网桥 IP、网桥网关等，此例中配置网桥 IP 为 54，网关指向其中一个 FW。注意：这里只能指定一个网关地址。 第六步：如果设备做网桥，有 VLAN 数据穿过设备，这里需要设置 VLAN 的相关信息。 此例中没有 VLAN，所以这里不勾选启用 VLAN。 第七步：配置 DMZ 口以及防火墙规则： 24 选择管理网口选择空闲的网口做为管理网口，用户可以通过此网口连接设备，默认情 况下设备的管理网口是 eth1 口。 配置IP 地址和子网掩码，注意：管理网口和网桥 IP 不能属于同一网段。 勾选自动放通防火墙规则：用于放通 WANLAN 方向所有数据的防火墙规则。 第八步：配置完毕，查看各个配置项是否正确，如果正确，点击提交， 25 设置完毕需要重启设备才可以生效，在弹出的提示框中点击是。 第九步：此例中由于内网网段跟设备 LAN 口不在同一网段，需要加上设备到内网的系 统路由，在【导航菜单】页面中的网络配置静态路由 ，右边进入【静态路由】编 辑页面，点击新增则可以添加路由。当内网有多个网段时需要相应的添加多条系统路由。 本例中要添加到 /、/ 两个网段的路由，路 由下一跳指向内网的三层交换机： 第十步：基本配置完毕后，将设备接入网络中，WAN1 口、WAN2 口接 FW，LAN 口 接内网交换机。 2.2.2 多网桥多网桥 多网桥是指一台 SG 设备可以做多个网桥， 相当于多个交换机， 和网桥多网口的区别是： 设备的 ARP 表维持多份；内外网口是一一对应的；网口属于同一个网桥才能进行数据转发， 26 不同网桥接口之间的数据不能转发。 多网桥一般适用于以下几种情况： 运行环境一：设备一进一出做单网桥 运行环境二：适用于客户内网有 VRRP 或 HSRP 环境，架上设备做多网桥实现基本审 计控制功能的同时，不影响客户原有主备的切换。如图所示的两种运行环境： 27 . 多网桥部署配置案例多网桥部署配置案例 客户环境和需求：客户环境和需求：客户的两个 FW 和交换机之间走 VRRP 协议，FW 对应的虚拟 IP 是 ，设备双进双出做双网桥部署在交换机和 FW 之间。 配置方法：配置方法： 第一步：先配置设备，通过默认 IP 登录设备。 第二步：在【导航菜单】页面中的网络配置部署模式 ，右边进入【部署模式】 编辑页面，点击开始配置，出现以下页面：配置设备模式为网桥模式，点击下一步 28 第三步：选择网桥模式：多网桥模式。 第四步：分别选择 LAN 区网口和 WAN 区网口，组成两对网桥，如图所示： 29 LAN 网口选择用于选择内网接口。 WAN 网口选择用于选择外网接口。 网桥列表用于定义网桥，每对网桥接口之间允许转发数据，非一对网桥接口之间的数 据是不允许转发的。 勾选开启多网桥链路同步，当网桥的一个网口由连接到断开或者是从断开到连接，另 外一个网口的状态完成相应的转换， 实现同一个网桥的两个网口状态同步， 通常用于在冗余 网络环境中通知对端设备该链路正发生了故障或已从故障中恢复。建议开启。 支持在链路聚合环境部署，设备在链路聚合环境部署时，需开启此项。 第五步：分别配置两个网桥的 IP，默认网关，首选 DNS 以及备用 DNS，和是否启用 VLAN。 30 在网桥配置中配置设备的两个网桥 IP、默认网关和 DNS 地址。此例中两个网桥是 处于同一网段的，网桥 IP 可以设置同一网段的 IP 但是不能设置相同的 IP，按照网络中空闲 的 IP 地址分配两个地址用做网桥 IP，默认网关指向前置 FW 的虚拟 IP 地址，DNS 设置网 络运营商分配的公网 DNS 地址。 设备做网桥，有 VLAN 数据穿过设备，才需要设置 VLAN 的相关信息。此例中没有 VLAN，所以这里不勾选启用 VLAN。 31 1、此处如果没有多余的空闲地址分配做网桥、此处如果没有多余的空闲地址分配做网桥 IP，不会影响内网上网的数据，不会影响内网上网的数据，但但 此时设备没有有效的此时设备没有有效的 IP 和内网和内网、外网进行通讯外网进行通讯，某些功能会受到影响某些功能会受到影响，比如比如：内置库更新内置库更新、 WEB 认证、准入等）认证、准入等） 第六步：配置管理网口和防火墙规则 管理网口 DMZ 口，选择一个设备空闲的的网口（非网桥口）做为管理网口。 勾选自动放通防火墙规则：用于放通 WANLAN 方向所有数据的防火墙规则。 第七步：确认配置信息，确认无误后，点击提交 32 设置完毕需要重启设备才可以生效，在弹出的提示框中点击是。 第八步： 基本配置完毕后， 将设备接入网络中， WAN1 口、 WAN2 口分别接 FW1、 FW2， LAN1 口、LAN2 口接内网交换机。 2.2.3 DMZ 口重定向口重定向 如果客户需要将 SG 设备做网桥模式部署， 但是前置路由器和下面的三层交换机之间是 30 位网段的 IP，没有多余的 IP 地址分配给网桥 IP，而需要实现 SG 设备能访问公网自动更 新规则库，且和内网 PC 能正常通信。该需求下需要使用 DMZ 口重定向功能实现部署。 部署方式如下所示：因为需要设备可以上外网，同时和内网通信正常，FW 和交换机之 间没有可以分配的 IP 地址，故此时不能通过设备的网桥 IP 完成以上功能，解决办法是将设 备的管理网口（DMZ 口）连接到内网的交换机上，并且分配一个可以使用的 IP 地址，设备 33 通过此地址完成和公网和内网的通信。将 DMZ 接到内网的交换机上。 配置步骤如下：配置步骤如下： 第一步：先配置设备，通过默认 IP 登录设备，比如通过 LAN 口登录设备，LAN 口的 默认 IP 是 51/24， 在电脑上配置一个此网段的 IP 地址， 通过 51 登录设备，默认登录用户名/密码是：admin/admin。 第二步：在【导航菜单】页面中的网络配置部署模式 ，右边进入【部署模式】 编辑页面，点击开始配置，出现以下页面：配置设备模式为网桥模式，点击下一步 34 第三步：选择网桥模式：多网桥模式。 第四步：分别选择 LAN 区网口和 WAN 区网口，组成一对网桥，如图所示：这里选择 eth0 和 eth2 分别做为 LAN 口和 WAN 口。 此处建议不勾选开启多网桥链路同步，因为不存在多链路环境。 35 第五步： 分别配置网桥的 IP， 默认网关， 首选 DNS 以及备用 DNS， 和是否启用 VLAN。 此环境中没有可用 IP 可以分配给设备，设备的网桥 IP 和默认网关可以随意设置（注意 不要跟其他网口的地址设置同一网段） ， 注意 DNS 要填写正确， 不然设备本身连接服务器可 能会有问题。 36 第六步： 配置管理网口和防火墙规则， DMZ 口默认是 eth1 口， 设置 IP 地址是 第七步：确认配置信息，确认无误后，点击提交 设置完毕需要重启设备才可以生效，在弹出的提示框中点击是。 37 第八步：设置静态路由，设置设备的缺省路由，即网关，指向交换机接口 / 第九步： 系统配置高级配置DMZ 口重定向 ，开启 DMZ 口重定向功能。 第十步：基本配置完毕后，将设备接入网络中，WAN 口接 FW，LAN 口接内网交换机， DMZ 口接内网交换机的另外一个接口，内网交换机是三层交换机，且各个接口的 IP 不属于 同一网段的。 2.3 旁路模式旁路模式 旁路模式：实现监控控制的功能的同时，可以完全不需改变用户的网络环境，并且可以 避免设备对用户网络造成中断的风险。用于把设备接在交换机的镜像口或者接在 HUB 上， 保证内网用户上网的数据经过此交换机或者 HUB，并且设置镜像口的时候需要同时镜像上 下行的数据， 从而实现对上网数据的监控与控制。 这种模式对用户的网络环境完全没有影响， 即使宕机也不会对用户的网络造成中断。常见的应用环境有以下两种： 38 2.3.1 旁路模式部署配置案例旁路模式部署配置案例 客户环境和需求：客户环境和需求：客户网络环境如下图所示，客户需要监控内网各个网段的上网数据， 需要设备可以自动更新内置规则库，内网用户使用 WEB 认证，并且能够在内网随时登录设 备控制台进行管理，希望通过旁路模式部署配置实现。 综合客户的需求和特殊的网络拓扑，采用如下部署方式： 因为需要设备可以上外网，同时和内网通信正常，SG 设备旁路模式下，通过镜像口是 39 不能上网的，解决办法是将设备的管理网口（DMZ 口）连接到内网的交换机上，并且分配 一个可以使用的 IP 地址，设备通过此地址完成和公网和内网的通信。同时将 DMZ 接到内 网的交换机上。 配置方法：配置方法： 第一步：通过默认 IP 登录设备。 第二步：在【导航菜单】页面中的网络配置部署模式 ，右边进入【部署模式】 编辑页面，点击开始配置，出现以下页面：配置设备模式为旁路模式，点击下一步 40 第二步：配置管理网口地址：旁路模式下，管理网口默认是 eth1 口，并且不可修改。 IP 地址填写分配给设备管理口(DMZ 接口)的 IP 地址， 此例中需要将 DMZ 口接到内网 交换机上，所以填写一个可以和交换机以及内网通信的 IP 地址。 默认网关指的是设备的网关，此例中填写和 DMZ 口连接的交换机的网口地址。 41 在首选 DNS和备用 DNS中填写公网可以使用的 DNS 地址。 第三步：配置监控网段和监控服务器列表： 监控网段与排除 IP 地址列表中填写需要监控的网段，以及需要排除监控的地址。 此处填写内网网段 /， 则此时这个网段访问其他网段的数据都会被监 控，这个网段之间的访问不会被监控。排除网段用“--0”表示，填入后 表示 -0 这个范围内的 IP 访问其他网段（外网）的数据不会被监控。 高级配置中用于设置监控服务器列表，填入列表中的地址，在被监控网段中的 IP 访问时，数据也会被监控。例如内网有一台 web 服务器，用户想要记录内网用户访问这台 服务器的数据，因为同一网段的访问是不会被监控的，此时，将 web 服务器的 IP 地址填写 到监控服务器列表中即可。 以上说的是监控的设置，因为旁路模式下可以实现部分 TCP 控制功能，控制功能是在 监控的基础上实现的，也就是说能监控的数据才能被控制。 第四步：确认配置信息，点击提交 42 设置完毕需要重启设备才可以生效，在弹出的提示框中点击是。 1. 用户必须使用用户必须使用 HUB 或者交换机具有镜像口的情况。如果交换机没有镜像口或者交换机具有镜像口的情况。如果交换机没有镜像口， 可以在交换机前加接可以在交换机前加接 HUB 实现。实现。 2.旁路模式下，旁路模式下，TCP 的控制是通过的控制是通过 DMZ 口发送口发送 reset 包实现的，因此要保证包实现的，因此要保证 DMZ 口口 发送的发送的 reset 包都能被包都能被 PC 和公网服务器收到。和公网服务器收到。 3旁路模式下很多功能不能实现，比如旁路模式下很多功能不能实现，比如 VPN、DHCP 等。等。 4旁路模式主要起监控的作用旁路模式主要起监控的作用，限制的功能没有路由模式和网桥模式那么全面限制的功能没有路由模式和网桥模式那么全面。只能只能 对对 TCP 的连接进行限制，比如的连接进行限制，比如 URL 过滤，关键字过滤，邮件过滤等。对过滤，关键字过滤，邮件过滤等。对 UDP 不做限制不做限制， 比如比如 P2P 软件，软件，QQ 的登录等。的登录等。 43 2.4 单臂模式单臂模式 设备在单臂模式下主要用作代理服务器，代理内网用户上网，同时对上网行为进行控 制和审计。只需要将设备的 ETH0（LAN）口连接到网络中，这种部署方式不需要改变客户 原有的网络环境和配置，对客户网络中原有的代理服务器实现无缝交接。 2.4.1 单臂单臂模式部署配置案例模式部署配置案例 客户环境和需求客户环境和需求：客户原先使用了一台 ISA 服务器做 HTTP 代理，想要通过 SG 设 备替代 ISA 服务器，主要用到上网加速和代理的功能，实现一些控制功能。要求尽量 不改动原来的网络环境。 44 配置方法：配置方法： 第一步：通过默认 IP 登录设备。 第二步：在【导航菜单】页面中的网络配置部署模式 ，右边进入【部署模式】 编辑页面，点击开始配置，出现以下页面：配置设备模式为单臂模式，点击下一步 45 第二步：配置 ETH0(LAN)口地址，网关和 DNS。单臂模式下，默认是 eth0 口，并且不 可修改。 第三步：确认配置信息，点击提交 设置完毕需要重启设备才可以生效，在弹出的提示框中点击是。 46 1. 单臂模式下不支持设备自带的单臂模式下不支持设备自带的 VPN 功能，准入功能，功能，准入功能，SNAT 和和 DNAT 功能功能。 2. SG 单臂模式下单臂模式下 ETH0(LAN)口的网关和口的网关和 DNS 必须设置正确必须设置正确，确保设备能正常访问公确保设备能正常访问公 网，否则将导致网，否则将导致 SG 设备代理内网上网不成功。设备代理内网上网不成功。 2.5 高可用性高可用性配置案例配置案例 高可用性包括多机同步和双机维护两个功能。 多机同步 是指多台设备通过通信网口互联， 设备可以通过通信网口同步配置和用户 在线状态等信息，此时多台设备是同时工作的，实现在类似 VRRP 环境下某条线路断掉， 无缝切换到另一条线路时，深信服设备可