SANGFORAC11.0版本培训

1、SANGFOR AC 11.0版本培训 2015.8.25AC 11.0版本又称三合一，三合一指的是将AC，IAM，AC10G三个版本合成一个版本。 11.0暂时没有上网代理和加速功能，后续版本计划合入 内部培训PPT，请勿外泄。特别说明1、将AC的所有功能合入到IAM和10G产品，可以显著提升这两个产品的竞争力。2、完整支持IPv6.目前IPv6的推进进度在加快，国内的政府，高校，海外的马来，新加坡等都提出了IPv6支持的要求版本主要意义在于：3、AC和IAM性能得到提升培训内容培训目标用户认证掌握11.0支持的认证策略掌握不同场景下认证策略的使用掌握组/用户及认证高级策略使用对象定义及策略

2、管理掌握新增对象定义的使用掌握上网策略新增适用对象用户属性组、目标区域的使用掌握用户限额策略的使用掌握审计新增功能的使用掌握策略级排查用户及策略高级选项的使用培训内容培训目标流量管理掌握流控惩罚通道的使用终端提示页面掌握常见终端提示页面定制修改方法掌握认证页面修改及授权使用场景其它功能改进掌握其它新增功能改进部署模式掌握典型部署部署介绍掌握新增重定向功能使用场景掌握高可用性部署升级与配置导入掌握升级的两个过程及配置导入掌握SC支持下发的配置认证策略介绍认证策略使用场景SANGFOR AC&SG组/用户，认证高级策略使用一、用户认证 1 1认证策略介绍一、认证范围 通过设置认证策略，可以

3、决定用户上网方式，获取到用户名，从而用于后面的控制。 本版本支持以ip/mac/vlan来划分认证策略的适用范围，在适用范围的基础上可以添加适用终端。二、认证方式 可以针对不同的客户场景，选择不同的认证方式1、支持以下几种认证方式：AC认证方式不需要认证密码认证单点登录不允许认证(禁止上网)本地密码认证第三方服务器密码认证短信认证微信认证二维码认证LDAP单点登录数据库单点登录Web单点登录PPPOE单点登录POP3单点登录PROXY单点登录第三方设备单点登录（锐捷，H3C，城市热点）深信服设备之间单点登录Radius单点登录(LOGON，域监控单点登录，IWA ,监听) ADSSO Dkey

4、认证2、本版本可以对认证后的用户做如下处理2.1 上线组选择(1)在本地组织结构的用户，以本地组上线(2)域用户以其域上所属ou组上线(3)如果单点登录消息本身带有组信息则已消息所带组信息为准(4)其他类型的用户才以这里指定的组上线2.2 自动录入用户到组织结构注意：这里可以选择用户是否是私有账号，默认是公共账号，域用户不会录入到本地组织结构。2.3 自动录入绑定关系(1)自动录入ip/mac的绑定关系(2)自动录入用户和ip/mac的绑定关系,用户绑定关系可以分为三种：1、绑定ip 2、绑定mac 3、绑定ip和mac说明：用户与ip/mac的绑定关系可以用于免认证，免认证可以设置有效期，免

5、认证的有效期分两种：1、永久有效 2、有效期范围（1-90）天2.4 认证后处理高级选项(1)认证前使用此组权限，支持选择本地组(2)启用用户登录限制，可以设置仅允许登录的用户和不允许登录的用户(3)可以启用免认证上线时弹出提示页面(4)可以显示免责声明 2 2不同场景认证使用CONTENTS单击此处添加文字信息单击此处添加文字信息单击此处添加文字信息单击此处添加文字信息5单击此处添加文字信息1234不需要认证密码认证单点登录123 不允许上网4Dkey认证5一、不需要认证需求场景一：客户想终端用户上网认证的过程是透明的，不会感知AC的存在，用ip、mac或计算机名标识终端身份。认证方式: 不

6、需要认证，不录入用户到组织结构，不录入绑定关系认证配置1、【用户认证与管理】【认证策略】新增认证策略，配置认证范围。2、认证方式选择不需要认证，用户名根据客户需求选择。3、认证后处理，选择上线组，选择相应的组就具相应组的权限。认证效果1、【系统管理】【在线用户管理】可以看到用户认证上线的身份。2、【用户管理】【组/用户】查看用户是没有添加到组织结构的。需求场景二：客户想终端用户上网认证的过程是透明的，且终端用户是不能修改IP/MAC地址的，如何实现？认证方式: 不需要认证，自动录入IP和MAC的绑定关系注意：如果用户比较多建议不要录入，没有特殊需求也不要录入，新版本没有特殊需求用户是不需要录入

7、到本地的。认证配置1、【用户认证与管理】【认证策略】新增认证策略，配置认证范围。2、认证方式选择不需要认证，用户名根据客户需求选择。3、认证后处理，选择上线组，勾选自动录入绑定关系-自动录入IP和MAC的绑定认证效果1、【系统管理】【在线用户管理】可以看到用户认证上线的身份。2、【用户管理】【IP/MAC绑定】可以看到IP和MAC的绑定关系说明：此时如果终端修改了IP或MAC地址，终端上不了网，终端无提示页面。3、如果认证策略选择录入本地组织结构，【用户管理】【组/用户】可以查到用户。需求场景三：客户想终端用户上网认证的过程是透明的，但是用户上线过程中希望能弹出免责申明的页面或广告页面？说明：

8、如果开启了显示免责声明，则每次上线的时候都会提示免责声明，没有开启则直接上线认证效果1、终端打开网页，弹出免责申明，或包含广告的免责申明页面。2、终端点登陆，弹出提示“认证成功，3s将跳转页面”3、认证成功，跳转到了之前打开的页面4、开启了免责申明提示，又开启了IP/MAC绑定，此时如果终端修改了IP或MAC地址，终端上不了网是有提示页面的。二、密码认证 密码认证需要选择密码认证服务器，密码认证服务器可以选择本地用户，也可以选择短信认证、微信认证、二维码认证、ldap服务器、POP3服务器、radius服务器2.1 用户名密码认证需求场景一：用户上网的时候要求重定向到密码认证页面，让用户进行密

9、码认证，密码认证通过后才可以上网，密码保存在本地。密码认证方式： 本地密码认证本地密码认证配置1、【用户认证与管理】【认证策略】新增认证策略，配置认证范围。2、认证方式选择密码认证，认证服务器选择“本地用户”选择认证页面，设置认证之后跳转到页面3、认证后处理保持默认配置即可。认证效果1、终端打开网页，弹出认证页面2、输入本地账号密码，认证通过跳转到，认证后跳转设置的页面。需求场景二：用户上网的时候要求重定向到密码认证页面，让用户进行密码认证，密码认证通过后才可以上网，密码保存在第三方LDAP服务器密码认证方式： 第三方密码认证第三方LDAP密码认证配置1、【用户认证与管理】【外部认证服务器】新

10、增LDAP服务器外部认证服务器(LDAP)支持测试有效性说明：修改密码 AD域账号如果勾选了初次认证可以修改密码，那么可以可以直接在这里修改密码。 设置完外部认证服务器之后，【组/用户】可以看到域的结构2、【用户认证与管理】【认证策略】新增认证策略，配置认证范围。3、认证方式选择密码认证，认证服务器选择“LDAP”选择认证后跳转页面4、认证后处理保持默认配置即可。说明：认证效果和本地密码认证一样在此不做说明需求场景三：用户上网使用密码认证，管理员要求初次认证时自动绑定终端的MAC，保证每个账号只能在固定的1台电脑上登陆；且已经认证的用户下次上网无需输入账号密码可直接上网，能否实现此需求？实现方

11、案：1、设置认证策略，配置认证范围、认证方式选择密码认证，认证后处理选择自动录入用户和IP/MAC的绑定关系选择绑定MAC；同时勾选开启免认证设置免认证的有效期。说明：用户和IP或MAC的绑定关系才可以用来做免认证2、【用户管理】【用户绑定】高级设置，设置每个用户终端数为“1”说明：用户绑定指的是用户和ip或mac的绑定关系，配置后全局生效，账号可以是私有账号可以是公有账号。每个用户终端数限制配置为多个时：账号属于私有账号时同一时间只允许一个终端上线是新用户上线还是老用户上线由认证冲突的配置决定。公共账号是可以多个终端同时上线的。测试效果1、终端打开网页输入账号密码认证成功2、【用户管理】【用

12、户绑定】可以看到自动添加了账号和mac的绑定关系3、已经认证的用户下次需要上网，无需认证直接就可上网。说明：如果希望密码认证免认证用户在上线时弹出免责申明页面也可以设置。需求场景四：客户公司外网托管有自己的WEB服务器，访问方式http:/ 现用户要求内网所有用户未认证之前就能访问到公司服务器，如何实现？之前版本方案：全局排除域名弊端：全局排除容易出现域名填写不全，全局排除后数据不审计。11.0方案：认证策略高级选项可实现此需求实现方案：1、设置认证策略，配置认证范围、认证方式，认证后处理高级选项勾选认证前使用此组权限此处我们选择根组。说明：强制对所有HTTP访问进行认证不勾选，那么只有被策略

13、拒绝的HTTP访问才需要认证2、新增上网策略，放通sangfor服务器的应用，其它应用都拒绝。如果内置规则库不包含客户应用，可以自定义应用，自定义url放通。3、将上网策略关联给根组。测试效果1、用户未认证通过之前可以打开页面2、用户打开其它类型的页面会弹认证界面需求场景五：客户内网有多个部门，每个部门的网段不一样，内网上网使用密码认证，现要求每个ip段，只能用某部门帐号登录，有没有实现方法？实现方案：1、设置认证策略，认证范围设置员工组所在网段，配置认证方式，认证后处理高级选项配置启用用户登陆限制 选择员工组认证范围其它部门选择相应部门的用户登陆限制2.2 短信认证1、【用户认证】【外部认证

14、服务器】新增短信认证，配置短信认证相关参数 2、短信认证支持内置和外置两种和之前短信认证配置一致3、【用户认证】【认证策略】新增认证策略，配置认证范围，认证方式选择密码认证，认证服务器选择短信认证服务器。2.3 微信认证1、【用户认证】【外部认证服务器】新增微信认证 ,选择相应的微信认证方案，配置相关参数。说明：(1)微信免认证二层换生效，三层环境不生效 (2)微信扫一扫开发者模式这个方案在此版本没有了2.4 二维码认证需求场景：对于有多个终端的用户，手机可以使用微信认证直接上网，PC由于没有微信，所以我们提供二维码认证方案，使用已通过认证的手机扫描PC上显示的二维码，即可实现PC上网。说明：

15、选择不弹出审核页面，直接以审核人身份上线，要求审核人账号必须是公共账号三、单点登录3.1、强制单点登录1、认证方式选择单点登录，单点登录失败的用户选择跳转到，并且设置内置提示页面即可2、认证方式选择强制单点登录，认证后处理的选项如下：3.2、单点登陆失败，不需要认证上线1、认证方式选择单点登录，单点登录失败的用户选择不需要认证自动上线2、单点登录失败则以不需要认证上线，认证后处理的选项如下：3.3、单点登陆失败，密码认证上线1、认证方式选择单点登录，单点登录失败的用户选择密码认证2、单点登录失败则以密码认证上线，认证后处理的选项如下：3.4 支持单点登录方案变化3.4.1 新增AD域监控单点登

16、录1、原有ADSSO的单点登录需要客户找PC安装我们的软件来实现单点登录，实际实施过程中客户觉得麻烦，此版本将ADSSO程序合入到设备。需求场景一：客户有1个AD域，有多个部门,部门管理员买了一台AC，只想管理本部门人员，不能看到其他部门人员。但是开启了域监控单点登录后，其他部门的很多用户登录到域后，也会显示到在线用户了?解决方案：无流量不上线功能如果用户没有流量，就不在AC上上线。这些获取的用户当有流量时再上线，这里缓存的时间复用无流量注销的时间。此功能默认开启3.4.2、集成windows单点登录新增重定向配置1、认证策略是【单点登录/不需要认证】，默认间隔30分钟才发重定向包提交票据，导

17、致单点登录不成功时第二次尝试单点登录间隔比较久，此版本界面可配置重定向时间。3.4.3、Radius单点登录新增自定义属性需求场景：客户内网有radius服务器，radius交互过程有定义自己的属性，现在客户想根据不同的radius属性来做访问控制策略。说明：赋值给用户的自定义属性必须是“序列”类别，值在属性里不存在时自动添加这个值3.4.4、Web单点登录需求场景：当有内网用户登录web服务器的数据包经过我们设备时，我们可以使用web单点登录的方式来使用户上线说明：之前版本WEB单点登录，未认证之前跳转到页面，现在到认证策略强制单点登录的跳转页面处设置。其它类型单点登录和之前版本保持一样这里

18、不做讲解四、不允许上网需求场景：客户内网网段固定，现要求新增加网段不能上网，如何处理？实现方案：新增认证策略，认证范围设置内网网段选择相应的认证方式，缺省认证策略，认证方式选择“不允许认证”即可五、Dkey认证Dkey有两种，绿色的免认证key，紫色的特权key。dkey用户支持免控制、免审计、免控制。说明：1、生成Dkey密码只能使用IE浏览器(和以前保持一致)2、Dkey用户和组织结构用户是独立的，组织结构用户可以和Dkey用户重复，这时Dkey用户上线组即为组织结构内的组，否则上线组根据认证策略来匹配。3、Dkey可以踢掉所有非Dkey用户，非Dkey用户无法踢掉Dkey用户。 3 3组

19、/用户及认证高级属性介绍CONTENTS单击此处添加文字信息单击此处添加文字信息单击此处添加文字信息单击此处添加文字信息5单击此处添加文字信息1234组/用户新增功能介绍用户绑定IP/MAC绑定用户自动同步5认证高级选项12341、用户属性介绍【用户管理】【组/用户】新增用户，用户属性新增自定义属性，此自定义属性引用的是认证高级选项的自定义属性。一 、组/用户自定义文本和序列号属性自定义属性配置完后可以在用户自定义属性看到之前定义的属性Question:自定义属性增加的目的是什么？有何作用？可以根据自定义属性做不同的上网策略及流控策略2、高级属性介绍限制在以下地址范围内登录：指的是账号只能在设

20、置地址范围的终端上登陆，其它账号也可以在这些地址上登陆。终端绑定(用户绑定)：被绑定的地址只能在此账号登陆，用户同时可以绑定多个终端，可以用于免认证二、用户绑定用户绑定可以设置每个用户可绑定的终端个数，针对公共账号私有账号都生效三、IP/MAC绑定(1)自动录入IP/MAC绑定关系需要在用户认证成功以后，开启了跨三层的话只有获取到真实的MAC后才录入。(2)被排除的mac不能绑定，已绑定的mac被排除后要自动删除。IP/MAC绑定主要用于变ip场景，防止客户私自修改PC的ip地址，不针对用户名。三、用户自动同步 用户自动同步只支持数据库同步以及H3C CAMS同步，不支持LDAP自动同步四、认

21、证高级选项1、跨三层取MAC注意：自动添加排除MAC，如果没有达到设置的临界值，MAC是被绑定的，当达到排除的条件自动删除绑定关系。所以尽量手动排除所有三层MAC。2、认证高级选项新增功能域账号附加域名作为用户名：客户有多个域服务器，域服务器存在同名账号的情况用于区分用户。不同Vlan中相同ip附加vlanid作为唯一标识：以前这种情况识别一个IPWAN-LAN方向的连接不认证：AC网桥部署在内网和代理服务器之间，此种环境会有公网IP地址加入到在线列表。之前版本要修改authoption.ini文件，现在版本勾选这个选项即可。自动删除长久未登录的用户，支持设置未登录时间，只有自动录入的才会删除

22、使用场景：(1)客户内网使用密码认证，现想实现认证过程加密处理 (2)客户申请了自己的域名，现希望认证页面URL以域名呈现 4 4对象定义及策略管理CONTENTS单击此处添加文字信息单击此处添加文字信息单击此处添加文字信息单击此处添加文字信息5单击此处添加文字信息1234新增对象定义介绍新增适用对象介绍新增上网策略介绍上网审计新增功能介绍5策略级排除用户策略高级选项介绍1234时间对象新增加了一个“日程”的规则，如果“时间计划组”启用日程功能，则只有满足日程要求才会匹配。1、时间对象一、对象定义(1)自动更新：默认开启，更新周期默认为“每天”(2)ISP地址库与IP组类似，可以被“多线路选路

23、”、“流控-虚拟线路”这两个地方的策略引用。2、ISP地址库3、黑白名单组本版本删除了黑白名单组需求。黑白名单组被“上网安全”和“文件类型过滤”两个功能引用。上网安全需求也已经被删除，文件类型过滤需要做配置转换。转换规则如下：(1)每一条策略转换时，将把手动输入的黑白名单URL转成一条自定义URL(2)超过100条有配置具体URL的黑白名单设备，不允许升级。一、新增适用对象用户属性组 位置 目标区域 新增二、策略管理1、用户属性组可以针对不同的用户属性做策略2、位置，新增可根据vlan做配置，位置里的无线网络IP段VLAN是或关系(1)一个用户只能属于一个位置，记录日志时会记录用户的位置；(2

24、)位置对象间不能重复。比如一个SSID所包含的IP可能包含在一个IP段定义的位置里。因此，不同类型间位置存重复时，按SSID IP VLAN 的顺序识别；3、目标区域需求场景：客户在AC WAN区部署有自己的服务器，现在想对内网访问服务器的数据单独控制。二、用户限额策略1、流量配额(1)当日配额、月配额同时超限了，只生效1次/提示1次。冲突时，以日配额为准(2)这个起始日期，AC里面是一个全局配置来的，即使配了多条策略，在其中一条里面修改这个配置，其他策略也会跟着改变。2、时长配额(1)“应用时长”是指用户产生的应用流量通过设备的时间的累加。 用户同时使用3个应用，用了5分钟；那么应用时长也是

25、5分钟，而不是15分钟。 用户分别使用3个应用，每个用了5分钟；那么应用时长是15分钟(2)“在线时长”是指用户在线时间的累加。3、流速配额4、并发连接数配额注意：(1)流量配额、时长配额、流速限制、并发连接限制，这四个配额，都是基于用户的。所以如果是公共账号，同一个用户名下同时有多个IP在线，则这些IP的流量都会统计到一个用户名上，一起算配额(2)这四类配额超限的情况可以到惩罚页面看到详细信息说明：剩余时间：支持显示离解冻还剩余多少时间，支持按天显示，比如3天5小时；如果是少于1天，则显示 23:23:23处罚详细：显示是被冻结上网，还是被加入流控通道。5、在线终端数限额允许每用户同时在线的

26、终端个数”，允许输入范围为 165535，只针对公共账号生效超额终端的用户是认证通过马上下线的状态，偶尔会弹出认证界面偶尔弹出终端超限页面。三、上网审计策略1、日志精简 url审计时，精简掉一些广告外链，真实的记录客户手动点击的url访问。本版本会新增一个url精简模块，用于识别url请求是客户手动点击访问的，还是浏览器/软件自动发起的。该模块，依赖url精简规则库，过滤非人为点击的url请求。 版本发布的时候，会带一份规则库，该规则库针对Top200URL做的，这Top200URL是抽样客户环境，得出的访问次数排名前200的网站。url精简规则库，支持自动升级，后续持续维护。此功能默认开启，

27、规则库随审计规则库发布，前台界面无需关注配置2、域名时长流量统计针对HTTP GET请求，按请求的域名统计时长流量，访问主站所产生的子请求的时长流量，归约到该域名的时长流量上。程序会每5分钟，记录1次所有用户的域名时长流量统计结果，供数据中心统计使用。四、终端提醒策略定时时间点到了，若此时没有HTTP流量，则不会推送公告页面；等有HTTP流量后，才会推送公告页面。五、策略级排除用户1、在线用户可直接删除策略，删除策略后，策略将用户添加排除用户2 、本地组织结构删除策略，是修改策略适用对象的已选列表下的用户下的“排除用户 区别： (1)策略级排除用户，用户不会匹配该条策略。 (2)上网策略排除用

28、户则用户还有可能具有该条策略，策略是否生效要看其它适用对象的配置，如源ip。六、策略高级选项1、日志记录2、策略控制选项3、上网时长排除应用列表“上网时长排除应用列表”支持“排除端口”功能，主要目的是排除一些非人为流量 5 5流量管理一、通道配置1、新增惩罚通道需求场景：有些用户在流量配额、上网时长用完之后，又有正常办公的需要，直接封堵不合适，从工作效率出发，可以给予低速通道上网，满足基本上网需要惩罚通道说明：(1)只能为限制通道,用户对象不可选 ,此通道不可再建子通道(2)处罚通道要按应用来匹配，即一个用户流量可以跑到多个惩罚通道（最多20，没匹配上惩罚通道的流量继续走原有的通道配置流程(3

29、)处罚通道的生效时间、目的IP组、线路号也要有效用户区分方式可分按IP和按用户名，以前版本只有默认按IP，一些公共账户就不能做到作为一个用户来控制，单用户上限就失效了，按用户名作为一个用户的话就能解决这个问题。2、流控时可根据用户区分3、流控新增适用对象为了适应网络的发展，增加可根据vlan_id来设置通道，以前版本如果不同VLAN，相同IP的用户是不能区分的，流控看来是同一个IP，所以不能区分这二个用户 5 5终端提示页面修改1、终端提示页面定制2、认证页面定制需求：客户要求针对非admin账户，不同的账户有不同的认证页面编辑权限？终端页面独立权限控制可实现需求管理员可以授权给非管理员页面权

30、限，未授权用户看不到页面 6 6其它功能改进一、IPV6支持(1)H3C cams, 代码兼容用户IPv6地址，与第三方服务器的连接保持现有方式（不支持与IPv6服务器建立连接）。(2)域监控单点登录，工具不支持与IPv6服务器的连接，可以支持ipv4和ipv6的用户上线(3)iwa，保持现有方式，不支持IPv6其它默认都支持IPV6总结：我们代码关于ip的处理默认使用ipv4、ipv6兼容的格式，保证后续如果要支持ipv6可以很容易的支持，不特意去做针对ipv6格式的修改二、告警设置在原来版本的基础上，新增WEB关键字过滤告警CPU占用过高警内存占用过高告警;删除了外发信息告警邮件延迟审计告

31、警危险行为识别告警。三、SSHSSH服务后台22345端口可以直接到界面上开启，方便进入后台调试，开启后服务一天后自动关闭 7 7设备部署CONTENTS单击此处添加文字信息单击此处添加文字信息单击此处添加文字信息单击此处添加文字信息5单击此处添加文字信息1234部署模式介绍新增重定向功能介绍高可用性123一、部署模式介绍11.0版本支持三种部署，路由、网桥、旁路。本版本不支持的部署网桥多网口，单臂部署。单臂模式:这种模式主要用于单臂显示代理。因为这个版本里暂不支持显示代理，所以支持单臂也就没有意义,后面版本在做显示代理功能时，会把这种模式加回来1、路由部署1.1 基本配置(1)【网络配置】【

32、部署模式】选择路由模式(2)选择内外网网口，新增配置进度的展示，以及可以通过界面看到接线网口的状态，依次点击下一步1.2 路由配置(1)【系统管理】【静态路由】新增内网的回包路由，下一跳IP地址指向内网交换机，可以选择自动选择网口也可以选择指定网口。支持配置IPV6路由。(2)查看系统路由可以查看设备的路由1.3 链路负载配置1.【网络配置】【链路负载】新建多线路负载路由，根据客户的选路策略配置相应的策略路由。选路策略有三种：指定选路、多线路负载、VPN做专线备份(1)指定线路及多线路负载选路策略和之前版本一致(2)VPN做专线备份使用场景：客户有两条外网线路，线路1用来连接对端VPN，线路2

33、专线连接对端，现想实现访问对端应用专线正常的情况走专线，当专线断开了自动切换到走VPN线路。1.4 注意事项1. 路由模式下，系统可以开启DHCP功能，由于老版本的DHCP默认地址池只支持1024个，在大型网络中经常遇到不够用的情况，本版本将IP地址池的默认值扩大为40962.VPN接口所属区域LAN区：默认值。表示VPNTUN默认属于LAN区域WAN区：选择此选项时，则经过VPNTUN口的数据都被当成LAN-WAN数据，要求被认证和审计、流控等。3.【网络配置】【网口配置】可以修改mtu及网口工作模式1.5.链路故障检测线路故障检测，有DNS解析和ping两种链路状态监测方法，可以自行选择(

34、1) Ping和DNS检测任意一个不通了，则认为不通了(2)Ping和DNS里可以填多个地址；多个地址之间是或的关系任何一个成功即成功(3) 自动检测，表示是否开启了自动检测。如果不开启自动检测，那么只要网口有电，就认为网络是通的2、网桥部署第一步：点击部署模式，选择网桥模式2.1 基本配置第二步，网口配置(1)本版本以线路图的形式展现网桥模式的整个配置流程。(2)可以显示网口是否连通，高亮图标表示连通，灰色突变表示未连通。(3)网桥模式下开启网桥链路同步，会自动显示支持链路同步的网桥。第三步，网桥配置 对网桥配置进行优化，可以不配置网桥IP，以便实现完全透明的网桥。 说明：此版本可以不用配置

35、网桥ip，配置个管理ip保证设备可以上网更新规则库，可以管理设备即可第四步，管理口配置第五步，网关配置(1)本版本优化了网关配置，所有网桥都使用同一个网关配置，默认网关分为IPV4网关和IPV6网关。(2)网桥IP、管理口IP、默认网关、DNS等可配置IP的地方均支持IPv62.2 路由配置2.3 光口bypass设置2.4 注意事项1、AC版本支持链路聚合选项被去除，默认开启2、网桥部署重定向介绍说明：(1)网桥模式可以配置网桥ip，也可以不配置，此版本重定向默认使用设备的虚拟地址，上架实施保证内网到虚拟地址路由可达即可。 在普通网桥，VLAN环境，QinQ环境，PPPoE环境这四种环可以使

36、用系统内置的虚拟IP做透明代理和重定向，且网桥不需要配置IP。(2)对于除上面以外的其他协议玻璃环境，如WAC，L2tp，GRE等，会自动根据路由选择一个网口做透明代理和重定向强制根据路由做代理时，可以关闭地址还原功能3、旁路部署第一步：点击部署模式，选择旁路模式第二步：管理口选择(1)之前旁路模式下的管理口固定为eth1，现在旁路模式下可以选择管理口(2)管理口可配置VLAN ID，可配置多个IP第三步：镜像口配置,镜像口除DMZ外都可以配置二、高可用性1、主主模式路由和网桥部署都可以配置主主模式(1)主控配置第一步:【网络配置】【高可用性】选择主主模式第二步：配置设备标识及角色选择主控，配

37、置密钥(2)节点配置第一步：高可用性选择主主模式，配置设备标识，角色选择“节点”第二步：配置主机的IP地址及密钥(3)主控状态节点状态主主模式的一些特殊场景说明如下：1. 主主模式下，节点不能修改配置只能由主控同步，界面限制只能只读；2. 主控会显示所有节点状态，名称为“在线节点列表”，显示所有在线的节点。2、主备模式路由模式可以配置主备模式，网桥模式下不能配置主备。(1)主机配置第一步：【网络配置】【高可用性】选择主备模式，点击开始配置第二步：配置主机设备标识第三步：配置检测网口抢占为主机：指的是当主机切换为备机后，当备机恢复正常后是否会主动切换为主机，开启则会切换。指定HA口：用来同步配置

38、告警选项：手动更改模式也会触发告警(2)备机配置第一步：高可用性选择主备模式，配置设备标识，设备角色选择备机第二步：配置主机的IP地址以及密钥说明：备机不能配置抢占主机与检测网口以及配置告警信息，这些信息是由主机同步过来(3)主机状态可以看到最近切换的时间，以及同步配置的时间，只有主机状态才可以手动切换到备机AC11.0版本之后，主备支持不用下架升级，升级步骤：升级步骤：1，先升备机，这时主机工作，不影响2，升级备机完，再升级主机4，这时主机会停掉所有后台，备机检测到心跳超时，进行切换5，主机升级过程不影响网络6，主机升级完毕，如果开启主机抢占，主机起来会自动切换成主机7，如果没有开启，要手动切换(4)主备升降级3、注意事项(1)SC说明 主主模式下，只