深信服上网行为管理-系统管理配置指南

1、深信服上网行为管理系统管理配置指南培训内容培训目标策略路由和多线路选路掌握策略路由适用场景，能够根据实际场景正确配置策略路由并达到效果事件告警功能掌握事件告警功能种类，能够根据实际场景配置事件告警功能并达到效果SNMP掌握设备支持SNMP版本，并且能够正确配置SNMP网管软件管理设备策略路由和多线路选路深信服公司简介SNMPSANGFOR AC&SG事件告警功能策略路由和多线路选路策略路由和多线路选路介绍应用背景：随着企业的不断壮大和发展，一个企业所拥有的互联网线路往往不止一条，而每条线路的带宽又是非常有限的。如何设置才能够更合理的利用线路带宽，提高访问公网的速度呢？解决方案：AC设备提供两种

2、技术-策略路由和多线路选路。策略路由功能：根据源/目的IP、源/目的端口、协议等条件进行线路选择，以实现不同的数据走不同的外网线路的需求。多线路选路策略：根据每条线路的上、下行带宽进行分配或者平均分配带宽或者优先选择前面的线路等分配策略来选择不同的外网线路。1、上述两种功能均能实现某条外网线路故障，选择从这条线路出去的流量自动切换到其他正常的链路。如果线路恢复，则自动切换回来。2、策略路由和多线路选路只有在路由模式部署才生效策略路由配置1、将设备部署为路由模式，正确配置各wan口的IP地址，DNS地址和网关。注意这些要配置正确，策略路由程序会根据线路的DNS是否可以解析域名线路是否故障，如果线

3、路的DNS无法解析域名，则策略路由程序会检测此线路故障。2、配置代理上网规则，代理内网所有网段从所有wan口上网。这两步的具体配置此处省略，具体可以参考“SANGFOR_AC&SG_v6.0_2015年度渠道初级认证培训03_安装部署”和“SANGFOR_AC&SG_v6.0_2015年度渠道初级认证培训04_防火墙”策略路由配置新发货的设备一般策略路由表都是空的，怎样导入初始策略路由表？解决方案:下载导入/read.php?tid-2499.html3、导入各运营商的策略路由表4、我们提供了各大运营商的策略路由，导入后，内网PC经设备上网的数据流，即可实现根据目标地址选路走同一个运营商的线路

4、出去，如访问电信的网站走电信线路，从而解决了跨运营商之间访问速度慢的问题。同时也能实现当其中一条 线路故障，流量自动切换到其它线路，直到故障线路恢复，从而实现了智能选路。策略路由配置策略路由选路是根据路由规则选路的，前面介绍导入策略路由表的方式，也可以不导入策略路表，根据实际情况，手动建立策略路由规则。如可以配置根据源地址选路，内网/24段所有流量走线路1，/24段所有流量走线路2，如下图所示。策略路由配置 多线路选路配置经过设备的数据流会先按策略路由选路，如果没有配置策略路由规则或按策略路由没有查到对应的选路规则，则会进行多线路选路。多线路选路是由程序自动选路，无须配置策略路由规则，共有四种

5、多线路选路策略。1. 多线路选路和策略路由功能只在路由模式下有效。2. 需要使用外网多线路，在序列号中至少开启2条外网线路的授权。3. 外网每条线路配置的DNS地址必须可以解析域名，策略路由程序会根据线路的DNS是否可以解析域名线路是否故障，DNS无法解析域名，则策略路由程序会检测此线路故障。4.静态路由，策略路由和多线路选路的优先级关系。静态路由优先策略路由，策略路由优先多线路选路。5.设备有多线路时，如果一条线路出现故障，则流程会切换到其它线路，直到故障线路恢复，从而实现线路智能切换。现场测试线路切换时，建议使用拨线路，浏览器打开网页的方式测试。注意事件告警功能设备多个模块具有事件告警功能

6、，当触发告警条件时，设备就会通过邮件告警及登录控制台界面右下角小喇叭告警，以便能及时通知到管理员。设备支持的告警事件类型如下。事件告警介绍下面以网关杀毒邮件告警为例说明事件告警的配置，其它事件告警配置类似事件告警配置1、准备工作（1）检查设备本身是否可以上外网，要确保设备本身能够上网（2）检查病毒库升级授权是否过期，病毒库是否当前最新。要确保病毒库升级授权已开启，且病毒库当前最新。2、新建认证策略，用户组等（此处略）3、新建上网权限策略，并启用邮件过滤关联到用户或组，如下图。4、新建上网审计策略，并关联到用户或组，如下图。5、启用网关杀毒6、配置事件告警。即当检测到病毒时，发送告警邮件到管理员

7、邮箱7、通过邮件客户端发送一封带病毒的原始邮件8、设备检测到病毒效果首页，运行状态页面，右下角小喇叭提示发现病毒。如下图管理员告警邮箱也收到发现病毒的事件告警邮件，如下图数据中心记录网关杀毒日志，如下图SNMP客户机房有很多不同厂商的网络设备，不便于管理，希望通过网管软件对所有网络设备进行监控和管理。AC&SG默认支持snmp协议（支持snmp v1 v2 v3），并提供mib库，通过网管软件导入mib库，从而实现对设备状态监控和管理。SNMP介绍SNMP配置网管软件中输入设备ip，oid(),community，这样可以读取所有信息，如下图：这种方法读出所有信息，并不知道每个值具体意义，因oid不具体，很难找到我们需要的信息。SNMP配置SNMP配置下载mib库，导入网管软件，方便管理查看设备信息设备可供SNNP查询的信息及常用OID请参考文档“SANGFO