文稿说明netf产品

关于华胜华胜天成（以下简称：华胜天成）级的IT综合服务提供商，IT公司：00771）。总部位于，大陆及台、东南亚等地区设有40多个分支机来，业务规模的年均复合增长率(CAGR)达到30%以上，现业务规模超过50亿元。华胜天成的业务方向涉及云计算、移动互联网、物联网、等领域，业务领域涵盖IT产品化服务、应用开发、系统集成及增值分销等多种IT服务业务，最早提出IT服务产华市场，以为企业及客户提升IT能力为使命，以卓越的解决方案、对客户业务的深刻IT们：100192 们 第1章NetF-G功能概 第2章系统初始设置与配 连接至NetF- SSH连 WebUI连 LED NetF-G上的DNS配 DNS简 DNS的配置示 第3章虚拟门 虚拟门 3.2.1技 3.2.3.......................................................................................................................SSL和验 用户角 ACL资 会话管 第4章AAA（认证、和计费 4.1验 SMS验 硬件 4.2.................................................................................................................................. 组................................................................................................................... 服务 方 等 记 配置实 第5章方 网络应 URL策 网络与NetF客户 概 TCP应用模 移 移 文件共 概 第6章客户端安全 设备类 引 双级安 配置实 第7章集 概 了解集 配置同 故障切 高级配 第8章高可用性 概 浮动IP 组状 组管 配置同 HA部署方 配置实 用于N+1部署方案的配 HA通用配置步 第9章............................................................................................................................了解....................................................................................................................9.2配 第10章IPv6支 IPv6方 HA对IPv6的支 第11章登 Syslog服务 第12章管理...................................................................................................................... 12.6.3XML XML 第13章系统高级操 附录I缩写词和缩略 附录IISNMPOID列 1NetF-G功能概NetF-G简介NetF-GSSL的平台，向网络应用程序和非网络应用程序提供快速、安全、可扩展的。NetF-G设备可以通过SSL实现加速，建立AAA安全机制、网络资源（WRM）和遗留应用程序支持，并确保NetF集群技术的可扩展性。利用将这些功能集成到单一应用上，NetF-G提供在全局范围内对值得信赖的员工、客户和合同时NetF-G可以保护网络的具体细节。端的所有连接进行加密。同时，NetF-G支持SSL加密连接后端服务器，为网络提供无AAA为网络上进行的所有交易提供认证、和计费功能。管理员可以严格地控制用户访的终端用户进行验证。这些服务器包括LDAPRADIUS、客户端和LocalDB。一个特定的星期内网络。根据登录时间、用户名、组名、源IP、AAA方法等，可16AAA服务器，“动态角色分配”将适快速是一种无客户端的方法，可以使NetF-G用户即刻网络的网络内容，一主机名称、端口或路径。由于该功能是一个纯粹的基于网络的SSL解决方案，因此“网络资源”能够网络应用程序生成的URL。不管用户位置如何，均可以允许他们运用网络应用程序。如果部署在一个安全的网络流量管理器上，例如，NetF-G设备，那所有嵌入的URL，以便他们适用于NetF-G设备，并对每个URL内必要的网络信息进行编码。在NetF-G接收到特定URL请求时，利用URL内已编码的网络信息接触恰当的后端NtF客户端于NeF-G网络和用程序的通用解方案，用来广地支源允动办、伴户全络上承载的应用程序进行。其目的旨在最大限度地提高公司网络和应用服务器的安全高可用性（HA）NetF-G设备实现“一站式”IP地址移至并行备份系统。HA功能提供包括集群、同步和故障切换在内的子功能。NetF集群技术允许NetF-G的部NetF-G用于处理单一设备的多个站点，同时允许合作伙伴和员工进行限制、性。NetF-G具备非透明的反向功能。直到得到验证后，连接才能向网络开放。一旦通过验证所有的连接将利用已通过验证的健康数据包来打开同时，NetF-G将Outlook、Windows终端服务及其他非基于网络应用程序的非HTTP流量提供保障。在典型的部署过程中，NetF-G定位在路由器背后，对网络和资源的任何请求进行安全验证。一旦请求性质确定，且请求者得到证实，NetF-G设备将请求定向共有三种部署方案：“单臂、双臂并行和双臂串行”。相关详细信息，请参阅第2.3.1节“基图1- 旦最终用户通过验证，NetF-G将向其显示一个虚拟的门户页面。此页面包含网络内具体配2章系统初始设置连接至NetF-控制台连接2-1设值VT8否1否SSH连接注：如果您需要用于Windows、MacOS或UNIX的SSH，可登 >>>>#ssh第2步建立连接后，NetF-G设备将会提示您输入>>>>#ssh WebUI和端分配给WebUI。例如：然后，打开WebUI功能：栏中输入WebUIIP“admin”。如果此屏幕不显示，请确认PORT1WebUI所指定的地址和端口。NetF-G设备的WebUI同时支持IE浏览器和Firefox浏览（显示器分辨率设置为或更高）2-2LED颜含描意味着NetF-G设备可能遇到以下一种或多种情形：LEDNetF-G命令行界面结构“命令用法分类”“ShorthandCLI2-3操使用^a/^e，将光标移动至行首或使用^f/^b，将光标移动至字符前或字使用操使用^d，删除光标下的字符。使用^k，从光标处删使用^u，删除整注：符号“^”表示按 Control（Ctrl）键的同时按下符号后出现的字母NetF-GCLI命令通常遵守以下风格惯例：2-4NetF-GCLI风格惯例风约黑斜<[}<“全局控制级别NetF-G设备为全局配置和NetFOS提供三个级别。每个级别的CLI提示符都包命令，并提供特殊的“enable”。如果输入正确的，CLI提示符将由“TS>”变更TS#TS#adminreset Setcommandexecutiontimeoutwhenloadingconfigurations Componentupdatecommands Setsystemdate Determinewhethersystemshoulddosysdumpwhenpanic Setfallbacksoftwareversiontobootifavailable Disable/enableNetFAppliancepre-paidFlexLicense SetsysteminteractivemodetocontrolcommandoutputSettingApplianceLicense虚拟站点控制级通过该方式，“用户模式”提示符显示在CLI上。得完全的NetF-G设备特定虚拟站点的配置，管理员必须运行以下命令：注：全局管理员能够所有的虚拟站点和全局配置特性及其功能“全局和虚拟站点之间的切换”拟站点命名为“_test”）： 网络初始设置基本网络拓扑“单署仅利用NetF-G上的一个接口。此部署为DMZ和测试环境的典型部署。使用NetF-NetF-2-1单臂拓扑“双臂并行”部署利用NetF-G上的两个接口。在这种情况下，一个接口连接至互联网（或网络。在此网络拓扑结构内，流量（例如，源自站点外用户）通过NetF-G由网关定向至网络资源，同时本地用户流量（源自网络）通过二次接入点/设备发送至互NetF-NetF-2-2“双臂串行”NetF-G的两个接口处理入站/出战流量。在这种情况下，一个接口接口连接至安全的网络。这是最常见的NetF-G网络部署。NetF-NetF-2-3初始设置手册默认路由、IP地址、WebUI等）。以下拓扑结构将用来进一步说明配置示例。NetF-NetF-2-4表2-5初始设置操命IP地址{system_ifname|vlan_ifname|bond_ifname}Iproutedefault WebUIwebuiWebUIip初始设置的配置示例为“Port1IP7中未发生变更，WebUI将此地址IPNetF-G（例如，DMZ或者测试环境）， 34NetF-G接受的网络用户界面命令IP地址。在默认情况下，WebUI设置在接口上，直至明确改变。建议使用一个管理IP和端口用于WebUI地址。利用以下命令设置和启用此功您可以向WebUI分配有效且唯一的IP地址和端。一旦明确的IP分配给WebUI，只能通过此IP获得。WebUI功能设置并启用后WebUI管理员利用所配IP地址和端口（在该实例中为）可以完成以下步骤。6NetF-G的端口速度和交换机或集线器上与之连接的端口速度应相互匹配。这对于确保正确非常重要。在自动检测模式下，NetF-G端口将与另一端的端口协定，以确定哪个速度可能在默认情况下，所有NetF-G端口速度均设定为“auto”。自动设定允许NetF-G审核其他管理员通过在全局范围内选择>>>端口，可以设置端按钮，以保存您的配置，如图2-5“网络端口速度”所示。2-57如果在单一网络内配置多个NetF-G设备，这是步骤，否则为可选步骤。NetF-G设备机设置，输入新的主机名，然后在右上角点击“保存更改”按钮，以保存此变更，如图2-62-68通过在全局范围内选择系统配置>常规设置>日期/时间，在文本框中输入目标日期和时间。然后，在右上角点击“保存更改”按钮，以保存此变更，如图2-7“设置日期/时间”2-7设置日期/时间步骤 NTP时间同步NTP（“网络时间协议”）NTP服务器同步。NTP15NTP服务器同步。NTPNTP时间同步器，用户不得手动设置系统时钟；否则，NTP时间同步器不能正常工作。在全局范围内，选择>常规设置NTPNTP服务器右上角的“添加”按钮，如图2-8“添加一个NTP服务器”所示。2-8添加一个NTP服务器将会显示一个新的“添加NTP服务器”页面。在该页面上，在“NTP服务器IP”文本框中存更改”按钮，以保存此变更。如图2-9“设置NTP服务器的IP和版本”所示。2-9NTPIP保存此配置，如图2-10“启用NTP”所示。2-1010保存配置2-1“保存配置按钮”所示。2-11保存配置按钮点击“保存配置”按钮后，会弹出一个新的“保存配置”窗口站点配置”，如图2-12“全局范围保存配置窗口”所示。2-12如果您在虚拟站点范围内，在弹出的窗口上点击“确定”按钮，以保存NetF-G上的DNS配置护网络的安全性和可性。DNS将名称自动转换成IP地址。NetF-G设备试图通过以下2-14DNSURLDNS缓存。如果包含目标及相关IP地址的缓存条目不存在，客户端将请求发送到本地的DNS服务器。DNSDNS缓存，NetF-GDNS查询响DNS服务器在此期间内无法响应，将视为“当机”，DNS查询响应过时（或从缓存中移除）之前，控制配的生存时间（TTL）。NetF-G的DNS功能如下图所示：图2-15 NetF-GDNS缓存定义的DNS服务器。DNS的配置示例全局DNS配置在全局范围内，选择>>DNS，然后点击右上角的“添加名称服务器IP地址”按钮，如图2-16“全局范围内的DNS”所示。2-16在新的配置窗口的文本框中输入IP地址，然后点击“保存”按钮，以保存此配置，如图2-2-17IP在全局范围内，选择>>DNS，然后在中间偏右处点击“添加搜索路径”按钮，如图2-16“全局范围内的DNSDNS”所示。在新的配置窗口的文本框中输入“搜索路径”，然后点击“保存”按钮，以保存此配置，如2-18“添加搜索路径”所示。2-18在全局范围内，选择>>DNS。在“DNS缓存”区域内，按要求请在文本框中输入“最小过期时间”和“最大过期时间”，如图2-19“设定DNS缓存的过2-19DNSDNSTTL（“生存时间”）DNS缓存将在“最小过期时间”后到期。如果DNS响应的TTL（“生存时间”）超过“最大过期时间”，那么DNS缓存将在“最大过期时间”后到期。加静态主机”按钮，如图2-20“静态解析”所示。图2-20静态解在新配置窗口的文本框中，输入“主机名”和“主机”，然后点击“保存2-21“添加静态主机2-202-21在全局范围内添加静态主机管理员可以按照此步骤添加多个静态DNS记录。图2-20“静态解析”所示。然后在右上角点击“保存更改”按钮，以保存此变更。虚拟站点范围内的DNS配置DNS服务器，请在虚拟站点范围内选择“>>常规设置”，然后取消选择“使用全局DNS配置”复选框，如图2-22“禁用全局DNS设置”2-22DNS2-232-24“添加静态主机”所示。图2- 在虚拟站点范围内添加一台静态主为做到这一点，只需在“常规设置”页面底部的文本框中输入“DNSTTL”，如图2-25“虚拟站点范围内DNS响应的TTL”所示。然后在右上角点击“保存更改”按钮，以2-25DNS在虚拟站点范围内，选择>>DNS，然后在“IP地址”区域内点击“添加”按钮，如图2-26“虚拟站点范围内的DNS”所示。2-26在“添加名称服务器IP地址”配置窗口的文本框中输入IP地址，然后点击“保存”按钮，以保存此配置，如图2-17“添加名称服务器的IP地址”所示。2-27IP在虚拟站点范围内，选择>DNS，然后在“IP地址”区域内点击“添加”按钮，如图2-26“虚拟站点范围内的DNS”所示。置，如图2-28“在虚拟站点范围内添加搜索路径”所示。2-28在虚拟站点范围内添加搜索路径设定DNS缓存的过期时间在虚拟站点范围内，选择>>DNS。在“DNS缓存”区域内，请按要求在文本框中输入“最小过期时间”和“最大过期时间2-29“在虚拟站点范围内设置DNS缓存的过期时间”所示。然后在右上角点击“保存更改”按钮，以保存此变更。图2-29在虚拟站点范围内设置DNS缓存的过期时间DNSTTL（“生存时间”）DNS缓存将在“最小过期时间”后到期。如果DNS响应的TTL（“生存时间”）超过“最大过期时间”，那么DNS缓存将在“最大过期时间”后到期。3拟门正因如此，所有的资源均应经过NetF-G仔细而彻底地控制和审核。虚拟门户的外观也注：本文档中的“虚拟门户”和“虚拟站点”为同义词。了解虚拟门户个完全合格的（FQDN）相关联，并可以侦听多个IP地址或端口（默认为443）。从本质上讲，NetF-G允许管理员通过向公共Internet显示多个和IP地址隐藏网络结面）、SSL设置、AAA配置和方法等。3-1不同类型的虚拟站点及其配置注意通过点击别名站点登录页面上的超来为别名站点的登录页面设定定义虚拟门户的外观默认的门户“自动启动应用管理器/L3”页基本虚拟门户设置 定义虚拟站点的门户页面将采取何种格式（例如，HTML或XML）。 文、繁体中文和日语（默认为英语）。此外，NetF-G允许管理员为特错误 但是，比起通过门户的功能而定义的错误页面，此处设置的错误页面具备更高自定义虚拟门户注：门户自定义设置比默认的门户具有更高优先级。如果管理员已经配置门户自定义门户轻松地将已发布的网页导入到NetF-G，并根据需要在门户上使用将预定义的门户页面导 NetF-G，而在设计上无需花费太多的时间到NetF-G设备的支持：门 包将门户页面压缩成一个ZIP包，并将ZIP压缩包（可达10M）导入到NetF-图3-2两种导入门户的方如需创建一个自定义门户ZIP包，所有的自定义门户页面应分别在以下文件夹中：表3-1门户ZIP包中的文件夹e此外，文件夹“theme_error”还包含以下子3-2“theme_error。ss此页面显示帐户具有无效的ACLs注：门户自定义设置比门户设置具有更高的优先级。而且，门户设置比默认的门户设置具有更高的优先级。因此，举例来说，如果门户自定义和门户主在每个门户的包内包含几个JavaScript文件。这些JavaScript文件包含管理员可以用表3-3门户JavaScript文文件名称变含言，该值将是“Help”。nd参含变含、文件名称 此文件包含用于定义网络的对象。每个对象都包含一个描述、URL和类型（门户或快速）。因此，开发可以通过编写他们自己的风格和JavaScript事件代码变含参含URL的。门户类型（例如，普通或快速）在页面上显示/隐藏导航栏。用户可以在导航栏中输 URL，然启用/禁用变更用的选项。如果值显示“TRUE”，在欢文件名称变含文件名称：an_此文件用来定义显示在“”连接页面上的信息变含变含该字符串表明“”正在启用 IE用户启用ActiveX文件名称变含e。。文件名称变含。。。特殊类型的门户接后，隧道将自动启动。 第一部分“ ”代表虚拟站点的主机名；第二部分“/prx/000/http/localhost/autolaunch.html？URL=”为固定值；第三部分“”则是一个通过隧道URL的示例。创建一个虚拟站点3-3或“别名”）、“站点名称”、“FQDN”和“IP地址”在内的基本设置信息，如下3-43-5注意外部（或公共）IP地址同时关联到同一个虚拟门户。多个（FQDN）同样管理员在配置虚拟门户后，需要点击“保存配置”操作，以保存全局范围内进行的配置。否则，虚拟门户将在系统重启后丢失。3-6如需配置AAA策参阅第4.5节“配置示例”。默认的门户3-7管理员可以通过WebUI自定义默认的门户。在虚拟站点范围内，选择站点配置>门户>基本设置>基本设置，管理员可以变更门户语言，使得LocalDB用户在门户上变更，通过本地文件或URL导入标识，设置字符集和定义类型的编码转换（HTML或二进制），如图3-8“默认门户的通用设置”所示。图3-8默认门户的通用设注：在进入到下一个选项卡之前，请记得点击“保存更改”，使配也可以自定义登录页面和欢迎页面。在虚拟站点范围内，选择站点配置>门户>基本设置>门户页面，管理员可以定义登录消息，使门户页面记住用户名、定义欢迎页面的标图3-9自定义默认门户的门户页注：在“基本设置”子选项卡下设置非UTF-8格式语言时，如“中文-Big5”或“中-GB2312”，管理员需要在配置门户页面之前将字符转换为Unicode格式。语自定义虚拟门户管理员可以在虚拟站点范围内通过站点配置>门户>外部页面>门户页面自定义3-10“自定义门户页面”所示。3-10自定义门户页面在图3-10“自定义门户页面”中，参数“用户名和”、“令牌和”用于定义将传作为认证服务器，LDAPHTTPPOSTLDAP服务器；作为认证服务器，RADIUS服务器的方法要求HTTPPOST发送到RADIUS服务器。>3-11自定义错误页面3-12添加一个错误页面自定义门户在虚拟站点范围内，选择站点配置>门户>，然后点击页面上侧的“模板”按钮，以门户模板，如图3-13“导入门户”所示。3-13如图3-13“导入门户”所示。击“导入”按钮，以导入，如图3-14“导入门户”所示。3-14导入的本地文件必须是ZIP文件。针对文件中的，请参阅表3-1“门户ZIP包的文件夹”和表3-2‘theme_error’文件夹中的子文件夹”。息完整性和验证。SSL通过使用技术、数字签名和实现这些安全性组件。技SSL通过技术保护信息。对公共网络上的敏感数据进行加密，以实现一定程度的密钥加密-也称为对称加密，加密和使用相同的密钥。举一个对称加密器环的示例。Alice有一个器环，Bob也有一个相同的器环。Alice可以利用其作为的环对发送至Bob的消息进行编码。然后，Bob就可以用其器环发送的消息。图3-15加密/密公共密钥加密–此方法通过一密钥加密数据，另一密钥数据图3-16加密/公共密InternetSSL进行交换的消息都具有与其连接的数字计算消息，然后比较散列结果。如果他们的计算结果相匹配，意味着该消息并没有在Internet传输过程中得到修改，因此将信息泄漏的可能性降至最低。3-17包含识别用户/设备的信息。这些是数位文件，验证绑定到个人或其他实体的公共用错误的密钥冒充服务器。SSL使用X.509标准验证。X.509标准包含公共表3-4X.509信信者客户端解身无法识别和分析原SSL。为了解决这个问题，NetF-G使用NetF解析器快速将客户端数据提取到多个字段，然后可以通过HTTPURL请求参数或HTTP标头转移到SSL和验如果用户不需要验证，NetF-G设备将使用“单向握手”。在这种情况下，客户端首先发送一个“o”消息到NetF-G设备。然后，NetF-G设备传回一个“o”消息（带有一个附加的）到客户端。经过一些握手步骤，NetF-G设备将一个加密的“完成”消息发送到客户端。此时，SSLSSL隧道将加密的应用程序数据与NetF-G设备进行交换。3-18双向握手如果需要更高的安全级别，NetF-G设备可以配置“双向握手”进行验证。在这种情况下，客户端首先发送一个“o”消息到NetF-G设备。然后，NetF-G设备在向客户端传回“o”消息（利用附加）之后，发送“Request”消息，以向客户端申请客户端。在客户端发送其到NetF-G设备后，NetF-G设备在客户端的信息基础上，尝试对客户端进行验证。最终，在完成一些握手步骤后，NetF-G向客户端发送一个加密的“完成”消息。此时，SSLSSL隧道将加密的应用程序数据与NetF-G设备进行交换。3-19重新协商证方法，那么NetF-G将继续启动“重新协商”序列索要客户端。在完成“单向握手”SSL隧道之后，NetF-G设备允许用户选择验证方法。这种方法称为“重新协商”。设备发送一个“o”消息。然后，NetF-G设备在向客户端发送“o”消息之后，发NetF-G设备在客户端的信息基础上，尝试对客户端进行验证。最终，在完成一些握手客户端可以通过此SSL隧道将加密的应用程序数据与NetF-G设备进行交换。3-20重新协商3-5SSL特密钥（私有）：在NetF-G设备上的私有密钥，以供PKI（公钥基础设施）验证。NetF-：用于验证目的，有助于建立设备和浏览器之间的安全通信。机构（CA）：认证机构是一个 CSR（签名请求）上创建的实体如果无法识别CA，此浏览器会就此通知用户。通过类似方式，NetF-G设备同样保留一份（可选）步骤1：生成SSL/密钥对您可以使用NetF-G设备生成适用于虚拟站点的/密钥对。然而，此/密钥对只能用于测试。为了生成/密钥对，您需要导入并激活一个由CA颁发的/密钥对。为做到这一点，当选择全局范围内的虚拟站>虚拟站>虚拟站点时，您可以在页面图3-21生成一个/密钥对当定义虚拟站点时，有两种方法可导入/密钥对最多三个/密钥对可导入 NetF-如果您已经持有的颁发机构颁发的/密钥对，可以很容易地将其导入 NetF-在全局范围内，选择虚拟站点>虚拟站点>虚拟站点，然后在页面中间的“SSL”图3-22粘贴导入SSL/密钥对对您还可以通过运行计算机上的TFTP服务导入一个密钥文件。文件名称默认为<主机名>.key。而言，站点FQDN为“ ”的TFTP服务器上导入。对在全局范围内，选择虚拟站点>虚拟站点>虚拟站点，然后在页面中间的“SSL”区域内选择“导入”单选按钮。然后，正确指定参数“SSL的TFTP服务器IP”、“文件名称”、“SSL密钥的TFTP服务器IP”、“密钥”和“索引”，如图3-23“通过TFTP导入SSL/密钥对”中所示。图3-23通过TFTP导入SSL/密钥步骤3：激活一个导入的SSL/密钥如需使用导入的SSL/密钥对，您必须先激活。在默认情况下，由NetF-G生成的/密钥是有效的。您可以激活其他导入的/密钥对。如需激活一个导入的/密钥对，在虚拟站点范围内选择站点配置>SSL>/密钥，选中所需的/密钥对的单选按钮，然后点击“设置激活”操作激活，如图3-24“激活导入的SSL/密钥对”所示。图3-24激活导入的SSL/密钥对步骤4：启用虚拟站点的SSL设置>常规，并选中“SSL”复选框，然后点击右上角的“保存更改”按钮，以保存您的配置，如图3-25“启用SSL”中所示。3-25步骤5：配置适用于虚拟站点的SSL协议版本NetF-G设备支持SSL协议：SSLv3、TLSv1和TLSv12。您可以使用这些协议中的一个、在虚拟站点范围内选择站点配置>SSL>SSL设置>基本，并选中“SSLv3、TLSv1TLSv12”复选框，然后点击右上角的“保存更改3-25“启动SSL”中所示。步骤6：配置适用于虚拟站点的会话复用SSL会话复用功能。在虚拟站点范围内选择站点配置>SSL>SSL设置>基本，选中“启用SSL缓存”复选框，然后点击右上角的“保存更改3-25SSL”步骤7：配置OCSP，以便核实验证例如，为配置用于验证的OCSP服务器（例如， 以在“OCSPURL”文本框中输入“ ：8888”，如图3-25“启动SSL”所步骤8：启动虚拟站点的客户端验果需要启用，在客户端虚拟站点之前，NetF-G设备将要求每个客户端为验证而呈交SSL。在虚拟站点范围内，选择站点配置>SSL>SSL设置>客户验证，并选中“启用客户3-6NetF-GCLO{OID在这种情况下，NetF-G设备将利用的根验证客户端。然后，配置的对象过滤规则将用来准许（如果匹配过滤规则）或客户端SSL虚拟主机。在该实例中，所有带“CN”的“C”条目、“Teamsun”的“O”条目、“NetF”的“OU”条目和 不是减少SSL连接。步骤9：配置撤销列NetF-G支持撤销列（CRL）的功能利用HTTPFTP或LDAP，您可以配置NetF-例如，考虑一种情况：在把您的CRL文件（netf.crl）放在HTTPWeb 在虚拟站点范围内，选择站点配置>SSL>SSL设置>客户验证，并在“撤销列表”区域内点击“添加”按钮，如图3-27“撤销列表”所示。图3-27撤销列图3-28添加撤销列 您也可以指定一个FTPURL用于CRL文件，CRLURL应为f 或者您也可以指定一个LDAPURL，用于CRL文件，CRLURL应为 以指定CRL文件 ，NetF-G将此 中所有的CRL文件。步骤10：配置虚拟站点的套MD5128SHA128SHA128SHA256MD540为启用单一虚拟站点的多个，您需要指定每个的优先级，如图3-29“设置套

图3-29设定套件的优先NetF-G用户角色基于特定资格，可用来已通过验证的用户。规定这些资格时，符合下列一个或多个条件：登录时间、用户名、组名、源IP地址和验证方法。如果已通角色和资格“EngineerGroup”用户符合资格1条件“group=engineer”，因此为这些用户分配12条件，则不分配任何角色。因此他们无法通过NetF-G任何资源。LDAP浏览器WebUILDAP浏览器功能可以使管理员轻松地通LDAP服务器搜索用户名和组，并将其添加到用户角色条件。相关详细信息请参阅第节“LDAP浏览器”。网络新定向至相应的URL。如果已配置的ACL规则无法网络应用程序资源，那么此将 资源组将角色与资源组角色绑定在一起，该角色包含应用型和网络型资源注：有关Netpool和 上设置的共享文件夹权限。如果ACL规则已配置为角色CIFS资源，那么共享的3-311080,2200”or“/24”。资源是指第7层的资源，例如：“http://* /public/* 资源组是一种可以包含一个或多个相同类型资源的对象。ACL规则可以允许或来文件共享资源是一种CIFS（DFS）\\55\test”图3- ACL角用户角色的工作过程3-33新登录。如果验证成功，NetF-G设备继续将角色分配给通过验证的用户。NetF-G设备将首先找到与角色相关联的资源，然后决定根据ACL规则，确定用户可以的资源。在这个例子中，角色与两个资源相关联：资源A和资源B。根据配置的ACL规则，资源A将被允许，而资源B将被。角色设添加一个角色加角色”按钮，如图3-34“角色设置”所示。3-34添加一个角色资格在虚拟站点范围内，选择>>角色资格，并点击“添加”按钮，角色资格列表如图3-35所示。3-35角色资格列表3-36例如，在工作时间的登录角色条件可定义为图3-37“条件-登录时间”中3-37添加条件-点击“添加”按钮后，角色状态将被添加进来，如 3-38“添加条件-登录时间”所示3-38添加条件-定义“添加角色资格”区域中的所有参数后，右上角的“保存”按钮保存配置LDAPLDAP浏览功能可以帮助管理员浏览WebUI的LDAP主机上的用户名和组。管理员可以搜索和添加LDAP主机上的用户名或组。从现有LDAP主机中添加用户名同样是在“添加角色资格”配置窗口中，从下拉列表中选择预定义角色名称，输入资格名称、描述（可选）。然后，按指定条件类型为“用户名称”，并按下“通过LDAP添加”按钮，该按钮位于“内容”文本框右边。3-39LDAP按钮的“添加”后，LDAP配置窗口将出现“添加用户LDAP主机单选按钮中选择“添加”按钮，会显示出可用的LDAP主机。3-40LDAP从主机LDAP主机，指定属性为“属性为用户名称和搜索过滤器”文本框（搜索过滤内容需遵循LDAP搜索规则），然后点击“搜索”按钮。LDAP服务器的搜索过滤器已在LDAP服务器配置中指定（通过选择站>AAA>服务器>LDAPLDAP服务器条目，如下图所示），则“属性为3-41LDAP服务器配置中的搜索过滤器定义3-42在搜索结果中选择记录，并点击添加用户名右上角的“确定”按钮。一次最多选从新LDAP主机添加用户名如需从一个LDAP主机添加用户名，需从从LDAP添加用户”配置窗口中选择“从新LDAP主机添加”单选按钮，指定用户名的主机IP、端口、用户名、、基区、超时、属3-43LDAP在搜索结果中选择记录，然后点击右上角的“确定”按钮。一次最多选择从一台LDAP主机中添加添加组和添加用户名的唯一区别在于作为组名的属性是从高级 服务器配置的属性组中检索到的，如图3-41“高级LDAP服务器配置搜索过滤器定义”所角色资添加一个快速类型的角色资请在虚拟站点范围内选择角色资源>角色资源>Web，点击快速区内的“添加”按钮分配快速资源，并定义角色，如图3-44“添加网络资源”所示。3-44存”按钮分配快速资源给角色，如图3-45“添加快速资源”所示。图3-45添加快速资添加一个WRM类型角色资源请在虚拟站点范围内选择角色>>角色资源>网络WRM资源区内的“添加”按钮分配快速资源，并定义角色，如图3-44“添加网络资源”所示。如图3-46“添加WRM资源”所示。3-46WRM添 角色资请在虚拟站点范围内选择>>>，然后点击“Netpool资源”区域内的“添加”Netpool3-47“分配资源”所示。图3-47分配资在“Netpool资源”配置窗口中，从“角色名称”和“Netpool名称”下拉列表中选择角色名称和Netpool名称，点击“保存”按钮将Netpool分配给各角色，如图3-48“添加Netpool资源”所示。3-48Netpool为确保资源起作用，还需要将资源组分配到各角色。选择虚拟站点范围内的角色>角色资源>角色资源>，然后点击“-资源-组资源”区域内的“添加”按钮，将资源组分配给各角色，如图3-47“分配资源”所示。在添加资源组的资源配置窗口中，从角色名称和组名称的下拉列表中，选择角色名和图3-49添 资源组资添加CIFS角色资源请在虚拟站点范围内选择角色资源角色资源CIFS，点击“CIFS资源”区域内的“添加CIFS3-50CIFS资源”所在“添加CIFS资源”配置窗口中，在“角色名称”下拉列表中，选择一个角色名称，指定3-51“分配CIFS资源”所示。在虚拟站点范围内，选择角色>ACLs>ACLs，“添加”按钮添加ACL规则，如3-52中“ACL3-52ACL在“添加ACL规则”配置窗口中，从下拉列表中选择角色名称，指定动作为允许或，并指定优先级。如需定义新资源组，需指定资源组、资源类型和资源列表，如图3-53“添加ACL规则”所示。“保存”按钮保存配置。

3-7描会话经过验证意味着用户已通过验证询问意味着用户需通过RADIUS服务器进行是指用户通过服务器进行认证使用到期：当会话已经存在准许时间时（使用命令“会话到期终止”配置空闲到期：当会话在准许时间内保持空闲时（“会话到期空闲”命令配置注意管理员也可以通过使用“会话关闭”命令手动关闭会话。当AAA功能被接通时，会话重用功能可以使用。注：会话重用功能只能在全局层级下设置会话极限值话数量将由“会话数”控制。临时Flex证允许使用临时会话，以超出用户会话的基本分配范围。Flex证由“信用”构成。“信用”由临时Flex证的每天（24小时内）最大会话数量以及天数（24小当第一个会话请求（在基本限制范围内）经过验证并在24小时（不超过最大证）内允许其它会话时，一个“Credit”将启动。例如，公司可以2个用户，也可自动启用Flex证以满足27个用户的需求（2个标准用户与25个请求响应式Flex用户）。请联系Teamsun公司销售代表，订购FLEX或额外的证。“会话限制”维持虚拟站点的活动会话数。如果用户试图登录,并且活动、非过期的会话数对于活动会话，您可以检查会话的状态，或在虚拟站点范围内通过管理工具>会话管理活动会话3-54“活动会话管理”所示。您还可以根据指定的用户3-54活动会话管理>3-55活动会话信息第4章AAA（认证、和计费AAA系统管理员严格控制用户对内容的，以及用户特定的资源权利和完成录用被向户主在里可据配况特源。服务器，包括NetF-GLocalDB和客户端认证。注意：AAA方法、服务器和设置都在各虚拟站点上进行配置。所有对象虚拟站点范围内和“AAA”相关令都应当执行。因此，管理员需要提前使用“switch<virtual_site>”命令切换到虚而不需要通过登录页面进行。相反，用户将以“guest”用户立即重定向“guest”、客户端IP地址或时间等）。如果会话重用启动，“aaaoff”3.4节“会话管验“验证”是AAA功能中的第一个过程。在该过程中，验证服务器会检查用户名和密图4-2验证的工作流程LDAPLDAP-ADRADIUSRADIUS-RSARADIUS客户端和本地数据（LocalDB）AAA方法、服务器和设置都在各虚拟站点上进行配置。在大多数情况下，只需要为每个虚拟站点配置一种验证方法即可。然而，NetF-G允许管理员为多个认证服务器配置同一种方法。这即是多因素验证（共用用户名和多），面向需更严格验证的用户。图4-3多因素验证注意参阅第4.3.2节“方法”）。SMS验证当需要一个两步骤验证过程时，NetF-G允许管理员使用前面所述的常规认证作为认证过程用户有三次输入的机会。如果用户输入三次，系统将切换到“用户登录”页面。NetF-G发送的将在一定时间后过期。用户可以点击验证页面的重新发送按钮，重新发送到他们机，最多可发送3次。移动用户可以从以下服务器获得如需从服务器获得用户移动，那么管理员可以进一步配置NetF-G，以便从证书服务器、LocalDB或相关LDAP服务器获得号码。硬件硬件ID用于用户验证。这是一个独立硬件字符串，可以是MAC或MachineID。MAC地址是客户端计算机上NIC（网络接口卡）的物理地址，如果计算机有多个NIC，那么有可能存在多个Mac地址。机器ID是客户端计算机的MAUID和OSID的组合，且每Applet生成，或由管理员通过客户端工具手动生成。使用硬件认证，用户只能从特定计算机资源。通过这种方式，NetF-G设备为硬件ID可以与一些第认证服务器（例如，LDAP、AD、RADIUS）集成，以满足多元化需求。请注意，外部组必须被到用于此功能的LocalDB组。详细信息请参阅第4.2.2NetF-G通过由控制列表（ACL）定义的限制控制网络上的资源。一旦用户已经通过认证，NetF-G将根据用户的安全凭据向用户提供受控的资源权限。NetF-G将针对这些如果指定单独机制，那么无论是何种法（RADIUS，LDAP等），NetF-G首先将用户与选定的验证机制（RADIUS，LDAP等）进行验证，然后使用选定的验服务器上用户需要有的帐户。如果服务器的“默认组”已经配置，且服务器中些权限规则应适用于用户角色。ACL支持两种类型的用户：网络应用程序ACL只能分配给角色，而不是特定的用户或用户组。如果一个帐户分配到一个角色，那么ACL，如果一个帐户分配到几个角色（通过角色资格过滤器），那么帐户将获得为这些角色配置的所有ACL的组合。ACL相关验证成功后，ACLACL。因此，如果管理员对当前登录的用户更改任何ACL（活动会话），直到用户退出当前会话组组是用来控制用户和组资源的另式。此功能使NetF-G能够从外部的的外部数据都可以用来对本地组内的用户进行。的组是不完整的（即，有外部组名未到LocalDB组），NetF-G将这些外部组服务器、方法和等级服务器“服务器”是指可用于通过AAA进行验证或对用户进行（或验证和）的任何资源。服务器的实例包括LDAP、RADIUS和客户端认证、LocalDB服务器。LDAP（包括LDAP服务器。为提供冗余功能，每台服务器可以有三台LDAP服务器，主机“RoundRobin（RR）”负载均衡可以实现性能LDAP服务可以利用SSL/TTS传输增强安全性。每个主机的验证和均配置这半径NetF-G支持RADIUS验证和LDAP服务器。为提供冗余功能，每台服务器可以有三台LDAP服务器，主机“RoundRobin（RR）”负载均衡可以实现性能客户端NetF-G为配置客户端验证提供三种类型：“Anonymous”、“NoChallenge或需要客户端并且认证服务器上须有该帐户存在，“Challenge”类型需要客户端和密验证将由SSL模块执行用来检查所提供的是否来自CA机构。对于或LDAP作为验证服务器。对于客户端验证，对于需进行验证的，管理员需要选择LocalDB、LDAPAAALDAP/LocalDB的认证AAA执行LDAP/LocalDB/外部组注：至于客户端AAA服务器类型的功能，请启用客户端验证（通过勾选虚拟站点范围内站点配置>SSL>SSL设置>客户验证路径内的“启用客户验证”NetF-G设备的LocalDB最多可容纳500,000个用户帐户和50,000个组。特定虚拟站点的LocalDB与其他虚拟站点的LocalDB共享相同NetF-G设备上的空间。一个虚拟的网站只能有一个LocalDB。以下是一些LocalDB假设：在LocalDB，可以打开质量检查方4-4等4-5记

4-6RADIUSRADIUS服务，NetF-G将记录每个会话的所有STARTSTOP记录。一旦用户已经通过认证，START记录第一次发送。会话终止时，STOP记录。通过注销、到期（使用或会话）或管理员通过会话停止功能明确命令会注：RADIUS统计功能仅START和STOP记录而会话的其他活动通过NetF-G的标准日志记录功能处理。如果RADIUS服务器未响应“开始”要求，验证将等方123无AAAAAAAAA>常规，选中“启用AAA”复选框，启用AAA功能，图4-7“启用AAA”所示。4-7服务器配置在虚拟站点范围内，在子选项卡选择AAA服务器（例如，L，RADIUS客户端或本地数据库）的服务器，如图4-8“定义AAA服务4-8AAA服务器LDAP子选项卡下，在文本框中输入“test_LDAP”和必要的说明，然后点击“”按钮。服务器“test_LDAP”将显示在表中。在“高级LDAP服务器配置”窗口中，双击““test_LDAP”项目，以实现的配置，如图4-9“高级LDAP服务器配置”所示。4-9LDAP在“LDAP服务器配置”区域，点击“LDAP服务器LDAP服务器的更多参数。如图4-10“添加LDAP服务器”所示4-10LDAP点击“保存LDAP配置后，管理员将返回到上一个页面。定义LDAP服-4-11按照相同步骤定义“ldap2”（LDAP）和“radius”（RADIUS）服按钮，如图4-12“服务器配置”所示。图4-12服务器配在“添加服务器”页面中，输入服务器名称”cert“，勾选“”复选框，以指定图4-13“添加服务器”所示。图4-13添加服务定义服务器“_test”，（本地数据库，一个虚拟的只能有一个和相同名字的本地4-14击“添加”按钮添加SMS服务器，如图4-15“新增SMS服务器”所示。4-15SMS4-16SMS点击“保存”按钮保存方法，如图4-17“添加方法配置”所示。417 4-18第5章方NetF-G支持三种方法：Web、网络和文件。网络应用于浏览HTTP/HTTPS网络资源的网络应用程序，网络适用于所有IP应用。网络不要求任两种启动方法-网络启动和独立启动，都支持网络。提供API（应用程序编程接口），用于调用NetF客户端。文件适用于共享Intranet上后端服务器的文件。无需安装任何网络应用程序是指在浏览网络内容时提供无客户端和无缝用户体验的应用程序。NetF-G为供一个算法自动重写资源的URL。URL策略提供管理员选项，以确定哪些资源需要通过NetF-G、哪些资源不需要通5-1快速绝对路径被改写成配置的唯一主机名称、端口或路径。此功能是一个纯粹基于网络的图5-2快速部在主机模式下，为托管在服务器1上的网络站点，用户将其浏览器指向。在这种情况下，服务器1不能直接互联网，因为出于安全考虑它不具有公网IP地址。快速技术允许管理员通过 他后续页）添加到服务器1，当用户点击该时，该请求发送到NetF-G设备，然后转 一些网络应用程序可能嵌入二进制对象（例如，JavaApplet，Flash或ActiveX）。二进制对象硬编码为URL，例如“/dir/file.html”，快速支持。然而，快速不支持硬编码 /dir/file.html，快速不予支持。 NetF-GIP地址。建议管理员注意 接接入链路以提供支持。例如 对于路径模式，不支持以“/”对于快速主机模式，快速URL必须与当前的快速页面具有相同子InternetExplorer浏览器，如果当前页是虚拟站点的子域，那么只有当前页面相邻的下一级子域可以成为当前页的快速URL。在端口模式下，ISA服务器配置为最终用户浏览器上的外部服务器，快速为实现OWA2003，需要选择“门户快速规则”命令下的“rewritexml”选项除“rewritexml”选项之外，为实现OWA2010功能，需执行“httpexpirepassthrough”和“urlpropertymaskwrm”命令。在端口模式下，快速不支持更改OWA2010语言，这是由于在OWA2010中，更网络资源（WRM）是另一种无客户端的方法，可以让NetF-G用户能够即时5-3WRM考虑上一节的快速部署方案。为了网络邮件，用户应将其浏览器指。该webmail服务器是唯一可以直接公司网络的服务器。webmail服务器无法通过Internet。WRM技术允许管理员在门户页面上为webmail添加，当用户虚拟门户 将提供给用户。将自动由NetF-G重写为 。新将指回NetF-G，因此，互联网用户的请求将发送给NetF-G，然后转发到实际webmail服务器。构，只对公共互联网公开一个和IP地址。网络资源不重写PDF或 Office（Word、Excel和 含的URLs。因此，建议在这些类型的文档内尽可能的使用相对URLs。WRM使用以下格式将URLs转成外部URLs：<virtual_portal>是虚拟门户的正式（FQDN<scheme>为“http”或“https<internal_URL>是初始的URL（主机名和路径例如，“/”将被转换为“/”有ACL或其他的规则。网络资源将重写下列项HTML–所有及包含URLs的属层叠样式表HTTP80端口（对于HTTP）路由，因为它们没有真正使用HTTP与后端服务器进行通信。因此，建议客户与WRM在部署之前测试其应用程序。UTR-16URLURL功能是出于安全的考虑，从客户端隐瞒架构。利用URL功能，在URLsWRM重写后，URL将被使用预设算法重写，使用预先设定的算法隐藏协议标准、文件必须启用相对URL重写功能，才能实现URL。例如，URL将被为“自定义重写NetF-G支持自定义的重写功能，它提供法解决非标准网络内容（例如，非标准网络的CLI手动重写故障页面。URL策略开”位置，且无需特别的安全考虑。例如，一个公司的门户页面可能包含公司的公共链接（例如， ）。用户无理由通过NetF-G设备。使用URL策略，可以指示NetF-G设备向用户重定向，让用户可不通过NetF-G设备直接URL -通过网络应用程序URL。-URLURL被划分为外部，NetF-G将浏览器重定向至可公部内容，显然，这种策略应谨慎的使用。公共URL策略常用于向公众提供自定义登录页面、注销页面和错误页面等内容。URL应该按照优先级进行分配。优先级应该是一个范围从0到65535的整数。对比其0的策略应在优1URLURL匹配一个以上的策略，况下，默认URL策略是策略。注：默认策略不能为“public”，只可能是“internal”或“external”选项单点登录启用此功能后，NetF-G将尝试为任何后端网络服务器无缝提供凭据。NetF-G提供的凭证与用户进行NetF-G验证时所使用的凭据相同。此功能仅适用于NTLM或基本某些网络应用程序不支持任何SSO机制，而是向用户提供一个HTTP表单，此表单需要凭据。在通常情况下，这些应用程序验证表单生成一个HTTPPOST请求，其中包括两个参数：用户名和用户。对于这种情况，NetF-G提供一个HTTPPOSTSSO方法，在不提示用户输入凭据的情况下，允许NetF-G模仿POST请求。基本设络>基本设置，在这里您可以设置网络以在新窗口中打开网络、显示导航工具、允许加浏览器标记，如图5-4“网络的基本设置”所示。图5-4网络的基本设快速为虚拟站点的主机名类型配置一个快速加”按钮，在图5-5“添加快速策略”所示。图5-5添加一个快速策图5- 在全局范围内添加一个快速策在虚拟站点范围内选择方法>网络>快速，“添加”按钮，配置一个主机名模式快速资源，如图5-7“添加一个快速策略”所示。图5-7添加一个快速策在“添加快速资源”配置窗口中，从下拉列表中选择资源ID（通过选择虚拟站点>虚图5-8添加快速资请注意，如果快速资源的URL以“https”开头，需要禁用服务器验证功能。通过系统配置>高级网络连接>SSL>SSL全局设置，取消“启用服务器验证”复选框，并点击“保存更改”按钮，在图5-9“SSL全局设置”所示。5-9SSL在此窗口中，您可以通过不重写网页内容、重写XML、从后端服务器返回Blocks、转添加一个别名射到相同资源的其它URL。在“别名”区域中点击“添加”按钮，添加一个别名，如图5-10“别名”所示5-10入用于别名的URL，然后点击“保存”按钮，如图5-11“添加别名”所示。图5-11添加别名服务器HTTP设置选项NetF-GHTTP设置选项，包括：RedirectHTTP到HTTP请求、用于HTTP请求的重定向URL（无活动会话s），防止浏览器响应，启用HTTPSet-报头中的有效期设置（启用将HTTPSet-报头中的有含发起请求的客户端的IP地址。必要，可以自定义“X-Forwarded-For”报头名）和方法（“X-Forwarded-For”报头模式：标题、URL、或全部）。为配置HTTP设置选项，应在虚拟站点范围内选择方法>网络>服务器，您可以在“常规设置”区域中查看HTTP设置选项，如图5-12“HTTP设置选项”所示。

为完成单点登录设置，需要先启用SSO功能，在虚拟站点范围内选择方法>网络访问>服务器>SSO设置，勾选“启用单点登录”复选框，并点击“保存更改”按钮，如图5-13“启用SSO”所示。5-13HTTPSSOPOST规则，在“SSOPOST”区域内点击“添加”按钮，如图5-13“启用SSO”所示。如图5-14“添加SSOPOST”所示。服务器设置

5-14SSO您可以配置三种类型的服务器：HTTP服务器，HTTPS服务器和自动服务器，如图5-15“服务器设置”所示。图5-15服务器设URL策略您可以通过URL优先级分配URL策略：在虚拟站点范围内选择方法>Web>URL策略，并在“URLURL5-16“URL策略”5-16URL在“添加URL策略”配置窗口中，指定URL策略类型、优先级和关键字，然后点击“保存”按钮，保存URL策略，如图5-17“添加URL策略”所示。在定义URL策略后，在URL策略排序表中显示。对于URL策略URL，将遵照URL策略URL策略在URL策略”区域内指定，如图5-16“URL策略”所示。自定义改写功能，如图5-18“自定义改写”所示。5-18为添加自定义改写规则，应在虚拟站点范围内选择方法>Web>自定义改写，然后点击“添加”按钮，如图5-18“自定义改写”所示。式的、标志，然后点击“保存”按钮，添加自定义改写规则，如图5-19“添加自定义5-19URL优先权为添加URL优先权，应在虚拟站点范围内选择方法>Web>URL优先权，并点击“添加URL优先权”按钮，如图5-20“URL优先权”所示。图5- URL优先添加URL优先权，如图5-19“添加自定义重写规则”所示。注：对于“隐藏类型”单选按钮，“改写”表示URL重写，即URL不会被重写，“acceptencoding””表示隐藏“AcceptEncoding”报头，即在每个URL“AcceptEncoding”报头。网络与NetF客户概网络接入是需要安装的客户端应用程序，以用于（虚拟网）接入。其客户端模块NetF客户端模块可以安装在所有主流桌面的操作系统上。该模块提供两种启动方式：网络NetF客户端支持三种运行模式：网络、应用程序和兼容模式。网络模式覆盖资源网络启动和独立启Network使用有两种方式：式是通过网络启动，另式是通过独立启动。网络启动和应用接入网络。客户端的浏览器组件只需安装一次，除非它被用户卸载。在默认情况下，NetF-GActiveXActiveX在客户端浏览器被禁用（或不支持），NetF-G将安装一个Java程序。在计算机上安装客户端组件，用户需要具有“管理员”权限。一旦已安装客户独立启动NetF-G同时提供客户端/服务器和浏览器/服务器应用程序。并安装独立启动后，无需NetF-G管理员可以从相关虚拟站点的方法>路径独立广泛用于允许用户、工作者、异地合作伙伴和客户能够安全网络上承载的应用程序。从根本上而言，是利用网络连接或用户的网络。“NetF网络接入”为用户提供相当于传统的基于IPsec的网络层，同时极大的简化当启用网络接入功能时，当用户通过虚拟门户启动SSL连接时，将通过网页浏览器自动安装一个客户端组件（ActiveX或JavaApplet）。NetF-G向用户分配一个基于网络的IP地址。通过分配的IP地址可以浏览网络的指定资源。NetF客户端网络模式所有隧道数据SSL加密功能提供保护。由于所IP网络流量都是通过隧道传输的，因此所有基于IP的应用程序均需透明运行，包括使用动态端口的TCP和UDP协议、NETBIOSICMP。如果用户登录由于任何原因终止，用户的隧道将随即终止。分配IP地址当用户建立一个隧道，用户将被分配一个IP地址。分配的IP地址在用户登录期间具有持久性。NetF-G支持动态和静态IP地址分配。管理员可以将每个用户组（LocalDBAAA服务器定义）与一个网络池或“Netpool”连接。“Netpool”是指一组包括一个或多个IP地址范围的网络连接参数。或者说，固定IP地址可以分配给有LocalDB帐户或在RADIUS响应内固定IP的个人用户。为了避免IP，管理员应确保任何NetF-G所分配的IP地址未被分配到网络的其他主机上。NetF-GIP地址的网络上具有物理接口，IP地址会被配置到