深信服渠道售前-用户手册sangfor woc v9.1manual

WOCv9.1用户手 ...................................................................................................................................................6前 手册内 本书约 技术支 致 第1章WOC的安 环境要 电 产品外 配置与管 设备接线方 设备开机方 第2章WOC的部 网关模式部 网桥模式部 网 模式部 网桥多线路模式部 双网桥模式部 单臂模式的部 双单臂模式部 第3章WOC控制台的使 登录WebUI配置界 状 加速状 流量...............................................................................................................应用状 状态 DHCP状 设备运行状 SC状 系 系统设 部署设 路由设 用户管 网络对 DHCP设 Syslog& SC设 服务 客户 多线 第认 高级设 第一阶 第二阶 安全选 加 应用设 流缓存设 优化设 服务 客户 数字高级设 应用发 本地帐 LDAP服务 应用发 终端服务 高级设 流量管 对象设 策略设 流控设 策略故障排 高级设 .........................................................................................................................242NAT设 过滤规 防DoSARP防 双机双机部署方 双机.............................................................................................................................日 序列 自动升 备份/恢 关 页面控制 技术支 第4章数据中心的使 首 流量分 流量带宽分 带宽优 报 日 管理日 日 系统设 数据库清 设 子 第5章客户端软件的安装及使 纯加速客户端软 纯加速客户端软件的安 纯加速客户端软件的部署拓扑 纯加速客户端软件的使 纯客户端软 纯客户端软件的安 纯客户端软件的部署拓扑 纯客户端软件的使 +加速的客户端软 5.3.1.+加速客户端软件的安 5.3.2.+加速客户端软件的部署拓扑 +加速客户端软件的使 第6章案例 双单臂模式部署配置案 VLAN环境下的单网桥部署配置案 网桥部署配置案 网桥多线路部署配置案 W的应用场景及配置案 MAC的应用场景及配置案 加速本地子网和静态路由的配置案 网关模式EoIP部署案 添加加速用户的案 Sangfor的配置案 隧道内NAT案 移动PDLAN用户接入WOC设备的案 内网权限的设置案 多线路配置案 移动用户使用LDAP认证接入案 多子网配置案 通过隧道间路由实现分支间互访的案 通过目的路由用户上网的配置案 WOC加速互连的案 为分支WOC设备创建用户并关联策略的案 加速HTTP或HTTPS的OracleEBS案 加速Citrix服务器的案 加速RDP服务器的案 跟总部建立加速连接的配置案 加速OutlookAnywhereExchange服务器的案 使用透明传输模式的案 使用反向加速建立双向加速连接的案 对FTP服务器的预取案 通过排除规则对指定网段进行加速的案 UDP优化配置案 委派的配置案 策略路由配置案 VAA使用场 综合案 客户环境与需 配置思 总部WOC设备配置步 分支WOC设备配置步 附录A：SANGFOR设备升级系统的使 附录B：通过USB口恢复默认配 功能1：使用U盘查看网口配 功能2：使用U盘恢复控制台....................................................................................注意事 不得以SINFOR、SANGFOR及图标为 本手册内容如发生更改，恕不另行通前手册5WOC软件客户端的安装和使用附录A升级系统的使用。本手册以深信服 型号为例进行配置。不同型号产品硬件规格存在一定差异，但功能及配置方式没有区别。本书1、图形界面格式约文字描代替符举→[“当出现命令行界面(CLI)命令的语法时，使在中括号[]在大括号{}中的任何内容都是必需的如果选项不止一个，则使用管道(|)分隔每个选项。例如ipw60redirect{in|outCLI命令以加粗方式出现。例如interface3、标本书还采用各种醒目标志来表示在操作过程中应该特别注意的地方，这些标志的意义下、注意提醒操作中应注意的事项，不当的操作可能会导致设置无法生效、数据丢失或者设备损坏。警告：该标志后的注释需给予格外的关注，不当的操作可能会给人身造成 说明、提示、窍门：对操作内容的描述进行必要的补充和说明。技术技术支持邮箱 技术支持 （、固话均可拨打技术支持 公司致感谢您使用我们的产品及用户手册，如果您对我们的产品或用户手册有什么意见和建议，您可以通过电子邮件反馈给我们， 不胜感谢。1WOC的安本部分主要介绍了SANGFORWOC系列产品的硬件安装。硬件安装正确之后，您才可以WOC设备可在如下的环境下使用🗁输入电🗁温度🗁湿度为保证系统能长期稳定地运行，应保证电源有良好的接地措施、防尘措施，保持使用环境应遵照相关法律、要求进行。电SANGFORWOC120V240V电源。 设备需工作在稳定电压情况下，当电压波动频率较大时需额外添加稳压器从左到右的接口分别CONSOLE口：双机热备口。ETH0口：内网接口ETH2口：用来接入第一条INTERNET线路的接口ETH1口：DMZ区，内网的非军事区口ETH3口：用来接入第二条INTERNET线路的接口产品外观以实物为准， 参考。IEInternetExplorer、Maxthon等，Opera、Firefox、Safari、Chrome等浏览器无法正常配置）能正常使用，然后把电脑与SANGFORWOC设备LAN口连接在同设备接线方请依RJ-45以太网线或光纤将LAN口与内部局域网连接，对WOC设备进行配置。请依据不同设备型号，使用RJ-45以太网线或光WAN1Internet接入设备相连接，如路由器、光纤收发器或ADSLModem等。请依据不同设备型号，使用标准RJ-45以太网线或光纤将DMZ口与DMZ区的网络连接，一般而言，DMZ区放置对外提供服务的WEB服务器、服务器等。WOC可以为这些服务器提供安全保护WAN 口连接路由器应使用交叉线 口连接交换机应使用直连线、直接连接电网口应使用交叉线。当指示灯显示正常，但不能正常连接的时候，请检查连接线是否使用错误。直连网线与交叉网线的区别在于网线两端的线序不同，如下图:设备开机方在设备背板连接电源线，依据不同型号 设备使用不同的开机方式部分设备无开关按键，直接连接电源线即可1-2AlarmWOCALARM灯不亮，WANLANLINK灯长亮，ACT灯在有数据流量时会不停闪烁。ALARM红色指示灯只在设备启动时因系统加载会长亮（约一分钟，正常工作时熄灭。如果在安装时此红灯长亮，请将设备断电重启，重启之后若红灯一直长亮不能熄灭，请与我们联系2WOC的部根据用户使用环境的不同，WOC设备支持以下七种部署模式：网关模式、网桥模式、网桥模式、网桥多线路模式、双网桥模式、单臂模式和双单臂模式。网关模式部 设备网关模式部署，示例拓扑如下配置步骤第二步：配置。第三步：配置网桥模式部WOCInternet或者专线环境下，不想改变原有网络结构时配置步骤网桥模式下连接双方必须已经通过其他 设备建立好了 连接或者通过专线连接，且保证2个加速设备互相能正常。网 模式部配置步骤第一步：在『系统』→『部署设置』→『网络接口』里选择部署方式为启用 第三步：配置SANGFOR。第四步：配置WOCWAN口连接Internet来建立SANGFOR 配置步骤第一步：在『系统』→『部署设置』→『网络接口』里选择部署方式为启用和加第二步：配置逻辑接口IP地址、网关IP地址、备份接口信息、管理IP地址以第三步：配置SANGFOR 设备双网桥模式部署，主要在内网有双路由或者双交换情况下，示例拓扑如下配置步骤工作IP地址以及DNS。第三步：配置双网桥模式下连接双方必须已经通过其他 设备建立好了 连接或者通过专线连接，且保证2个加速设备能正常互相。注意：双网桥模式下，功能无效，所以必须切换到纯加速状态才能启网桥式在[只启用加速]模式和[启 和加速]模式下均可以选择单臂模式部署，同时根据用Internet环境下单臂模式部署和专线环境下单臂模式部署两在Internet环境WOC设备单臂模式部署，示例拓扑如下配置步骤第一步：在『系统』→『部署设置』→『网络接口』里选择部署方式为启用和加第三步：配置SANGFOR。第四步：配置配置静态路由，将去往对端内网的数据转发给SANGFORWOC设备。在专线环境下WOC设备单臂模式部署，示例拓扑如下配置步骤启用策略路由或者W 1、专线环境下单 署加速设备可以采用如下四种方式来避免形成路由环路二层环境下将内网PC网关指向加速设备；二层环境下在内网每台PC上都添加去往对端的路由指向单臂设备；与WOC相连接设备（交换机/路由器/）启用策略路由与WOC相连接设备（交换机/路由器/）启用 /NQA功能配置步骤1、总部端为双单 署的情况下，分支端必须勾选“客户端网关先抓取连接”选项。2、双单臂模式下，功能无效，所以必须切换到只启用加速状态才能启单臂模式。3、与双单臂WOC相连接设备（交换机/路由器/）启用策略路由+CDP/W/NQA功能3WOC控制台的使登录WebUI配置界按照前面所示方法接好线后，通过Web界面来配置SANGFORWOC加速设备。方法下PC机配置一10.254.254.X网段的IP（如配置00）配置为，然后IE浏览器中输WOC设备的默认登IP（https方式），默认的登录在登录框输入用户名和，点击登录按钮即可登录到WOC设备进行配置，默认情况下的用户名和均为：“admin”（不包含引号。如果需要查看当前设备的版本号，可点击查看版本，即显示当前硬件的版本信息。注意：IE8、IE9请以兼容模式打开此页面，否则某些情况下可能会出现页面显示不正常，如显示不出用户名和输入框等。登录WebUI配置界面后，可以看到有以下配置内容状态：显示WOC设备的各个程序运行状态及设备运行状态系统：配置系统时间、接口IP地址、工作模式、路由信息、用户管理等Sangfor：配置深信服部分。EoIP：配置EoIP部分。加速：配置加速部分应用发布：配置应用发布部分。：配 部分双机：配置双：查看设备日志、备份/恢复配置以及操作Web控制台等。同页面右上角还有诊断和报表两个按钮点击诊断，显示当前设备的诊断结果，如下图Tcpdump

即可抓取数据包或收集设备日志信息，当系统诊断结果显示不正常时，可保留这些信息以便深信服技术工程师查找设备不正常的原因。点击报表，则进入WOC内置数据中心界面，可以查看WOC设备的流量情况以及加速削减情况，详细描述请参4章。保存并生效注意：所有配置界面中如果有保存并生效能使设置保存并生效，后面的文档不再赘述。状

按钮，则配置完毕后，必须要点击该按钮才『状态』包括了『加速状态『流量『应用状态状态DHCP加速状『加速状态』包括『加速状态『加速连接』以及『应用连接』三个页，如下图WOC设备当前的流量削减率、CPU利用率、内存利用率、系统运『加速连接』用来显示当前的加速连接状态，如下图『停止加速』用于控制加速服务的运行状态，单击即可控制加速服务启动或停止『刷新』用于刷新页面显示的加速运行信息『清除所有缓存』用于清除当前加速服务使用的所有缓存资源，点击确定后系统『连接设备/接入用户』用来显示当前连接的网关/用户名称，是接入用户还是接出用户『对端加速版本』用来显示对端加速设备软件版本『反向用户』用来显示反向连接的用户名称『对端设备名』用来显示对端设备名称『对端IP』用来显示对端加速设备的LAN口IP『终端』用来显示对端类型，是硬件设备还是软件用『速度』用来显示当前所有被加速的应用数据传输速『会话/隧道数』用来显示当前可供加速连接使用的会话总数以及剩余可用会『加速前/后流量』用来显示加速前和加速后的流量，一般情况下加速后流量比加速前流量小。『流量削减率』用来显示加速前和加速后的流量比『状态』用来显示当前单个用户的连接状态『传输协议』用来显示当前用户使用何种加速协议连『接入/接出时间』用来显示加速接入或者接出的时『操作』用来查看当前该用户的其他详细连接情况还可以根据这些条件设置过滤选项，只查看指定的硬件设备/软件用户连接情况注意：一旦点击清理所有缓存按钮，将清除设备里所有的缓存文件，这样将导致之前所有采用缓存加速方式保存的数据完全丢失，此后所有的缓存数据必须重新创建。正确的类型、主机IP、对端IP，点查询/刷新就可以看到统计的应用连接状态，如流量点击刷新下拉框，可以选择当前页面的刷新时间间隔，点击流控通道下拉框可选择需要显示实时流速的流控通道，点击虚拟线路下拉框可以选择显示指定线流控通道的实时流速。流量管理显示当前流量管理系统的运行状态以及总流速情况点击流量管理查看下的趋势按钮，将会以所有流控通道所有虚拟线路为条件刷新最 分钟带宽占用流控通道『名称』用于显示此流控通道的名称『瞬时速率』用于显示实时的流控通道上下行带宽值『百分比』用于显示流控通道实际占用的带宽占总带宽的百分比『保证带宽』用于显示流控管理系统分配给流控通道的保证带宽『最大带宽』用于显示流控管理系统设置的流控通道最大带宽值『应用数』用于显示此流控通道中各种应用的数量。『用户数』用于显示此流控通道中实时有流量的用户『优先级』用于显示此流控通道的优先级，优先级高的可以分配到的剩余带宽『查看』用于查看此流控通道其他详情点击名称下的具体流控通道名，可以查看该流控通道历史详情，如下图点击应用数下的具体数字，可以查看该流控通道内的应用详细情况，如下图点击用户数下的具体数字，可以查看该流控通道内的用户详细情况，如下图点击查看下的连接按钮，将跳转到连接界面 排除策『排除策略』查看被流量管理系统排除的应用瞬时速率、带宽占用百分比等信息，如图流量连接用于显示当前流控通道/虚拟线路内的应用连接情况，如下图点击高级搜索，还可以指定条件来过滤连接，如下图网口『网口』用来显示WOC设备各个网口的流速趋势情况，如下图可手动选择页面刷新时间、趋势图时间范围、流速单位以及显示的网口等信应用状『应用状态』包括了『应用状态』和『用户』两个页，如下图.应用状『应用状态』用于当前应用到的服务状态等信息，如下图『停止服务』用于控制应用服务的运行状态，单击即可控制加速服务启动或停止『设置服务端口』单击即可设置服务端口服务 端口可以自行选择是否勾选启用完成配置后，点击确定完成配置，点击取消取消配置可以通过下拉菜单选项，查看『应用连接状态』或『服务器连点击刷新，可以立即刷新当前应用服务状态.用『用户』用于当前使用应用的用户状态等信息，如下图点击刷新，可以立即刷新当前用户状态选择当前列表中的某个用户，点击断开，可以立即断开当前用户的状态此页面可以查看当前的连接和网络流量信息，如下图点击分支NAT状态可查看分支NAT信息，若分支没有做NAT，则显示为0，如点击查找可根据用户名查找接入的用户，如下图：点击显示选项，可选择需要显示的列，如下图点击停止服务可暂时停止服务设备运行状『设备运行状态』主要用于查看WOC设备IP地址及口接口流量等，如下图勾选允许过neretWOC备AN口P来登录设进行查看和管理，否则，只能通过LAN 口登录设备进行查看和管理。勾选之后，需要点击保存并生效，保存设置并生效。点击重启服务，则会重启所有当前正在运行中的服务点击刷新，则可以刷新当面页面显示的口IP地址及发送/接收流量『EoIP状态』主要用于查看WOC设备EoIP通道建立状态及流量信息，如下图在右侧输入框中输入接口名称或对 接口IP，可以进行EoIP连接状态过滤SC点击启动服务即启用SC功能，可配置加入SC集中管理，如下图若需要加入SC集中管理，点击确定即可点详细按钮，可以查看当前跟 中心端设备建立的各个通道及流量情况，如下图在没有SC中心端设备的情况下请不要开启此功能。系设置』、『Syslog&SNMP』以及『SC设置』八个部分，如下图系统设NTPWebUI设置』以及『高级』四个『常规设置』用来设置加速设备的所属时区、日期、时间等信息，如下图设置好正确的时区、日期和时间后，点击保存并生效完成设置NTP『NTPNTP4台NTP服务器地址，先点击保存，再点击立即同步，就可以从这4台NTP服务器上按照从上到下的顺序取得NTP服务器时间并同步到本地（任何一个服务器同步时间后则不再去其他服务器同步时间，如下图：WebUI『WebUIWeb服务端口和用户登录设备后的超时时间，『HTTPS服务端口』用来设置HTTPS方式登录设备控制台时所使用的端『用户超时时间』用来设置用户登录设备控制台后的超时时间高『高级』用来设置加速服务的端口、加速设备名称以及是否启用MAC（仅网桥模式以及网关模式启EoIP时可见、高TCP以及TCP隧道中启HTP（TCP封『端口』用来设置加速服务的端口，默认为TCP和UDP的5400端口。必须保证加速两边的设备都能正常对端设备的这个端口，否则加速设备将无法正常建立加速连接。『设备名』用来给加速设备自定义设备名称，以区别不同的加速设备『启用MAC』用来开启/关闭MAC功能。开启了MAC功能，则在单网MAC 功能只在网桥模式，以及网关模式启用EoIP时下生效！注意：网桥模式下，或者启用EoIP时，不用禁用MAC功能。『启用TCP』用来开启/关闭高TCP功能。高TCP功能SANGFOR对传TCP协议的改进，在大带宽和高延时环境下的效率比传统TCP协议高 部署设路设置』、『W/CDP/NQA设置』（单臂模式下可见）以及『网卡配置』七个页，此时浏览器可能会弹出“安装ActiveX控件”的提示，如下图：安装进行安装，安装完成之后界面显示如下图：『网络接口』用来设置加速设备的工作模式、接口IP地址和DNS地址等信息和[启用和加速]。『部署模式』根据服务模式的不同可分为[网关模式]、[网桥模式][网桥多线路模式]、[双网桥模式]、[单臂模式]和[双单臂模式]。『只启用加速』：表示设备此时只开启加速功能，功能失效，适用于专线或者已经有其他存在的网络环境。此时可以部署的模式包括[网关模式]、[网桥模式]、[双网桥模『启用和加速』：表示设备当前既有功能同时还有加速功能。适用于双方均是公网环境且无其他存在的环境，此时可以部署的模式为[网关模式]、[单臂模式]、[网桥模式]和[网桥多线路模式]。需先通过SANGFOR设备自带的IPSEC 功能建立连网关模两种服务模式下均支持[网关模式]部署，配置界面如下『LAN』是内网区域，用来配置设备的LAN口IP地址、子网掩码及接口MTU 和加速]时，WAN区可配置多条线路选择[只启用加速]时，WAN区需配置线路类型、IP地址、子网掩码、默认网关及MTU『线路类型』包括[以太网]、[PPPOE]、[DHCP]三种方式。如下图如果是通过PPPOE拨号方式上网，选择类型为PPPOE，配置界填写完[用户名]和[]信息后，注意勾上[启用自动拨号]，配置完毕点保存并生效保存设置，设备将重启所有服务，重新登录后点击开始拨号，则以后设备在断线后就可以自20、80、3，如下图：在以太网类型WAN口线路为固IP地址时IP绑定，可WAN口绑定多IP地址，如下图：掩码。如果DMZ口不使用，则可保留原有配置不动。IP2、WAN口通过多IP绑定地址不能用来连 单臂模两种服务模式下均支持[单臂模式]部署，选择[只启用加速]时，[单臂模式]配置界面如图选择[启 和加速]时，[单臂模式]配置界面如下图在启用[和加速]工作模式下单署时，若需要用到的单臂多线路，则还需以上所有配置完成后，均需点击保存并生效才能使配置保存注意1、在『只启用加速』时选择[单臂模式]，WAN口和DMZ口均不可用。2、单署的加速设备所处内网如果存在多个网段，则必须在『加速本地子网』及『本地子网』中添加内网各个P网段（但不能包括AN口本身所处网段。网桥模只有在[只启用加速]和[启用 和加速]的服务模式下，均支持[网桥模式]部署，[启用和加速]下的网桥模式部署参见网 模式和网桥多线路模式配置章节，纯加速[桥模式]部署配置界面如下图『网桥接口』用来选择两个口为网桥口，可供选择的有LAN(eth0)->WAN1(eth2)、『逻辑接口』用来设置网桥下的逻辑接口 地址、掩码以及网关『管理口』用来设置网桥下的管理接口IP地址，可以选择网桥下除网桥口之外的任意 位掩码情况下的网桥部署，需要勾选 位掩码环境]，此时配置界面如下图IP30IP地址可分，所以此逻辑接口工作IP地址可选用本端内网其他网段没有被使用的空闲IP地址。注意：1、网桥模式下LAN、WAN方向不能接反，否则加速无效；2、逻辑口IP地址必须和WAN方向的/路由器、LAN方向的交换机处于同一个网3、30位掩码环境下，逻辑接口的设置必须保证对端加速设备能正常该逻辑接口IP地址；4、管理口只能用来管理加速设备用，不支持加速设备通过管理口上网等其他用途双网桥模式只有在[只启用加速]的服务模式下，才支持[双网桥模式]部署，因此，配置前需先将服务模式切换为[只启用加速]，再选择部署模式为[双网桥模式][双网桥模式]部署配置界面如下图：和内网网关。『默认网关(WAN1/WAN2)』指的是加速设备WAN方向的其他设备接口IP地址，填写『默认网关(WAN1/WAN2)』的目的是为了让加速设备能和对端正常『启用链路同步』功能应用于加速设备双网桥模式部署在VRRP等双机环境，当一对网桥的某一个接口故障后，加速设备会自动把这对网桥对应的另外一个接口也断开连接，以此保证双机的正常切换和数据的正常传输。 位掩码情况下的双网桥部署，需要勾选 位掩码环境]，此时配置界面如下图此时只需要配置好Bridge1Bridge2的工IP地址即可，但30位掩码环境无多余IP地址可分，所以BR1和BR2的工作IP地址可选用本端内网其他网段没有被使用的空闲IP地址。双单臂模式只有在[只启用加速][双单臂模式][双单臂模式]部署配置界面如下图：IP设置』，用来与其它加速设备建立加速连接，同时需要配置两个单臂（Arm1Arm2）的『IP地址』、『子网掩码』和『默认网关』，还需要Arm1Arm2及工作IP可以在同一网段，也可以在不同网段，但需保证Arm1Arm2的地址能和内网正常通信，工作IP能与对端加速对端正常通信。网桥模在[启 和加速]的服务模式下，同样支持[网桥模式]部署，用来在网桥下对传输数据进行加密，配置界面如跟网桥模式下配置一样，设置好工作IP、子网掩码、默认网关，设置好管理口IP地址和子网掩码，设置DNS地址，点击保存并生效即可。SANGFOR的配置请参照3.4章节正常配置即可注意：网桥 模式只支持跟WOC8.0版本网桥模式的SANGFOR 支持标准IPSEC及跟第厂家进行 对接，也不支持跟其他版本其他署模式的SANGFOR对接注意：网 不支持PDLAN接入网桥多线路模式 的服务模式下，才能选择[网桥多线路模式]部署，因此，配置前需先将服务模式切换为[只启和加速]，再选择部署模式为[网桥多线路模式]，如下图与网桥模式部署配置类似，网桥 模式需要配置[逻辑接口]、[管理口]、[DNS]。其中网桥接口可以选择ETH0-ETH2或者ETH1-ETH3。工作IP作用和网桥模式下一样，用来与其它加速设备建立加速连接，配置方法和网桥 [线路类型]根据实际环境选择PPPOE、以太网、DHCP。这部分配置和 勾选[线路自动切换]，则策略路由功能失效，数据优先走网桥链路传输，当网桥链路故障时候会通过备份的链路传输。使用网桥 备份功能，正常情况下数据走网桥线路 对端，只有网桥线路不可用时才会切换到线路，当网桥线路恢复时又自动切回网桥线路对端。注意：1、网桥多线路模式下不支持在30位掩码环境网桥部署。2、网桥多线路模式不能和其他版本其他部署模式进行互连，只能在2个WOC8.0版3、网桥多线路模式不支持的场景包括：不支持PDLAN、DHCP，不支持部署在TRUNK链路中，不支持多线路，DMZ口不支持数据传输，不支持加速的网络透明，不支持SC配置下发仅支持接入SC中心端并在中心端上查看，备份线路不支持上网功能。加速本地子网主要用来设置SANGFOR加速设备所在网络中，内网的子网网段，如下图：需要添加加速本地子网，点新建，输入内网网段和掩码，点击确定，如下图1.加速单臂模式部署，内网除AN口所在的网段外，还有其它网段的PC或服务器需要与加速对端通信，这时必须在本地加速设备上添加『加速本地子网』，将除LAN口所在网段外的其它网段加入到本地子网列表中。2.加速服务端内网有多个网段，且客户端启用[客户端网关先抓取连接]时，必须在服务端的『加速本地子网』中添加本地内网网段（设备 口所在的网段不用添加用来把加速设备加入到内网的Windows域中，从而达到加速某些特殊应用（EXCHANGE）的目的。如下图『』用来设置Windows域的『域控制器』用来设置Windows域的域控制器名称（计算机名『用户名』用来设置登录Windows域的管理员帐号『』用来设置登录Windows域的管理员『确认』用来确认输入的Windows域管理员『首选DNS』设置为内网的域DNS『状态』用来显示当前加入Windows域的状态，加入成功时页面显示如下图点击重新加入域，该加速设备将加入到对应的Windows域中。点击退出域，该加速设备将退出已经加入的Windows域。点击重置，可以重新设置当前各项输入内容『委派选项』针对Kerberos认证设置，配置包括委派用户名，，IP等信息『委派用户名』填写域中具有委派属性，且有管理员权限的用户『』设置登录Windows域的委派用户的『确认』确认登录Windows域的委派用户的『委派下列IP』委派用户只对列表中的IP有『委派所有除了下列IP』委派用户对除列表中的IP外的所有IP有效只需要服务端WOC设备加入到Windows域即可，客户端WOC设备不用加入到 接口』用于设置加速设备中IPSEC 的IP及掩码，在开启 『内网设置』用来设置通告对端设备本端内网网段掩码。勾选了某个接口掩码，则这个接口所属掩码的网段才会被通告给对端。认地址就可以了，若出现IP的提示，则可以选择[指定]并配置任意一个不的IP。接口是加速设备的虚拟接口，外观上并不存在对应的真实物理接口。多线路设在网关模式下使用多条WAN口线路或者在单臂模式下启用 都需要在此处添加多条线路，同时可以对线路的信息进行增删和修改。『多线路设置』仅在[启和加速]的模式下可见。如下图点击新建，可增加线路，出现【编辑多线路】的框如下选择[出口线路]，按需求设置DNS信息，根据线路的状态设置[连接模式]，若有固定地址，需要勾选[具有固定InternetIP]，并配置固定IP地址，点确定，完成设置注意：当『线路类型』为以太网方式时，必须填写[DNS]，且所填写DNS地址必须为正常工作的公网DNS地址。如果为ADSL拨号等，则可不填。点击多线路设置界面上的高级，出现【多线路高级设置】框，如下图如想关闭多线路状态检测功能，可不勾选[启用线路检测]，此时假设各条线路都是激活且状态良好。注意：当 有多条线路时必须在此进行各条线路的设置，单条线路时无需在此进行设置。该设置主要用于解决WOC设备在只启用加速并选择为单臂模式且WOC的前置设备配置了相应的PBR时，因WOC设备故障引起环路从而导致数据无法正常通信的问题，配置界选择启用[NONE]，设备默认配置，即不启用任何特殊协议选择启用[CDP]用于启用设备的CDP协议支持功能。如下启用对CDP协议的支持主要用在加速设备[只启用加速]且选择[单署]的情况下，配合支持CDP协议的前置设备做策略路由使用。启用CDP后，在单臂加速设备出现故障时，由于前置设备CDP检测不到加速设备的存在，前置设备本身会使策略路由自动失效，自动恢复原有的数据流向，从而避免因为加速设备故障对网络造成影响。勾选[启用WV2]，开启W功能如下图点击新建，可以添加一个启用W 协议的路由器或交换机的IP地址，多个，则可以添加多个IP地址。如下图：『传输模式』用来设置加速设备跟路由器之间通信时的数据封装方式，一种为GRE，另一种为Layer2。GRE方式可以跨三层通信，而Layer2则只能在二层环境通信。具体采用何种传输模式，需要根据实际网络拓扑以及交换机或路由器支持的传输方式来决定。下表列出了CISCO设备支持的传输模式，其他品牌设备支持何种传输模式请咨询您的硬件设备供应商。CISCORedirectionandReturnISRand7200Catalyst6500withSup720orGREorCatalyst6500withGREorCatalystCatalyst*此表格数据参考，如发生变动，以 官网为准，恕不另行通知。『服务组ID』用来设置加速设备和路由器/交换机所属W服务组，只有属于相同服务组的设备才能正常使用W协议，因此这里需要和路由器/交换机上设置的服务组ID保『』用来设置W协议交互时使用的，不对将无法正常交互W协『数据流类型』可以选择TCP、UDP和ICMP三类，选择了什么类型，则路由器/交换机就把什么类型的数据给重定向到加速设备，没有选择的数据类型，则直接根据路由器/交换机的路由表进行转发。一般选择TCP类型数据，ICMP类型主要是在用/tracert命令测试W功能是否生效时使用，UDP类型主要是针对会议应用。『优先级』只有存在多个不同的服务组时生效。当不同的服务组具有相同的重定向策略时，则路由器/交换机选择优先级最高的服务组策略进行数据的重定向。如果只有一个服务组，『策略标记』在存在多个加速设备的时候，为了避免同一个IP向同一台服务器发起的多个连接被重定向到不同的加速设备上，则可以启用Hash策略，根据策略的不同来保证相同的数据始终只会被重定向到一台加速设备上。可以根据源IP、目的IP、源端口、目的端口来自由组合不同的Hah策略。如果只有一台加速设备，则可以不用配置。种。如果选择全端口模式，则TCP1-65535端口的数据全部被重定向到加速设备；如果选择应用端口模式，则只能对指定的8个TCP端口数据做重定向，端口和端口之间用逗号隔开。『路由设备地址』用来设置W交互的路由器/交换机IP地址，也就是『基本设置』勾选[启用]，点击确定，完成W W (WebCacheCommunicationProtocol)可以避免在 署加速设备时需要改交换机上路由表而导致的网络架构改动，并且因为W 协议本身就具有故障时快速恢复原有网络功能，从而保证了网络本身的健壮性。WOC设备以纯加速模式单署时，如果是H3C的交换机或者路由器并启用注意：W 、CDP或NQA只能启用其中一种，无法同时使用VLAN该设置仅在纯加速网桥模式下可见。如下勾选[启用VLANID设置]即开启VLANID设置。点击新建可添加VLAN策略，如下图『目的IP地址』用于填写该VLANID对应的地址必须先勾选[支持VLAN环境]才可以继续勾选[启用VLANID设置]。用于查看和配置WOC设备各个网口的工作速率及通信模式，如下图一般情况下，使用自动协商即可，当出现加速设备与其它设备网口不兼容的情况时，可手动设置网口速率及通信模式。路由设『路由设置』用于设置 加速设备的策略路由、静态路由以及动态路由，如下图主要用于设置WOC设备的策略路由条目，如下图『线路名称』用于设置策略路由线路名称『出口』用于设置策略路由的下一跳接点击启用将启用该条策略路由线路，或点击禁用来禁用该条策略路由线路勾选[链路故障检测]，则可以设置对该条策略路由线路进行检测，当线路检测异常时策略路由将无法生效。检测方法包括DNS探测和两种方式，可根据实际情况任意选择『检测间隔』用来设置该策略路由线路的检测间接着需要设置策略路由规则，如下图点击新建按钮，如下『源IP组』用于设置策略路由的源IP地址『目的IP组』用于设置策略路由的目的IP地址鼠标点中源/IPIP地址在下拉框中不存在，则需要点击右边的新增IP组按钮，跳转到『网络对象』→『IP组』页面进行添『规则描述』用于描述添加的策略路由规则点击选择应用，可以选择需要进行策略路由的具体应用，如下图『线路选择』用来选择策略路由规则的生效线路最后点击确定按钮，完成策略路由规则的添加注意：根据应用进行策略路由会出现TCP三次握手数据包因无法识别为具体应用导致对TCP三次握手的数据包策略路由不生效。SANGFORSANGFOR加速设备本身的数据点击新建，可添加一条静态路由，如下图『目的IP』：路由所到达的最终地址1加速设备网关模式部署，内网部署了三层设备且划分了多个网段，加速设备需要代理内网多个网段上网时，需要添加回包路由。2.加速设备网桥模式部署，内网存在多网段且采用[客户端网关先抓取连接]的方式建立加速连接时需要添加回包路由。由设备RIP路由信息的动态更新，如下图：[启用路由选择信息协议]：是整个动态路由更新功能的开关，激活后，加速设备会向所设置的内网路由设备通告已与本端建立连接的对端网络的信息。『IP地址』和『端口』：用于设置主哪个IP（路由设备IP）发布路由更新信息『触发定时更新』：勾选启用后，加速设备将定期发送路由信息加速设备本身不接收RIP路由协议的动态更新，当加速设备要跟其他启用了RIP协议的内网路由器通讯，则需要在加速设备上手动添加静态路由。用户管『用户管理』用于设置登录加速设备Web管理界面的管理员账号以及加速用户帐号， 用户]、[WebUI管理员用户]以及[WebUI只读用户]四种。如下图如果选择的是[WebUI只读用户]类型，则可以对这个帐号进行权限设置以及启用/禁用如果选择的是[加速网关用户]类型或者[加速PACC用户]类型，则表明该帐号是加速用PACC用户类型是备系统默认存在一个加速网关用户:Auto，该用户为加速网关自动发现用户，不能删和修改。勾选用户，并点击删除，可删除一个手动建的用户 用户，可以查看当前加速设备 页面管理员帐号的用户列表。如下图网络对IP『IP组』用来定义IP地址范围，可以按单个IP、IP范围以及子网网段来定义，以便『加速』→『服务端』→『加速策略』和『』→『过滤规则』→『规则』中调用这些定义好IP地址，如下图：点新建按钮，可新增一组IP，如下图填入名称、描述及IP地址『选择』用来决定是添加上面已经填入的IP地址还是自动解析。如果选择的是自动解析，则会根据下面所填的自动解析出IP地址，如下图所示：『重试次数』用来设置尝试解析的次数『』用来设置需要解析的地址 解析，则加速设备会自动将对应的IP地址解析出来并填入IP地址栏选择为[IP时]IP选择为[IP范围]时，每次可添加一段IP，界面如下选择为[子网]时，每次可添加一个子网网段，界面如下地址添加完成后，点击确定完成IP组设置『应用列表』用来定义各种应用所使用的协议和端口，以便在『加速』→『服务端』『加速策略』和『』→『过滤规则』→『规则』中调用。默认已经列出了一些常点新建按钮，定义一个应用，如下图『应用名称』用于标识这个应用『描述』用来描述这个应用再点新建，添加具体的协议和端口，如下图『端口类型』用于选择这个应用所使用的端口『端口操作』用于用户定义添加或排除端口的动作『起始端口』用于用户定义该应用的起始的端口或者要排除的起始端口『结束端口』用于用户定义该应用的结束的端口或者要排除的结束端口如果该应用还有其他端口，可以继续点击新建，添加该应用所使用的其他端口。最后点击确定完成应用列表设置。.1如何添加网络应用当需要配置内网权限或针对部分应用配置加速策略时，需要先在『应用列表』里添加一个相应的应用。本例介ERP应用的添加。在『应用列表』页面点击新建，输入应用名称和描述，如下图再点新建，填入该ERP系统所需要使用的端口或者端口范围，此例中为TCP8000，如点确定，完成设置，如下图再点确定，完成添加保存配置后，配置加速策略时，即可该应用，如下图点击新建，设置时间计划名称、描述以及选择生效的时间段，如下图加密算法设置用于定义WOC设备的加密算法，默认已经存在部分加密算法，如下图需要手动添加加密算法，可点击更新算法，选择相应的算法文件即可『DHCP设置』主要用于设置DHCP服务的一些参数，包括目标网口、DHCP网络配置『目标网口』可以选择是LAN口或DMZ口在『DHCP网络配置』中设置适当的网关IPDNS服务IP，一般情况下『网关』处填写的是加速设备的“LANIP”或“DMZIPDNS』则填写ISP所提供的DNS服务器IPWINS』服务器可根据内网的实际情况决定是否需要填写。『IP地址分配』设置DHCP所分配的IP地址范围，点击新增，可添加一段IP，如图1、填写的IP地址范围不要包含已使用的IP（包括设备LAN/DMZ口所使用的IP以免随机分配IP时产生IP2、一般情况下IP地址范围末尾为0和255的地址加上，这两个是网络地址和本网『保留IP地址』用于设置为某些计算机保留分配固定的IP地址，点击新增按【编辑DHCP保留IP】框，如下图『用户名』由用户自定义，可任意填写容易理解的名字『IP地址』填写需要保留分配给该用户的特定内网IPDHCP保留的条件可以根据用户电脑的『 地址』或者『机器名』来绑定勾选相应的选项，然后填写对应的“MAC地址”和“机器名”，也可点击根据IP获来获得对应的参数，点击确定保存『DHCP租期』选项用于设置DHCP的租约时间，可自行修改(1-1000分钟)，默认120最后勾选[用DHCP]可激活DHCP功能Syslog&『Syslog&SNMP』用来配置WOC设备的Syslog输出信息和SNMP输出信息，包含『Syslog『SNMP』和『 Traps』三个页，如下图『Syslog』用来把WOC设备产生的相关日志输出到外部的Syslog服务器中，如下图勾选[启用]开启Syslog输出功能『Syslog服务器』用来填写内网Syslog服务器的IP地址『SNMP』用于以SNMP协议输出WOCCPU持SNMPV1、SNMPV2和SNMPV3，如下图：『』用来设置SNMPV1/V2协议的字段『SNMP限制』用来设置允许连接WOC设备获取SNMP信息的外部主机『USM用户』用来设SNMPV3USM用户字段『验证』用来启用/关闭SNMPV3协议的验证功能，需要跟运行SNMPV3协『』用来设置验证信息的『加密』用来启用/SNMPV3SNMPV3协议的管理点击保存并生效用来保存配置信息点 MIB文件用来WOC设备的MIB库文件，方便导入第SNMP管理件该功能仅在启用了SNMP功能的情况下方可使用，如下图：点新建，填入字段、接收主机IP和使用的端口即可，如下图SC『SC设置』用于配置加入SC集中管理的基本信息，包括『账户设置『SC地址探SC设备网络位置』等，如下图『账户设置』填写加入SC中心端时的用户账号和『共享密钥』填写加入SC中心端的密钥，需与中心端的密『SC地址探测』填写SC中心端的WEBAGENT地址，点击测试，可测试连通性第 第用来设置SANGFOR 及『时间计划』四个子菜单，如下图：『『Webagent若服务端为动态IP，则Webagent必须填写为网页地址，一般为以.php结尾的Webagent服务器Webagent地址后可以点击测试，查看是否能够连通。若服务端是固定IP，请按照“IP地址:端口”的格式填写，如33:4009，如果有多条线路且均为固定IP，则可以使用“IP1#IP2:端口”的格式填写，如点击修

可以设置Webagent网页的，以防止用户往Webagent网页更新点击共享密钥可以设置连接时需要使用的共享密钥，防止设备接入注意：1.设置了[Webagent ]，一旦遗失 则无法恢复，只能联系深信服科客户服务中心重新生成一个不包含 的文件并替换原有文件2.设置了[共享密钥]，则所有 网点都必须设置相同的[共享密钥]才能相互连接并通信。Webagent最多支持4个固定IP，可以填写成“IP1#IP2#IP3#IP4:4009”格式。『MTU值』用于设 数据的最大MTU值，默认为1500，一般建议使用保留值『最小压缩值』用于设置启 压缩功能时，可压缩的数据包最小值，默认为100 端口』用于设 服务的端口，缺省为4009，可根据需要设置『修改MSS』用于设置UDP传输模式 数据的最大分片，建议勾选『MTU 『最小压缩值『修改MSS』一般情况下请保留默认值，如需设置，请在深信服技术支持工程师的指导下修改。[直连]、[非直连]用于设置加速设备与Internet的连接方式，如果能直接获得InternetIP或者能通过端口映射等方式让Internet用户可以到加速设备的端口，则可设置为[直点击高级，出现如下界面『广播包设置』用来设置是否在通道内传递广播包，可设置只传递指定端口范围『组播设置』用来设置是否在隧道内传递组播包，一些应用可能需要组播包点击确定，完成服务端的基本设置『用户管理』用于管理接入账号信息，可删除或新增用户，如下图点击检测DKey，将检测当前登录网关控制台的计算机是否插入了Dkey，插入Dkey需要安装Dkey驱动，用户可以

DKey驱动直

安装注意：生成DKey前必须安装好DKey驱动，否则计算机无法识别DKey硬件，为避免因程序导致 驱动无法正常安装，请在安装过程中关闭杀毒软件、等安全类程序。点击可对输入的用户名进行查找，以便对查找出来的用户进行编辑操作。查找到的点击高级查找可对查找的用户增加一些过滤条件，包括用户所属的用户组、组属性（用/禁用、用户状态（启用/禁用、用户类型（移动/分支DKey（启用/不启用、点击删除可对勾选的用户进行删除操点击新增用户可设置接入的用户信息，包括『用户名』『『描『算法』『类型』等，如下图使用Radius认证和LDAP认证之前，请先在『Sangfor 认证/LDAP服务器设置』或『 /第认证 服务器设置』里设置好对应的认证服务器『使用组属性』用于对用户进行分组，如勾选[使用组属性]，则可激活选择『用户组』设置，选择将该用户加入到某一个用户组并使用这个组的公共属性。设置[使用组属性]前请先新增用户组。用户加入用户组后，该用户的[加密算法]、[启用网上邻居]、[权限设置]、[高级]将无法单独设置。『绑定硬 』用于设置基于硬件特性 认证，启用后请选择对应此用户文件（*.id（的生成请参考小节算机的USB接口再点击生成DKEY。『启用虚拟P』用于给移动用户分配虚拟P。当选择用户类型为“移动”的时候，如果为该用户手动设定好一个虚拟内网IP地址（该IP必须在虚拟P池范围内，则该用户接入后，会使用这个P作为虚拟的内网P地址。如果虚拟IP设置为00.0.0，则系统会自动为该用户从虚拟P池中分配一个内网IP地址。『有效时间』和『启用过期时间』用于设置“接入账号”的有效时间及过期时间。如接入用户需要使用网上邻居服务，则必须勾选[启用网上邻居]。『启用压缩』用于设置对网关设备与该用户之间传输的数据使用压缩算法进行压缩该设置是SANGFOR 的独特技术，在低带宽的环境下能有效利用有限带宽，加速数据传输，但并不适用于所有网络环境，实际应用中可根据实际情况进行设置。『接入总部后该用户上网』只对移动用户生效。勾选该选项，则可以让移动用户在连通后，只能服务端内网，而不能互联网。『启用多用户登录』用于设置是否允许多个用户同时共用该账号登 『修改』用于设置移动用户是否能够在连上 ，不勾选表示允许用户自行修改。

LAN将服务右移，选择动作和生效时间即使用『LAN 服务』前，请先在『Sangfor /高级设置/内网服务设置』处添加所需服务。『高级』用于设置用户接入后的一些高级属性，包括选路策略设置、组播服务设置、隧道内流控设置、隧道内NAT设置。选路策略主要针对总部有多条公网线路，分支/移动用户接入使用多线路选路时的环境；组播服务主要是满足服务端和分支间有等需要组播协议支持的应用需求；隧道内流控主要是避免某个接入的分支流量过大的问题；隧道内NAT主要是解决两个内网网段相同的分支同时接入到服务端的地址问题。『选路策略设置』如下图选路策略设置详见3.4.3『多线路』小节『组播服务设置』界面如下组播服务设置详见『组播服务设置』小节『隧道参数设置』包括了隧道超时时间、动态隧道探测、隧道内流控等内容『时间时大包高下NOR以针对这些网络设置专门的超时时间，每个隧道的超时时间以服务端配置为准，默认超时时间为20s，『启用动态隧道速度探测，在本端或对端拥有多线路情况下有效，此时SANGFOR 『启用隧道内流控』用在多个分支或者移动用户接入时，为了避免其中某一个分支或者移动用户将服务端带宽全部占满导致其他分支或者移动用户速度变慢，可以针对每个接入的用户分配一个上下行带宽，从而保证所有用户都能得到较理想的速度。『启用隧道内流控』设置的限制值只是一个范围值，而不是准确值，例如：流控设为100k，则实际流量会控制在80-120k的范围内，在100k左右上下小幅波动。『隧道内NAT设置』：用于对多个的分支网段进行SNAT功能，可以实现在不修改只有分支类型的用户才能启用隧道内NAT功能。勾选[启用隧道内NAT]，启用隧道内NAT功能点击新增，即可在框中输入这条规则所需要匹配原子网网段、子网网段、子网掩码，也可以让设备自动从虚拟IP池中分配一个IP网段，如下图：1.配置时需要注意子网掩码一定要匹配，隧道内NAT只对掩码内的网段进行NAT，主机号保持不变。使用『高级』里的隧道内NAT功能前，请先在『SANGFOR 分支虚拟IP网段。所有配置完成后，点击确定，保存配置，即完成了『用户管理』中新增用户的设置点击新增组增加一个用户组，可设置用户组名称、描述以及组成员公共属性（包，勾选[启用网上邻居]，即给该用户组的用户启用网上邻居功能『内网权限』和『高级』跟新增用户里的『权限设置』和『高级』按钮一致，请参见新增用户里的对应描述。点击从LDAP中导入，可以从LDAP服务器中导入用（导入之前请先在『/第认证/LDAP服务器设置』页面中设置好LDAP服务器，具体设置请参见小节，导入的用户默认使用LDAP认证方式且不包含，如下图勾选需要导入的用户，选择用户类型是[移动]还是[分支]、属于哪个用户组、选择加密算法、是否启用压缩及网上邻居等选项后，点击导入，即可将用户从LDAP服务器中导入到加速设备中，如下图：点击导入文本TXT或CSV文件中导入用户信息，可以选择把用户导入到某个用户组并使用组属性以及用户类型（移动或分支。TXT文件的格式为“用户名,,”，用点击导入，并选择相应的TXT文件即可CSV文件格式同TXT文件，把英文逗号换成空列即可。如下点击导出用户可从设备上将用户导出到本地进行保存，并可选择导出的用户是加密还是不加密。如下图：IP『虚拟IP池』可创建移动用户虚拟IP池和分支用户虚拟IP池。界面如下移动用户虚拟IP池是指由SANGFOR加速设备指定某一段空闲的IP地址作为移动用户IPIP池中分配一个地址给该用户，该移动用户对服务端的任何操作都是以分配的IP作为源IP，同时还可以为接入的移动用户指定DNS等网络信息1.创建移动用户虚拟IP池，点击新增，选择类型为移动并配置IP地址段，如下图IPIPIPIP地址。如果使用的是任意指定的IP地址，请确保内网服务器有关于这些指定IP地址的路由条目交给SANGFOR加速设备，否则会导致移动用户接入服务端后无法正常服务端内网服务器。IP池后，在『Sangfor/用户管理』新建用户，用户类型选[移动]，如设备从虚拟IP池中选择一个空闲IP分配给移动，也可以为移动用户指定某个固定的虚拟IP。2、创建分支虚拟IP分支虚拟IP池指由SANGFOR加速设备指定任意的一段IP作为接入后的虚拟段，解决两个拥有相同网段的分支同时通 接入到服务端时IP的问题分支虚拟IP池中的虚拟IP段提供给分支接入到服务端时将分支的原网段替换成虚拟IP池中的一个网段，以解决当两个相同网段的分支同时接入到服务端时的内网IP问题。点击新增，选择类型为[分支]，设定虚拟P的开始IP、结束IP（点击计算可以自动计算出符合要求的结束IP、掩码和分支的网段数。如下图：『起始IP』IP段的第一个IP地址『结束IP』IP段的最后一个IP『计算』：自动计算虚IP段的最后一个IP地址『子网掩码』：虚拟IP段的子网掩码。与分支端子网掩码保持一致『网段数』：需要多少个虚拟IP段然后在『高级/隧道内NAT设置』里配置需要转换的分支网段。点击『虚拟IP池』的高级选项可以设置要分配给移动客户端虚拟网卡上的虚拟IP子网 注意：设置了高级选项后，移动客户端电脑中的虚拟网卡“SANGFOR networkadapter”必须设置为自动获取IP和DNS，否则『高级』里面设置的内容不会分配到移动客户端的虚拟网卡上。点新建，可以添加一个到服务端的连接。如下图所示『连接名称』和『描述』用于标记连接名称，可以任意填写『主/备份Webagent』用于填写需要连接的服务端对应的Webagent地址，点测试可以测试Webagent是否工作正常，结果如下所示：测试请求均是从本机发起的而不是设备发起的。如果 是 形式，测成功代表该网页存在，否则网页不存在。如果webagent采用固定IP方式，则测试成功代表填IP:PORT格式正确。『传输协议』：可选[TCP]或[UDP]，用于决定传 数据包的封装类型，默认为传输模式『数据加密密钥『用户名』和『』：根据服务端提供的接入账号信息来填写 三种模注意：跨运营商功能需要额外序列号激活否则该功能无效。如果是设备和设备之间互连，则双方都需要开启跨运营商功能才能使用，如果是软件用户和设备互连，则只需要设备开启跨运营商功能即可。点击内网服务，可以对对端进行权限设置，即指定对端只能本端的设置完以上信息后，勾选[启用]选项即激活该连接。最后点击确定按钮保存设置信息若需要对启用隧道内 功能的网点设置内网服务，不管是在服务端设置还是在分支设置都必须使用NAT后的网段。SANGFOR加速设备提供了功能强大的多线路选路策略，可基于多条线路的况，动态的在多条线路中选择最优线路进行传输，并且可以设置多条线路同时进行传输，从而既能保证数据始终在连接状态较好的线传输，又能保证数据在多条链路同时传输，提高了线路的利用率，如下图：点新建，弹出【多线路策略编辑】框，如下图2条或多条线路之间的延时差距均小于此阀值，则认为主线路组中这些线路全部都为好线路，数据将同时在这些线进行传输；如果主线路组中有线路和其他线路之间的延时差距大于此阀值，则认为该线路为差线路，则数据不从该线传输。此阀值只对主线路组内所有有线路的连接全部断掉时，会自动切换到备线路组进行连接，以确保连接的可靠性。当主线路中的线路恢复时，将切回主线路组进行数据传输，以达到最佳传输效果。情况下不传输数据，只有当主线路组内的全部连接均断开的情况下，才会通过备线路组内的线路进行数据的传输。输数据时的流量分方式，分为按会话平均分配和按包平均分配。[按会话平均分配]指隧道内一个会话始终通过一条链路传输，多个会话才会平均分配到多条链路同时传输。[按包平均分配]指对每一个数据包都在不同的传输链进行轮询，从而把数据包平均分配到不同的链进行传输。图第认SANGFOR加速设备支持对于 接入用户采用第认证方式来提高 全性，支持LDAP和RADIUS认证两种方式，如下图：SANGFOR加速设备的服务支持使用第LDAP认证。如需要启用第认证，请在『LDAP服务器设置』中正确设置第LDAP服务器信息（包括LDAP服务器IP、LDAP服务器端口、LDAP管理员，如下图：设置好LDAP服务器信息后 高级，显示【LDAP高级设置】框，按照际需求设置LDAP高级信息，如下图入校验时都是使用查询来查询并校验的，只有有当查询为空的时候才用根，导入用户的时候使用用户根来导入，点击测试，输入一个域用户及，如果测试成功，则LDAP配置正确，如下图点确定完成配SANGFOR加速设备的服务支持使用第Radius认证。如需要启用第Radius认证，需在『Radius服务器设置』中正确设置第Radius服务器信息（包括Radius服务器IP、Radius服务器端口、Radius认证共享密钥、Radius认证协议，如下图：高级设和『生成』五个菜单，如下图：段）的情况下，接入用户需要与服务端内网的其它子网互访时使用。点新建，可以新增加一个内网网段，输入内网IP网段和掩码即可。如下图：内网服务设置SANGFOR加速设备可以为接入的用户指定相应的权限，可以限制分支用户内网的某个IP或某个移动用户只能内网的特定计算机的特定服务和与第设备互连时设置出入站策略的服务参数。例如：仅允许用户est服务端OA服务器的80端口，对OA服务器其它服务的请求都将被；仅允许分支用户内网的一个IP服务端的SL服务器，分支内网其它IP的请求将被等等。通过适当的权限设置对服务进行即可实现隧道内的安全管理，如下图：点击新建，可根据协议类型手动添加内网服务，如下『名称』和『描述』可自定义，方便管理即可『协议』选择要定义的内网服务所使用的协选择[TCP列表]或[UDP列表]IPIP范围，目选择为[ICMP协议]，可设置源IP范围和目的IP范围，如下图所有配置完成后，点击确定保存配置组播服务设置为满足VOIP和会议等应用，SANGFOR加速设备支持组播服务在隧道间传输。在这里可以定义组播的服务，IP范围是-55，端口范围是1-65535。如下图：点击新建，出现【组播服务编辑】框，如下图定义好组播服务后，在『 /服务端/用户管理』里新建用户，然后在『高级组播服务设置』里启用并选择对应的组播服务，如下图使用『 』→『用户管理』→『高级』里的组播服务前，请先在『』→『服务端』→『基本设置』→『高级』中勾选[启用组播]。如下图隧道间路SANGFOR加速设备提供了强大的隧道间路由功能，通过设置隧道间路由，可 点新建，可以添加一条隧道间路由，如下图『源网络』：用来设置隧道间路由的源IP地址段『目的网络』：用来设置隧道间路由的目的IP地址『目的路由用户』：用来选择隧道间路由条目的目的用户（例如，A跟B之间建立了连接，使用的是用户“A”，现在A想通过B到C，则对A设备而言，目的路由用A勾选[启用]，则该条隧道间路由勾选[通过目的路由用户上网]，则所有通过该设备的Inernet流量都将被发往隧道间路由所指目的路由用户，通过目的路由用户把流量转发至nernet。启用通过目的路由用户上网功能时，接入端设备必须部署为网关模式，段设备网关、单署均可新建隧道间路由之前，需先确认在该加速设备的『Sangfor 』->『服务端』->『用户管理』中已经建好了用户，否则将无法创建隧道间路由。点击确定，再点击保存并生效，保存配置。生成基于硬件特性的认证是深信服公司的发明专利之一。SANGFOR加速设备也采用了该技术用于不同节点之间的认证。该提取了SANGFOR加速设备部分硬件特性生成加密的认证。由于硬件特性的唯一性，使得该也是唯一的、不可的。通过点击生 ，选择保存路径，即可生成硬件并保存到本地计算机，如下图将生成好 发给服务端管理员，由服务端管理员在新建用户账号的时候选绑定硬件，将用户和对应的硬件进行绑定即可，如下图『 连接』包括『第一阶段』、『第二阶段』以及『安全选项』三个页，如下图第一阶『线路出口』，选择通过哪条出口线路与对端进行IPSEC协商点击新建，如下图『名称』用来自定义第一阶段策略名『模式』用来选择第一阶段协商所使用的模式，包括主模式和野蛮模式注意IPSec只支持路由模式部署，不支持网桥和单臂模式部署。标准IPSec也不支持双方都为动态InternetIP的环境。『描述』用来描述策『地址类型』包括静态IP、动态IP以及动态三种『ISAKMP加密算法』用来选择第一阶段的加密算法，包括DES、3DES、AES、SANGFOR_DES只有双方都是SANGFOR设备时才可以使用。『ISAKMP认证算法』用来选择第一阶段的认证算法，包括MD5和SHA-1『预共享密钥』用来设置协商双方的共享密钥『D-H群』用来设置协商双方的 man群，包括GROUP1、GROUP2GROUP5『 存活时间』用来设置第一阶段策略的生存期，只支持按秒计时『重试次数』用来设置第一阶段协商时的重试次数『ID类型』只在野蛮模式下出现，用于设置野蛮模式第一阶段ID类型，包括和USER_FQDN两种类型，需跟对端设备上设置互相匹配『我方ID』用来设置我方设备第一阶段ID，需跟对端设备上对方ID配『对端ID』用来设置对端设备第一阶段ID，需跟对端设备ID匹配勾选[NAT-T]选项，在野蛮模式下启用NAT探测，避免有一方设备处于NAT之后导致标准IPSEC协商失败。勾选[启用]选项，则此策略设置完成后立即生效。点击确定后保存并启用规则。第二阶『出站策略』用于设置从本端发往对端的数据包规则，点击新建，新增策『名称』用来自定义出站名称『服务』用来选择允许的出站服务『描述』用来描述策『源IP类型』用来设置允许本端对端的IP地址或IP地址段『对端设备』用来选择对端设备，该设备在第一阶段中进行定义『安全选项』用来选择双方协商时的安全策略，在『安全选项』页中进行配置『 保活时间』用来定义第二阶段策略的生存期时间，只支持按秒计时勾选[启用该策略]PFS，则需同时勾上[启用密钥完美向前]。点击确定后保存并启用规则注意：如果启用了PFS，则必须保证对端 设备上第一阶段设置的DH组和第二阶段设置的DH组要一致，否