深信服ac设备部署要点

作者简介：刘晓冬（冬瓜）深信服公司资深工程师，对金融、政府行业有一定了解，一直专注于安全与优化领域，联系方式：。深信服AC设备部署三种部署模式必配点特殊环境部署说明AC典型功能配置详述312路由模式1.选择路由模式；2.自定义网口类型（LANWANDMZ）(让AC知道哪些是上网的数据，LAN/DMZ>WAN方向的数据是上网数据)3.配置LAN口IP地址；4.配置WAN口IP/网关/DNS（或ADSL账号/密码）5.DMZ口一般保持默认；6.配置NAT（代理内网上网）（代理网段支持VLSM与CIDR）（代理多个网段可在防火墙>NAT代理上网设置）7.如果客户内网是三层环境还需要配置“静态路由”添加到内网各个网段的路由（网关地址（下一跳）：配成与ACLAN口相连的三层交换机的IP）8.如果内网是三层环境要实现跨三层绑定MAC地址，需要配置“认证选项”>“跨三层MAC识别”；注意：客户内网是三层环境时，需要在与AC相连的三层交换机上做缺省路由，指向AC的LAN口；网桥模式1.选择网桥模式（多网桥/网桥多网口）2.定义LAN区与WAN区接口（用于设备区分数据流向LAN-WAN）3.配置网桥IP/网关/DNS4.配置DMZ口(默认是ETH1，实际任何空闲口都可做DMZ口）5.如果AC需要上网，需配置AC的网关/DNS，网关指向AC前面的防火墙设备接口IP。6.如果AC要完成重定向提示页面功能，需要添加到内网各网段的静态路由。7.如果内网是三层环境要实现跨三层绑定MAC地址，需要配置“认证选项”>“跨三层MAC识别”。8.如果AC没有空闲的IP可用（防火墙与核心交换机之间是30位掩码）需要配置DMZ口进行管理。（DMZ口IP：可配成三层交换机某网段的一个IP，并配置默认路由（4个0）下一跳指向DMZ口IP所属网段的网关）9.网桥IP作用：设备管理IP用、AC到公网更新内置规则库用、给内网用户发重定向提示页面；旁路模式1.选择旁路模式2.配置DMZ管理口的IP/网关/DNS（AC上网与发重定向提示页面需要配置网关与DNS）3.配置内网监控网段与监控服务器网段。（作用：源IP在监控网段内AC认为是内网来的数据，目的地址不在监控网段，就说明是访问外网的数据）4.需要客户交换机支持镜像功能，将需要监控的流量镜像过来。5.旁路模式我们只用DMZ口（ETH1）做管理口，其他口都可以做为监听口（可有一个或多个监听口），并且监听口无需任何配置。6.旁路管理口作用：设备管理、与外置数据中心同步、TCP控制时发reset包。三种部署模式必配点特殊环境部署说明AC典型功能配置详述321双机环境部署概述：（一台主设备处于正常工作状态，另一台备设备处于监听状态）配置流程：配置双机相关参数--将主备机连接好--选择一台做主机先加电--主机启动完成后通过心跳线将配置同步到备机。备机只需配置双机相关参数，其他配置通过主机同步即可。路由模式：两AC通过心跳线（全反线）将console口连接，AC的内外网口各自连接到内外网的二层/三层交换机的同一个VLAN接口上。网桥模式：心跳线连接两设备的console口。与单台设备网桥模式下类似。旁路模式：心跳线连接两设备的console口。交换机上设置两个相同的镜像口用于连接到两AC的监听口。两AC的管理口需要连接到交换机同一个VLAN的接口上。双机参数配置说明网络配置--双机维护--启用双机服务。设备名称：自定义超时时间：双机自动切换的超时时间，默认10秒。检测网口：勾选需要检测的网口的连接状态，如果检测的网口断开连接则自动发生主备切换，（设备暂时不用的网口不要勾选，否则设备会频繁切换）启用串口故障检测：启用该项后，当串口发生故障（如串口线掉）可以通过此处选择的网口发送网络数据包来检测对端设备的存在。如果串口线掉了，很可能会导致两台设备同时切换为主机，为避免IP冲突，会自动将一台设备切换为备机。（此处选择的网口必须接在同一交换机上，否则无效）升级模式：启用该功能的目的是在对设备进行升级时，关闭主备机切换功能，避免升级过程中发生主备切换，设备升级完成后务必关闭升级模式。主备切换：用于手动切换到主机或者备机。

双机配置注意事项两AC设备，软件版本和硬件型号要一致。两AC设备，配置完全一样，包括接口配置（序列号除外）切换部署模式、恢复备份的配置、修改系统时间等会导致设备重启，建议开启升级模式。两AC设备，可同步在线用户的状态，双机切换后内网用户无需重新认证。特别说明：多机环境部署：(基本用网桥模式部署)在设备，网络配置--多机同步--启用多机同步，即可配置简单此处略过。

内网有代理服务器部署代理服务器双网卡：（AC路由或网桥模式部署）保证内网发往代理服务器的数据先经过AC设备，即代理服务器部署于AC的WAN口方向。将AC设备的IP在客户端电脑的IE代理排除列表里排除掉。在AC“代理服务器设置”选项中填入代理服务器的IP。（AC旁路模式部署）需要在AC“代理服务器设置”中填入代理服务器的IP，其他与一般情况相同。特别说明：如果“代理服务器设置”列表为空，AC默认会对所有的代理数据进行检测，影响设备处理效率。建议在列表中填入代理服务器的IP，这样只有发往此列表的数据才会被AC检测并进行上网权限控制。内网有代理服务器部署代理服务器单网卡：（AC网桥模式部署）方案1：在防火墙、代理服务器与核心交换之间增加一台二层交换机。或将代理服务器迁移至防火墙接口上（如果原代理服务器与防火墙内网口不在同一VLAN，则需重新规划FW或代理服务器网段的IP）将AC网桥部署在核心交换与新增的二层交换机之间，确保上网数据只一次通过AC设备。在AC“代理服务器设置”中填入代理服务器的IP。方案2：将AC网桥部署在单臂代理服务器与核心交换机之间。联系800修改系统后台配置（这种部署上网数据两次经过设备，如果不修改后台，在线用户列表会出现公网IP）在AC“代理服务器设置”中填入代理服务器的IP。（系统配置>高级配置>代理服务器设置（添加代理服务器IP地址））TRUNK环境部署说明（AC设备本身不支持VLAN的划分）路由模式：可以将设备LAN口配置为trunk接口1.启用LAN口的VLAN功能，LAN口IP不属于任何VLAN的IP（该IP可任意配置）2.分别填写各个VLAN的ID及IP（IP是原来出口设备上各VLAN的网关IP）3.若要实现各VLAN间数据互访，需要方通LAN-LAN防火墙规则。网桥模式：支持trunk封装数据的穿透，不支持在AC上划分VLAN1.网桥IP设置一个不属于任何VLAN的IP，（该IP可任意配置）网桥的网关指向任意一个可以上网的VLAN的网关。2.网桥配置启用VLAN，并按格式填写各VLAN信息（IP是各VLAN分配给AC的IP，并配置正确的DNS）3.如果多网桥，分别配置即可；三种部署模式必配点特殊环境部署说明AC典型功能配置详述231策略路由与多线路选路策略路由：依据数据包的，源/目IP、源/目端口、协议等进行线路选择（仅路由模式支持）网络配置>策略路由>新增（例：网上银行对源地址进行检查的场景）多线路选路：依据每条外网线路的，上下行带宽、平均分配带宽、优选前面的线路（仅路由模式支持）网络配置>策略路由>外网线路分配策略进行配置。说明：以上两种选路策略均支持线路故障切换，恢复再切换回来的功能。防火墙与DOS攻击防火墙规则：控制AC各个网口转发数据的开关；基于IP与端口进行数据包的转发控制（类似传统的四层防火墙）代理上网：（SNAT）一个网段一个网段的配置代理上网。端口映射：（DNAT）常用来实现客户内网有服务器要发布到公网或内网用户要通过公网IP访问内部服务器的需求。要勾选“防火墙自动放行数据”选项。当内网用户也需要用公网IP访问内网服务器时要勾选“发布服务器”IP是ACLAN口IP。防DOS攻击：阻止对设备本身的攻击、阻止内网某些PC对外网发起的攻击。客户无要求不建议开启（内网网段要么留空，要么填全，否则遗漏的网段将无法上网）上网策略配置上网策略：（6类）上网权限策略（能做什么）上网审计策略（做了什么）上网安全策略（危险行为识别、插件/脚本过滤等）终端提醒策略（上网时间/流量提示、公告页面等）流量配额与时长控制准入策略（组织外线路检测、加密IM聊天内容审计等）上网策略匹配规则：1.不同类型策略匹配顺序同截面顺序(上面)2.相同类型策略由上往下进行匹配如果一个组关联多条不同模块的策略，只要一个模块拒绝则拒绝；如果一个组关联多条相同模块的策略，则由上往下匹配，匹配第一条策略；说明：一条权限策略过来后先看“端口控制”而非“应用控制”注意；流控功能配置（基于DPI与DFI技术）1.可流控什么：网络应用（P2P/P2P流媒体/文件下载/MEDIA/HTTP应用/邮件等）网站类型文件类型2.流控对象是谁：用户组/用户、单IP或IP段。3.流控策略三要素：带宽数值、网络应用、流控对象。4.配置：1.线路带宽配置（路由模式）2.启用流量管理系统，新增流量管理通道（带宽通道设置/通道适用范围）3.（10Mbps=10*1024/8=1280KB/S）1.定义虚拟线路与设置虚拟线路带宽（网桥模式）（外网多线路总和）（但多网桥建议分别设置总带宽，做细化的流量管理）2.添加流量管理策略。流控功能配置1.流量子通道设置要求：子通道适用对象必须从属于一级通道适用对象（用户/用户组）适用应用也要从属于一级通道生效线路与一级通道一致带宽不能大于一级通道2.流量通道匹配原则：由上往下，一个一个匹配（子通道也会匹配）流量通道对“排除策略”中的应用不起流控作用。3.测试时不要用迅雷下载音乐软件，此类可能为单线程下载，不在我流控范围之内。4.虚拟线路是网桥模式才有的概念，它可以基于协议，内网/外网IP，端口，网桥来定义（“虚拟线路规则”中定义）。5.每一级通道都会对应一个默认通道，所有未匹配到其他通道的数据都会匹配默认通道。6.单用户上限说明：父通道和子通道的单用户上限可以分别设置，如果匹配的条件一致，则取两者之间的最小值。组织外线路检测通过在AC上设置合法的网关列表，当用户的网关不在列表中时，可以检测到并采取措施；勾选“失去与本设备连接后继续检测”指：PC离线后走非法网关上网，也做记录；注意事项：只记录，不拒绝且要到数据中心查看效果若PC不安装或卸载了准入客户端，则不受AC监控只检查网关是否合法，不检