精品深信服m5100ac手册.docx

精品深信服m5100ac手册.docx

《精品深信服m5100ac手册.docx》由会员分享，可在线阅读，更多相关《精品深信服m5100ac手册.docx（34页珍藏版）》请在冰点文库上搜索。

精品深信服m5100ac手册

深信服M-5100-AC管理手册

系统配置

网关运行模式配置

[网关运行模式配置]用于设定ac硬件网关的工作模式，可把ac硬件网关设定为，路由模式，透明模式，网桥模式和旁路模式。

设置界面如下：

   选择[路由模式]，[透明模式]，[网桥模式]，[旁路模式]。

点击[设置生效]保存配置，然后ac硬件网关会自动重启，[确定]。

重启后，ac硬件网关的运行模式即改变生效。

   a．路由模式

   [路由模式]是把ac硬件网关作为一个路由设备使用，一般是把ac硬件设备放在内网网关出口的位置，代理局域网上网；或者把ac硬件设备放在路由器后面，再代理局域网上网。

如下图所示：

   1.ac硬件网关工作在路由模式时，局域网内电脑的网关都是指向ac硬件网关的lan口ip或指向三层交换机，三层交换机的网关再指向ac。

上网数据由ac硬件网关做nat或路由转发除去。

   2．wan、lan应设置不同网段的ip。

   3．如果wan2口没有被使用，可以把wan2自定义成一个lan2或dmz2。

   4．lan口配置802.1q－vlan地址后，lan口可以接支持vlan的2层交换机的trunk口，ac可以在vlan间转发数据（单臂路由），并可做lan[-]lan方向的防火墙规则，即可以控制不同vlan－id之间的访问控制。

   b．透明模式

   透明模式是把ac硬件网关视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用。

把ac硬件网关接在原有网关及内网用户之间，在原网关及内网用户不需做任何配置改变的情况下，对ac硬件进行一些配置即可使用。

对原网关及内网用户而言，亦不知ac硬件网关的存在，即所谓对原网关及内网用户透明。

如下图所示：

   1.ac硬件网关工作在透明模式时，局域网内电脑的网关都不需要改变，保留指向原有网关即可（即指向前置设备的内网接口ip）。

   2.ac硬件网关工作在透明模式时，必须为ac硬件网关的wan、lan设置同一网段的ip，ac硬件设备的网关指向原有网关（即指向前置设备的内网接口ip）。

   3.ac硬件网关工作在透明模式时，必须保证原有网关及内网用户间只有唯一的物理线路连接，且ac硬件网关正是串接在这条唯一的物理线路连接上。

即不能存在内网用户可[绕过]ac硬件设备，到达原有网关的物理线路。

   4.ac硬件网关工作在透明模式时，ac硬件网关的wan2和dmz口不起作用，亦不能配置。

只有wan1和lan1是可用的。

且要保证wan1口接前置的路由设备，lan口接内网的交换机，不能接反。

   5.ac硬件网关的透明模式是在网络层（osi第三层）上实现的透明，是通过arp欺骗技术实现的，可能会影响内网某些基于数据链路层（osi第二层）或基于mac地址的应用，请慎重启用ac硬件网关的透明模式功能。

例如原有网关不能启用ip/mac绑定及dhcp等需要第二层数据穿透的功能。

   6.在透明模式不要启用nat功能。

   7.在透明模式下ac本机的ip-mac绑定和vpn功能可用。

   8.不要把设备的wan1口和lan接到同个交换机，这会在内网引起arp欺骗，导致通讯异常。

   9.有前置设备情况下，启用网关杀毒、邮件过滤等功能，或ac需要自动升级url等内置库时，需要正确设置前置设备规则（防火墙、路由等），保证ac设备可访问外网。

   10.一般不建议把设备切换到透明模式，因为透明模式只能穿透网络层的数据，需要穿透数据链路层数据的应用在此模式下没法正常工作。

一般只在需要这种网络部署又要用到vpn功能时才启用透明模式，否者强烈建议使用网桥模式。

如需要用vpn的情况下，建议使用路由模式。

   c．网桥模式

   网桥模式和透明模式类似，是把ac硬件网关视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用。

把ac硬件网关接在原有网关及内网用户之间，在原网关及内网用户不需做任何配置改变的情况下，对ac硬件进行一些配置即可使用。

对原网关及内网用户而言，亦不知ac硬件网关的存在，即所谓对原网关及内网用户透明。

网桥模式和透明模式的主要区别是，网桥模式是可以穿透数据链路层的数据，对用户做到完全透明。

一般在这种网络拓扑下强烈建议用网桥模式。

如下图所示：

   配置界面如下图所示：

   1.ac硬件网关工作在网桥模式时，局域网内电脑的网关都不需要改变，保留指向原有网关即可（即指向前置设备的内网接口ip）。

   2.ac硬件网关工作在网桥模式时，wan口和lan口桥接起来了。

wan和lan口处于同一个交换域内，相当于交换机的两个接口。

wan口和lan口的ip不可配置。

网桥模式下内外网接口配置在配置界面上也隐藏起来了。

设备可配置一个网桥ip（此为设备的一个虚ip），用于设备本身的上网或把设备的日志同步到数据中心，要保证有路由到达公网或数据中心的电脑。

   3.ac硬件网关工作在网桥模式时，必须保证原有网关及内网用户间只有唯一的物理线路连接，且ac硬件网关正是串接在这条唯一的物理线路连接上。

即不能存在内网用户可绕过ac硬件设备，到达原有网关的物理线路。

   4.ac硬件网关工作在网桥模式时，ac硬件网关的wan2不起作用，亦不能配置，dmz口可配置一个管理ip。

穿透数据时只有wan1和lan1是可用的。

且要保证wan1口接前置的路由设备，lan口接内网的交换机，不能接反。

   5.ac硬件网关的网桥模式是在数据链路层（osi第二层）上实现的透明，是通过把ac的wan1口和lan口桥接实现的。

数据链路层及以上各层的数据均可穿透。

原有网关启用ip/mac绑定及dhcp等需要第二层数据穿透的功能能正常使用。

   6.在网桥模式不要启用nat功能。

   7.在网桥模式下ac本机的ip-mac绑定和vpn功能不可用。

   8.不要把设备的wan1口和lan接到同个交换机，这相当于把一根网线接到交换机的两个口，会引起二层上的环路，导致通讯异常。

   9．如启用杀毒、邮件过滤等功能或要让设备能够自动升级url库，内容检测，病毒库等，则须配置需设置网桥ip，默认网关和dns，并保证ac本身访问外网（可通过升级控制台工具ping测试）。

   10.如启用web认证、准入规则或其他需要重定向到ac网关上的功能，同时内网有多网段时，须添加到内网非直连网段的路由指向内网路由设备。

   11.如果二层交换机上的pc有多个网段（非vlan），网关上也有多个网段的ip。

ac如启用杀毒，邮件过滤，准入规则和web认证等需要重定向到ac上的功能时要把这几个网段的ip也配置到[网桥模式]多ip绑定]里。

否则可不配置。

   12.网桥模式时，ac网桥支持vlantrunk穿透，网桥的ip地址支持802.1q-vlan的地址。

即ac网关可以透明接在vlantrunk的主干道上。

点击[网关模式设置\vlan设置]可以设置网桥模式支持vlantrunk。

   弹出如下的vlan设置对话框：

   在这里可以勾选[启用vlan]，添加vlanid与ip地址之间的对应关系。

   如启用杀毒，邮件过滤，准入规则和web认证等需要重定向到ac上的功能时才需要配置这个ip，否则不配置vlanip也可以。

   d.旁路模式

   旁路模式实现监控控制的功能的同时，可以完全不需改变用户的网络环境，并且可以避免ac对用户网络造成中断的风险。

用于把ac接在交换机的镜像口或者接着hub上，对最整个局域网进行旁路模式的监控与控制。

这种模式对用户的网络环境完全没有影响，即使down机也不会对用户的网络造成中断。

网络拓扑如下图所示：

   在[网关运行模式]里面可以把ac设置为旁路模式运行，如下图所示：

   左边为管理网口（dmz口）的ip地址配置，要使能用控制台或者升级系统连接ac进行管理，必须正确设置该网口的ip地址和网关，并且网线要接着dmz口上。

   右边为要监控的网段和排除的网段列表。

由于旁路时只需一根网线把ac的lan口或wan1口接在hub或者交换机的镜像口上，ac并不知道哪些属于内网外网的地址，因此在[监控网段列表]里面出现的地址，ac就认为是内网地址进行记录，不在该列表的地址则不记录。

[排除地址列表]主要是当一个地址本来属于[监控网段列表]里面的地址，但是又想把该地址不记录,此时就需要该地址输入到[排除地址列表]里面，即[排除地址列表]里面的地址不做记录。

这里划分内网外网主要是只有数据是内网外网之间的交换数据时，才会进行监控记录，而内网之间的数据交换不会记录。

要想记录内网自己交换的数据，必须勾上复选框[监控内网自己传输的数据]。

   1.用户必须使用hub或者交换机具有镜像口的情况。

如果交换机没有镜像口，可以在交换机前加接hub实现。

   2.旁路模式下，流量显示，会话连接数功能不起作用。

   3．旁路模式下，ipmac认证无效。

   4．旁路模式下，监控内网之间的数据的时，会把一个tcp连接的数据的回包也记录下来，比如a访问b的80端口，网络监控日志里不光有a到b80端口的数据，也会有b到a的一个随机端口的数据。

   5．旁路模式下，使用代理，要在旁路上绑定和代理网段同一网段的ip地址（或者有路由能够到达此ip），使其发送的reset包能都被pc和代理服务器收到。

（发reset包给代理服务器）

   6．旁路模式的很多路由模式下的功能没有实现，比如vpn、dhcp和准入规则等。

   7．旁路模式主要起监控的作用，限制的功能没有路由模式和网桥模式那么全面。

只能对tcp的连接进行限制，比如url过滤，关键字过滤，邮件过滤等。

对udp的没法限制，比如p2p软件，qq的登录等。

内网接口配置

[内网接口配置]用来设定每个内部网络接口网卡的ip地址，掩码等基本网络属性。

分为lan,dmz两种接口。

   [lan接口]：

这是防火墙要保护的区域，包括全部的内部网络设备及用户主机。

这个区域是防火墙的可信区域。

   [dmz（非军事区）接口]：

它是从企业内部网络中划分的一个小区域，在其中就包括内部网络中用于公众服务的外部服务器，如web服务器、邮件服务器、ftp服务器、外部dns服务器等，它们都是为互联网提供某种信息服务。

防火墙将该区域的服务开放给wan的同时还提供对该区域的攻击保护。

   设置界面如下图所示：

   根据需要，在[lan接口]及[dmz接口]设置ac硬件网关lan、dmz口所需的ip地址及掩码，再点[设置生效]保存配置即可。

（dmz口不使用时，则可保留原有配置不动）如有需要，可点击[多ip绑定]可为ac硬件网关的lan口绑定多个ip，界面如下：

   单击[增加]出现如下界面：

   如内网的交换机跟ac直接相连的接口启用了trunk，则可在lan配上各个vlan的ip还有vlanid。

   单击[vlan设置]按钮，把各个vlan的ip和vlanid都增加到设备上，界面如下：

   单击[增加]，出现下图：

   lan口配置802.1q－vlan地址后，lan口可以接支持vlan的2层交换机的trunk口，ac可以在vlan间转发数据（单臂路由），并可做lan[-]lan方向的防火墙规则，即可以制不同vlan－id之间的访问控制。

可用于兼容vlan（802.1q）下的网络环境。

   [内网接口配置]中还需要选定vpn所包含的网络，即哪部分内网需要被vpn对端用户访问。

   如果仅需将lan区加入到vpn网络，则将[dlan的内网接口]勾选选为[lan接口]；如果也需要将dmz接口加入到vpn网络，则许再勾选[dmz接口]为[dlan的内网接口]，并设置相应内网的[子网掩码]信息。

   [dlan的子网掩码]一般要求和内网子网掩码一致，如果lan中还有其他vlan或ddn网络，而又不方便设置多子网，可以修改dlan的子网掩码，将这些网络也包进来。

   如果重新设定了lan口或dmz口，会导致网络中断，设备重启，请重新登录。

外网接口配置

在[外网接口配置]中设置外网线路的上网方式，包括wan1和wan2接口等。

如下图：

   先选择[线路]，然后设定[线路类型]，包括[以太网]、[拨号（adsl）]两种方式。

   选择[以太网]方式，则需设定ip地址、掩码、网关、dns等信息，根据实际情况，或isp所提供的ip地址信息进行设置。

   点击[多ip绑定]可为ac硬件网关设备的wan口绑定多个公网ip，如下图所示：

   单击[增加]出现下图：

   如果是adsl上网，[线路类型]选[拨号]，在设置界面填写完[用户名]和[密码]信息后，注意勾上[自动拨号]，配置完毕点[确定]保存设置，设备会重启，重新登录后点击[开始拨号]，则以后设备在断线后[自动重拨]了。

如下图：

   ac硬件网关设备支持多线路时，则设置完[线路1]后，选择其它线路继续设置。

   点击[高级配置]按钮可配置拨号属性，建议值入下图：

   单击[线路属性]可设置线路的上下行带宽。

入下图所示：

   1.线路属性用于qos判断线路带宽的依据，请按实际情况填写。

   2.用户只需填入上下行带宽，其他值请在深信服客服部门指导下修改。

   分配策略：

适用于多线路版本，可选择带宽在线路上的分配策略。

   点击[分配策略]按钮，出现以下对话框，此处是设定整个设备对外网线路选择的策略，每个选项的详细介绍可以参照对话框上的帮助提示。

网关运行状态

   [网关运行状态]用来查看网关的工作状态。

可以查看[cpu的使用率]，[外网ip地址]，[网络流量]等，还可以设定是否[允许远程维护]。

如果勾选[允许远程维护]，那么可以通过internet登录ac硬件硬件网关进行设置，点[设置生效]即可。

[允许网关自动更新]用于网关设备的自动更新。

   如果外网线路是通过前置设备共享上网的，则[允许远程维护]后，需要在前置上网设备做控制台管理端口tcp1970的端口映射及开放防火墙规则。

限制IP登录

[限制ip登录]用于设定能登录ac硬件网关的内、外网ip，以限制非法用户从不被授权的ip地址来登录ac硬件网关。

设置界面如下所示：

   勾选右下角的[启用]即可激活[限制ip登录]功能，点击[新建]按钮，输入[能登录ac硬件网关的机器ip]，[确定]并[设置生效]即可。

   如果启用[限制ip登录]，则在设置[能登录网关的机器ip]时，必须确保该ip合法有效，且应该记住这些ip，否则[限制ip登录]功能生效后，不在该ip范围内的ip都不能登录。

路由设置

系统路由设置

sinforac硬件网关提供的[系统路由设置]功能，类似于windows系统自带的路由功能，具体设置的路由只对ac硬件网关自身生效。

设置界面见下图：

   点击[新建]按钮，出现下图:

   [系统路由设置]主要用于实现两种功能：

   1.代理多网段上网时添加回包路由

   2.设备单臂工作时添加默认路由

   3.对于内部机器上网分流路由和vpn内部进行多子网路由时要在[vpn配置/路由设置]内添加。

   a.代理多网段上网时添加回包路由

   当企业内网有多个网段，且这些内网网段都想通过sinforac硬件网关共享上网时，需要添加[系统路由]，以实现把不同网段电脑的数据包，ac硬件网关都能把数据包回给正确的内网交换路由设备。

   举例设置如下：

公司内网有两个网段192.168.1.x和192.168.2.x，两个网段通过三层交换机互连互通，各网段内电脑网关指向三层交换机各自网段的网关192.168.x.254，ac硬件网关的lan口ip为192.168.1.1，放在192.168.1.x网段，并配置wan口连接internet。

   现192.168.1.x和192.168.2.x网段都想通过ac硬件网关作为公网出口，共享上网。

   由于192.168.2.x网段和ac硬件网关的lan口（192.168.1.1）不在同一网段，则ac硬件网关需要添加[系统路由]，以把192.168.2.x的数据包发回给内网三层交换机192.168.1.254来处理，最终才能回到192.168.2.x网段的电脑上。

配置如下：

   a、添加多个[代理网段]：

包括192.168.1.0/24和192.168.2.0/24。

（具体设置参照[防火墙/nat规则设置/代理网段配置]。

）

   b、添加[系统路由]：

192.168.2.0/24－》192.168.1.254，配置见下图,

   b.设备单臂工作时添加默认路由

   某些特殊的情况下，需要让设备单臂工作。

所谓单臂工作是指设备wan口不使用，只在lan口接线来工作。

此时由于wan口不工作，wan口不能配置网关，而lan口设置也配置不了网关，所以，必须通过[系统路由设置]来添加一条默认路由。

该默认路由为：

0.0.0.0/0－》gateway，配置如下图：

策略路由设置

sinforac硬件网关提供的[策略路由设置]功能，主要用于ac硬件网关具有多条外网线路时，根据源/目的ip、源/目的端口、协议等条件，设定基于某些策略的路由，以确定从哪条外网线路作为外网出口，实现[手动选路]功能。

设置界面见下图：

   点击[新建]按钮，出现[策略路由新建/修改]对话框如下：

   [规则名称]可随便填写需要的文字。

   [源ip]和[目的ip]填写策略路由匹配数据包时所需的源ip、目的ip。

支持四种方式设定源/目的ip：

单个ip、ip范围、子网、所有。

   [协议]选择数据包的协议，可选择为tcp、udp、icmp和other。

[协议]选择tcp/udp时，需要在下面设定[源/目标端口]；选择other时，需要设定[协议号]。

   [源端口]和[目标端口]填写策略路由匹配数据包时所需的源端口、目的端口。

   [目标线路]选择当匹配上面策略路由条件时，选择哪条线路作为外网出口发送数据包。

   例如：

ac硬件网关有两条外网线路，线路1为电信线路，线路2为网通线路，想实现上网[分流]时，可设定类似的[策略路由]规则，见下图：

   这里假设网通的地址段都在221.199.32.0/20，所以设定[目标ip]为221.199.32.0/20，[目标端口]为80时，数据包都走[目标线路]为线路2的策略路由。

   通过[上移]和[下移]按钮可调节路由的匹配顺序，相同条件的路由，在上面的优先匹配。

   1.如指定的目标线路不可用，ac会自动把数据切换到可用线路上。

   2．如需要网通路由表，可联系深信服科技客服部门。

取得路由表后,单击[导入],选择[二进制文件],单击[确定],选择文件导入即可，如下图示：

防火墙设置

NAT规则设置

[nat规则设置]包括[代理网段设置]和[端口映射设置]两个部分。

如下图：

   a.代理网段设置

   [代理网段设置]是用来设置防火墙代理局域网上网的网段，即：

snat（源地址转换）规则。

在此我们可以添加需要ac硬件网关代理上网的网段，缺省状态下该设置不包含代理网段信息，要手动添加。

代理上网规则，如下图所示：

   例如：

要建立一条代理局域内所有人上网的规则，假设局域网ip地址为：

192.100.100.0/255.255.255.0，那么我们步骤如下：

   点击[新建]，出现[新建snat规则]对话框，为代理网段取一个[名称]，可随便填写，只做标识用。

选择好[网口]，即输出网口或直接勾选[应用于所有wan口]，即输出到所有可用的外网接口。

填写[转换条件--源ip地址]，即要代理上网的网段，在这里我们填写192.100.100.0，[子网掩码]:

255.255.255.0。

[转换条件—目标ip]一般留空，代表所有的公网ip，只在要指定到某段目的ip走某条线路等特殊应用时才填写这项。

[转换条件--协议]一般也留空，代表所有的协议，只在要指定到某些协议走某条线路等特殊应用时才填写这项。

[转换源ip地址为]一般是勾选[使用接口地址]即可，如要指定转换为接口的某个ip，可直接填写该ip。

最后点击[确定]，并[设置生效]即可。

   如下图所示：

   请开放lan-]wan的相关防火墙规则。

   b.端口映射设置

   有时在局域网内有服务器需要向internet提供服务，那么就需要在网关上做[端口映射设置]。

sinforac硬件网关也提供了这样的功能。

设置界面如下：

   例如，现在内网有一台ip为192.100.100.61的电脑要对外网提供web服务，所使用的端口为80，那么我们的步骤为：

   1：

在[端口映射设置]中[新建]一条映射规则。

[名称]可随便填写，便于标识为原则。

[网络接口]指输入的网口。

[转换条件--源ip地址]一般留空，指来自公网的所有ip。

[转换条件--目标ip地址]为要映射的公网ip，如果外网接口的ip是动态（adsl）的或想使用wan1口的ip，可直接勾选[使用接口地址]。

[转换条件--协议]，[协议]:

tcp,[源端口]：

所有，[目标端口]:

80到80。

[转换目标ip为]:

192.100.100.61,[转换目标端口为]：

80到80。

最后确定并设置生效就行了。

见下图：

   1.如果不勾选[转换条件--协议]即对该ip进行全部映射，全部映射是在wan口绑定有多个ip时才能使用，一般情况下不能启用。

   2.在[防火墙规则设置/wan﹤=﹥lan]中[新增]一条允许从任意外网ip访问本地ip192.100.100.61的80端口的放行规则。

见下图：

防火墙规则设置

[防火墙规则设置]是防火墙中对数据包访问进行具体设置的地方，ac硬件网关提供lan[=]dmz、dmz[=]wan、lan[=]wan,lan[=]lan,dmz[=]dmz之间总共10个方向的互访过滤规则设置。

   a.lan﹤=﹥dmz

   此界面用于设置lan口与dmz口之间互访的规则，可以开放使用某种协议的所有服务也可是自己所定义的某个特定的服务。

   例如我们想要使lan与dmz口之间完全互通并且能够使用ping命令进行测试，那么我们就要在两个方向上开放所有的tcpudp以及icmp访问规则。

出厂时缺省内置了lan=]dmz方向上放