深信服M-5100-AC管理手册

目录系统配置...........................................................................................................................................2网关运行模式配置...................................................................................................................2内网接口配置.........................................................................................................................12外网接口配置.........................................................................................................................15网关运行状态.........................................................................................................................18限制IP登录............................................................................................................................18路由设置.........................................................................................................................................19系统路由设置.........................................................................................................................19策略路由设置.........................................................................................................................21NAT规则设置.........................................................................................................................23防火墙规则设置.....................................................................................................................26QoS功能设置.........................................................................................................................30访问控制和监控.............................................................................................................................34用户认证方式设置.................................................................................................................34IP-MAC认证用户设置............................................................................................................43WEB认证用户设置................................................................................................................45访问控制组.............................................................................................................................48系统配置网关运行模式配置[网关运行模式配置]用于设定ac硬件网关的工作模式，可把ac硬件网关设定为，路由模式，透明模式，网桥模式和旁路模式。设置界面如下：选择[路由模式]，[透明模式]，[网桥模式]，[旁路模式]。点击[设置生效]保存配置，然后ac硬件网关会自动重启，[确定]。重启后，ac硬件网关的运行模式即改变生效。a．路由模式[路由模式]是把ac硬件网关作为一个路由设备使用，一般是把ac硬件设备放在内网网关出口的位置，代理局域网上网；或者把ac硬件设备放在路由器后面，再代理局域网上网。如下图所示：1.ac硬件网关工作在路由模式时，局域网内电脑的网关都是指向ac硬件网关的lan口ip或指向三层交换机，三层交换机的网关再指向ac。上网数据由ac硬件网关做nat或路由转发除去。2．wan、lan应设置不同网段的ip。3．如果wan2口没有被使用，可以把wan2自定义成一个lan2或dmz2。4．lan口配置802.1q－vlan地址后，lan口可以接支持vlan的2层交换机的trunk口，ac可以在vlan间转发数据（单臂路由），并可做lan[-]lan方向的防火墙规则，即可以控制不同vlan－id之间的访问控制。b．透明模式透明模式是把ac硬件网关视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用。把ac硬件网关接在原有网关及内网用户之间，在原网关及内网用户不需做任何配置改变的情况下，对ac硬件进行一些配置即可使用。对原网关及内网用户而言，亦不知ac硬件网关的存在，即所谓对原网关及内网用户透明。如下图所示：1.ac硬件网关工作在透明模式时，局域网内电脑的网关都不需要改变，保留指向原有网关即可（即指向前置设备的内网接口ip）。2.ac硬件网关工作在透明模式时，必须为ac硬件网关的wan、lan设置同一网段的ip，ac硬件设备的网关指向原有网关（即指向前置设备的内网接口ip）。3.ac硬件网关工作在透明模式时，必须保证原有网关及内网用户间只有唯一的物理线路连接，且ac硬件网关正是串接在这条唯一的物理线路连接上。即不能存在内网用户可[绕过]ac硬件设备，到达原有网关的物理线路。4.ac硬件网关工作在透明模式时，ac硬件网关的wan2和dmz口不起作用，亦不能配置。只有wan1和lan1是可用的。且要保证wan1口接前置的路由设备，lan口接内网的交换机，不能接反。5.ac硬件网关的透明模式是在网络层(osi第三层)上实现的透明，是通过arp欺骗技术实现的，可能会影响内网某些基于数据链路层（osi第二层）或基于mac地址的应用，请慎重启用ac硬件网关的透明模式功能。例如原有网关不能启用ip/mac绑定及dhcp等需要第二层数据穿透的功能。6.在透明模式不要启用nat功能。7.在透明模式下ac本机的ip-mac绑定和vpn功能可用。8.不要把设备的wan1口和lan接到同个交换机，这会在内网引起arp欺骗，导致通讯异常。9.有前置设备情况下，启用网关杀毒、邮件过滤等功能，或ac需要自动升级url等内置库时，需要正确设置前置设备规则（防火墙、路由等），保证ac设备可访问外网。10.一般不建议把设备切换到透明模式，因为透明模式只能穿透网络层的数据，需要穿透数据链路层数据的应用在此模式下没法正常工作。一般只在需要这种网络部署又要用到vpn功能时才启用透明模式，否者强烈建议使用网桥模式。如需要用vpn的情况下，建议使用路由模式。c．网桥模式网桥模式和透明模式类似，是把ac硬件网关视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用。把ac硬件网关接在原有网关及内网用户之间，在原网关及内网用户不需做任何配置改变的情况下，对ac硬件进行一些配置即可使用。对原网关及内网用户而言，亦不知ac硬件网关的存在，即所谓对原网关及内网用户透明。网桥模式和透明模式的主要区别是，网桥模式是可以穿透数据链路层的数据，对用户做到完全透明。一般在这种网络拓扑下强烈建议用网桥模式。如下图所示：配置界面如下图所示：1.ac硬件网关工作在网桥模式时，局域网内电脑的网关都不需要改变，保留指向原有网关即可（即指向前置设备的内网接口ip）。2.ac硬件网关工作在网桥模式时，wan口和lan口桥接起来了。wan和lan口处于同一个交换域内，相当于交换机的两个接口。wan口和lan口的ip不可配置。网桥模式下内外网接口配置在配置界面上也隐藏起来了。设备可配置一个网桥ip（此为设备的一个虚ip），用于设备本身的上网或把设备的日志同步到数据中心，要保证有路由到达公网或数据中心的电脑。3.ac硬件网关工作在网桥模式时，必须保证原有网关及内网用户间只有唯一的物理线路连接，且ac硬件网关正是串接在这条唯一的物理线路连接上。即不能存在内网用户可绕过ac硬件设备，到达原有网关的物理线路。4.ac硬件网关工作在网桥模式时，ac硬件网关的wan2不起作用，亦不能配置，dmz口可配置一个管理ip。穿透数据时只有wan1和lan1是可用的。且要保证wan1口接前置的路由设备，lan口接内网的交换机，不能接反。5.ac硬件网关的网桥模式是在数据链路层(osi第二层)上实现的透明，是通过把ac的wan1口和lan口桥接实现的。数据链路层及以上各层的数据均可穿透。原有网关启用ip/mac绑定及dhcp等需要第二层数据穿透的功能能正常使用。6.在网桥模式不要启用nat功能。7.在网桥模式下ac本机的ip-mac绑定和vpn功能不可用。8.不要把设备的wan1口和lan接到同个交换机，这相当于把一根网线接到交换机的两个口，会引起二层上的环路，导致通讯异常。9．如启用杀毒、邮件过滤等功能或要让设备能够自动升级url库，内容检测，病毒库等，则须配置需设置网桥ip，默认网关和dns，并保证ac本身访问外网（可通过升级控制台工具ping测试）。10.如启用web认证、准入规则或其他需要重定向到ac网关上的功能，同时内网有多网段时，须添加到内网非直连网段的路由指向内网路由设备。11.如果二层交换机上的pc有多个网段（非vlan），网关上也有多个网段的ip。ac如启用杀毒，邮件过滤，准入规则和web认证等需要重定向到ac上的功能时要把这几个网段的ip也配置到[网桥模式]多ip绑定]里。否则可不配置。12.网桥模式时，ac网桥支持vlantrunk穿透，网桥的ip地址支持802.1q-vlan的地址。即ac网关可以透明接在vlantrunk的主干道上。点击[网关模式设置\vlan设置]可以设置网桥模式支持vlantrunk。弹出如下的vlan设置对话框：在这里可以勾选[启用vlan]，添加vlanid与ip地址之间的对应关系。如启用杀