深信服ac-1200配置手册.doc

附件五上网行为管理AC--1200。设备功能根据用户提出的应用需求,AC-1200在本系统中的设计功能是对网络资源进行合理的分配,并对内部工作人员的上网行为进行规范,以及对防火墙的功能进行必要的补充。-1200产品外形AC-1200产品外形和接口信息如图1所示。图1AC-1200产品外形和接口信息网络连接与管理方式AC-1200的ETH0(LAN)口通过透明网桥的方式与核心交换机CISCO4506的GE3/1连接,加入本地局域网络。ETH2(WAN1)口与路由器CISCO2821,连接。ETH1(DMZ)端口作为WEB管理端口连接到核心交换机的G3/30。设备端口IP地址分配见表1。本设备只提供WEB管理方式。通过网络连接到WEB管理端口,打开浏览器,在地址栏输入,进入管理页面输入用户名和密码,单击“登录”,即可进入管理界面,如图2所示。表1设备端口IP地址分配表接口IP地址描述ETH0(LAN)透明模式与核心交换G3/1连接ETH1(DMZ)(WEB管理)ETH2(WAN1).1WEBUI界面登录后看到的是WEB管理的首页,包含左侧的功能菜单栏和右侧的状态信息显示。如图3所示。、管理员帐户、系统时钟等信息。,如图4所示。,另创建了一个gtyl管理员帐户,其权限与admin相同。图5所示为管理员帐户列表。图5管理员帐户列表如需对管理员帐户进行配置,直接单击蓝色用户名,如需创建新管理员,单击左上角“新增”图标,即可进入创建页面。。,除病毒库未购买升级服务,网关补丁不需购买服务外,其他服务都在2012年4月7日到期,到时可根据实际情况决定是否购买。在服务期内的项目已全部设置自动升级。,如图8所示。本次设置未启动该项目,今后可根据实际应用自行设置。,ETH0(LAN)和ETH2(WAN1)之间配置网桥,线路从路由器连接到WAN1口,LAN端口连接到核心交换机的VLAN1端口,配置DMZ为管理端口,加入VLAN5,。如图9列表所示。,此处不做配置。。(拒绝服务攻击)是通过发送大量请求,耗尽服务器资源,使得合法请求得不到响应。本设备防DOS攻击设置如图10所示。,中毒的客户端不断向内网发广播包,严重影响局域网的通讯,甚至断网。本设备防ARP欺骗设置如图11所示。,病毒库为2011-03-31之前,已设置全部杀毒功能。如图12所示。。我们配置上、下行线路带宽均为10240Kbps(10Mbps)。如图13所示。。通过添加不同的通道,并对他们进行网络带宽的分配,可以使符合该通道策略的应用得到带宽的保证或限制。通道配置如图14所示。图14通道配置配置列表中的项目,除上班时间流量管理是我们这次添加的项目,其余均为系统根据实际情况已制定的通道。此次配置将全部应用启动。下面已低延时保障为例,说明配置参数。如图15和图16所示。图15低延时保障通道配置图16低延时通道应用范围从图16可以看出,本设置适用于实时性较高的应用,如网游、股票行情和交易等。从图15可以看到,系统预留20%的带宽保证这类应用的流量需求。实际操作中,我们添加了一个命名为上班时间流量限制的通道,以此为例,讲解添加配置步骤。首先,单击图14左上角的加号“添加通道”。如图17所示,我们设置通道为限制通道,最大上、下行带宽为50%,优先级为低,并且设置单IP资源不超过50Kbps。在通道适用范围中,我们设置为适用于所有应用,适用对象为临时人员(自动获取IP地址的人员)