深信服M5100AC管理手册.docx

目录系统配置 2网关运行模式配置 2内网接口配置 12外网接口配置 15网关运行状态 17限制IP登录 18路由设置 18系统路由设置 19策略路由设置 21NAT规则设置 23防火墙规则设置 27QoS功能设置 31访问控制和监控 35用户认证方式设置 35IP-MAC认证用户设置 43WEB认证用户设置 45访问控制组 48系统配置网关运行模式配置[网关运行模式配置]用于设定ac硬件网关的工作模式,可把ac硬件网关设定为,路由模式,透明模式,网桥模式和旁路模式。设置界面如下:         选择[路由模式],[透明模式],[网桥模式],[旁路模式]。点击[设置生效]保存配置,然后ac硬件网关会自动重启,[确定]。重启后,ac硬件网关的运行模式即改变生效。      [路由模式]是把ac硬件网关作为一个路由设备使用,一般是把ac硬件设备放在内网网关出口的位置,代理局域网上网;或者把ac硬件设备放在路由器后面,再代理局域网上网。如下图所示:      ,局域网内电脑的网关都是指向ac硬件网关的lan口ip或指向三层交换机,三层交换机的网关再指向ac。上网数据由ac硬件网关做nat或路由转发除去。   、lan应设置不同网段的ip。   ,可以把wan2自定义成一个lan2或dmz2。   -vlan地址后,lan口可以接支持vlan的2层交换机的trunk口,ac可以在vlan间转发数据(单臂路由),并可做lan[-]lan方向的防火墙规则,即可以控制不同vlan-id之间的访问控制。      透明模式是把ac硬件网关视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用。把ac硬件网关接在原有网关及内网用户之间,在原网关及内网用户不需做任何配置改变的情况下,对ac硬件进行一些配置即可使用。对原网关及内网用户而言,亦不知ac硬件网关的存在,即所谓对原网关及内网用户透明。如下图所示:      ,局域网内电脑的网关都不需要改变,保留指向原有网关即可(即指向前置设备的内网接口ip)。   ,必须为ac硬件网关的wan、lan设置同一网段的ip,ac硬件设备的网关指向原有网关(即指向前置设备的内网接口ip)。   ,必须保证原有网关及内网用户间只有唯一的物理线路连接,且ac硬件网关正是串接在这条唯一的物理线路连接上。即不能存在内网用户可[绕过]ac硬件设备,到达原有网关的物理线路。   ,ac硬件网关的wan2和dmz口不起作用,亦不能配置。只有wan1和lan1是可用的。且要保证wan1口接前置的路由设备,lan口接内网的交换机,不能接反。   (osi第三层)上实现的透明,是通过arp欺骗技术实现的,可能会影响内网某些基于数据链路层(osi第二层)或基于mac地址的应用,请慎重启用ac硬件网关的透明模式功能。例如原有网关不能启用ip/mac绑定及dhcp等需要第二层数据穿透的功能。   。   -mac绑定和vpn功能可用。   ,这会在内网引起arp欺骗,导致通讯异常。   ,启用网关杀毒、邮件过滤等功能,或ac需要自动升级url等内置库时,需要正确设置前置设备规则(防火墙、路由等),保证ac设备可访问外网。   ,因为透明模式只能穿透网络层的数据,需要穿透数据链路层数据的应用在此模式下没法正常工作。一般只在需要这种网络部署又要用到vpn功能时才启用透明模式,否者强烈建议使用网桥模式。如需要用vpn的情况下,建议使用路由模式。      网桥模式和透明模式类似,是把ac硬件网关视为一条带过滤功能的网线使用,一般在不方便更改原有网络拓扑结构的情况下启用。把ac硬件网关接在原有网关及内网用户之间,在原网关及内网用户不需做任何配置改变的情况下,对ac硬件进行一些配置即可使用。对原网关及内网用户而言,亦不知ac硬件网关的存在,即所谓对原网关及内网用户透明。网桥模式和透明模式的主要区别是,网桥模式是可以穿透数据链路层的数据,对用户做到完全透明。一般在这种网络拓扑下强烈建议用网桥模式。如下图所示:      配置界面如下图所示:      ,局域网内电脑的网关都不需要改变,保留指向原有网关即可(即指向前置设备的内网接口ip)。