AF1210深信服网关配置
图1:SANGFOR NGAF前面板(以NGAF 1210为例)
1.CONSOLE(控制)口 2.ETH1 3.ETH2 4.ETH3 5.ETH4 6.ETH5 7.MANAGE(管理)口
其它型号 管理口 可能是 ETH0口,此型号 管理口 是 MANAGE口
CONSOLE(控制)口仅供开发和测试调试使用。最终用户需通过管理(MANAGE)口接入设备。
告警灯在设备启动期间是红灯长亮的。一般一两分钟后红灯熄灭,说明正常启动。如红灯长时间不熄灭,请关闭设备等待5分钟后重新启动。如果还是长亮,请联系客服部门确认是否设备损坏。正常启动后,有时红灯会闪烁,这是正常现象,红灯闪烁表示设备正在写系统日志。
2.1.情景说明
酒店有一根100M的外网(专线),10台办公电脑,100间客房(100个ap)。
(1).酒店专线信息:
Ip: 202.158.175.50
掩码:255.255.255.252
网关: 202.158.175.49
DNS1: 211.167.97.67
DNS2: 219.233.241.166
(2).深信服各接口信息:
Eth2:202.158.175.50/30(外网专线)
Eth1:10.22.177.0/24(办公网段)
Eth0:172.16.0.0/22(客房网段)
(3).酒店服务器信息:
2.2单设备接线方式
连接电源线,打开电源开关
请用网线将深信服MANAGE(eth 0)口与笔记本电脑连接,对AF设备进行配置。
请用网线将深信服ETH2口与Internet接入设备相连接,如光猫、光纤收发器。
固定笔记本的ip 为10.251.251.251 掩码为255.255.255.0 其它不动
2.3、登录设备
AF使用的是HTTPS协议的标准端口登录。初始登录从MANAGE(ETH0)口登录,
登录的URL为:https://10.251.251.251
3、配置与管理
3.1、接口配置
【导航菜单】→『网络配置』→『接口/区域』→『物理接口』,
开始配置>
点击ETH2口,界面如下
:
勾选启用,描述输入“外网”,类型选择路由模式,所属区域点击下拉按钮选择wan口,如没有wan,则点击新增区域,操作界面如下:
勾选WAN口,勾选允许PING。
选择静态ip,静态ip地址栏输入外网ip地址及子网掩码。
下一跳网关地址输入外网网关地址。
点击ETH1口,界面如下:
操作如上图,WAN口不要勾选,下一跳网关不填。
点击ETH0口,界面如下:
操作和ETH1口一样,注意静态IP地址栏内eth0的默认管理ip10.251.251.251无法删除,删除保存会报错,添加内网ip即可。
3.2、地址转换
【导航菜单】→『防火墙』→『地址转换』页面
点击新增,选择源地址转换,出现如下界面:
勾选启用,名称输入代理上网,源区域选择dmz和lan,ip组选择全部。
目的区域选择wan,IP组选择全部。源地址转换,转换为选择出接口地址。
3.3、添加路由
【导航菜单】→『网络配置』→『路由』页面
点击新增,选择单个静态路由,界面如下:
目的地址输入0.0.0.0,子网掩码:0.0.0.0 ,下一跳ip地址输入外网网关地址,接口选择外网口eth2口。
3.5、 DNS配置
【导航菜单】→『网络配置』→『高级网络配置』→『DNS』页面,输入外网的DNS,界面如下:
3.4、DHCP配置
【导航菜单】→『网络配置』→『高级网络配置』→『DHCP』
在【DHCP服务接口列表】中选择需要设置DHCP的接口。
[点击]ETH0口
租期(分钟):240
网关:172.16.0.1
子网掩码:255.255.252.0
首选DNS:211.167.97.67
备用DNS:219.233.241.166
DHCP IP地址范围:172.16.0.40-172.16.3.254
[点击]提交
[点击] ETH1
租期(分钟):240
网关:10.22.177.1
子网掩码:255.255.255.0
首选DNS:211.167.97.67
备用DNS:219.233.241.166
DHCP IP地址范围:10.22.177.40-10.22.177.100
[点击]提交
3.5、设置策略
【导航菜单】→『内容安全』→『应用控制策略』页面,
[点击]新增
[勾选]启用
规则名称:permit_any(放通所有)
源:
网络对象:全部
区域:dmz、lan、wan全部选择
端口:选择全部
目的:
网络对象:全部
区域:dmz、lan、wan全部选择
服务/应用:
勾选应用,选择全部。
生效时间:全天
动作:允许
点击确定。
建立客房拒绝访问办公策略:
[点击]新增
[勾选]启用
规则名称:lan2dmz
源:
网络对象:全部
区域: lan
端口:全部
目的:
网络对象:全部
区域:dmz
服务/应用:
勾选应用,选择全部。
生效时间:全天
动作:拒绝
点击确定。
3.6、设置组/用户(新增工作组和客房组)
【导航菜单】→『认证系统』→『用户管理』→『组/用户』页面
成员管理>
[点击]新增>组
组名列表:工作组
[点击]提交
[点击]进入『认证系统』→『用户认证』→『认证策略』页面
勾选开启用户认证。
[点击]新增>组
名称:工作组
策略适用IP/MAC范围:10.22.177.1-10.22.177.254
认证方式:不需要认证/单点登入[点选]
新用户选项:添加到指定的本地工作组中
选择组:[点击]工作组
[点击]提交
[点击]新增>组
名称:客房组
策略适用IP/MAC范围:172.16.0.2-172.16.3.254
认证方式:不需要认证/单点登入[点选]
新用户选项(新用户指本地不存在的账号)
添加到指定的本地工作组中
选择组:[点击]客房组
[点击]提交
3.7、限速
【导航菜单】→『流量管理』页面
[点击]虚拟线路配置
[点击]线路1
外出接口:选择eth2
上行100Mbps 下行100Mbps
[点击]提交
【导航菜单】→『流量管理』页面
[点击]虚拟线路配置
[点击]虚拟线路规则
点击新增
全部默认,点击提交。\\如不启用虚拟线路规则,则虚拟线路带宽配置无法生效。
『流量管理』→『通道配置』页面
启用流量管理系统【勾选】>新增通道> 启用通道[勾选]>带宽分配
通道名称:工作组
[点击]带宽通道设置
生效线路:线路1
保证通道[点选]
上行带宽:保证10% 10Mbps \\保证办公组上行有10Mbps左右。
最大10% 10Mbps
下行带宽:保证10% 10Mbps \\保证办公组下行有10Mbps左右。
最大10% 10Mbps
优先级:高
[点击]通道使用范围
适用应用:所有应用
适用对象:用户[点选]>工作组[勾选]
[点击]确定
带宽分配>新增通道>
启用通道[勾选]
通道名称:客房组
[点击]带宽通道设置
生效线路:线路1
限制通道[点选]
上行带宽:最大90% 90Mbps
下行带宽:最大90% 90Mbps
优先级:中
启用限制单IP最大带宽勾选
上行:5Mbps \\根据酒店外网带宽及房间数合理限速。
下行:5Mbps \\根据酒店外网带宽及房间数合理限速。
[点击]通道使用范围
适用应用:所有应用
适用对象:用户[点选]>客房组[勾选]
[点击]确定
最后去除其他其他通道配置,保留工作组、客房组、默认通道。
(若总带宽较大,可相应做调整)
4.配置完成
配置完成,eth2口接外网 ,eth1口接办公交换机,eth0口接客房无线交换机。