5深信服上网行为管理S5000AC安装调试报告.docx

1、5深信服上网行为管理S5000AC安装调试报告1、产品介绍1.1、产品附件介绍产品打开包装后请检查是否包括如下附件: RJ45 网线2 条（1 条直连线、1 条交叉线）、电源线1 条、软件安装光盘1 张、产品说明书1 本、快速安装手册1 份、固定板和螺丝配件各1 包。1.2、S5000-AC外观界面SINFOR S5000-AC 设备前面板：1、控制口 2、DMZ口 3、WAN口 4、LAN S5000-AC 正常工作时POWER 灯长亮, WAN 口和LAN 口LINK 灯长亮,ACT 灯在有数据流量时会不停闪烁.ALARM 红色指示灯只在设备启动时因系统加载会长亮（约一分钟）,正常工作时熄

2、灭.如果在安装时此红灯长亮,请将设备掉电重启,重启之后若红灯一直长亮不能熄灭，请与我们联系。1.3、登陆WEBUI配置界面AC支持安全的https登陆，使用的是https协议的标准端口登陆。使用直通网络线缆将设备的DMZ口跟笔记本电脑相连，登陆url为：https:/10.252.252.252首先为本机配置一个10.252.252.X/24 网段的ip（如配置10.252.252.200/24）然后在ie浏览器中输入登陆ip：https:/10.252.252.252 出现下图一个安全提示：点击后出现一些登陆界面:此时浏览器可能会弹出“需要下列ActiveX控件”的提示，请点击。如无提示，可

3、以点击登陆界面下方的。在登陆框输入用户名和密码，点击按钮即可登陆AC网关进行配置，默认情况下用户名：admin，密码：Admin。2、实施前工作准备2.1、网络环境确认通过电话与用户沟通，获取用户信息。预约南宁教育路国海证券营业部、国海证券南宁民族艺术宫证券营业部上门安装设备并测试。确认客户网络环境。2.2、用户硬件环境通过电话与客户沟通，整个办公网络的硬件设施有：路由器、东软防火墙、交换机。2.3、整理安装实施所需要的资料整理安装实施过程需要的设备和资料，例如：笔记本电脑、直通网络线缆、螺丝刀等。3、设备上架规范3.1、设备上架准备（1）安装场所准备要求具体内容温度/湿度环境要求标准工作在温

4、度0 45 ,湿度590%，非冷凝。输入电压要求110230V抗干扰要求远离强功率无线电发射台、雷达发射台、高频大电流设备。接地要求良好的接地系统是设备稳定可靠运行的基础。建议接地电阻值宜小于5 欧姆。机架要求通风散热、牢固承重、接地良好。供电要求具体数值请参考产品硬件参数文档。（2）注意事项注意事项具体内容用电注意事项1：仔细检查在您的工作区域内是否存在潜在的危险，比如电源未接地、电源接地不可靠，地面潮湿等。2：在安装前，要知道设备所在房间的紧急电源开关的位置，当发生意外时，要先切断电源开关。3：请不要将设备放置在潮湿的地方，也不要让液体进入机箱内。工具准备注意安装前需提前准备好紧固工具、钳

5、工工具。（螺丝刀、水晶头压线钳等）3.2、设备安装设备搬移在移动设备前一定要拔掉所有电源线和外部电缆。设备上架1：用户并不具备标准机柜情况下，可将设备安装在干净的工作台上。并保证保证安装工作台足够牢固，足以承担设备及电缆的重量，设备四周留出10cm散热空间。2：不可在设备上放置重物。3：在机器上架安装过程中，注意同一机柜中其它设备，避免在安装过程中碰掉其他设备的电源，网线接口等。设备耳片安装设备安装托盘，可视情况不安装耳片。其他情况建议安装耳片来固定设备。标签线缆必须贴标签注明1：电源线标签：内容为电缆对端位置信息，填写标签所在电缆侧对端设备、控制柜、分线盒或插座的位置信息。2：信号线标签：标

6、签两面内容分别标识电缆两端所连端口的位置信息。3：粘贴标签之前先在整版标签纸上填写或打印好标签内容，然后揭下、粘贴在电缆或标识牌线扣上。3.3、设备安装检查检查事项具体操作上电前检查1：网络设备是否安放牢固。2：所有通信电缆、光纤以及电源线和地线连接正确。3：供电电压是否与网络设备的要求一致。设备上电1：打开网络设备供电电源开关。2：打开网络设备电源开关。上电后检查1：网络设备上电以后，通风系统工作，应该可以听到风扇旋转的声音，网络设备的通风孔有空气排出。2：查看设备面板上的系统各种指示灯是否正常。4、各营业部现有网络环境的基本配置规范4.1、目的通过基本配置，能保证SINFOR 设备上架后客

7、户网络的正常运转，AC 的各种策略可以实现，客户的各种业务系统均能正常运行。为了不改变客户现有网络拓扑，深信服S5000-AC采用网桥的模式部署。AC相对于交换机平滑部署到客户的网络。4.2用户现有网络环境及部署方式通过电话与用户沟通，获取用户办公网络环境信息。大致分为以下三种情况4.2.1、网络状况一：单网段、pc网关设置在路由器上4.2.1.1、网络拓扑及部署方式Adsl或者光纤线路进来连接到一个小路由交换机，然后接到东软防火墙，防火墙再连接到交换机。整个网络只有一个网段，网关设置在出口的路由器上。防火墙和交换机线路之间没有开启truck模式。设备部署在防火墙与交换机之间。4.2.1.2、

8、接线规则1、AC 设备WAN 口接防火墙的LAN 口，AC 设备LAN 口接内部局域网交换机。2、网线连接设备任意网口的时候，要听到“咔”的一声，表示网线和设备已经连接好。3、网线与设备的接口连接后，设备的Link 灯常亮，Act 灯闪烁，表示接口正常工作。4.2.1.3、基本配置规范1、通过默认IP 登录设备，设备接口默认的IP 地址为：LAN: 10.251.251.251/24、LAN 口子接口：128.127.125.252/29DMZ: 10.252.252.252/24、WAN: 10.250.250.250/24（建议使用DMZ口登陆，用户名：admin，密码为：Admin）2、

9、配置AC 设备为网桥模式。1) 配置AC 网桥IP，网桥IP 和PC在同一网段，网关指向路由器（跟pc的网关一样），并正确配置DNS 服务器地址。2) 如果设备不需穿透VLAN，则禁用VLAN 功能。（本项目均不涉及到vlan 此处禁用即可）4.2.1.4、配置步骤第一步：登陆WEBUI配置界面，系统配置-网关模式配置，弹出如下窗口：第二步：点击，弹出如下窗口：第三步：选择，点击，弹出如下窗口：第四步：网桥模式下部署时，只能使用lan口和wan1口，此处直接点击即可。弹出如下窗口：第五步：输入网桥ip及掩码，默认网关，dns等信息。网络情况一由于内部网络只有一个网段，网桥ip设置为本网络中的任

10、一地址，默认网关设置为与本网络pc的网关相同（即路由器上起的网关），dns视各点的具体环境来定。然后点击弹出如下窗口：第六步：各个营业点的防火墙与交换机之间没有配置truck模式。此处不需启用VLAN。直接点击即可，弹出如下窗口：第七步：设置DMZ口的地址，建议保留默认值。直接点击，弹出如下窗口：第八步：到此网桥模式配置完成。点击，设备会重新启动。弹出如下窗口：第九步：设备其他大概需要2分钟，启动完成后重新登录设备，查看配置结果。登录系统配置网关模式配置。查看配置。查看配置成功后，用户可以在内网pc的浏览器访问https:/网桥ip。以用户名：admin密码：Admin 登录设备进行配置其他参

11、数。注：网桥ip作用：方便管理员通过内网pc访问设备进行管理。正确配置网桥ip的默认网关。这样设备才可以从互联网上下载数据更新设备的url库、特征库等。DMZ口的作用：管理员可以通过设备的DMZ口直接访问设备。4.2.2、网络状况二：单网段、pc网关设置在防火墙上4.2.2.1、网络拓扑及部署方式Adsl线路进来连接到一个MODEM，然后接到东软防火墙，防火墙再连接到交换机。整个网络只有一个网段，网关设置在出口的防火墙上。防火墙和交换机线路之间没有开启truck模式。设备部署在防火墙与交换机之间。4.2.2.2、接线规则1、AC 设备WAN 口接防火墙的LAN 口，AC 设备LAN 口接内部局

12、域网交换机。2、网线连接设备任意网口的时候，要听到“咔”的一声，表示网线和设备已经连接好。3、网线与设备的接口连接后，设备的Link 灯常亮，Act 灯闪烁，表示接口正常工作。4.2.2.3、基本配置规范1、通过默认IP 登录设备，设备接口默认的IP 地址为：LAN: 10.251.251.251/24、LAN 口子接口：128.127.125.252/29DMZ: 10.252.252.252/24、WAN: 10.250.250.250/24（建议使用DMZ口登陆，用户名和密码均为：Admin）2、配置AC 设备为网桥模式。1) 配置AC 网桥IP，网桥IP 和PC在同一网段，网关指向防火

13、墙（跟pc的网关一样），并正确配置DNS 服务器地址。2) 如果设备不需穿透VLAN，则禁用VLAN 功能。（本项目均不涉及到vlan 此处禁用即可）4.2.2.4、配置步骤第一步：登陆WEBUI配置界面，系统配置-网关模式配置，弹出如下窗口：第二步：点击，弹出如下窗口：第三步：选择，点击，弹出如下窗口：第四步：网桥模式下部署时，只能使用lan口和wan1口，此处直接点击即可。弹出如下窗口：第五步：输入网桥ip及掩码，默认网关，dns等信息。由于网络情况二内部网络只有一个网段，网桥ip设置为本网络中的任一地址，默认网关设置为与本网络pc的网关相同（即防火墙上起的网关），dns视各点的具体环境来

14、定。然后点击弹出如下窗口：第六步：各个营业点的防火墙与交换机之间没有配置truck模式。此处不需启用VLAN。直接点击即可，弹出如下窗口：第七步：设置DMZ口的地址，建议保留默认值。直接点击，弹出如下窗口：第八步：到此网桥模式配置完成。点击，设备会重新启动。弹出如下窗口：第九步：设备其他大概需要2分钟，启动完成后重新登录设备，查看配置结果。登录系统配置网关模式配置。查看配置。查看配置成功后，用户可以在内网pc的浏览器访问https:/网桥ip。以用户名：Admin密码：Admin 登录设备进行配置其他参数。注：网桥ip作用：方便管理员通过内网pc访问设备进行管理。正确配置网桥ip的默认网关。这

15、样设备才可以从互联网上下载数据更新设备的url库、特征库等。DMZ口的作用：管理员可以通过设备的DMZ口直接访问设备。4.2.3、网络状况三：多网段。Pc网关设置在路由器上4.2.3.1、网络拓扑及部署方式多条Adsl线路或者多条光纤进来，分别连接到一个路由器，然后分别接到东软防火墙，防火墙再连接到交换机。整个网络有多个网段，网关设置出口的各个路由器上。防火墙和交换机线路之间没有开启truck模式。设备部署在防火墙与交换机之间。4.2.3.2、接线规则1、AC 设备WAN 口接防火墙的LAN 口，AC 设备LAN 口接内部局域网交换机。2、网线连接设备任意网口的时候，要听到“咔”的一声，表示网

16、线和设备已经连接好。3、网线与设备的接口连接后，设备的Link 灯常亮，Act 灯闪烁，表示接口正常工作。4.2.3.3、基本配置规范1、通过默认IP 登录设备，设备接口默认的IP 地址为：LAN: 10.251.251.251/24、LAN 口子接口：128.127.125.252/29DMZ: 10.252.252.252/24、WAN: 10.250.250.250/24（建议使用DMZ口登陆，用户名和密码均为：Admin）2、配置AC 设备为网桥模式。1) 配置AC 网桥IP，设置多个网桥IP。例如：内网有3个网段：192.168.0.0/24、192.168.1.0/24/192.1

17、68.2.0/24设置多个网桥ip：198.168.0.253/24、192.168.1.253/24 、192.168.2.253/24。设置多个网桥ip是为了方便管理员可以在内网中的任一个网段来访问设备并进行管理。网关设置：只需要设置一个正确网关即可。保证三个网桥ip中的一个可以访问互联网即可。从而确保设备能正常的从互联网上现在数据更新包。2) 如果设备不需穿透VLAN，则禁用VLAN 功能。（本项目均不涉及到vlan 此处禁用即可）4.2.2.4、配置步骤第一步：登陆WEBUI配置界面，系统配置-网关模式配置，弹出如下窗口：第二步：点击，弹出如下窗口：第三步：选择，点击，弹出如下窗口：第

18、四步：网桥模式下部署时，只能使用lan口和wan1口，此处直接点击即可。弹出如下窗口：第五步：输入多个网桥ip及掩码，网关dns等信息。网络内部有多个网段，设置多个网桥ip以便不同网段的pc均可以访问设备并进行管理。设置一个正确的网关确保设备能正常访问互联网。dns视各点的具体环境来定。然后点击弹出如下窗口：第六步：各个营业点的防火墙与交换机之间没有配置truck模式。此处不需启用VLAN。直接点击即可，弹出如下窗口：第七步：设置DMZ口的地址，建议保留默认值。直接点击，弹出如下窗口：第八步：到此网桥模式配置完成。点击，设备会重新启动。弹出如下窗口：第九步：设备其他大概需要2分钟，启动完成后重

19、新登录设备，查看配置结果。登录系统配置网关模式配置。查看配置。5、上网行为管理【上网行为管理】包括【上网策略管理】、【认证选项设置】、【认证服务器设置】、【组织结构】、【用户导入】、【AD域同步】及【在线用户管理】。本报告主要介绍【上网策略管理】、【认证选项设置】、【组织结构】等功能。设置界面如下：5.1、上网策略对象【上网策略对象】主要用于设置内网用户的上网策略，上网策略包括【上网权限】、【网页过滤】、【邮件过滤】、【应用审计】、【流量统计与上网计时】、【准入规则】等。此设置的对象可以被用户或者用户组应用，用于上网行为的监控和控制。本报告就以现在P2P、P2P媒体流为例子介绍。需了解其他功能

20、请查看用户手册。限制P2P、P2P媒体流：第一步:登陆系统-上网行为管理-上网策略对象。弹出如下窗口：第二步：点击弹出如下对话框：第四步：设置策略名称：P2P限制，选中，弹出如下对话框：第五步：选中，弹出如下对话框：第六步：点击，在应用类型中选中“P2P”“P2P媒体流”，动作选中“拒绝”，生效时间选中“上班时间”。第七步：选中，显示下面窗口：第八步：在列表中找到、，动作选中，生效时间选中第九步：点击，即可完成P2P限制的编辑，并在中显现：第十步：点击，即可编辑或查看该策略。5.2、上网选项设置第一步：、，弹出如下对话框：第二步：点击，弹出如下对话框：第三步：设置，此处设置，PC接入到网络中，

21、就自动添加到中。5.3、组织结构第一步：选中、，弹出如下查看：第二步：点击弹出如下窗口：第三步：输入受控组的名称即可，然后点击，客户端接入网络后，受控组下会自己增加用户；5.4、策略下发操作第一步：为添加策略，选中，弹出如下对话框：第二步：选中，选中你要添加的策略对象，点击最好点击，即可完成策略的添加。6、流量管理系统流量管理系统包括【流量状态】，【流量管理】，【虚拟线路配置】。本报告就以现在文件下载速度为例子介绍该模块6.1、流量状态显示当前流量状态：6.2、流量管理流量管理模块，以限制下载速度为例子，具体操作如下：第一步：点击-，弹出如下窗口，默认情况下流量管理是不启用的，要启用该模块，选

22、中。第二步：点击，弹出如下窗口：第二步：输入通道名称：“test”在“适用服务于应用”选项中选中，弹出如下窗口：第三步：点击,“服务类型”选择，应用类型分别选中“文件下载”，“P2P”，“P2P媒体流”，然后点击“确定”，弹出如下窗口：第四步：在“适用对象”中选中，“带宽通道类型”选中，分别填写“最大上行带宽”“最大上行带宽”的参数（百分比似个营业部的出口带宽定），其他具体参数见下图设置：第五步：点击，完成流量管理的设置。见下图，6.3、虚拟线路配置按照各个营业部的出口带宽设置“线路1”的上行和下行的参数。安装实际情况设置。是adsl的上行512k，下行是实际大小（比如是3m的adsl线路就设置为上行为512k下行为3m）光纤线路上下行值设置为相同。