深信服m5100ac管理手册.docxVIP

目录 TOC \o 1-3 \h \z \u 系统配置 2 网关运行模式配置 2 内网接口配置 12 外网接口配置 15 网关运行状态 17 限制IP登录 18 路由设置 18 系统路由设置 19 策略路由设置 21 NAT规则设置 23 防火墙规则设置 27 QoS功能设置 31 访问控制和监控 35 用户认证方式设置 35 IP-MAC认证用户设置 43 WEB认证用户设置 45 访问控制组 48 系统配置 网关运行模式配置 [网关运行模式配置]用于设定ac 硬件网关的工作模式，可把ac 硬件网关设定为，路由模式，透明模式，网桥模式和旁路模式。设置界面如下：??? ??? ??? 选择[路由模式]，[透明模式]，[网桥模式]，[旁路模式]。点击[设置生效]保存配置，然后ac硬件网关会自动重启，[确定]。重启后，ac 硬件网关的运行模式即改变生效。??? a．路由模式??? [路由模式]是把ac 硬件网关作为一个路由设备使用，一般是把ac 硬件设备放在内网网关出口的位置，代理局域网上网；或者把ac 硬件设备放在路由器后面，再代理局域网上网。如下图所示：??? ??? 1.ac 硬件网关工作在路由模式时，局域网内电脑的网关都是指向ac 硬件网关的lan 口ip 或指向三层交换机，三层交换机的网关再指向ac。上网数据由ac 硬件网关做nat 或路由转发除去。??? 2．wan、lan 应设置不同网段的ip。??? 3．如果wan2 口没有被使用，可以把wan2 自定义成一个lan2 或dmz2。??? 4．lan 口配置802.1q－vlan 地址后，lan 口可以接支持vlan 的2 层交换机的trunk 口，ac 可以在vlan 间转发数据（单臂路由），并可做lan[-]lan 方向的防火墙规则，即可以控制不同vlan－id 之间的访问控制。??? b．透明模式??? 透明模式是把ac 硬件网关视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用。把ac 硬件网关接在原有网关及内网用户之间，在原网关及内网用户不需做任何配置改变的情况下，对ac 硬件进行一些配置即可使用。对原网关及内网用户而言，亦不知ac 硬件网关的存在，即所谓对原网关及内网用户透明。如下图所示：??? ??? 1.ac 硬件网关工作在透明模式时，局域网内电脑的网关都不需要改变，保留指向原有网关即可（即指向前置设备的内网接口ip）。??? 2.ac 硬件网关工作在透明模式时，必须为ac 硬件网关的wan、lan 设置同一网段的ip，ac 硬件设备的网关指向原有网关（即指向前置设备的内网接口ip）。??? 3.ac 硬件网关工作在透明模式时，必须保证原有网关及内网用户间只有唯一的物理线路连接，且ac 硬件网关正是串接在这条唯一的物理线路连接上。即不能存在内网用户可[绕过]ac 硬件设备，到达原有网关的物理线路。??? 4.ac 硬件网关工作在透明模式时，ac 硬件网关的wan2 和dmz 口不起作用，亦不能配置。只有wan1 和lan1 是可用的。且要保证wan1 口接前置的路由设备，lan 口接内网的交换机，不能接反。??? 5.ac 硬件网关的透明模式是在网络层(osi 第三层)上实现的透明，是通过arp 欺骗技术实现的，可能会影响内网某些基于数据链路层（osi 第二层）或基于mac 地址的应用，请慎重启用ac 硬件网关的透明模式功能。例如原有网关不能启用ip/mac 绑定及dhcp 等需要第二层数据穿透的功能。??? 6.在透明模式不要启用nat 功能。??? 7. 在透明模式下ac 本机的ip-mac 绑定和vpn 功能可用。??? 8.不要把设备的wan1 口和lan 接到同个交换机，这会在内网引起arp 欺骗，导致通讯异常。??? 9. 有前置设备情况下，启用网关杀毒、邮件过滤等功能，或ac 需要自动升级url 等内置库时，需要正确设置前置设备规则（防火墙、路由等），保证ac 设备可访问外网。??? 10.一般不建议把设备切换到透明模式，因为透明模式只能穿透网络层的数据，需要穿透数据链路层数据的应用在此模式下没法正常工作。一般只在需要这种网络部署又要用到vpn 功能时才启用透明模式，否者强烈建议使用网桥模式。如需要用vpn 的情况下，建议使用路由模式。??? c．网桥模式??? 网桥模式和透明模式类似，是把ac 硬件网关视为一条带过滤功能的网线使用，一般在不方便更改原有网络拓扑结构的情况下启用。把ac 硬件网关接在原有网关及内网