深信服用户管理以及流量管理配置教程

合集下载

深信服上网行为管理-系统管理配置指南

策略路由配置
3、导入各运营商的策略路由表新发货的设备一般策略路由表都是空的，怎样导入初始策略路由表？
解决方案:下载导入/read.php?tid-2499.html
策略路由配置
4、我们提供了各大运营商的策略路由，导入后，内网PC经设备上网的数据流，即可实现根据目标地址选路走同一个运营商的线路出去，如访问电信的网站走电信线路，从而解决了跨运营商之间访问速度慢的问题。同时也能实现当其中一条线路故障，流量自动切换到其它线路，直到故障线路恢复，从而实现了智能选路。
深信服上网行为管理系统管理配置指南培训内容培训目标策略路由和多线路掌握策略路由适用场景能够根据实际场景正确配置策略路由幵达到效果事件告警功能掌握事件告警功能种类能够根据实际场景配置事件告警功能幵达到效果snmp掌握设备支持snmp版本幵且能够正确配置snmp网管软件管理设备策略路由和多线路选路深信服公司简介snmpsangforacsg事件告警功能策略路由和多线路选路策略路由和多线路选路介绍应用背景
SNMP配置
SNMP配置
网管软件中输入设备ip，oid(1.3.6.1),community，这样可以读取所有信息，如下图：
这种方法读出所有信息，并不知道每个值具体意义，因oid不具体，很难找到我们需要的信息。
SNMP配置
下载mib库，导入网管软件，方便管理查看设备信息设备可供SNNP查询的信息及常用OID请参考文档 “SANGFOR_AC&SG_v6.0_2015年度渠道高级认证培训11_系统管理_可供SNMP 查询的设备信息表.xls”
事件告警功能
事件告警介绍
设备多个模块具有事件告警功能，当触发告警条件时，设备就会通过邮件告警及登录控制台界面右下角小喇叭告警，以便能及时通知到管理员。设备支持的告警事件类型如下。

深信服上网行为管理配置详解

控制台功能说明
2.1WebUI 配置界面
登录界面如下图所示：
控制台功能说明
2.1WebUI 配置界面
如何消除登录控制台的证书告警框？
首先，登录控制台，进入『系统配置』→『高级配置』→『WebUI选项』页面，点击下载证书，将证书下载到本地安装。
控制台功能说明
主界面
控制台功能说明
2.2实时状态
控制台功能说明
2.2.1运行状态
【资源信息】主要用于显示设备资源的概况，包括CPU使用率，内存使用率，磁盘使用率，设备会话数，在线用户数，无线热点数，系统时间和当天日志汇总等信息。
点击
可以设置是否启用自动刷新以及自动刷新的时间。
控制台功能说明
2.2.1运行状态
【接口信息】主要用于显示设备各个网口的状态，是否接线以及各个网口发送和接收实时流量。Biblioteka 点击可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【用户流量排名】用于显示前十名的用户流量排名情况，可以根据上下行流量和总流量来排名，界面如下：选中上行则显示上行流量的百分比，选中下行则显示下行流量的百分比。
点击
可以设置自动刷新的时间。
控制台功能说明
2.2.1运行状态
【上网行为监控】主要用于显示实时的用户上网行为。
深信服上网行为管理配置
（AC v4.5)
• 硬件安装 • 控制台功能说明 • 案例分析
硬件安装
1.1产品外观
设备出厂的默认IP见下表：
硬件安装
1.2单设备接线方式
用标准的RJ-45以太网线将ETH0（LAN）口与内部局域网电脑连接，对AC设备进行配置。用标准的RJ-45以太网线将ETH2（WAN1）口与Internet接入设备相连接，如路由器、光纤收发器或ADSL Modem等。多线路的AC设备可以支持多条Internet线路，此时将 WAN2口与第二条Internet接入设备相连，WAN3口与第三条Internet线路相连，依此类推。

深信服上网行为管理-流量管理指南

有应用带宽上限也是30KB/s。
2. 一级通道：针对所有应用，单个用户上限100KB/s 子通道：针对P2P应用，单个用户上限40KB/s 匹配结果：用户的P2P应用带宽上限为40KB/s；其他所有应用带宽上限是100KB/s。
3. 基于不同的外网线路设置细化的带宽管理策略
虚拟线路典型应用案例及配置
针对每条线路单独配置流控策略比较麻烦，也可以配置好一条线路的流控策略，然后启用下图的“复制通道到所有线路”即可针对所有线路实现流控。
虚拟线路典型应用案例及配置
4.启用流量管理系统
启用流量管理系统
虚拟线路应用场景
电信
网通
场景二：设备单网桥部署，公网电信、网通两条线路，客户需要对通过不同运营商出口的流量做细化的带宽管理。
客户网络出口有两条外网线路， 100M电信和20M网通，AC双网桥模式部署。
IP: 192.168.2.3 MASK:255.255.255.0
IP : 192.16配30%的带宽给技术部门，其中技术部门每个用户P2P和P2P流媒体应用不超过 100Kbps
3. 添加细化的流量管理策略流量管理策略的配置在后面的“流量子通道”章节再详细介绍。
虚拟线路典型应用案例及配置
1. 定义虚拟线路
网20网网桥M桥带b2通p宽1s通过为过网10电通0信M线b线路p路s上上网网，，设设置置网电通信线线路路的的带外宽
虚拟线路典型应用案例及配置
2. 定义虚拟线路规则
虚拟线路典型应用案例及配置
流量管理策略分析：
1. 设置虚拟线路和线路带宽，电信线路100M，网通线路20M 2. 新增一级通道，设定技术部门所有应用带宽不超过电信线路的30% 3. 新增子通道，设定技术部门P2P和P2P流媒体应用，单用户上下行限制

深信服培训讲义

配置步骤一（IP/MAC认证的用户）
1、首先为办公区的用户建一个用户组
办公区用户
配置步骤一（IP/MAC认证的用户）
2、配置认证策略新增一个认证策略，选择认证方式，。需求是同时绋定IP/MAC，因此选择IP/MAC绋定，且绋定方式为用户和地址双向绋定。开启新用户选项，自劢添加新用户到办公区用户组。
典型部署模式不配置
路由器（FW）
IP:192.168.1.1/24
路由器（FW）
路由器（FW）
AC
网桥IP:192.168.1.3/24 IP:192.168.1.2/24
AC
三层交换机
三层交换机
192.168.2.0/24
192.168.3.0/24
172.16.1.0/24
192.168.2.0/24 192.168.3.0/24 172.16.1.0/24
上网策略典型应用场景及配置某公司网络中充斥着各种流量上班时间p2p下载导致致使办公应用很慢员工上班时间炒股qqmsn聊天玩游戏使得办公效率丌公司决策层希望实现上班时间能封堵所有员工的p2p和迅雷等多线程下载玩游戏和炒股其余部门的人员丌准上班时间使用qq和msn只有技术支持和销售部门才能使用qq和msn聊天但是要审计聊天内容下班时间所有的应用都能允许使用另外所有人的上网行为需要被审计
高。
公司决策层希望实现上班时间能封堵所有员工
的P2P和迅雷等多线程下载，玩游戏和炒股，
其余部门的人员丌准上班时间使用QQ和MSN ，只有技术支持和销售部门才能使用QQ和 MSN聊天，但是要审计聊天内容，下班时间所有的应用都能允许使用，另外所有人的上网行为需要被审计。
上网策略典型应用场景及配置
我们先来分析下客户的需求： 1. 技术支持和销售部门上班时间丌允许P2P和迅雷等多线程下载工具下载，玩游戏和炒股，所有上网行为需要被审计，包拪QQ和MSN 的聊天内容。其他公司人员上班时间丌允许P2P和迅雷等多线程下载工具下载，玩游戏和炒股，QQ/MSN聊天，所有上网行为需要被审计

深信服上网行为管理-数据中心配置介绍

内置数据中心KEY配置步骤
3、效果演示（对比dkey和nodkey用户登录数据中心查询效果）
dkey用户登录，有no日d志ke查y用询户权登限录，没有日志查询权限
外置数据中心KEY配置步骤
1、设备多功能序列号激活数据中心查询key功能，前面有介绍，这里不再重复。 2、建立外置数据中心管理员帐号，如下图
数据中心KEY
适用场景
客户对对日志安全性要求非常高，只要拿到设备登录密码，都可以登录数据中心查询日志，而密码很容易泄漏。我们推出数据中心key，只有持有key的人才可以查询进行日志查询。内置和外置数据中心都可以使用KEY
内置数据中心KEY配置步骤
1、激活数据中心key
数据中心Key功能默认没有激活。所以测试实施前，请先确认设备是否激活了此功能，如果没有请联系厂商处理。数据中心key通过多功能序列号激活，如下图所示
该图显示的是正在索引时的状态信息
注意
1、索引没有100%完成时，建立不要通过内容搜索系统搜索日志，如果搜索了日志，则会导致索引中断，半小时后才继续建立索引，导致整体索引进度变慢。
2、当外置数据中心只有一天日志时，不能建立索引，所以测试实施请注意，要从内置同步多天的日志到外置数据中心，才可以建立索引，使用内容搜索生效。
内置数据中心KEY配置步骤
2、新建控制台用户
生成key前，先下载key驱动
如图，新建控制台用户dkey，先安装 key驱动。插入数据中心查询key，输入 dkey密码。该用户的“组织权限设置” 和“页面权限设置” 全选。
内置数据中心KEY配置步骤
2、新建控制台用户
生成key前，先下载key驱动
内容搜索系统使用

深信服上网行为管理管理员手册

任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录第1 章前言 .......................................................... 错误 ! 未定义书签。

第2 章系统管理 ...................................................... 错误 ! 未定义书签。

设备登录 ....................................................... 错误 ! 未定义书签。

管理员配置.....................................................修改管理员密码.............................................创立二级管理员.............................................系统根本信息配置...............................................序列号 .....................................................系统时间...................................................规那么库升级.................................................全局排除地址...............................................设备配置备份与恢复.........................................WEBUI选项 ..................................................远程维护...................................................第3章网络配置 ......................................................部署模式 .......................................................静态路由 .......................................................第4章策略管理 ......................................................用户认证与管理.................................................用户组管理.................................................认证策略...................................................不需要认证.................................................IP/MAC 绑定 .................................................不允许认证.................................................策略管理 .......................................................购物娱乐类网站.............................................P2P及 P2P流媒体封堵.........................................外发文件封堵...............................................上网审计...................................................流量管理 .......................................................线路带宽配置...............................................保证通道...................................................限制通道...................................................终端接入管理...................................................共享接入管理...............................................第5章日志中心管理..................................................日志中心配置...................................................准备工作...................................................外置日志中心安装过程.......................................日志中心登录...............................................同步策略设置...............................................AC同步配置.................................................日志中心登录...................................................内置日志中心登录...........................................外置日志中心登录...........................................日志查询 .......................................................所有行为日志...............................................网站访问日志...............................................邮件收发日志...............................................发帖 / 发微博日志............................................其他日志...................................................日志导出...................................................流量时长分析...................................................报表中心 ....................................................... 错误 ! 未定义书签。

深信服上网行为管理-管理员手册v1.0

深信服上网行为管理-管理员手册深信服电子科技有限公司本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。

任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录第1 章前言 (5)第2 章系统管理 (5)2.1 设备登录 (5)2.2 管理员配置 (7)2.2.1 修改管理员密码 (7)2.2.2 创建二级管理员 (7)2.3 系统基本信息配置 (9)2.3.1 序列号 (9)2.3.2 系统时间 (10)2.3.3 规则库升级 (10)2.3.4 全局排除地址 (11)2.3.5 设备配置备份与恢复 (11)2.3.6WEBUI 选项 (12)2.3.7 远程维护 (12)第3 章网络配置 (13)3.1 部署模式 (13)3.2 静态路由 (17)第4 章策略管理 (18)4.1 用户认证与管理 (18)4.1.1 用户组管理 (18)4.1.2 认证策略 (19)4.1.3 不需要认证 (19)4.1.4IP/MAC 绑定 ....................................4.1.5 不允许认证 (26)4.2 策略管理 (27)4.2.1 购物娱乐类网站 (27)4.2.2P2P 及P2P 流媒体封堵 (30)4.2.3 外发文件封堵 (33)4.2.4 上网审计 (36)4.3 流量管理 (38)4.3.1 线路带宽配置 (38)4.3.2 保证通道 (39)4.3.3 限制通道 (42)4.4 终端接入管理 (45)4.4.1 共享接入管理 (45)第5 章日志中心管理 (47)5.1 日志中心配置 (47)5.1.1 准备工作 (47)5.1.2 外置日志中心安装过程 (48)5.1.3 日志中心登录 ..................................5.1.4 同步策略设置 (53)5.1.5AC 同步配置 (54)5.2 日志中心登录 (55)5.2.1 内置日志中心登录 (55)5.2.2 外置日志中心登录 (55)5.3 日志查询 (56)5.3.1 所有行为日志 (56)5.3.2 网站访问日志 (59)5.3.3 邮件收发日志 (61)5.3.4 发帖/发微博日志 (62)5.3.5 其他日志 (65)5.3.6 日志导出 (65)5.3 流量时长分析 (66)5.4 报表中心 (67)5.5 系统管理 (68)第1 章前言本手册用于讲解 AC 常见功能操作方法，为管理员提供日常策略维护指导。

深信服上网行为管理-流量管理指南

深信服上网行为管理流量管理指南
培训内容虚拟线路
流量子通道流量通道匹配原则
培训目标
1. 掌握虚拟线路的使用场景和配置
(1)AC双网桥，外网多线路虚拟线路配置 (2)AC单网桥，外网多线路虚拟线路配置
1.掌握流控子通道的适用场景和配置
1.了解流量通道的匹配原则
虚拟线路
什么是虚拟线路
AC设备在网桥模式下，无论前置设备上是否接了多条线路，或者设备做多网桥模式接了多个出口，对于设备来讲，经过设备的数据认为是一条线路的数据，设备的流控默认情况下是针对公网线路总和进行控制的。
虚拟线路是AC设备网桥部署的情况下，可以将通过AC的流量在逻辑上划分成不同的线路，以实现更加细致化的管理和控制。虚拟线路是在物理线路的基础上划分出来的逻辑的通道。
虚拟线路应用场景
场景一：设备多网桥部署，公网多条外网线路，客户需要对通过不同网桥的外网线路流量做细化的带宽管理。
虚拟线路典型应用案例及配置
会匹配默认通道。
流量通道匹配原则
单用户上限说明：父通道和子通道的单用户上限可以分别设置，如果匹配的条件一致，则取两者之间的最小值。
举例： 1. 一级通道：针对所有应用，单个用户上限30KB/s
子通道：针对P2P应用，单个用户上限40KB/s 匹配结果：用户的P2P应用带宽上限为30KB/s；所
3. 添加细化的流量管理策略流量管理策略的配置在后面的“流量子通道”章节再详细介绍。
虚拟线路典型应用案例及配置
1. 定义虚拟线路
网20网网桥M桥带b2通p宽1s通过为过网10电通0信M线b线路p路s上上网网，，设设置置网电通信线线路路的的带外宽
虚拟线路典型应用案例及配置
2. 定义虚拟线路规则

1、下载文档前请自行甄别文档内容的完整性，平台不提供额外的编辑、内容补充、找答案等附加服务。
2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
3、如文档侵犯您的权益，请联系客服反馈,我们会尽快为您处理(人工客服工作时间：9:00-18:30)。

深信服用户管理以及流量管理配置教程
新增用户组
登陆设备后点击左边的“导航菜单” “用户与策略管
理” “组/用户”
在右边会出现设备的用户组织结构，这里出现了 default 、公司领导、普通员工、服务器和网络管理中心五个用户组。

其中default 用户组是系统默认存在的，其它四个是通过以下方法增加的。

如下图所示，点击右边的“成员管理”
“新增”
5 也网踣曽理中壯
选择“组”选项，就会出现如下界面
SANGFOR I 心口
导菜单
«
b 对尊定袈
＞上网荒略 /用户管理卜组/用戶用尸辱人
LDAF 自动同步
丿用尸认证
认证谑顼
外部认证服备器
悽索；输丄关龍字模翔攫素涓
^default 熨公司鞍
导记普逼员工也网貉昔理中心
点击这里增加新用户组
纽曙徑：描述宿息: 鈕信息；策略引用:
子组牛數：h 直J 横有策略
4 直服雰蛊
爼织嬴員及上网策略设置
r*fc 田口
約用L
新増▼ X 删底
#批垦會
需in组
在“组名列表”种输入工作组的名称点击“提交”即可。

公司领导、普通员工、服务器和网络管理中心四个用户组都
是这样添加进去的。

二、在用户组中添加用户
如下图所示，以在“网络管理中心”用户组增加新用户为例，点击“网络管理中心”用户组，右边会列出该用户组中的所有用户，点击“成员管理”“新增”“用户”
出现如下图界面，其中在“启用此用户”那里打钩，这里的策略是用IP 地址作为用户名，在“显示名”那里填写了显示名后，该显示名会附加出现在登陆名后
SANGFOR I Aca.D
搜亲：辐I 实键孚模釉援索爼
^defauLt 旦公司
颉导记普il 最工題服务器展隔管强中石
爼跖径：齟信息：策曙引鹅:
『网络管理中心
子飽个数：0 - 毂:育策喀
J 成员笞逢策略列表
1+新—
x 删除豪扌比
点击这里新增用户
92 125 92.13
爭用尸
冶 W.此一凸2
一
147
務组
确认密码；厂JSfflDKEY 认证
厂使朋该DKE¥登录后#不审计此弟户的网络应月
（需要指定类型的DKE 丫才支持p 请向设备供应商咨诲）
厂^|^1P/MAC 地址：那走方式
一n —t ■条同，格式见綁定発型摊述.”犷為注釋符号」例如；
'*200.200.0.1* ・
可硕直接正此处输元褊畧冊除
厂允许多人同时使用该味号蜀录（不喬要认证的用尸不支持此属性）厂密码认证成功后弹出注梢窗口帐号过期时间：P 歆不过期
C teftlatB （在此日期之君过如＞
提交有时候会出现下面的警告
海加用户 7 登录名: 必须这这里打钩
描述；显示名- 当前所屋组: 用户属性策賂死表
这里填写显示名］
j 网络管理
这里以1P 地址作为用户名
从IJ ■组获取］扫描H 肛地址
取消
这是因为该IP 地址以前已经被设备识别了，被设备默认加入了 default 用户组中了，而同一个用户是不能同时存在两个不同的用户组中的。

因此，去 default 用户组寻找到该用户，并将该用户移动到“网络管理中心”用户组中。

如下图所示:
^tUMT'LE *
UfillU ： Efl?<ifc-tJ=JTSkl
蒂if 信诅：齟信息：
孑姐个殲：0,頁属.用户个輙:11,总用厂个珈因舍了知：31
頰嵐引舟；出帀茱霉
出现以下界面
勾选该用
匚7
1 " 10. £51. ESI 161 2
£10.82 160. 1
A diK M ・斗丁歼円
点击詹移动”
--------------------- 1
呈烙乱表
点击“移动”即可。

这样，就可以把所有需要的用户添加到相应的用户组中了
三、新增线路所谓线路这里就是指出去外网的链路，藤县水利电业有限公司现在只有一条正在使用的外网链路，所以只需要设置一条
线路即可
虔撕驟路列恚虚拟娥鋁规则
+新増
如上图所示，进入导航菜单流量管理虚拟线路配置在右边的“虚拟线路列表”中点击“新增”出现以下界面
因为藤县水利电业有限公司的外网带宽为10Mb/s ,折算后为1280KB/S，点击“提交”即可。

四、通道配置
所谓通道这里就是把同一条物理线路为不同的用户组划分
为不同的逻辑线路，以实现网络带宽的合理分配。

导st菜单
纽路芾宽輪瑁试齬带宽厘性
議躍1 : 10240(Kbp S)]T^[ 102^Kbps)]
如上图所示，进入
导航菜单流量管理通道配置，在右边的“带宽分配”那里点击“新增通道”，则出现
点击这里增加新通道
+新増il 這k
/褊辑X 删除 #启用0
适用对象
适用应用、服务器保证通連/服务器丿
所有应用
1公司倾导圧 /■公司顿导"• .所有应用 1 普通吕T 限.
./普適员工F
所有应用 )默认邇道
所肓用戶
所有应用
＞逼道配置
虚捌貓配置
带宽分配
排陰策略
SANGFOR I AC 3.0
导航菜单51道配置p实时拔去
2对象定文
卜用尸与董畴昔理▼蛊量吉理
＞通遒配置
慮拥线跖配匡缠路带畫褊涓绪瞌带宽属性
鐵路1 ：上4T[1024ncKbps^]T4r[ lOM(Kbp£?]
+新増追追V|於编辑天删陰/启用0麋r新塲1级逋道
电对象這用礙L+新坞孑匾道i务誥丿听有匣用以複扳新増”卜旬领辱人/,所有应用
所有应用
/苜]IMB丄/
談认適道朋育用户昕有应屈带宽分配排除第苹
必须勾选“启用通道”，在“通道名称”里输入名称，这里
是服务器的通道，所以输入“服务器”三字。

在“通道编辑菜单”一》“带宽通道设置”中生效线路选择“线路
“带宽通道类型”中选择“保证通道”，这是因为服务器必须保证有通信正常，选择保证通道可以保证一定量的带宽只能给服务器使用，其它用户无法占用。

这里上行带宽设置保
证有40%是属于服务器使用的，最大100%，即服务器可以完全占用线路一。

下行带宽设置同理。

这里“优先级” 选择“高”，表示该通道比其它通道优先占用空闲的带宽（即除保证通道最小带宽外的带宽）
“通道编辑菜单”—》“通道使用范围”
在“适用对象“中自定义。

然后点击“选择自定义对象”
选择“服务器”后点击确定即可
下面设置的是限制通道，所谓限制通道是指使用该通道的用户最多可以占用设定的带宽，而不能超出此带宽。

如下图所
这里设置普通员工通道上行带宽最多占40%,下行带宽同理
这里优先级选择低，意味着该通道在与服务器争用空余带宽时处于劣势。

这里还可以设置单个IP可以使用最大的带宽。

然后进入“通道编辑菜单”一》“通道使用范围”如下图所
示
在“适用对象”处选择“自定义”，然后点击蓝色的“选择自定义对象”，如下图：
选择“普通员工”后点击确定即可。

公司领导与网络管理中心通道的设置同理
确定取消。