海大集团AF实规范一【适用于HW S5700+CISCO2911+防火墙结构的分支】-20131122.docVIP

海大集团NGAF 标准配置方案一 【适用于HW S5700+CISCO2911+防火墙结构的分支】 文档编号： 密级： 商密 版本编号： V1.0 日期： xxxx-xx-xx  ■ 版本变更记录 时间 版本 说明 修改人 V1.0 初稿完成 V1.1 增加流程图 杨志刚 V1.2 增加IPSEC截图 杨志刚 ■ 版权声明 本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属深信服所有，受到有关产权及版权法保护。任何个人、机构未经深信服的书面授权许可，不得以任何方式复制或引用本文的任何片断。  目 录 1. 操作流程 4 2. 网络配置 4 2.1 登陆设备控制台 4 2.2 接口和区域配置 6 2.3 路由配置 10 2.4 DNS配置 11 2.5 NAT代理上网配置 11 2.6 应用控制策略配置 12 3. 割接操作步骤 14 3.1 top变化 14 3.2 割接步骤 14 4. 认证配置 15 4.1 认证服务器设置 15 4.2 认证策略配置 18 5. IPsec专线备份配置 21 5.1 IPsec总部配置 21 5.2 IPsec分支配置 23 6. 流量管理配置 27 6.1 自定义应用 27 6.2 虚拟线路配置 29 6.3 通道配置 29 6.4 流量统计配置 32 6.5 流量统计报表 32 7. 行为管理配置 34 7.1 定义上班时间 34 7.2 普通员工上网策略 34 7.3 分公司总经理上网策略 37 8. 配置备份 38 9. 日常维护 39 操作流程 网络配置 登陆设备控制台 AF设备控制台采用WEB访问管理，使用加密的HTTPS协议，设备初始配置时，可以使用manage口的默认IP地址51/24地址进行管理。 首先为登陆控制台的电脑配置一个 10.251.251.X 网段的 IP（如配置 00）， 然后在浏览器中访问AF的默认管理地址：51，出现一个如下图的安全提示： 点击“继续浏览此网站”后出现以下的登录界面： 在登陆框输入『用户名』和『密码』，点击登录按钮即可登录 NGAF 设备进行配置，出厂情况下的用户名和密码为 admin/admin。 接口和区域配置 设备有四个接口，分别是ETH1(Manage)、ETH1、ETH2、ETH3，该网络结构下，接口和区域按如下规范进行配置： 接口 类型 描述 区域 IP地址 ETH0(manage) 路由 内网接口（接入核心） 内网区域 ETH1 透明 To-5700-x（接入核心） - - ETH2 透明 To-2911-x（专线接入） - - ETH3 路由 互联网接口（互联网接入） 外网区域 Veth.1 - 网桥接口 专线 其中，- 表示不存在，x表示具体的连接接口。 配置截图如下： 其中IP地址列表中的51/24为设备默认地址，无法删除，直接在该列表中新增内网IP地址即可。 其中，access设置的值默认为1，如果修改，则后续创建的VLAN接口也必须与之对应。 由于该接口是专线透明接口的外网接口（连接专线路由器2911），需在【基本属性】中勾选WAN口，以便在流控策略中定义该线路。 互联网接口同样需要勾选WAN口属性，且必须配置下一跳网关。 在VLAN接口中新增VLAN接口： 其中接口名称必须与之前设置的透明接口（ETH1、ETH2）中access的值一致。 路由配置 路由配置主要用于配置互联网的默认路由和分支网段的回程路由。配置方法如下： 其中，10.x.x.0根据各分支网段的不同，分别配置到内网网段的路由，下一跳为连接内网接口的核心交换机的地址。 DNS配置 DNS主要是防火墙设备在线更新规则库使用，对业务网络没有影响。配置方法如下： 可以配置对应运营商的DNS地址或者如上图，配置通用DNS地址。 NAT代理上网配置 NAT代理上网配置，用户内网用户通过地址转换访问互联网，在【防火墙】-【地址转换】中新增【源地址转换】策略，配置方法如下： 应用控制策略配置 由于防火墙默认拒绝所有区域到区域之间的访问，因此，需要在【内容安全】-【应用控制策略】中配置一条允许策略，放通内外网之间的访问。配置方法如下： 完成如上配置后，设备接入网络，即可实现基本的网络互联互通。 割接操作步骤 top变化 割接步骤 操作步骤 验证方式 1、AF的ETH0(manage)口连接核心交换机S5700原来连接sonicwall防火墙的接口。