SANGFOR_4.x培训20120831.ppt

* 5.2、与城市热点结合认证 4.3版本增加和城市热点DrCOM SOLS系统结合认证。适用于客户网络已有城市热点DrCOM SOLS认证计费系统，当终端通过DrCOM SOLS系统上下线时，自动通过AC认证或从AC上注销，从而实现联动。 与城市热点结合认证配置 （1）认证策略启用不需要认证，单点登录，认证成功后加到指定组 （2）设置单点登录选择，勾选城市热点，配置城市热点IP 最多支持32个IP地址，以逗号隔开；默认端口为udp 61440，不可配。 （3）城市热点DrCOM SOLS认证计费系统配置 城市热点DrCOM SOLS认证计费系统配置需要联系城市热点工程师进行配置。 完成所有配置后，当城市热点DrCOM SOLS 系统上有用户上下线时，城市热点DrCOM SOLS 系统会将用户信息发给AC，从而实现结合AC联动认证。 5.3、与H3C IMC结合认证 4.3版本增加和H3C IMC系统结合认证。适用于客户网络已有IMC管理系统，当终端通过IMC系统上下线时，自动通过AC认证或从AC上注销，从而实现联动。 与IMC结合认证配置 （1）认证策略启用不需要认证，单点登录，认证成功后加到指定组 （2）设置单点登录选择，勾选H3C IMC，配置H3C IMC服务器IP 最多支持32个IP地址，以逗号隔开；默认端口为udp61442，不可配。 （3）H3C IMC系统配置 填写sangforIP。 填写端口64412。 忽略不填 （3）H3C IMC系统配置（续 ） Pc端imc客户端，需要启用“上传IPv4地址” 完成所有配置后，IMC系统上有用户上下线时，会将用户信息发给AC，从而实现结合AC联动认证。 5.4、SANGFOR设备之间实现认证信息共享 当客户内网有多台AC或SG设备时，可以实现认证信息同步转发，如客户部署一台SG在出口实现上网加速，一台AC部署在内网服务器区，对访问服务器实现记录。客户希望两台设备使用同一套帐号，4.3版本深信服设备认证信息转发即可实现此需求。 （1）sangfor设备认证信息转发配置 配置接收设备IP地址，最多支持32个IP地址，以逗号隔开；默认端口为udp 1773. 配置共享密钥 配置共享密钥，与转发设备保持一致。 非4.3版本作为接收设备时，在此处配置共享密钥，与转发设备保持一致。 （2）注意事项 ① sangfor设备认证信息转发，目前只支持AC/SG认证信息之间转发。 ② 认证信息转发是通过udp 1773端口通信的。 ③转发设备，只能是4.3版本设备，接收设备可以是任何版本AC或SG设备。 6、其它改进与版本升级 6.1、新增技术支持系统 AC/SG 4.3版本新增技术支持系统，设备在各种部署模式下，确保设备本身可以上网并得到客户许可，即可接入设备控制台，后台或客户内网，当设备出问题时，方便远程调试。 （1）技术支持系统使用方法 技术支持人员登录技术支持系统:4433/html/html/Login.html 客户进入打开技术支持系统，并启用远程协助，如下图 下面能删除表示是客户自己配置，可以配置内网设备；不能删除的表示默认配置 技术支持人员刷新页面将看到如下界面 打开端口后，可以通过外网IP地址+端口连接设备。 远程调试完成后，客户端或服务器端可以选择关闭远程协助 （2）技术支持系统注意事项 ①同时允许100个客户在线远程 ②每个客户同一时间，最多可以打开8个服务 ③确保设备本身可以上网，且到服务器61001端口能通。 6.2、网桥模式部署重定向机制变化 重定向即我们设备向终端用户推送一个页面，如web认证，准入，拒绝页面，智能提醒等。重定向机制，是设备拦截get包，并伪造公网服务器回包给pc，原有的推送机制是是通过查找路由发到终端pc，现在改成判断原有数据包从哪个口进设备，重定向包即从此网口发出。改进后主要解决了以下问题： （1）设备多网桥部署，两个网桥配置同一个网段不同IP地址，支持从每对桥重定向。 （2）设备网桥部署在trunk环境中，无可用桥IP地址，支持通过dmz口重定向。 6.3、界面支持恢复出厂设置 合入3.4版本恢复出厂配置功能，不仅会将配置恢复到默认状态（路由模式默认配置），内置数据中心日志也会清空。 6.4、合入管理员法律风险提示 合入3.4版本管理员法律风险提醒功能，启用此功能后，当登录设备网关，内置或外置数据中心时，会有如下提示： （1）只有多功能序列号开启了审计功能后，登录网关控制台，内置数据中心和外置数据中心时，才会有上面的提示。 （2）登录网关或数据中心弹出管理员法律风险提醒功能可以单独关闭，只有admin用户具有关闭权限，选择“下次不再提醒”后，下次所有管理员登录时不提醒。 （3）非admin管理员不具备关闭提示框的权限。 6