SINFORAC测试实施培训.pptVIP

AC的三种部署方式 一、路由模式 二、网桥模式 三、旁路模式 四、多网段环境下部署举例 第二十七页，共六十六页。 三、旁路模式 AC做旁路模式时，AC的LAN口或WAN口连接在内网交换机的镜像口或HUB上，不改动现有网络，即使设备宕机也不会对用户的网络造成影响。这种模式下AC主要是做上网行为监控，控制只对基于TCP协议的数据有效。 第二十八页，共六十六页。 旁路模式配置 AC的LAN口和WAN1口是默认的镜像口，选择其中一个接交换机的镜像口，如果交换机没有镜像口，可以在交换机前加接HUB，AC连接到HUB上实现旁路。 镜像口 HUB 第二十九页，共六十六页。 旁路模式配置 a、模式配置 第三十页，共六十六页。 旁路模式配置 b、管理网口配置 管理网口是DMZ口，用于管理 设备或者和数据中心同步。可 以单机接DMZ登录设备，也可 以接内网交换机，配置内网ip， 从内网电脑直接登录。 第三十一页，共六十六页。 旁路模式配置 c、监控网段配置 把需要监控内网网段填入监控 网段列表，缺省不记录内网之 间的访问数据。 第三十二页，共六十六页。 旁路模式配置 d、排除IP配置 当一个IP属于[监控网段列表],但 是不需要记录这个IP的上网记录， 或者需要记录内网网段访问此IP 的记录，此时就需要把该地址填 入到[排除地址列表]里面 第三十三页，共六十六页。 旁路模式配置 e、完成配置 第三十四页，共六十六页。 AC的三种部署方式 一、路由模式 二、网桥模式 三、旁路模式 四、多网段环境下部署举例 第三十五页，共六十六页。 多网段环境下部署举例 在常用网络环境中，有前置防火墙或者路由器接公网线路，内网有三层交换机划分多个网段。我们例举在这样的网络环境中AC路由和网桥模式部署。 第三十六页，共六十六页。 多网段环境AC部署（以路由模式为例） 内网有三层交换机，多个网段，LAN口配置IP192.168.1.1，AC做网关代理内网所有网段上网，需要在NAT设置里添加多个内网网段，并且添加系统路由，告知AC访问到内网其他网段，下一跳应指向三层交换机。 第三十七页，共六十六页。 多网段环境AC部署（以网桥模式为例） 在此环境中，原来网络环境中已经部署好出口网关和三层交换机，加入AC做网桥模式，对内网用户上网不影响，但是如果启用AC上的WEB认证，准入等功能时，需要电脑访问AC本身，所以要在AC的系统路由设置里添加到内网网段的路由。 第三十八页，共六十六页。 培训内容 AC的部署方式 访问控制用户 访问控制组 策略故障排查 第三十九页，共六十六页。 用户，用户组，用户组权限设置 用户，用户组，用户组权限设置的先后顺序（以下两种方案均可）： 1、首先新建访问控制组，权限设置是针对访问控制组的，所以第二步可以编辑访问控制组增加上网策略，最后再新增用户，把用户加到访问控制组。 2、首先新建访问控制组，再新建访问控制用户，把用户加到访问控制组，最后再编辑访问控制组的上网策略。 第四十页，共六十六页。 培训内容 AC的部署方式 访问控制用户 访问控制组 策略故障排查 第四十一页，共六十六页。 新建访问控制用户 AC网关提供多样化的用户认证方式，包括IP/MAC认证、用户名密码认证（包括自设用户名密码和与LDAP、Radius、POP3服务器结合的方式）、DKEY认证。 AC还提供网关自动添加新用户，当用户第一次通过AC上网时，自动认证并添加新用户到访问控制用户列表。 第四十二页，共六十六页。 AC自设密码认证 使用外部认证时选择 针对用户绑定IP和MAC 非必需，根据客户需求 进行绑定。 用户所属访问控制组 第四十三页，共六十六页。 认证服务器设置 Sinfor AC 认证系统能与客户原有的LDAP、RADIUS、POP3服务器结合。利用服务器原有的帐号和密码，来实现使用同一套用户名密码通过AC上的认证。 第四十四页，共六十六页。 认证服务器设置（LDAP） 认证服务器设置： 在使用外部认证时，除上述用户设置外，还需要添加外部认证服务器的相关信息。 LDAP服务器的 IP和端口，认证端口 默认是TCP389 LDAP管理员的 用户名和密码， 要有读权限 AC支持的LDAP 类型包括MS LDAP、 open LDAP、 SUN LDAP 第四十五页，共六十六页。 认证服务器设置（RADIUS） Radius服务器设置： 设置Radius服务器的IP 认证端口默认是UDP1812 共享密钥和RADIUS服务器 保证一致。 加密协议和RADIUS服务器 设置保持一致。 第四十六页，共六十六页。 认证服务器设置（POP3） POP3服务器设置： POP3服务器的IP和 认证端口，默认是TCP110 第四十七页，共六十六页。 2005、2006、2