A02-交付-AC-实施方案v1.0.docVIP

PAGE

PAGE

实施方案

XXX科技股份有限公司

修订历史

编号

修订内容简述

修订日期

修订前版本号

修订后版本号

修订人

1

完成通用场景实施方案编写1.0

1.0

hbz

■版权声明

本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明，版权均属XXX科技股份有限公司所有，受到有关产权及版权法保护。任何个人、机构未经XXX科技股份有限公司的书面授权许可，不得以任何方式复制或引用本文的任何片断。

目录

TOC\o1-3第1章 前言 4

1.1 文档目的 4

1.2 方案总体目标 4

1.3 需求说明 4

第2章 实施规划 5

2.1 设备清单 5

2.2 实施前拓扑 5

2.3 实施后拓扑 6

2.4 设备IP规划 7

2.5 策略规划 7

第3章 实施前准备 8

3.1 确认项目需求 8

3.2 确认项目实施方案 8

3.3 上线前准备 8

3.3.1客户准备 8

3.3.2XXX准备 9

3.4 分工界面 9

第4章 设备部署上线 10

4.1 线下配置 10

4.1.1 登录设备 10

4.1.2 网桥部署配置 11

4.1.3 静态路由配置 17

4.1.4 检查默认认证策略配置 18

4.2 设备上架 19

4.3 效果展示 19

第5章 功能实施 20

5.1 需求1：用户认证 20

5.1.1 目标 20

5.1.2 配置方法 20

5.1.3 效果展示 28

5.2 需求2：规范上网行为 29

5.2.1 目标 29

5.2.2 配置方法 29

5.2.3 效果展示 31

5.3 需求3：防泄密 33

5.3.1 目标 33

5.3.2 配置方法 33

5.3.3 效果展示 38

5.4 需求4：流量管控 39

5.4.1 目标 39

5.4.2 配置方法 40

5.4.3 效果展示 45

5.5 需求5：上网审计 46

5.5.1 目标 46

5.5.2 配置方法 46

5.5.3 效果展示 51

第6章 实施后健康状态检查 52

第7章 回退方案 52

前言

文档目的

本文档的主要目的是为了xx客户XXXAC1x00需按项目填写项目配置实施提供指导，确保项目上线配置实施顺利完成。

需按项目填写

方案总体目标

上网行为管理（下称AC）的部署需要不改动现网其它设备配置，即使AC断电，也能穿透上网数据流，从而不会导致网络中断，因此AC设备需要以网桥模式部署在交换机和前置设备之间。对有线和无线用户上网统一管理，实现规范上网行为、提高工作效率，防泄密，流量管控及上网审计四方面的需求。

需求说明

此方案主要聚焦企业无AD域控场景，企业组织架构一般会有企管办、销售部、技术部、采购部、生产部、财务部等部门，不同部门有着不同的上网控制需求。

企业主要需求是禁止办公电脑改IP，规范员工上网行为、提高工作效率，防泄密，流量管控及上网审计五方面需求，具体如下：

1．禁止办公电脑改IP

企业网络管理员要解决办公区上网，会议室等公众场所上网，服务器区上网及外来用户上网的需求。通常办公区上网不能任意更改IP地址，其它场所（如会议室等公众场所上网和外来用户上网无固定IP需求）。

2．规范员工上网行为、提高工作效率

企业除了领导、企管办之外，所有员工上班时间禁止做与工作无关的事情，如禁止浏览购物网站、炒股、玩游戏、看视频等与工作无关的行为。

3．防泄密

企业研发设计部门，财务部门禁止一切外发。部分企业对非办公终端接入管控也有要求，防止非法终端接入带来泄密风险。

4．流量管控

企管部所有行为要有带宽保障，重要应用（如访问网站，邮件，vpn，视频会议等）要有带宽保障；服务器带宽需优先保障；占用流量大的非重要应用（如在线视频，下载等）要进控制。

5．上网审计

企业对于上网审计的需求有两个原因，政府监管部门明文要求互联网场所需要有互联网审计设备，并且万一出现泄密事件，需要能够定位具体的责任人。有独立IT部门的企业，由于留存日志的需要也会使用独立的外置日志中心。

实施规划

设备清单

本次实施工作包含XXXAC设备1台，设备清单如下：

设备名称

设备型号

数量

用途

上网行为管理

AC1800需按项目填写

需按项目填写

1

实施前拓扑

企业现网为三层环境，在核心交换机上根据不同的组织部门划分了不同的地址段，内网主要有办公区，服务器区，会议室等公共场所及外来用户接入上网场景。同时部署了有线和无线网，有线网提供给办公区，会议室等公众区域及服务器区上网，无线网提供给外来用户上网。办公区，会议室等公众区域，服务器区及外来用户所在网段不同，且办公区和服务器的IP地址是固定的，外来用户和