AF1210深信服网关配置 | 您所在的位置:网站首页 › 深信服ac1220硬件参数 › AF1210深信服网关配置 |
AF1210深信服网关配置
1、产品介绍 图1:SANGFOR NGAF前面板(以NGAF 1210为例) 1.CONSOLE(控制)口 2.ETH1 3.ETH2 4.ETH3 5.ETH4 6.ETH5 7.MANAGE(管理)口
2、准备工作
2.1.情景说明 酒店有一根100M的外网(专线),10台办公电脑,100间客房(100个ap)。
(1).酒店专线信息: Ip: 202.158.175.50 掩码:255.255.255.252 网关: 202.158.175.49 DNS1: 211.167.97.67 DNS2: 219.233.241.166 (2).深信服各接口信息: Eth2:202.158.175.50/30(外网专线) Eth1:10.22.177.0/24(办公网段) Eth0:172.16.0.0/22(客房网段) (3).酒店服务器信息: MAC:00-2B-2B-68-5C-4F
2.2单设备接线方式
连接电源线,打开电源开关 请用网线将深信服MANAGE(eth 0)口与笔记本电脑连接,对AF设备进行配置。 请用网线将深信服ETH2口与Internet接入设备相连接,如光猫、光纤收发器。 固定笔记本的ip 为10.251.251.251 掩码为255.255.255.0 其它不动
2.3、登录设备
AF使用的是HTTPS协议的标准端口登录。初始登录从MANAGE(ETH0)口登录, 登录的URL为:https://10.251.251.251 默认账号:admin 密码:admin
3、配置与管理 3.1、接口配置
【导航菜单】→『网络配置』→『接口/区域』→『物理接口』,
开始配置> 点击ETH2口,界面如下
勾选启用,描述输入“外网”,类型选择路由模式,所属区域点击下拉按钮选择wan口,如没有wan,则点击新增区域,操作界面如下:
勾选WAN口,勾选允许PING。 选择静态ip,静态ip地址栏输入外网ip地址及子网掩码。 下一跳网关地址输入外网网关地址。
点击ETH1口,界面如下:
操作如上图,WAN口不要勾选,下一跳网关不填。
点击ETH0口,界面如下:
操作和ETH1口一样,注意静态IP地址栏内eth0的默认管理ip10.251.251.251无法删除,删除保存会报错,添加内网ip即可。
3.2、地址转换 【导航菜单】→『防火墙』→『地址转换』页面
点击新增,选择源地址转换,出现如下界面: 勾选启用,名称输入代理上网,源区域选择dmz和lan,ip组选择全部。 目的区域选择wan,IP组选择全部。源地址转换,转换为选择出接口地址。
3.3、添加路由 【导航菜单】→『网络配置』→『路由』页面 点击新增,选择单个静态路由,界面如下:
目的地址输入0.0.0.0,子网掩码:0.0.0.0 ,下一跳ip地址输入外网网关地址,接口选择外网口eth2口。 3.5、 DNS配置
【导航菜单】→『网络配置』→『高级网络配置』→『DNS』页面,输入外网的DNS,界面如下:
3.4、DHCP配置 【导航菜单】→『网络配置』→『高级网络配置』→『DHCP』 在【DHCP服务接口列表】中选择需要设置DHCP的接口。 [点击]ETH0口 租期(分钟):240 网关:172.16.0.1 子网掩码:255.255.252.0 首选DNS:211.167.97.67 备用DNS:219.233.241.166 DHCP IP地址范围:172.16.0.40-172.16.3.254 [点击]提交 [点击] ETH1 租期(分钟):240 网关:10.22.177.1 子网掩码:255.255.255.0 首选DNS:211.167.97.67 备用DNS:219.233.241.166 DHCP IP地址范围:10.22.177.40-10.22.177.100 [点击]提交
3.5、设置策略 【导航菜单】→『内容安全』→『应用控制策略』页面, [点击]新增 [勾选]启用 规则名称:permit_any(放通所有) 源: 网络对象:全部 区域:dmz、lan、wan全部选择 端口:选择全部 目的: 网络对象:全部 区域:dmz、lan、wan全部选择 服务/应用: 勾选应用,选择全部。 生效时间:全天 动作:允许 点击确定。 建立客房拒绝访问办公策略:
[点击]新增 [勾选]启用 规则名称:lan2dmz 源: 网络对象:全部 区域: lan 端口:全部 目的: 网络对象:全部 区域:dmz 服务/应用: 勾选应用,选择全部。 生效时间:全天 动作:拒绝 点击确定。
3.6、设置组/用户(新增工作组和客房组) 【导航菜单】→『认证系统』→『用户管理』→『组/用户』页面 成员管理> [点击]新增>组 组名列表:工作组 [点击]提交 [点击]进入『认证系统』→『用户认证』→『认证策略』页面 勾选开启用户认证。 [点击]新增>组 名称:工作组 策略适用IP/MAC范围:10.22.177.1-10.22.177.254 认证方式:不需要认证/单点登入[点选] 新用户选项:添加到指定的本地工作组中 选择组:[点击]工作组 [点击]提交 [点击]新增>组 名称:客房组 策略适用IP/MAC范围:172.16.0.2-172.16.3.254 认证方式:不需要认证/单点登入[点选] 新用户选项(新用户指本地不存在的账号) 添加到指定的本地工作组中 选择组:[点击]客房组 [点击]提交
3.7、限速 【导航菜单】→『流量管理』页面 [点击]虚拟线路配置 [点击]线路1 外出接口:选择eth2 上行100Mbps 下行100Mbps [点击]提交 【导航菜单】→『流量管理』页面 [点击]虚拟线路配置 [点击]虚拟线路规则 点击新增 全部默认,点击提交。\\如不启用虚拟线路规则,则虚拟线路带宽配置无法生效。
『流量管理』→『通道配置』页面 启用流量管理系统【勾选】>新增通道> 启用通道[勾选]>带宽分配
通道名称:工作组 [点击]带宽通道设置 生效线路:线路1 保证通道[点选] 上行带宽:保证10% 10Mbps \\保证办公组上行有10Mbps左右。 最大10% 10Mbps 下行带宽:保证10% 10Mbps \\保证办公组下行有10Mbps左右。 最大10% 10Mbps 优先级:高 [点击]通道使用范围 适用应用:所有应用 适用对象:用户[点选]>工作组[勾选] [点击]确定
带宽分配>新增通道> 启用通道[勾选] 通道名称:客房组 [点击]带宽通道设置 生效线路:线路1 限制通道[点选] 上行带宽:最大90% 90Mbps 下行带宽:最大90% 90Mbps 优先级:中 启用限制单IP最大带宽勾选 上行:5Mbps \\根据酒店外网带宽及房间数合理限速。 下行:5Mbps \\根据酒店外网带宽及房间数合理限速。 [点击]通道使用范围 适用应用:所有应用 适用对象:用户[点选]>客房组[勾选] [点击]确定 最后去除其他其他通道配置,保留工作组、客房组、默认通道。 (若总带宽较大,可相应做调整)
4.配置完成 配置完成,eth2口接外网 ,eth1口接办公交换机,eth0口接客房无线交换机。
|
CopyRight 2018-2019 实验室设备网 版权所有 |