AF1210深信服网关配置

1、产品介绍

图1：SANGFOR NGAF前面板（以NGAF 1210为例）

1.CONSOLE(控制)口　  　2.ETH1       3.ETH2       4.ETH3        5.ETH4         6.ETH5            7.MANAGE(管理)口

其它型号 管理口 可能是 ETH0口，此型号 管理口 是 MANAGE口

CONSOLE（控制）口仅供开发和测试调试使用。最终用户需通过管理（MANAGE）口接入设备。

告警灯在设备启动期间是红灯长亮的。一般一两分钟后红灯熄灭，说明正常启动。如红灯长时间不熄灭，请关闭设备等待5分钟后重新启动。如果还是长亮，请联系客服部门确认是否设备损坏。正常启动后，有时红灯会闪烁，这是正常现象，红灯闪烁表示设备正在写系统日志。

2、准备工作

2.1.情景说明

酒店有一根100M的外网（专线），10台办公电脑，100间客房（100个ap）。

(1).酒店专线信息：

Ip: 202.158.175.50

掩码:255.255.255.252

网关: 202.158.175.49

DNS1: 211.167.97.67

DNS2: 219.233.241.166

(2).深信服各接口信息：

Eth2:202.158.175.50/30（外网专线）

Eth1:10.22.177.0/24（办公网段）

Eth0:172.16.0.0/22（客房网段）

(3).酒店服务器信息：

MAC:00-2B-2B-68-5C-4F

2.2单设备接线方式

连接电源线，打开电源开关

请用网线将深信服MANAGE(eth 0)口与笔记本电脑连接，对AF设备进行配置。

请用网线将深信服ETH2口与Internet接入设备相连接，如光猫、光纤收发器。

固定笔记本的ip 为10.251.251.251   掩码为255.255.255.0   其它不动

2.3、登录设备

AF使用的是HTTPS协议的标准端口登录。初始登录从MANAGE(ETH0)口登录，

登录的URL为：https://10.251.251.251   

 默认账号：admin   密码：admin       

3、配置与管理

3.1、接口配置

【导航菜单】→『网络配置』→『接口/区域』→『物理接口』，

开始配置>

点击ETH2口，界面如下

：

勾选启用，描述输入“外网”，类型选择路由模式，所属区域点击下拉按钮选择wan口，如没有wan，则点击新增区域，操作界面如下：

勾选WAN口，勾选允许PING。

选择静态ip，静态ip地址栏输入外网ip地址及子网掩码。

下一跳网关地址输入外网网关地址。

点击ETH1口，界面如下：

转存失败重新上传取消

操作如上图，WAN口不要勾选，下一跳网关不填。

点击ETH0口，界面如下：

转存失败重新上传取消

操作和ETH1口一样，注意静态IP地址栏内eth0的默认管理ip10.251.251.251无法删除，删除保存会报错，添加内网ip即可。

3.2、地址转换

【导航菜单】→『防火墙』→『地址转换』页面

转存失败重新上传取消

点击新增，选择源地址转换，出现如下界面：

勾选启用，名称输入代理上网，源区域选择dmz和lan，ip组选择全部。

目的区域选择wan，IP组选择全部。源地址转换，转换为选择出接口地址。

转存失败重新上传取消

转存失败重新上传取消

3.3、添加路由

【导航菜单】→『网络配置』→『路由』页面

点击新增，选择单个静态路由，界面如下：

目的地址输入0.0.0.0，子网掩码：0.0.0.0 ，下一跳ip地址输入外网网关地址，接口选择外网口eth2口。

3.5、 DNS配置

【导航菜单】→『网络配置』→『高级网络配置』→『DNS』页面，输入外网的DNS，界面如下：

3.4、DHCP配置

【导航菜单】→『网络配置』→『高级网络配置』→『DHCP』

在【DHCP服务接口列表】中选择需要设置DHCP的接口。

[点击]ETH0口

租期（分钟）：240

网关：172.16.0.1

子网掩码：255.255.252.0

首选DNS：211.167.97.67

备用DNS：219.233.241.166

DHCP IP地址范围：172.16.0.40-172.16.3.254

 [点击]提交

[点击] ETH1

租期（分钟）：240

网关：10.22.177.1

子网掩码：255.255.255.0

首选DNS：211.167.97.67

备用DNS：219.233.241.166

DHCP IP地址范围：10.22.177.40-10.22.177.100

[点击]提交

3.5、设置策略

【导航菜单】→『内容安全』→『应用控制策略』页面，

[点击]新增

[勾选]启用

规则名称：permit_any（放通所有）

源：

网络对象：全部

区域：dmz、lan、wan全部选择

端口：选择全部

目的：

网络对象：全部

区域：dmz、lan、wan全部选择

服务/应用：

勾选应用，选择全部。

生效时间：全天

动作：允许

点击确定。

建立客房拒绝访问办公策略：

[点击]新增

[勾选]启用

规则名称：lan2dmz

源：

网络对象：全部

区域： lan

端口：全部

目的：

网络对象：全部

区域：dmz

服务/应用：

勾选应用，选择全部。

生效时间：全天

动作：拒绝

点击确定。

3.6、设置组/用户（新增工作组和客房组）

【导航菜单】→『认证系统』→『用户管理』→『组/用户』页面

成员管理>

[点击]新增>组

组名列表：工作组

[点击]提交

[点击]进入『认证系统』→『用户认证』→『认证策略』页面

勾选开启用户认证。

[点击]新增>组

名称：工作组

策略适用IP/MAC范围：10.22.177.1-10.22.177.254

认证方式：不需要认证/单点登入[点选]

新用户选项：添加到指定的本地工作组中

选择组：[点击]工作组

   [点击]提交

[点击]新增>组

名称：客房组

策略适用IP/MAC范围：172.16.0.2-172.16.3.254                      

认证方式：不需要认证/单点登入[点选]

新用户选项（新用户指本地不存在的账号）

添加到指定的本地工作组中

选择组：[点击]客房组

[点击]提交

3.7、限速

【导航菜单】→『流量管理』页面

[点击]虚拟线路配置

[点击]线路1

外出接口：选择eth2

上行100Mbps 下行100Mbps

[点击]提交

【导航菜单】→『流量管理』页面

[点击]虚拟线路配置

[点击]虚拟线路规则

点击新增

全部默认，点击提交。\\如不启用虚拟线路规则，则虚拟线路带宽配置无法生效。

『流量管理』→『通道配置』页面

启用流量管理系统【勾选】>新增通道> 启用通道[勾选]>带宽分配

通道名称：工作组

[点击]带宽通道设置

生效线路：线路1

保证通道[点选]

上行带宽：保证10% 10Mbps \\保证办公组上行有10Mbps左右。

 最大10% 10Mbps

下行带宽：保证10% 10Mbps \\保证办公组下行有10Mbps左右。

 最大10% 10Mbps

优先级：高

 [点击]通道使用范围

适用应用：所有应用

适用对象：用户[点选]>工作组[勾选]

   [点击]确定

带宽分配>新增通道> 

启用通道[勾选]

通道名称：客房组

[点击]带宽通道设置

生效线路：线路1

限制通道[点选]

上行带宽：最大90% 90Mbps

下行带宽：最大90% 90Mbps

优先级：中

启用限制单IP最大带宽勾选

上行：5Mbps                          \\根据酒店外网带宽及房间数合理限速。

下行：5Mbps                          \\根据酒店外网带宽及房间数合理限速。

[点击]通道使用范围

适用应用：所有应用

适用对象：用户[点选]>客房组[勾选]

   [点击]确定

最后去除其他其他通道配置，保留工作组、客房组、默认通道。

（若总带宽较大，可相应做调整）

4.配置完成

配置完成，eth2口接外网 ，eth1口接办公交换机，eth0口接客房无线交换机。