【2022争霸赛*干货满满】深信服上网行为管理AC单设备综合项目实施分享

大家好，我是大白，在如火如荼的争霸赛的过程中，将耗尽最后一根头发进行案例、技术以及配置等相关的分享，也希望大家多多支持，只要耐心看下去我相信会有收获。

大白队口号就是：砸锅卖铁我最行，拼死拼活就要赢！！！！！！！！！！！！

好的废话不多说，今天的分享为案例分享：

首先项目要实现的目标：上网行为管理（下称AC）的替换需要不改动现网其它设备配置， AC设备需要以网桥模式替换部署在交换机和前置设备之间。对无线用户上网统一管理，实现规范上网行为、提高工作效率，防泄密，流量管控及上网审计四方面的需求。

项目需求：
上线AC后，如下功能继续实现：
主要聚焦企业无线上网场景， 企要需求是规范用户上网行为、流量管控及上网审计三方面需求，具体如下：
1．规范用户上网行为
所有用户禁止做与工作无关的事情，如禁止浏览购物网站、炒股、玩游戏、看视频等与工作无关的行为。
2．流量管控
企管部所有行为要有带宽保障，重要应用（如访问网站，邮件，vpn，视频会议等）要有带宽保障；服务器带宽需优先保障；占用流量大的非重要应用（如在线视频，下载等）要进控制。
3．上网审计
企业对于上网审计的需求有两个原因，政府监管部门明文要求互联网场所需要有互联网审计设备，并且万一出现泄密事件，需要能够定位具体的责任人。有独立IT部门的企业，由于留存日志的需要也会使用独立的外置日志中心。

实施前的拓扑：

客户现网为三层环境，在核心交换机上根据不同的组织部门划分了不同的地址段无线网，有，无线网提供给外来用户上网。

实施后的拓扑：

AC单网桥部署在防火墙和核心交换机之间，设备外网口接防火墙，内网口接交换机，无线网的上网数据流经过设备并受设备管控。

设备策略的规划：

AC提供以下具体解决方案。
1．规范用户上网行为
禁用户访问非法、反动、成人网站。
2．流量管控
AC为重要应用，如服务器业务，访问网站等常规应用优先提供带宽保证；对领导组所有业务提供保证；对在线视频，下载等p2p应用进行带宽限制，且带宽足够空闲时，允许突破限制，充分利用带宽。
3．上网审计
客户对上网日志审计的需求主要是因为政府监管部门明文要求及出现事故后能够事后追踪；根据网络安全法规定留存相关的网络日志不少于六个月，需要实施人员提前协助评估客户保障审计日志可以留存六个月以上日志，如果内置日志中心不能满足需求，需要沟通客户部署外置数据中心。

上线风险规避一定要注意：版本定制风险与配置兼容风险，以及前期的设备巡检打包等

部署配置：

设备出厂时eth0口地址为10.251.251.251，电脑通过交叉线直连设备eth0口，电脑IP配置为10.251.251.0段的地址，浏览器访问https://10.251.251.251登录，设备出厂时控制台管理员帐号为admin，密码为admin，如下图：

选择【系统管理】->【网络配置】->【部署模式】，点击【开始配置】如下图。

选择“网桥模式”，点击【下一步】，如下图

定义LAN区接口和WAN区接口，组成一对桥，并选择“开启多网桥链路同步”，点击【下一步】，如下图。

定义LAN区接口和WAN区接口，组成一对桥，并选择“开启多网桥链路同步”，点击【下一步】，如下图。配置桥地址，点击【下一步】，如下图。

选择管理口，并配置管理口地址，点击【下一步】，如下图所示。

*管理口也可以不配置。网桥口地址或管理口地址都可以管理设备。建议配置管理口地址，管理口不接线，防止客户忘记网桥IP，还可以通过管理口登录设备。

配置设备网关，DNS，同时选择“自动放行防火墙规则”，点击【下一步】，如下图所示。

配置完成，点击【提交】，弹出确认设备重启提示页面，确认重启后，即完成设备网桥配置。

静态路由配置：

完成了上述网桥部署配置后，接下来是静态路由配置。配置之前，需要特别注意一点。

注意：由于在网桥部署配置时，启用了“多网桥链路同步功能”，且电脑直接eth0口，其它口没有接线，所以此时网桥eth2口是down状态，网桥的另一个接口eth0口也是down的，导致设备重启后，无法再通过eth0口登录设备。可以通过以下两种方法登录设备，推荐使用方法1。


    方法1：电脑直连管理口，配置和管理口同网段的地址，通过管理口登录设备。
    方法2：eth2口也接上网线，电脑接eth0口，配置和桥地址同网段的IP，通过桥地址登录设备，注意，eth0口和eth2口这对桥口不能接在同一个vlan中，否则会导致环路。
静态路由配置如下，和客户确认内网有哪些地址段，及静态路由的下一跳地址，如果内网是多个小网段，也可以直接加一条大网段的静态路由。详细配置如下：

检查默认认证策略配置：

由于此方案涉及IP/mac绑定需求，需要开启跨三层取MAC，以及SNMP对接，这里为了确保设备先上架，下图中“自动录入用户到本地组织结构”和“自动录入绑定关系”确保不能勾选，避免设备绑错地址及添加过无关用户，如下图：

设备上架：

1．设备上架，并固定好耳片，确保设备平稳，稳固；
2．设备wan口（即eth2口）接前置防火墙，设备lan口（即eth0口）接下面交换机。
3．连接设备网口的网线分别打上相应标签。

设备运行检查：

设备上线后，满足以下两点，则表明设备上线正常
1．通过设备上网的用户可以正常上网，且【系统管理】->【实时状态】->【在线用户管理】中有用户。
2．首页【系统管理】->【实时状态】->【运行状态】中“应用流量排名”可以看到具体应用的流量。

客户需求拆分剖析配置：

       需求一：用户认证

此场景所有人员使用不需要认证，办公区PC同时绑定IP和MAC，防止员工改IP地址导致管理困难；领导组，会议室等公众场所及外来人员不绑定地址，不需要认证直接上网的配置方法及效果。

配置方法包括用户组配置、跨三层MAC识别配置、交换机SNMP协议配置及认证策略配置，具体如下：

1．用户组配置

通过方案确认，已了解到客户实际的组织部门及不同部门的需求，企业通常领导组，市场部，财务部，研发部，采购部，售后部，服务器组，IT部，会议室及外来人员。在AC上按组织部门建立不同的用户组，方便后续根据不同的用户组分权限管理，如下图所示：

至此，根据客户实际情况，已建立用户组。通过前期方案确认，已了解到各部门使用的IP地址段，在AC上根据不同的IP 段建认证策略，从而实现根据IP识别不同部门的用户，实现用户按不同的组织结构管理；因为此场景是三层环境，且需要对办公区PC同时进行IP和MAC地址绑定，所以三层交换机需要启用snmp协议。下面分别介绍跨三层MAC识别配置、交换机SNMP协议配置和认证策略配置，如下图。

2．跨三层MAC识别配置

客户需求内网用户不能任意更改IP的需求，在三层环境下，不同网段的数据流经过AC的源MAC是三层交换机的MAC，非终端PC真实的MAC。所以设备需要通过snmp协议读到交换 机的arp表，从而获取到终端电脑真实MAC，如下图。

【IP地址】：填写AC设备可以访问的三层交换机的地址，一般是PC网关设备。

【IP OID】:标准的IP OID就是默认值，保持默认即可。

【MAC OID】：标准的MAC OID就是默认值，保持默认即可。

【community】:SNMP团体名，需要和交换机上配置的保持一致。

【超时时间】和【获取时间间隔】保持默认即可。

【每次获取的最大个数】推荐配置是100，注意这里建议是100，如果更大，某些交换机无法一次性返回，导致获取失败。

【查看服务器信息】填写基本参数后，可以通过此按钮查看是否能从交换机获取到交换机的arp表。

注意：IP OID和MAC OID通常使用默认即可，如果默认获取不到，IP OID则尝试1.3.6.1.2.1.4.22.1.3，MAC OID尝试1.3.6.1.2.1.4.22.1.2。

启用【自动添加排除MAC】，并设置IP地址记录数为5，使AC自动发现三层交换机的MAC并排除不处理，如下图：

注意：如果已经知道三层交换机的mac地址，可以将此mac地址人为添加到“MAC地址排除列表”中。

3．交换机SNMP协议配置

因为AC需要通过SNMP协议从交换机取arp表，实现ip和mac地址绑定，所以三层交换机（即PC网关）需要配置启用SNMP协议，AC支持通过SNMP v1/v2/v2c三个版本从交换 机获取arp表。

4．认证策略配置

根据不同部门的IP地址段建认证策略，如下图

至此，研发组的认证策略已建立完成，通过相同的建立其它部门的认证策略。

注意：领导组，会议室等公众区域及外来人员是不需要地址绑定的，所以在建认证策略时，这些人员的认证策略不启用“自动录入IP和mac绑定关系”，这是和其它组认证策略不同的地方。

到这里，用户认证配置已完成，效果如下。

配置完用户认证后，效果如下，内网PC经过设备可以正常上网，且正在上网的用户，通过AC设备“在线用户管理”是否已看到在线，如下图。

IP/MAC绑定中，能看到已自动添加绑定信息且电脑更改IP地址后不能打开网页，如下图所示。

需求二：规范上网行为

企业客户希望员工不能访问违法、不良、恶意网站，以免造成管理混乱；全天禁止访问与工作无关的网站、禁止使用与工作无关的应用，以免影响工作效率。AC分别从上网策略控制介绍规范上网行为的最佳配置和效果。

新建“规范上网行为，提供工作效率”策略，将安全风险类网站，购物娱乐类网站，游戏应用，购物应用，炒股应用，论坛、微薄，社区网站等影响工作效率的全天拒绝，并将此策略应用到除“领导”组之外的其它组。具体推荐配置如下图所示：

新建“规范上网行为，提供工作效率”策略，如下图。

全天拒绝安全风险标签所有应用、访问网站/网上购物、访问网站/娱乐、访问网站/web应用/网上聊天、微薄、论坛、社交网络、游戏、炒股（金融行情和金融交易）、移动端应用、购物、互联网金融等和工作无关的网站及应用，如下图。

将此策略应用到除“领导”之外的所有员工，如下图

到此，规范上网行为，提高工作效率的上网策略已配置完成。

注意：IM聊天类软件（如QQ等即时聊天软件）没有禁止，主要考虑到不同企业的业务部门需求不同，某些企业业务部门需要通过IM和客户交流等，所以没有完全封堵，企业可以根据实际情况决定IM是否封堵。

完成策略配置后，效果如下，分别打开论坛及登录炒股客户端测试。

如下图，在线用户管理有售后组用户在线，说明此用户可以通过AC上网，并受AC策略管控。

通过AC上线的用户打开www.tianya.cn论坛，提示被拒绝，如下图。

日志中心显示用户产生了哪些互联网行为被拒绝，如下图。

需求三：流量管控

企业内网经常因在线视频，下载等p2p互联网应用占用大量带宽，导致正常的应用得不到应有的带宽，如打开网页很慢，访问服务器很慢。下面介绍AC流量管控功能如何实现带宽的最佳利用。

结合企业场景，推荐配置如下流控策略实现带宽的最佳利用。此方案中流控的配置分为配置虚拟线路、配置“保障领导和服务器带宽”、“保障上网等常规应用”及“限制p2p及下载应用” 。

1．配置虚拟线路及虚拟线路规则

此方案中，外网线路为一条线路，AC单网桥部署，所以虚拟线路和虚拟线路规则均只有一条，如下图。

根据客户实际外网线路宽定义好虚拟线路带宽，如下图：

2．新建“保障上网等常规应用”保障通道

保障打开网页带宽，以免打开网页感觉慢，实际情况也请参考此配置。如下图所示：

“保障上网等常规应用”通道 上行和下行带宽的比例及优先级，如下图所示。

保障应用为“DNS、访问网站、网络会议、邮件及网络协议”，适用对象为“所有用户”，如下图所示。

新建“保障领导和服务器带宽”

领导和服务器所有应用都需要保障，以免服务器业务受到影响，且优先级为高。此保障通道百分比如下图所示。

适用应用为所有应用，适用对象为“服务器组”和“领导组”，如下图。

新建“限制P2P及下载应用”

除领导组和服务器组外，其它所有人员下载、p2p应用，在线流媒体等占带宽大的应用需要限制，且启用单用户限制，具体参数配置如下图所示。以免带宽不够时，这些应用占用带宽大，对正常打开网页等应用带来影响；下图同时也启用了“当线路空闲时，允许突破限制”表示如果当前带宽足够空闲，则这些应用可以突破此限制条件，充分利用空闲带宽，避免带宽浪费。

如下图，适用应用选择“下载工具，p2p，p2p流媒体，web流媒体”；适用对象选择除“领导组”和“服务器组”之外的所有用户。

最后，调整“保障领导和服务器带宽”、“保障上网等常规应用”及“限制p2p及下载应用”三条流控通道的顺序如下，并勾选“启用流量管理系统”。

通过以下两点展示流控效果

1．流控生效后，“流量管理状态”会显示每条通道的瞬时速率，如下图。

2．流控生效后，通过PC上客户端软件测试（如迅雷下载测试），实际下载速度一般不会超过限制的值。

需求四：网络日志

企业对上网日志审计的需求主要是因为政府监管部门明文要求及出现事故后能够事后追踪，《中华人民共和国网络安全法》为保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展制定。由全国人民代表大会常务委员会于2016年11月7日发布，自2017年6月1日起施行。

《中华人民共和国网络安全法》要求：

第三章网络运行安全

第一节 一般规定

第二十一条 国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求，履行下列安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改：

（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；

此场景介绍日志存储六个月的计算方法和内置日志中心的配置及日志审计效果。

设备本身记录30天系统日志，为了满足网络安全法六个月以上日志保存的要求，建议配置AC设备的【系统管理】——【高级配置】——【外部syslog设置】功能，将系统日志保存到外部syslog日志服务器上。

1.上网审计按照推荐开启应【应用审计】和【流量与上网时长审计】功能：

2.按照步骤一配置后，理论评估一个用户一天产生２Ｍ日志

3.推荐配置场景设备型号及半年产生的日志量对照关系（最大用户数情况）这个可以跟销售进行对照评估

内置日志中心配置如下图，“期望保留天数”建议180天，满足法律法规要求；“审计磁盘预警百分比”按默认值即可，表示磁盘已用空间达到预警值时，就开始删除最早一天的日志。

注意：上图“关闭内置日志中心，以减少设备的资源消耗，提高日志记录性能”不能勾选，启用后内置日志中心无法使用。

新建“上网审计”策略如下图，实际也参考图中配置，只有“网络应用”未识别的识别不启用审计，其它建议启用审计。

同时启用“流量与上网时长审计”，按图中推荐配置。

“上网审计”策略对所有用户生效，应用到所有用户，如图所示。

注意：上网审计配置已完成，实际情况，如果客户要长时间保存日志，如至少要保存半年以上的日志，则推荐使用外置数据中心。

启用审计后，在内置日志能查询到员工的上网日志，如下图。

注意：日志中心日志包括管理员操作日志

其实整个的项目主要需要了解的就是客户需求是什么，需求总共有几个，通过设备的哪些模块去实现，对于单设备多需求的配置其实并不是很难，只要足够了解设备的功能项使用以及使用环境跟配置方式就会变得比价简单。

以上就是本次的深信服上网行为管理AC单设备综合项目实施分享，感谢大佬们的参阅，此贴先到这里后续会带上更加实用的帖子，感谢大家！

励志分享超清壁纸语句~~：

尘土受到损辱，却以她的花朵来报答。——泰戈尔

好的今天就到这里，老样子，感谢各位大神的参阅，孩子为了挣豆子不容易，孩子家里穷没豆子吃饭了！！！

专家点评：感谢楼主分享！文章从需求到规划到配置，思路清晰，配图详细，注意事项也标注很清楚，对于常规的AC单产品项目实施可以起到参考帮助作用，期待楼主带来更多有价值的案例！！！

高手，写了这么多！！！！！！！

感谢楼主的分享，学习学习~~~

每天学习一点，每天进步一点。

每天学习一点，每天进步一点。

坚持学习，坚持打卡。。。。。。。

每天学习一点，每天进步一点。

有助于学习！！！！！！！！！！！！！

大哥就是大哥写的太棒了

每天学习一点，每天进步一点。