#原创分享#互联网接入-上网行为管理AC的简单配置

非常好的实践教程，谢谢分享

发布标题为#原创分享#的文章，可得S豆和现金奖励！

“当前已有100+用户参与分享，共计发放奖励50000+

‘

最近，单位更换了用于互联网接入的防火墙AF和上网行为管理设备AC，现将设备的配置过程记录下来，和大家分享。

先前已介绍过防火墙的简单配置过程，链接地址：https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=110393，此次介绍上网行为设备AC的过程。

一、单位的网络拓扑和准备工作

网络拓扑图：

确定部署模式：由于前端使用防火墙作为互联网的网关接入设备，实现了路由及NAT地址转换等功能，所以上网行为设备我们采用了网桥模式，这种模式设备采用透明转发方式，部署时对原有的网络结构基本没有改动，最大限度的保留了设备的各项管理功能。

其他工作：主要是确定AC设备的网桥模式端口，IP地址，网关地址，局域网地址表。

二、实施步骤

1、设备上架接线

按照准备工作中的规划，将AC的Wan口eth5用网线与防火墙的Lan口eth9口相连，将AC的Lan口eth7与三层交换机规划的端口相连。

2、进入管理界面

将电脑地址设为*0.2*2.2*2.280 2*5.2*5.2*5.*，用网线将电脑与AC设备的管理口ETH1连接，在浏览器中访问管理地址https://1*.2*2.2*2.2*2，输入用户名和密码，初始均为**,登录进入管理界面。

3、配置部署模式为“网桥模式”

点击左侧“导航菜单”->“系统管理”->“部署模式”，点击右侧“开始配置”：

择选“网桥模式”，点击“下一步”：

网口选择与定义，根据实际情况进行选择，这里我的选择是Lan口为eth7(GE)，Wan口为eth5(GE)，增加到网桥列表中，点击“下一步”：

设置网桥地址，即先前准备的AC设备地址，如图，点击“下一步”：

设置管理地址，此处默认即可，AC设备配置完成后，可通过访问设备地址进行管理。点击“下一步”：

网关配置，输入网关地址和DNS地址，网关地址为前端接入设备防火墙的设备地址。注意选中下方的“自动放通防火墙规则”，点击“下一步”：

检查配置信息无误后点击“提交”按钮，设备重启后配置生效。

4、设置静态路由

由于后期还需要启用“流量管理”、“终端接入管理”、“用户认证”以及有针对性的启用“上网策略”等功能，设备本身需要正常访问互联网进行在线升级，需要配置AC设备到前端防火墙AF的路由指向和到三层交换机上局域网各网段的路由指向。

设置方法：打开“导航菜单”->“系统管理”->“网络配置”-> “路由”，进入路由设备界面，新增IPv4静态路由：

设置访问互联网的路由，地址掩码为0.0.0.0 0.0.0.0，下一跳地址为前端防火墙的设备lan口地址1*2.1*8.1*.*，如下图：

同样设置访问局域网的路由，每个Vlan网段一条路由信息，下一跳地址为三层交换机的与AC连接的接口地址1*2.1*8.1*.1*：

5、查看设备防火墙过滤规则

打开“导航菜单”->“系统管理”->“防火墙”-> “过滤规则”，在右侧过滤方向查看WAN<->LAN，LAN<->LAN中查看默认规则Lan2Wan、Wan2Lan、Lan2Lan是否为启用状态。

至此，上网行为管理AC初始设置基本完成，打开“导航菜单”->“系统管理”->“系统诊断”-> “命令控制台”，Ping 互联网和局域网地址，均收到返回包，设备连接正常。

AC上网行为管理设备可通过对用户、终端、应用、内容、流量全方位的管理，给网络管理人员带来方便、可视、可控的管理体验，如需更多的功能和管控，请大家参考相关文档进行策略设置，本文不再赘述。

由于我单位是对原有设备进行更换，对设备配置的先后顺序没有太多的要求，如果是新部署网络，最好是将防火墙的lan口先与交换机连接，做好防火墙的和交换机的配置调通网络后，再接入上网行为设备进行配置以及各种策略管控设置。后续我会将交换机的简单配置步骤写出来分享给大家。

不足之处请大家批评指正。