深信服AC网桥模式部署配置、基础上网行为测量及审计配置

以上是公司网络拓扑图，原先是两台华为防火墙---两台华为三层交换机--接入交换机，由于管控及审计要求，现需部署1台深信服AC进行上网行为管理和审计，为不了减少对原有网络结构影响，想采用网桥模式部署，本人第一次接触深信服产品，纯小白！麻烦各位大佬根据上面的拓扑结构指导一下：

    1.网桥模式部署步骤及验证配置是否成功（经量详细一点）；

    2.基础上网行为策略及审计配置。

但是博主上面的设备都是双机部署的，突然一台ac网桥部署并串进去的话，设备型号和性能应该已经评估过的吧。其实对于ac网桥部署的话相较简单：步骤如下：

步骤1、登录到AC/SG设备的控制台。设置部署模式：

步骤2：在控制台中，选择【系统管理】。进入【网络配置】选项。将部署模式设置为“网桥模式”。

步骤3：配置一个管理IP及网关地址

在网桥模式下，配置网关地址。建议选择一个可达的下一跳地址，以确保设备能够正常上网并更新规则库即可。

流量经过AC设备时会生成日志并保存。在确认AC控制台页面流量显示正常后，可先选取部分IP地址进行权限管控测试，例如针对某个测试IP设置策略，限制其访问视频网站（如爱奇艺），以验证策略是否生效并产生拦截行为。此外，在部署网桥模式时，建议在无业务运行时段进行操作，以避免影响现有业务。

希望能够帮助到你！

网桥模式部署步骤
1. 物理连接
将深信服AC设备的ETH0/0和ETH0/1接口分别连接到核心三层A和核心三层B交换机上（根据拓扑图中的堆叠线连接位置，选择合适的接入端口）。确保连接稳定，网线无松动。
2. 登录设备管理界面
通过控制台线连接AC设备的控制台端口，使用超级终端或其他终端仿真软件登录设备。也可以将设备连接到网络中，通过默认IP地址（通常为192.168.1.1/24，具体参考设备文档）和默认账号密码（一般账号为admin，密码在设备背面或文档中）登录Web管理界面。
3. 配置网桥模式
进入网络配置界面：在Web管理界面中，找到“网络”或“接口配置”等相关菜单。
配置ETH0/0和ETH0/1为桥接口：将ETH0/0和ETH0/1接口添加到一个桥组中，设置桥组的工作模式为透明模式（即网桥模式）。在透明模式下，AC设备不会改变原有网络的IP地址和路由结构。
配置桥接口的IP地址（可选）：如果需要进行设备管理，可以为桥组配置一个管理IP地址，该IP地址应与原有网络在同一网段，且不与现有设备IP冲突。
4. 保存配置并重启网络服务
完成接口配置后，保存配置更改。根据设备提示，可能需要重启网络服务使配置生效。
5. 验证网桥模式部署
检查接口状态：登录设备后，在“网络”或“接口状态”界面中，查看ETH0/0和ETH0/1接口的状态是否为“UP”，以及桥组是否正常工作。
测试网络连通性：在核心三层交换机和其他网络设备上，使用ping命令测试与其他设备的连通性。例如，从核心三层A交换机ping核心三层B交换机或其他网络中的设备，确保网络通信正常，没有因为AC设备的接入而中断。
检查数据转发：可以通过在AC设备上查看流量统计信息，确认数据是否正在通过桥接口正常转发。

基础上网行为策略及审计配置
1. 用户认证配置（可选但推荐）
选择认证方式：深信服AC支持多种认证方式，如本地认证、Radius认证、LDAP认证等。根据公司的实际情况选择合适的认证方式。例如，如果公司有现有的用户数据库，可以选择LDAP认证。
配置认证服务器（如果需要）：如果选择Radius或LDAP认证，需要在AC设备上配置认证服务器的地址、端口、共享密钥等信息。
创建用户和用户组：在AC设备上创建用户账号和用户组，并分配相应的权限。
2. 上网行为策略配置
进入策略配置界面：在Web管理界面中，找到“策略”或“上网行为管理”等相关菜单。
创建应用控制策略：根据公司的需求，创建应用控制策略。例如，可以禁止员工在工作时间使用某些娱乐应用（如在线游戏、视频网站等）。在策略中，选择要控制的应用类型，并设置相应的动作（如阻断、允许等）。
配置网页过滤策略：可以配置网页过滤策略，阻止员工访问某些不适当或危险的网站。可以设置黑名单、白名单，或者根据网站类别进行过滤。
设置带宽管理策略：如果公司网络带宽有限，可以设置带宽管理策略，对不同类型的流量分配不同的带宽优先级。例如，优先保障业务应用的带宽，限制下载和视频流量的带宽。
3. 审计配置
进入审计配置界面：在Web管理界面中，找到“审计”或“日志管理”等相关菜单。
配置审计策略：选择要审计的内容，如用户上网行为、应用使用情况、网站访问记录等。可以设置审计规则，确定哪些行为需要记录审计日志。
设置日志存储和导出：配置日志存储的位置和方式，可以选择将日志存储在本地设备上，或者导出到外部服务器。同时，可以设置日志的存储周期和清理策略。
4. 策略应用和验证
应用策略：完成上网行为策略和审计配置后，将策略应用到相应的用户或用户组。
验证策略效果：可以通过实际测试或查看审计日志来验证策略的效果。例如，尝试访问被禁止的网站或应用，确认是否被阻断；查看审计日志，确认是否记录了相关的上网行为。

防火墙和核心交换机都是有冗余的，上网行为管理为啥不做冗余。整个拓扑图里就AC节点是风险点