深信服上網(wǎng)行為管理-系統(tǒng)管理配置指南

1、深信服上網(wǎng)行為管理系統(tǒng)管理配置指南培訓(xùn)內(nèi)容培訓(xùn)目標(biāo)策略路由和多線路選路掌握策略路由適用場景，能夠根據(jù)實(shí)際場景正確配置策略路由并達(dá)到效果事件告警功能掌握事件告警功能種類，能夠根據(jù)實(shí)際場景配置事件告警功能并達(dá)到效果SNMP掌握設(shè)備支持SNMP版本，并且能夠正確配置SNMP網(wǎng)管軟件管理設(shè)備策略路由和多線路選路深信服公司簡介SNMPSANGFOR AC&SG事件告警功能策略路由和多線路選路策略路由和多線路選路介紹應(yīng)用背景：隨著企業(yè)的不斷壯大和發(fā)展，一個(gè)企業(yè)所擁有的互聯(lián)網(wǎng)線路往往不止一條，而每條線路的帶寬又是非常有限的。如何設(shè)置才能夠更合理的利用線路帶寬，提高訪問公網(wǎng)的速度呢？解決方案：AC設(shè)備提供兩種

2、技術(shù)-策略路由和多線路選路。策略路由功能：根據(jù)源/目的IP、源/目的端口、協(xié)議等條件進(jìn)行線路選擇，以實(shí)現(xiàn)不同的數(shù)據(jù)走不同的外網(wǎng)線路的需求。多線路選路策略：根據(jù)每條線路的上、下行帶寬進(jìn)行分配或者平均分配帶寬或者優(yōu)先選擇前面的線路等分配策略來選擇不同的外網(wǎng)線路。1、上述兩種功能均能實(shí)現(xiàn)某條外網(wǎng)線路故障，選擇從這條線路出去的流量自動切換到其他正常的鏈路。如果線路恢復(fù)，則自動切換回來。2、策略路由和多線路選路只有在路由模式部署才生效策略路由配置1、將設(shè)備部署為路由模式，正確配置各wan口的IP地址，DNS地址和網(wǎng)關(guān)。注意這些要配置正確，策略路由程序會根據(jù)線路的DNS是否可以解析域名線路是否故障，如果線

3、路的DNS無法解析域名，則策略路由程序會檢測此線路故障。2、配置代理上網(wǎng)規(guī)則，代理內(nèi)網(wǎng)所有網(wǎng)段從所有wan口上網(wǎng)。這兩步的具體配置此處省略，具體可以參考“SANGFOR_AC&SG_v6.0_2015年度渠道初級認(rèn)證培訓(xùn)03_安裝部署”和“SANGFOR_AC&SG_v6.0_2015年度渠道初級認(rèn)證培訓(xùn)04_防火墻”策略路由配置新發(fā)貨的設(shè)備一般策略路由表都是空的，怎樣導(dǎo)入初始策略路由表？解決方案:下載導(dǎo)入/read.php?tid-2499.html3、導(dǎo)入各運(yùn)營商的策略路由表4、我們提供了各大運(yùn)營商的策略路由，導(dǎo)入后，內(nèi)網(wǎng)PC經(jīng)設(shè)備上網(wǎng)的數(shù)據(jù)流，即可實(shí)現(xiàn)根據(jù)目標(biāo)地址選路走同一個(gè)運(yùn)營商的線路

4、出去，如訪問電信的網(wǎng)站走電信線路，從而解決了跨運(yùn)營商之間訪問速度慢的問題。同時(shí)也能實(shí)現(xiàn)當(dāng)其中一條 線路故障，流量自動切換到其它線路，直到故障線路恢復(fù)，從而實(shí)現(xiàn)了智能選路。策略路由配置策略路由選路是根據(jù)路由規(guī)則選路的，前面介紹導(dǎo)入策略路由表的方式，也可以不導(dǎo)入策略路表，根據(jù)實(shí)際情況，手動建立策略路由規(guī)則。如可以配置根據(jù)源地址選路，內(nèi)網(wǎng)/24段所有流量走線路1，/24段所有流量走線路2，如下圖所示。策略路由配置 多線路選路配置經(jīng)過設(shè)備的數(shù)據(jù)流會先按策略路由選路，如果沒有配置策略路由規(guī)則或按策略路由沒有查到對應(yīng)的選路規(guī)則，則會進(jìn)行多線路選路。多線路選路是由程序自動選路，無須配置策略路由規(guī)則，共有四種

5、多線路選路策略。1. 多線路選路和策略路由功能只在路由模式下有效。2. 需要使用外網(wǎng)多線路，在序列號中至少開啟2條外網(wǎng)線路的授權(quán)。3. 外網(wǎng)每條線路配置的DNS地址必須可以解析域名，策略路由程序會根據(jù)線路的DNS是否可以解析域名線路是否故障，DNS無法解析域名，則策略路由程序會檢測此線路故障。4.靜態(tài)路由，策略路由和多線路選路的優(yōu)先級關(guān)系。靜態(tài)路由優(yōu)先策略路由，策略路由優(yōu)先多線路選路。5.設(shè)備有多線路時(shí)，如果一條線路出現(xiàn)故障，則流程會切換到其它線路，直到故障線路恢復(fù)，從而實(shí)現(xiàn)線路智能切換。現(xiàn)場測試線路切換時(shí)，建議使用撥線路，瀏覽器打開網(wǎng)頁的方式測試。注意事件告警功能設(shè)備多個(gè)模塊具有事件告警功能

6、，當(dāng)觸發(fā)告警條件時(shí)，設(shè)備就會通過郵件告警及登錄控制臺界面右下角小喇叭告警，以便能及時(shí)通知到管理員。設(shè)備支持的告警事件類型如下。事件告警介紹下面以網(wǎng)關(guān)殺毒郵件告警為例說明事件告警的配置，其它事件告警配置類似事件告警配置1、準(zhǔn)備工作（1）檢查設(shè)備本身是否可以上外網(wǎng)，要確保設(shè)備本身能夠上網(wǎng)（2）檢查病毒庫升級授權(quán)是否過期，病毒庫是否當(dāng)前最新。要確保病毒庫升級授權(quán)已開啟，且病毒庫當(dāng)前最新。2、新建認(rèn)證策略，用戶組等（此處略）3、新建上網(wǎng)權(quán)限策略，并啟用郵件過濾關(guān)聯(lián)到用戶或組，如下圖。4、新建上網(wǎng)審計(jì)策略，并關(guān)聯(lián)到用戶或組，如下圖。5、啟用網(wǎng)關(guān)殺毒6、配置事件告警。即當(dāng)檢測到病毒時(shí)，發(fā)送告警郵件到管理員

7、郵箱7、通過郵件客戶端發(fā)送一封帶病毒的原始郵件8、設(shè)備檢測到病毒效果首頁，運(yùn)行狀態(tài)頁面，右下角小喇叭提示發(fā)現(xiàn)病毒。如下圖管理員告警郵箱也收到發(fā)現(xiàn)病毒的事件告警郵件，如下圖數(shù)據(jù)中心記錄網(wǎng)關(guān)殺毒日志，如下圖SNMP客戶機(jī)房有很多不同廠商的網(wǎng)絡(luò)設(shè)備，不便于管理，希望通過網(wǎng)管軟件對所有網(wǎng)絡(luò)設(shè)備進(jìn)行監(jiān)控和管理。AC&SG默認(rèn)支持snmp協(xié)議（支持snmp v1 v2 v3），并提供mib庫，通過網(wǎng)管軟件導(dǎo)入mib庫，從而實(shí)現(xiàn)對設(shè)備狀態(tài)監(jiān)控和管理。SNMP介紹SNMP配置網(wǎng)管軟件中輸入設(shè)備ip，oid(),community，這樣可以讀取所有信息，如下圖：這種方法讀出所有信息，并不知道每個(gè)值具體意義，因oid不具體，很難找到我們需要的信息。SNMP配置SNMP配置下載mib庫，導(dǎo)入網(wǎng)管軟件，方便管理查看設(shè)備信息設(shè)備可供SNNP查詢的信息及常用OID請參考文檔“SANGFO