sinfor_ac_度渠道培训_－金锄头文库

资源描述

《sinfor_ac_度渠道培训_》由会员分享，可在线阅读，更多相关《sinfor_ac_度渠道培训_（151页珍藏版）》请在金锄头文库上搜索。

1、SINFOR TECHNOLOGIES CO.,LTD. Page1AC渠道培训-2009SINFOR TECHNOLOGIES CO.,LTD. 各讲师可以根据实际情况对PPT进行适当修改!SINFOR TECHNOLOGIES CO.,LTD. Page2 提醒：下述内容以AC1.9为例进行讲解。SINFOR TECHNOLOGIES CO.,LTD. Page3目录一、AC的部署方式二、用户认证三、访问控制四、数据中心的安装及同步五、策略故障排查六、其他功能SINFOR TECHNOLOGIES CO.,LTD. Page4一、AC的部署方式1、路由模式2、网桥模式3、旁路模式SIN

2、FOR TECHNOLOGIES CO.,LTD. Page5一、AC的部署方式针对不同的客户网络环境及不同客户的需求，AC有三种部署模式，分别为路由模式、网桥模式和旁路模式。1.1 路由模式（AC相当于路由器，代理PC上网）应用环境：客户用AC做访问控制的同时，需要AC当路由器使用，并代理内网上网等。SINFOR TECHNOLOGIES CO.,LTD. Page61.1 路由模式网络拓朴：一、AC的部署方式SINFOR TECHNOLOGIES CO.,LTD. Page71.1 路由模式功能特点：（1）、可以实现AC所有功能，对客户网络结构改变较大。（2）、内外网口不能在同一网

3、段，可以自定义网口。（3）、有前置设备情况下，启用网关杀毒、邮件过滤等功能，或AC需要自动升级URL等内置库时，需要正确设置前置设备规则（防火墙、路由等），保证AC设备可访问外网（所有部署模式下均需注意）（4）、客户需要使用nat、vpn和dhcp功能时使用路由模式。（5）、支持802.1Q vlan协议。一、AC的部署方式SINFOR TECHNOLOGIES CO.,LTD. Page82、AC三种模式设置1.1 路由模式设置网关当前所在运行模式配置信息至此，AC已配成路由模式，并代理 192.200.200.0/24 网段上网。最后还需要放通防火墙 lan-wan规

4、则，默认是放通的。一、AC的部署方式SINFOR TECHNOLOGIES CO.,LTD. Page91.2 网桥模式（AC相当于交换机，平滑部署到客户网络）应用环境：客户已经FW或路由器代理上网，需要用到AC做访问控制和监控，无需用到vpn，nat，dhcp等功能，并且希望不改变客户网络原有结构，AC可以平滑部署到网络中，即使设备宕机，对客户网络影响不大。一、AC的部署方式SINFOR TECHNOLOGIES CO.,LTD. Page101.2 网桥模式网络拓朴：单网桥多网口网桥一、AC的部署方式SINFOR TECHNOLOGIES CO.,LTD. Page111.2 网

5、桥模式功能特点：（1）、AC做网桥部署，相当于网线，平滑架到网络中，不改变客户网络结构。（2）、单网桥模式下，只有lan口和wan1口可用，dmz口为管理口；多网口网桥部署时，设备所有接口均可做网桥接口。（3）、需设置网桥IP，如启用杀毒、邮件过滤等功能，则须配置默认网关和DNS，并保证 AC本身访问外网（可通过升级控制台工具“ping”测试）。（4）、如启用WEB认证、准入规则、URL过滤，同时内网有多网段时，须添加到内网非直连网段的路由指向内网路由设备。（5）、网桥模式下不能实现NAT（代理上网和端口映射），vpn、dhcp功能不可用，不能自定义网口。

6、（6）、设备做多网口网桥时部署在网关设备与交换机之间，不改动内网环境，相当于多网口二层交换机。可以实现对内网VRRP环境和双机热备环境的支持。（7）、支持802.1Q协议。一、AC的部署方式SINFOR TECHNOLOGIES CO.,LTD. Page122.2 网桥模式设置（1）单网桥配置一、AC的部署方式SINFOR TECHNOLOGIES CO.,LTD. Page13（1）单网桥配置一、AC的部署方式如果交换机和前置设备走非 trunk协议，此外禁用即可SINFOR TECHNOLOGIES CO.,LTD. Page14（2）多网口网桥配置一、AC的部署方式SINFO

7、R TECHNOLOGIES CO.,LTD. Page15（2）多网口网桥配置如果交换机和前置设备走非 trunk协议，此外禁用即可一、AC的部署方式SINFOR TECHNOLOGIES CO.,LTD. Page161.3 旁路模式（主要用作审计功能，不影响客户网络）应用环境：客户网络已经规划好，且网络很重要，用AC主要做审计及一些简单的控制功能。并且希望如果设备出现故障，不会对正常应用造成任何影响。一、AC的部署方式SINFOR TECHNOLOGIES CO.,LTD. Page171.3 旁路模式网络拓朴：一、AC的部署方式SINFOR TECHNOLOGIES CO.,LT

8、D. Page181.3 旁路模式功能特点：（1）、 AC连接在内网交换机的镜像口或HUB上，对整个局域网进行旁路模式的监控与控制。不改动现有网络，即使设备宕机也不会对用户的网络造成影响（2）、 AC的LAN或WAN接口都可用作旁路接口（不需设置IP），DMZ 只能作为管理接口，不能用做旁路接口。（3）、如果交换机没有镜像口，可以在交换机前加接HUB，AC连接到 HUB上实现旁路。（4）、如需部署数据中心可从DMZ口同步日志数据（需配置DMZ网关或相应系统路由）。（5）、访问控制仅对TCP类服务有效。（6）、 AC要自动更新（URL），则必须配置正确dmz口IP地址、网关、

9、DNS，保证AC设备可访问外网。（7）、AC在旁路模式下主要实现审计功能，简单的控制功能（TCP类应用），nat，vpn，dhcp，准入、web认证等无法实现。一、AC的部署方式SINFOR TECHNOLOGIES CO.,LTD. Page191.3 旁路模式设置注：旁路模式下，默认情况下是不记录内网访问内网间的数据的，如果客户需要记录内网用户访问内网服务器的日志，可以将服务器的IP添加到排除列表里。一、AC的部署方式SINFOR TECHNOLOGIES CO.,LTD. Page20目录一、AC的部署方式二、用户认证三、访问控制四、数据中心的安装及同步五、策略故障排查六、其

10、他功能SINFOR TECHNOLOGIES CO.,LTD. Page21二、用户认证1、认证分类2、本机认证3、第三方认证4、批量添加用户5、单点登录SINFOR TECHNOLOGIES CO.,LTD. Page222.1、认证的分类设备自认证第三方认证认证方式DKEY认证IP/MAC认证普通KEY防监控KEY LDAP（MS AD、SUN、OPEN）RADIUSPOP3 PROXY用户名/密码二、用户认证SINFOR TECHNOLOGIES CO.,LTD. Page232.2、本机认证2.2.1 ip/mac绑定：通过校验通过AC上网的IP和其绑定的MAC是否对应来决定是否让

11、这个IP通过AC上网，并根据IP取得相应的权限注：如果AC验证 pc的ip/mac 绑定关系不通过，则pc上网显示该页无法打开，不会有任何提示，二、用户认证SINFOR TECHNOLOGIES CO.,LTD. Page242.2.1 ip/mac绑定注: 1、支持跨三层环境同时绑定电脑的ip/mac（启用准入规则）2、支持跨三层环境扫描pc的mac(通过netbios实现)。如果扫描不到，请确认以下情况： 1，服务启动：netbios服务是否开启；udp 137是否在监听； 2，数据放通：本机FW 是否关闭；本机是否配了多个IP；三层交换机是否做了acl拒绝了不同网段间udp 13

12、7的通信。二、用户认证2.2、本机认证SINFOR TECHNOLOGIES CO.,LTD. Page252.2.2 用户名/密码认证用户上网时在WEB浏览器里自动跳转到AC的认证页面，用户通过输入管理员分配的用户名密码进行认证，认证成功即可上网，并取得这个用户名的相应权限。注：如果该帐号为公用帐号，则可以允许多人同时在线，如果是私有帐号后经过认证的用户会将之前的用户踢下线用私有帐号支持在线修改密码,链接为 http:/gwip/user.htm2.2、本机认证二、用户认证SINFOR TECHNOLOGIES CO.,LTD. Page26DKEY分为两种：认证的DKEY和免审计

13、的DKEY。两种KEY不可能混用、认证的KEY用户上网前需向电脑的USB接口插入KEY，验证通过后才可以上网，保证了认证的安全性及使用的方便性，一般适用于外来用户。2.2.3 Dkey认证二、用户认证2.2、本机认证SINFOR TECHNOLOGIES CO.,LTD. Page27生成DKEY前，先下载DKEY驱动并安装2.2.3 Dkey认证二、用户认证2.2、本机认证例：用户hbz上网前采用DKEY认证SINFOR TECHNOLOGIES CO.,LTD. Page28下载DKEY认证客户端，打开IE。输入http:/gwip，弹出如下页面下载DKEY认证客户端并安装2.2.3

14、 Dkey认证二、用户认证2.2、本机认证SINFOR TECHNOLOGIES CO.,LTD. Page29、免审计的KEY: 某些高层领导上网时，希望自己的行为不被AC监控，可以建议其使用免监控DKEY，使用免监控KEY上网，不会记录网络行为，一般适用于BOSS生成免审计KEY只需在下图选择“启用DKEY防监控”即可，其它的设置及使用方法和认证KEY的一样2.2.3 Dkey认证二、用户认证2.2、本机认证SINFOR TECHNOLOGIES CO.,LTD. Page302.3、第三方认证第三方认证包括:pop3、ldap(MS AD、SUN、OPEN)、Radius、Pro

15、xy认证第三方服务器在外网第三方服务器PC第三方服务器第三方服务器在内网PC二、用户认证SINFOR TECHNOLOGIES CO.,LTD. Page31PC提交用户名和密码第三方服务器返回验证信息给ACAC将用户名和密码提交到第三方服务器验证注： 1、一定要勾选以下两个勾，且默认组放通 Dns和http服务，否则不能重定向认证页面认证过程二、用户认证2.3、第三方认证SINFOR TECHNOLOGIES CO.,LTD. Page32管理员的用户名和密码注：如果认证方式下的四种方式全选，它们之间是或的关系，匹配规则从上向下匹配；如果同时选择ip/mac绑定和web 认证，则它们

16、之间是与的关系，必须同时满足才可以上网。二、用户认证2.3、第三方认证SINFOR TECHNOLOGIES CO.,LTD. Page33新用户认证三种处理方式：把IP地址作为新用户、把计算机名作为新用户和到服务器去验证添加新用户策略支持将不同的IP段添加到不同的组织结构。二、用户认证2.4、批量添加用户2.4.1 新用户认证SINFOR TECHNOLOGIES CO.,LTD. Page34认证成功后直接打开网页或跳转到指定的 URL 私有帐号认证冲突时的处理方式设置用户无流量自动注销时间及未通过认证的用户具有的权限；弹出认证框、出错页面、拒绝访问页面等重定向页面需要选择此项，且根组要放通http和dns服务。二、用户认证2.4、批量添加用户2.4.2 认证选项设置SINFOR TECHNOLOGIES CO.,LTD. Page35支持扫描单个IP， IP范围和子网AC支持通过扫描内网计算机和从域服务器中导入用户，可以按照指定格式做成文本文档再导入。用户导入格式：用户名| 所属组 |ip地址|ma

展开阅读全文